江湖秘笈:二级等保之应用安全篇通信保密性言简意赅的考核标准 条条戳中安全危害核心所在

关注蓝字 看点网络安全

Hello,亲爱的看官们,大家晚上好。今天是周六,一个天气并不算好的周末开端。

不知各位看官们在今天都忙些什么呢?是堵在路上一起郊外旅游呼吸那不算新鲜的雾霾呢?还是说在家蒙头大睡到舒爽呢?

作为一个闲不住的安全老司机,今天2 cats大侠我将为大家带来等保的内容。

网络安全等级保护系列(二十四)

6.1.4应用安全篇6.1.4.5通信保密性小结中的内容。

由于本小结中内容都将作为重点出现,因此各位看官们在进行等保测评前一定要了解和注意,避免出现工作失误和理解偏差。

1、访谈安全管理员,询问应用系统数据在通信过程中是否采取保密措施,具体措施有哪些,关键应用系统的通信是否都采取了上述措施;

作为重点内容,特别是应用通信过程中对数据的保密措施,一直是很多非法攻击者最为关心的内容,并不是说这里有多么多的技术含量在内,而是说加密保护的数据信息中都包含了什么深深的吸引着他们。

如果说通信加密技术有哪些,这还得要从类型说起。譬如Web应用中所使用的加密技术大都来自于网络协议之中,例如数据加密法、对称加密法、非对称加密法、链路加密、节点加密、端到端加密等。

不同的加密手法所带来的数据保护形式也会有所不同,相信作为安全运维人员的看官们对这些不会感到陌生,因此在这里不做详解解释。

考虑到自身工作类型、数据流转方式以及应用自身特性等,采用的加密需求与方法肯定不会相同的,故此看官们一定要切实注意这点。

2、测试关键应用系统,通过查看通信双方数据包内容,查看系统是否在通信双方建立连接之前,利用密码技术进行会话初始化验证;系统在通信过程中,对敏感信息字段进行加密的功能是否有效。

既然安全审计人员已经了解过通信加密的方式和过程了,那么就要开始进入到正题当中来,那就是进行数据通信保密验证工作。

特别是针对一段被截取到的数据信息进行相关验证,如加密技术是否过关,对相关应用数据加密是否合理,在正式通信之前,是否有对通信双方进行身份验证等。

虽说这部分的内容并不多,只有单纯的两条简短信息,可是却并没有杂余性内容出现,条条要求都直指重点,并且考核标准非常严格,故此安全运维看官们一定要在平时工作中做足工作,否则现场抓瞎可不是好事情哦。

2cats 寄语

老规矩不变,

如果有任何问题依旧可以发给e品小顽童。

小顽童的邮箱是:

xiaowantong@epinjianghu.com。

也可以在微信公众号的下方留言,我们会及时整理反馈的。

期待各位的来信交流!

另外,大家可以扫描下面的二维码,加我2cats的个人微信哈!

e品江湖

不失初心 不忘初衷

长按扫码 加关注!

  • 发表于:
  • 原文链接http://kuaibao.qq.com/s/20180331G1GHH700?refer=cp_1026
  • 腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 yunjia_community@tencent.com 删除。

扫码关注云+社区

领取腾讯云代金券