密评辅助工具的几点思考

已于 2023-09-18 17:20:13 修改
阅读量1k 收藏 4
点赞数
分类专栏: 密评 文章标签: 测试工具
于 2022-12-14 10:38:37 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46849758/article/details/128312698
版权

关于密评辅助工具的几点思考:

举个简单得例子:

目前针对这一物理和环境层面的商用密码应用安全性评估 测评对象一般指的是系统所在的系统及重要区域等内容
需要人主观的去评判客观的事实(机房电子门禁产品及相关技术文档、视频监控设备及相关技术文档)
相关的技术检测工具 无非是用在身份鉴别和数据的完整性保护时所采用的密码算法及技术
人为主观收集的客观证据 能够在密评工具的协助下 自动识别身份鉴别  数据的完整性保护所采用的密码技术
并能够智能的对收集的需要完整性保护的数据进行相关的完整性检验工作(算法验证及数据比对等手段)

针对目前的等保三级系统来说  商用密码应用安全性评估在网络和通信层面要点一般为信道
一个良好的网络拓扑图和专业知识过硬的运维人员 能够更好的协助我们密评工作的开展和实施
我们能够从网络拓扑图和系统相关运维人员的描述中 更好筛选出我们本次评估的测评对象信道有几条 有哪几条(同时也不要忘了密码应用方案中的参考)
基于目前这种情况 我们密评人员也只能根据系统的有关资料来进行主观判断(信道)  
(理想情况下:密评辅助工具能够自动识别所导入的网络拓扑图或者系统相关资料自动分析其信道 ➡有点不切实际  
 可能未来几年能够实现  但是就目前现阶段的发展和形式(等保工具就是个例子) 还有待商榷  基本上是一些半自动化的工具  人为进行主观的判断 然后录入系统)
根据本层面的有关测评内容 对密评辅助工具做出一下思考:
在不考虑人为进行主观判断其被测系统的信道的前提下  密评辅助工具    能够自动识别和分析密评人员通过测评工具所获取的数据流量包(这一过程是需要人为主观的去抓取数据流量包)
通过相应的筛选命令(这一过程又是人为的主观输入  例如:ip.addr ==XX.XX.XX.XX and/&&  tls等等)  工具能够自动分析其通信信道通信过程中所使用的数字证书(身份鉴别)、密码算法套件(通信数据完整性和通信过程中重要数据的机密性)是否合规、正确、有效等等内容
....................

说到这里 还是是要区分一下  密评辅助工具具体指的是协助密评人员编写报告的工具?  还是协助密评人员开展测评的工具?
当然 这两者 都得具备   但是就针对目前现阶段市场环境   我也见过这样的工具  但是有些功能还是有点差强人意  相关的密评辅助工具资质检测报告都没有就直接来进行检测  
然后出具相关的系统报告      是不是这样子前后就很矛盾  说服力呢?
总之呢 个人感觉  仅凭工具完全的代替人工去开展测评 出具相应的报告 理论上可以  但是完全的自动化工具代替人工是目前现阶段不可行的

接下来针对目前现阶段的技术水平和测评能力对密评辅助工具列出以下几点要求:

技术层面
********************************************************************
数据流量:
①自动抓取数据流量包:通过一定的技术手段(网线接入或者镜像方式等),能够抓取某一过程的数据流量包。
②能够自动通过命令筛选出目标数据流量:通过过滤手段等技术,获取到我们想要的数据流量包。
③能够自动对目标数据流量进行分析:对所获取的目标数据流量包,能够自动识别其握手阶段、或者是通信阶段的所采用的密码算法或者密码技术(例如:自动识别出算法套件等)。

数字证书:
①自动导出证书:在上一个阶段的基础上,通过对目标数据流量进行分析的过程中能够自动识别并导出证书,区分清楚加密证书或者是签名证书。
②能够自动分析证书是否合规:通过一定的技术手段对导出来的数字证书能够自动分析、检测(例如:自动分析其签名算法、颁发者、有效日期、证书的格式等内容),验证证书的合法性。
③能够自动识别上一级证书:通过技术手段对导入的数字证书能够自动识别上一级证书或者是其根证书,并加以验证。

签名验签:
①自动验签:能够自动对目标系统所产出的签章文件(例如:医疗盖章文件、红头盖章文件等)自动验签,紧接着上一阶段自动分析其数字证书是否合规。

数据保护:
①完整性保护:能够自动识别通过完整性保护的文件或者数据等(这一点目前来说应该也是人为的导入),包括但不限于日志技术、数据库里面的结构化数据(重要数据)等内容,
能够自动识别出被测系统进行数据完整性保护,所采用的密码算法和密码技术,并进一步加以验证。
②机密性保护:同理,能够自动识别通过机密性保护的文件或者数据等(这一点目前来说应该也是人为的导入),包括但不限于日志技术、数据库里面的结构化数据(重要数据)等内容,
能够自动识别出被测系统进行数据机密性保护,所采用的密码算法和密码技术,并进一步加以验证。
*********************************************************************

报告层面
*********************************************************************
其实关于这一层面,我不想做过多的描述,其实目标是为了节省人力和时间,获取更大的利益空间。
但是就目前现阶段商用密码应用安全性评估的发展,以等保为例,做出以下思考:
①能够自动识别项目中有关甲方的重要信息,自动导出其项目的过程文档(风险告知书、保密协议、现场测评授权书等等内容)
②系统能够自动录入我们前期收集到的系统信息,完成相应的测评方案的编写。
③能够根据测评人员整理出来的现场测评记录表,自动生成报告。

******************************************************************

Jasioniso
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 9
    评论
专栏目录
密评简易算分器,密评或者自评的好助手
08-13
密评之中,很多客户或者建设单位都在咨询,系统能得多少分呢? 如何在简单了解客户得系统现状,在半小时之内算出一个粗略的分数出来呢? 为此我开发了这个小助手工具。它可以通过简单的点击鼠标,添加测评对象,勾选符合情况,最终生成分数。
电信数智商用密码评估(密评)商密版抓包工具
07-10
支持最新的密码行业标准、国家标准,将SM2、SM3、SM4、SM1等算法加入支持。支持最新的RFC 8998 ,支持TLCP国家标准。 欢迎业界朋友使用该工具,对自己的系统进行自评估。 欢迎各界朋友与中电信数智密评中心交流技术,洽谈业务。
能力验证与密评工具1——身份鉴别篇
这么小声还想开军舰?!
04-08 1039
【这里可能存在的异议是:由通信信道报文抓包分析可得:客户端对服务端进行了身份鉴别且符合性为:√√√ 而服务端没有对客户端进行身份鉴别:×××,故量化评估得分为:—— 1 / 2 = 0.5(客户端与服务端相互鉴别视作两个对象)——我个人反对这种测评方法:因为1.双向鉴别本就是四级信息系统与三级信息系统之间的重要指标区别;为何我认为此处可能存在问题?题目中另一个测评对象:分支机构用户(B1)在登录应用系统时使用的是SM2证书,SM2证书链的签名正确性验证和CRL在线状态验证需要使用:证书链验证工具,见下图。
密评:典型密码产品应用测评技术和典型密码功能测评技术
共勉
09-18 626
GM/T 0115-2021 《信息系统密码应用测评要求》
密码应用安全性测评工具(一)
z1p1x1的博客
12-30 1761
根据密评项目经验及密码分析测评实际需求,自研了三款密码分析小工具,界面清新,简单实用。
密评简易算分器】密评工具之一
baikeley74的博客
08-13 2421
密评之中,很多客户或者建设单位都在咨询,系统能得多少分呢? 如何在简单了解客户得系统现状,在半小时之内算出一个粗略的分数出来呢? 为此我开发了这个小助手工具。它可以通过简单的点击鼠标,添加测评对象,勾选符合情况,最终生成分数。......
商用密码应用安全性评估中的密评分析工具,WireShark3.7.1的国密版本
baikeley74的博客
07-10 5467
电信数智商用密码应用安全性评估中的密评分析工具会是密码友人们的有利工具,可以在密码合规性分析中事半功倍,它基于 Wireshark最新的3.7.1版本改造而成,修正了里面的几处问题,进行了代码优化。...
《商用密码应用与安全性评估》第四章密码应用安全性评估实施要点4.5密码应用安全性评估测评工具
qq_40442137的博客
06-03 1405
密码应用安全性评估测评工具
密保辅助小工具源码
08-26
适合各种游戏一键输入账号密码 格式: [标签名字] UserName=你的账号 Password=你的密码 [标签名字2] UserName=你的账号 Password=你的密码 [标签名字3] UserName=你的账号 Password=你的密码
国密算法工具,非常实用
08-17
SM2算法,支持生成密钥对、签名、验签;SM4加解密;SM3哈希;SM4密钥分散
S盒密码指标自动评估软件sboxAssessment
08-23
本软件是为实现对称密码算法中核心部件S盒的安全性指标自动评估而开发的软件。用户能够利用本软件实现密码算法中核心组件S盒的非线性度、差分均匀性、最佳线性逼近优势、代数次数,代数正规式、代数项数分布、不动点个数、扩散特性以及雪崩特性等指标的自动计算。
HWtools-解绑辅助工具rar
12-28
HWtools_解绑辅助工具rar
allegro 辅助小工具
05-15
PCB初始参数设置 对齐器件或VIA等 切割CLINE 替换VIA类型 查找或更改指定宽度的CLINE 移动VIA到格点上 网表对比报告 根据所选PIN或VIA间隔设置格点 对齐文字 自动旋转位号方向 ...位号摆放错误辅助检查 DRC错误浏览
基于Python的医学辅助工具设计源码
最新发布
06-01
本源码是基于Python开发的医学辅助工具设计,包含45个文件,其中包括17个.py文件,14个.yml文件,5个.xml文件,以及4个.md文件。此外,还包括2个.gitignore文件,1个.iml文件,1个.LICENSE文件和1个.txt文件。该项目...
密码法和密评工作资料整理
u011893782的博客
10-29 4128
法文链接 一、重点解读 1、为什么要制定密码法? 密码是国家重要战略资源,直接关系国家政治安全、经济安全、国防安全和信息安全,制定一部密码领域综合性、基础性法律,十分必要。 核心密码和普通密码维护国家安全方面的基本制度、密码管理部门和密码工作机构及其工作人员开展密码工作的保障措施等,都需要通过国家立法予以明确。 近年来密码在维护国家安全、促进经济社会发展、保护人民群众利益方面发挥越来越重要的作用,...
sslscan工具密评中的使用
weixin_44535758的博客
10-25 5326
sslscan工具密评中的使用
密评复习(选择+简答)
jingk888的博客
10-31 9257
密评复习内容
Midjourney 辅助工具
09-07
Midjourney辅助工具是一套用于生成命令提示词的工具。可以使用Midjourney Prompt Tool自定义命令工具、Midjourney Prompt Generator命令生成器和Prompt Hero命令搜索引擎来辅助生成命令提示词。其中,Midjourney Prompt Tool和Midjourney Prompt Generator都是由huggingface公司开发的工具,可用于自定义命令和生成命令提示词。你可以通过访问https://prompt.noonshot.com/来使用Midjourney Prompt Tool自定义命令工具。<span class="em">1</span><span class="em">2</span><span class="em">3</span><span class="em">4</span>

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 9
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Jasioniso

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值