等保2.0|密码技术测评(等保测评过程中的完整性和保密性)

已于 2024-06-15 21:52:02 修改
阅读量2.4k 收藏 30
点赞数 9
分类专栏: 等保2.0 文章标签: 网络安全 web安全
于 2024-06-15 21:47:34 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_49047967/article/details/138473269
版权

0x00 概述

       在等保测评过程中,不免要遇到密码技术,以三级系统为例,在安全计算环境中,主要涉及到三个控制点,6个测评指标,详细内容如下:

身份鉴别:
c)当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听;

d)应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现。


数据完整性:
a)应采用校验技术或密码技术保证重要数据在传输过程中的完整性,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等;

b)应采用校验技术或密码技术保证重要数据在存储过程中的完整性,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等。


数据保密性:
a)应采用密码技术保证重要数据在传输过程中的保密性,包括但不限于鉴别数据、重要业务数据和重要个人信息等;

b)应采用密码技术保证重要数据在存储过程中的保密性,包括但不限于鉴别数据、重要业务数据和重要个人信息等

       在讨论具体的测评指标之前,我们要先知道密码技术是如何是实现数据保密性和完整性的,在传输过程中和存储过程中又是否是一样的。

0x01 等保测评中的常见算法

虽然市场上的加密算法很多,但是最基础的主要分为三类,对称加密、非对称加密和哈希算法

备注: 哈希算法有很多别名,例如:杂凑算法、摘要算法、散列算法

在测评过程中常见的算法如下:
密码技术脑图

0x02 现场测评

  1. 首先测评人员要有一种意识,现场测评实际没有想象中那么复杂,别给自己那么大的压力
  2. 一般来说,大部分都是使用已经封装好的加密协议,像https、ssl、ssh等这类加密协议的
  3. 遇到https,ssl,ssh这类协议,那么传输中的完整性和保密性就是符合,除非他没有使用此类协议,再去问问运维人员
  4. 存储中的完整性和保密性这就的问问管理员了,但是大部分软件对敏感信息都是做了一定的处理的,可能没法同时满足这两条,但是多少是一些,像linux采用sha512加密(/etc/login.defs),这就满足了存储的完整性(SHA512是哈希算法)
  5. MySQL数据库,老版本的采用md5和sha1来加密,这两算法都是不安全算法,具体如何判定,咨询自己的项目经理;新版本的采用SHA-256 或 caching_sha2_password来加密,可以给符合,可以把密码拿到https://www.cmd5.com/去尝试解密
    在这里插入图片描述

0x03 常见误区

  1. base64不是密码技术,他只是一种编码技术
  2. 做身份认证只能使用非对称加密算法(区别于测评,等保考试可能会考)
  3. 测评中有的密码是不符合的,例如:MD5,SHA-1、DES、RC2等算法是不符合要求的
  4. 3DES(TDES)算法在部分机构是不符合的,具体看机构或者问项目经理
  5. 区别完整性保密性,区别传输过程中和存储过程中

题外话

       这篇文章本来构思了很久,草稿箱存了4个月,打算写个2w+字的,详细为各位朋友阐述在实际等保测评中遇到的各种问题,针对各个测评指标,各个指标对应的设备,以及如何在现场开展测评,但是没想到会草草的结束 ,这将会是博主的最后一篇等保的文章了,如果以后有机会会将文章重写,届时会拓展个更多的知识
       等保的朋友们有缘再见!!!

参考资料:常见的密码学算法分类总结

等保2.0三级通用要求
weixin_45061645的博客
10-22 1万+
安全物理环境 物理位置选择 机房场地选择在具有防震、防风防雨等能力的建筑内。 机房场地避免设在建筑物的顶层地下室,否则加强防水防潮措施。 物理访问控制 机房出入口配置电子门禁系统,控制、鉴别记录进入的人员。 防盗窃防破坏 将设备主要部件进行固定,并设置明显的不易除去的标识。 将通信线缆铺设在隐蔽安全处。 设置机房防盗报警系统设置有专人值守的视频监控系统。 防...
等保2.0三级-安全计算环境测评项(重点)——数据完整性数据保密性
xwjjdedkdjcjej的博客
05-17 1065
等保2.0三级-安全计算环境测评项(重点)——数据完整性数据保密性
等保测评2.0超详细解读(0基础入门到精通),只要收藏这一篇就够了!!
最新发布
ewii12567的博客
03-05 939
网络安全等级保护是指对国家重要信息、法人其他组织及公民的专有信息以及信息存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响、处置。
等保测评 - 数据完整性保密性
qq_37542883的博客
06-07 4803
SM7算法,是一种分组密码算法,分组长度为128比特,密钥长度为128比特。2、业务数据、审计数据存储过程中的完整性通过查看数据库表(业务数据、审计数据)是否存在哈希字段,据了解在业务数据审计数据中,数据在前端一般采用jsonxml格式进行传输,检查过程中发现数据库表不包含对业务数据、审计数据完整性校验字段,一般判断为不符合。a) 采用校验技术密码技术保证重要数据传输过程中的完整性包括不限鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据重要个人信息等;
文件完整性md5校验工具_安全导学|等保2.0系列安全计算环境之数据完整性保密性测评...
weixin_39670246的博客
12-02 1146
点击上方蓝字关注我们!一、前言等级测评中,相信很多测评师在内的人都不是很了解数据完整性数据保密性,因此本文将结合商密测评角度浅淡数据完整性保密性的理解测评。如有错误,欢迎指正。二、定义2.1完整性通俗的来说就是数据不被篡改非授权访问。目前完整性主要是通过哈希算法来实现。国密算法中,能够提供数据完整性的算法主要是:SM3。国际算法中,能够提供数据完整性的算法主要是:MD5、S...
等保2.0 Linux主机测评过程
tigerman20201的博客
11-24 1825
以下结果以centos7 为例,按照等保2.0标准,2021报告模板,三级系统要求进行测评。 一、身份鉴别 a)对登录的用户进行身份标识鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换。 输入more /etc/shadow,得知系统所有用户,此语句字段格式有九段。 第一字段:用户名(也被称为登录名),在/etc/shadow中,用户名/etc/passwd是相同的,这样就把passwd shadow中用的用户记录联系在一起;这个字段是非空的;第二字段:密码(已被加
等保2.0测评--用系统
weixin_54591045的博客
07-24 1395
在密码传输中,通常会将密码使用MD5算法进行摘要计算后再传输。然而,MD5算法存在一些安全问题。首先,虽然MD5算法是单向的,无法将摘要值还原到原始数据。这意味着即使传输被截获,攻击者也无法直接获取密码。但是,由于MD5的摘要值是固定长度的,攻击者可以进行穷举搜索,通过尝试大量的可能性与预先计算的MD5值进行对比,找到相的密码。此外,MD5算法已经被发现存在碰撞漏洞,即两个不同的数据可以生成相同的MD5摘要值。通过这个漏洞,攻击者可以找到与目标密码相同的MD5摘要值,绕过密码验证。
等保2.0测评指导.xlsx
05-15
物理安全安全通信网络、安全区域边界、安全计算环境、安全计算环境linux、安全计算环境windows、Oracle、Mysql、终端设备、用系统、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理、云计算安全扩展要求、移动互联安全扩展要求、物联网安全扩展要求、工业控制
等保测评2.0—防火墙测评记录
华龙在飞翔
03-15 2905
测评记录 身份鉴别 序号 测评指标 测评方法及实施步骤 结果记录 符合程度 1 a)对登录的用户进行身份标识鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换; 1、检查用户在登陆时是否采用了身份鉴别措施; 2、检查用户列表确认用户身份标识是否具有唯一性; 3、检查用户配置信息测试验证是否存在空口令用户; 4、检查用户鉴别信息是否具有复杂度要求并定期更换。 2 b)具有登录失败处理功能,配置并启用结束会话、限制非法登录次当登录连接超时自动退出等相关措施; 1、检查是否配置并启用
等保2.0实战:等级测评
2401_84215240的博客
09-23 1383
测评机构的测评流程是什么?测评人员要对哪些方面进行测评?针对测评提前准备哪些文档资料?现场测评过程,需要哪些配合?所有测评项都该满足吗?测评中如何发现不符合项如何处理?网络信息系统测评咨询服务分析最新的国家等级保护相关政策精神及要求;通过文档审阅、人员访谈、测试等方式获得客户现有控制措施与等级基本要求之间的差距;协助准备测评需要的资料;协助测评工作贯彻落实等级保护2.0是关键基础设施运营单位义不容辞的义务,未落实等保的单位将面临被有关部门责令整改、行政处罚、暂停注册、暂停运营等处罚。
等保测评2.0超详细解读,收藏这一篇就够了
热门推荐
QXXXD的博客
02-02 2万+
超详细解读!
网络安全等级保护-等保2.0-等保三级测评数据安全-测评表模板
10-12
网络安全等级保护-等保2.0-等保三级测评数据安全-测评表模板
等保测评2.0测评表(通用要求)
11-27
等保测评2.0将于2019年12月实施,本资料依据等保测评2.0通用要求编制,可为相关系统开展等级保护安全测评提供指导,确保实施过程完整、合规。
等保2.0评测表 -- 过等级保护必备
02-26
搜集到的关于等保2.0评测的测评表,算是比较全的了。目前大部分的比较零散,汇总一下。等保2.0实施以来,会有不少朋友用到的。
等保测评2.0安全通用要求
weixin_45380284的博客
02-20 776
安全通用要求 技术要求 安全物理环境 安全通信网络 安全区域边界 安全计算环境 安全管理中心 管理要求 安全管理制度 安全管理机构 安全管理人员 安全建设管理 安全运维管理
中国信息安全测评中心强硬发声,落实等保2.0制度
等级保护的博客
06-11 2412
不久前,中国信息安全测评中心已经强硬发声,为落实等保2.0管理制度要求,更好的实行等保2.0工作。由部十一国庆局具体指导、专业测评同盟机构在我国人民公安大学高级警察学习培训楼举办“全国等级保护测评机构监督检查整改工作培训会”。 本次会议通报了目前网络安全状况,强调了等保2.0以下测评机构的责任义务,对今后测评机构的整改建设提出了要求。主要围绕等保2.0等級专业测评项目抽样检查当场审查...
等保测评中的密码技术与密钥管理
A526847的博客
08-06 783
在信息安全领域,等保测评(信息安全等级保护测评)是一项重要的安全评估活动,旨在评估信息系统的安全性,并根据评估结果给予相安全等级。这一过程中,密码技术与密钥管理发挥着至关重要的作用。本文将详细探讨等保测评中的密码技术用及密钥管理的重要性与实现方法。
业务数据传输用的什么技术保证传输完整性?_等保2.0 | 安全计算环境之数据完整性保密性测评...
weixin_35861221的博客
01-25 2342
一、前言等级测评中,相信很多测评师在内的人都不是很了解数据完整性数据保密性,因此本文将结合商密测评角度浅淡数据完整性保密性的理解测评。如有错误,欢迎指正。二、定义2.1完整性通俗的来说就是数据不被篡改非授权访问。目前完整性主要是通过哈希算法来实现。国密算法中,能够提供数据完整性的算法主要是:SM3。国际算法中,能够提供数据完整性的算法主要是:MD5、SHA256、SHA5122.2...
等保测评下的数据加密与隐私保护“
w13359990065的博客
08-01 753
企业数据加密与隐私保护视为长期战略,不断优化安全措施,确保数据安全与隐私得到妥善保护。等保测评,作为国家信息安全等级保护制度的重要组成部分,对数据加密与隐私保护提出了具体要求,成为企业构建安全数据防护体系的关键指导。等保测评要求企业对敏感信息进行加密处理,包括不限于个人隐私数据、商业机密等,确保即使在数据泄露的情况下,数据内容也不会轻易暴露。通过分析行业内外成功实施数据加密与隐私保护的案例,企业可以汲取经验,如使用加密技术保护云端数据、建立严格的访问控制机制等,形成适合自己业务场景的最佳实践。
深入解读等保2.0标准文件及测评要求
资源摘要信息:"等保2.0标准及相关文件"主要涵盖了中国网络安全等级保护制度的...这表明用户将能够从这个压缩包中获得完整且权威的等保2.0相关信息参考资料,从而在网络安全等级保护的实施过程中有据可依,规范操作。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值