论坛公告:应用容器安全指南(SP800-190)中文版   美国政府宣布禁用卡巴斯基软件   《中华人民共和国网络安全法》讨论帖   新手报到专用帖   【论坛公告】关于本站广告贴泛滥问题的整理通知   

当前时区为 UTC + 8 小时


发表新帖 回复这个主题  [ 19 篇帖子 ]  前往页数 1, 2  下一页
作者 内容
 文章标题 : 请教等保高人:测评中的应用部分“通信完整性保密性”及数据部分“数据完整性保密性”问题。
帖子发表于 : 2010-10-11 14:15 
离线
新手

注册: 2009-04-27 08:44
最近: 2013-11-11 15:55
拥有: 366.00 安全币

奖励: 0 安全币
在线: 217 点
帖子: 13
先谢谢各位等保高手了,虚心请教保密性完整性问题。在工作中一直搞不太明白。
1、应用安全中测评的“通信完整性保密性”和数据安全部分测评的“数据完整性保密性”有什么区别?能否解释一下基本概念。
2、实际的工作中,这部分是如何做测评的?麻烦详细说明一下。
3、需要用到什么工具进行测试吗?

万分感谢!!!!!!!!


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 请教等保高人:测评中的应用部分“通信完整性保密性”及数据部分“数据完整性保密性”问题。
帖子发表于 : 2010-10-11 15:16 
离线
中级用户

注册: 2007-04-12 08:34
最近: 2016-03-28 17:26
拥有: 510.70 安全币

奖励: 377 安全币
在线: 2821 点
帖子: 103
1、数据安全部分的“数据完整性和保密性”包括网络层、主机层和应用层三个层面
2、测评方式:如对方说没有采取或比较明显(如采用telnet明文传输等),则无需测试,如对方说有措施,则采取抓包、配置查看和源码查看(如应用层账户加密等)。


--------本帖迄今已累计获得4安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 请教等保高人:测评中的应用部分“通信完整性保密性”及数据部分“数据完整性保密性”问题。
帖子发表于 : 2010-10-12 08:45 
离线
新手

注册: 2009-04-27 08:44
最近: 2013-11-11 15:55
拥有: 366.00 安全币

奖励: 0 安全币
在线: 217 点
帖子: 13
谢谢楼上朋友的回答,关于具体的测评方式,能再回答详细些吗?万分感谢


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 请教等保高人:测评中的应用部分“通信完整性保密性”及数据部分“数据完整性保密性”问题。
帖子发表于 : 2010-10-20 17:18 
离线
新手

注册: 2009-05-03 18:44
最近: 2012-02-22 11:49
拥有: 98.00 安全币

奖励: 0 安全币
在线: 8 点
帖子: 8
BS看有没HTTPS,CS看是否使用加密程序,一般有些应用使用DES或者厂商自己的加密算法加密。
传输加密和存储加密还不太一样,传输考虑是路径比如VPN或者ssl可以实现传输加密。
存储加密就要考虑RSA或者DES啥的,完整性可以考虑做哈希、MD5判断。
这些主要靠问开发人员,想要自己看,简单点的就是抓包,复杂点的就是看源码啦。
对密码不是很熟悉,不知道能不能帮到,哈哈


--------本帖迄今已累计获得29安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 请教等保高人:测评中的应用部分“通信完整性保密性”及数据部分“数据完整性保密性”问题。
帖子发表于 : 2010-10-20 17:38 
离线
顶级用户

注册: 2008-01-08 09:09
最近: 2015-12-18 11:54
拥有: 12,489.50 安全币

奖励: 3044 安全币
在线: 2785 点
帖子: 776
地址: 浙江杭州
1、应用安全中测评的“通信完整性保密性”和数据安全部分测评的“数据完整性保密性”有什么区别?能否解释一下基本概念。
完整性保证就如CRC的数据校验 比如比对MD5的值 看看数据有没有中途丢包 损坏
打个比方 网上下载的压缩文件如果坏了很多都是报CRC的错误的 重新下载一个就好了
一般数据库软件都有这种校验功能的 可能需要手动开启

保密性么就是加密,比如VPN、数字证书、文件加密方式多的很
像VPN这种方式数据传输都会校验的,既保证完整性也保证了保密性
通信保密性主要是针对会话拦截攻击的,测评时看它的链路是不是有侵入的可能

数据安全更侧重于数据存放的安全,比如加密存放或者保存在磁带、硬盘里面然后搞个保险柜什么的装起来。简单的说就是要么别人拿不到或者别人拿到了破解不了。

还有数据安全里面有恢复的要求,这个不仅看技术上面的恢复能力,也要考察下管理体制里面有没有这方面的要求 比如应急响应里面的恢复和数据备份策略、恢复测试演练。

2、实际的工作中,这部分是如何做测评的?麻烦详细说明一下。
看上面吧 已经说了些了 这个要自己多积累的 看点密码和通信方面的资料吧

3、需要用到什么工具进行测试吗?
抓包阿,看看是不是明文的就知道是不是加密了。
注意一点就是VPN数据内部是不加密的,纯内网的系统的话VPN没用,可以直接文件级别的加密。
完整性的话,看操作系统、硬件、应用上面的设置吧。

还有,我感觉你没理解条款,数据安全里面有部分要求其实是和管理方式相关的,就如
应采用加密或其他有效措施实现系统管理数据、鉴别信息和重要业务数据传输保密性;
如果用户说他的备份好的磁带都是锁起来的,你能说他没做到保密吗?

a) 应能够检测到系统管理数据、鉴别信息和重要业务数据在传输过程中完整性受到破坏,并在检测到完整性错误时采取必要的恢复措施;
这种恢复就可以理解为数据重传,应用系统检测到数据有问题,就叫数据源重传正确数据回来么,如果是数据库软件那么你必须对主流的数据库很了解,如果当前版本的数据库是具备这个能力的,你问都不用问就可以写符合。如果是厂家自己发开的系统那么就去问厂家他们软件设计时是不是做进了这种功能模块。检测么,看看他们的产品是否通过质检就可以。

关键还是对条款的理解程度还有知识面


--------本帖迄今已累计获得61安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 请教等保高人:测评中的应用部分“通信完整性保密性”及数据部分“数据完整性保密性”问题。
帖子发表于 : 2010-10-22 16:39 
离线
新手

注册: 2009-04-27 08:44
最近: 2013-11-11 15:55
拥有: 366.00 安全币

奖励: 0 安全币
在线: 217 点
帖子: 13
感谢楼上几位高人的说明。貌似懂了不少。
可能是我理解有误,但从上面各位的回答来看,这方面的测评貌似是采用访谈为主,配合检查来做。
基本不需要测试了。


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 请教等保高人:测评中的应用部分“通信完整性保密性”及数据部分“数据完整性保密性”问题。
帖子发表于 : 2010-10-22 17:04 
离线
新手

注册: 2007-11-07 14:46
最近: 2013-08-27 20:29
拥有: 146.80 安全币

奖励: 2 安全币
在线: 160 点
帖子: 17
belmontcaesar 写道:
1、应用安全中测评的“通信完整性保密性”和数据安全部分测评的“数据完整性保密性”有什么区别?能否解释一下基本概念。
完整性保证就如CRC的数据校验 比如比对MD5的值 看看数据有没有中途丢包 损坏
打个比方 网上下载的压缩文件如果坏了很多都是报CRC的错误的 重新下载一个就好了
一般数据库软件都有这种校验功能的 可能需要手动开启

保密性么就是加密,比如VPN、数字证书、文件加密方式多的很
像VPN这种方式数据传输都会校验的,既保证完整性也保证了保密性
通信保密性主要是针对会话拦截攻击的,测评时看它的链路是不是有侵入的可能

数据安全更侧重于数据存放的安全,比如加密存放或者保存在磁带、硬盘里面然后搞个保险柜什么的装起来。简单的说就是要么别人拿不到或者别人拿到了破解不了。

还有数据安全里面有恢复的要求,这个不仅看技术上面的恢复能力,也要考察下管理体制里面有没有这方面的要求 比如应急响应里面的恢复和数据备份策略、恢复测试演练。

2、实际的工作中,这部分是如何做测评的?麻烦详细说明一下。
看上面吧 已经说了些了 这个要自己多积累的 看点密码和通信方面的资料吧

3、需要用到什么工具进行测试吗?
抓包阿,看看是不是明文的就知道是不是加密了。
注意一点就是VPN数据内部是不加密的,纯内网的系统的话VPN没用,可以直接文件级别的加密。
完整性的话,看操作系统、硬件、应用上面的设置吧。

还有,我感觉你没理解条款,数据安全里面有部分要求其实是和管理方式相关的,就如
应采用加密或其他有效措施实现系统管理数据、鉴别信息和重要业务数据传输保密性;
如果用户说他的备份好的磁带都是锁起来的,你能说他没做到保密吗?

a) 应能够检测到系统管理数据、鉴别信息和重要业务数据在传输过程中完整性受到破坏,并在检测到完整性错误时采取必要的恢复措施;
这种恢复就可以理解为数据重传,应用系统检测到数据有问题,就叫数据源重传正确数据回来么,如果是数据库软件那么你必须对主流的数据库很了解,如果当前版本的数据库是具备这个能力的,你问都不用问就可以写符合。如果是厂家自己发开的系统那么就去问厂家他们软件设计时是不是做进了这种功能模块。检测么,看看他们的产品是否通过质检就可以。

关键还是对条款的理解程度还有知识面

感觉您对这一块是比较熟悉,但是很多客户的网站系统都没有做完整性检查,或者测评时找不到开发人员,客户自己根本就不知道完整性是什么东东;还有,抓包的话,有几个人是真的去抓过,又比如,密码算法加入比较简单,分析一定数量的包就可以把抓到的信息还原过来,那算不算具备了加密的要求呢?实际测的时候,考虑到项目投入时间和人员能力的要求,测评过程中很多这样的测评标准和实施要求不好达到的啊~
不知道楼上的几位GG对此有什么感觉


--------本帖迄今已累计获得29安全币用户奖励--------


最后由 wanglh 编辑于 2010-10-24 17:14,总共编辑了 2 次

回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 请教等保高人:测评中的应用部分“通信完整性保密性”及数据部分“数据完整性保密性”问题。
帖子发表于 : 2010-10-22 17:09 
离线
新手

注册: 2007-11-07 14:46
最近: 2013-08-27 20:29
拥有: 146.80 安全币

奖励: 2 安全币
在线: 160 点
帖子: 17
mao_shu603 写道:
BS看有没HTTPS,CS看是否使用加密程序,一般有些应用使用DES或者厂商自己的加密算法加密。
传输加密和存储加密还不太一样,传输考虑是路径比如VPN或者ssl可以实现传输加密。
存储加密就要考虑RSA或者DES啥的,完整性可以考虑做哈希、MD5判断。
这些主要靠问开发人员,想要自己看,简单点的就是抓包,复杂点的就是看源码啦。
对密码不是很熟悉,不知道能不能帮到,哈哈

看源代码也是,不过一般项目中谁有时间真的去一个个源代码文件去查看呢?估计还是很少的,毕竟很多项目的时间、人力成本都没达到这一点


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 请教等保高人:测评中的应用部分“通信完整性保密性”及数据部分“数据完整性保密性”问题。
帖子发表于 : 2010-10-23 20:30 
离线
初级用户

注册: 2010-07-09 14:50
最近: 2013-09-15 23:17
拥有: 125.00 安全币

奖励: 27 安全币
在线: 324 点
帖子: 44
我想楼主想问的是技术方面细节的问题,我就给个建议吧
数据完整性:
抓包:wireshark,或者sniffer pro ,当然也可以选用自己写的工具(我就针对这部分自己写)
网站:你可以先用爬虫工具,将外在的网站代码抓下来,进行分析,当然现在也有很多工具这么做(appscan,jsky等),当然也可以自己写。
还要注意检查数据库,和具体的日志文件,可以考虑针对特征写一个分析工具。


--------本帖迄今已累计获得29安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 请教等保高人:测评中的应用部分“通信完整性保密性”及数据部分“数据完整性保密性”问题。
帖子发表于 : 2010-10-25 13:45 
离线
顶级用户

注册: 2008-01-08 09:09
最近: 2015-12-18 11:54
拥有: 12,489.50 安全币

奖励: 3044 安全币
在线: 2785 点
帖子: 776
地址: 浙江杭州
感觉您对这一块是比较熟悉,但是很多客户的网站系统都没有做完整性检查,或者测评时找不到开发人员,客户自己根本就不知道完整性是什么东东;还有,抓包的话,有几个人是真的去抓过,又比如,密码算法加入比较简单,分析一定数量的包就可以把抓到的信息还原过来,那算不算具备了加密的要求呢?实际测的时候,考虑到项目投入时间和人员能力的要求,测评过程中很多这样的测评标准和实施要求不好达到的啊~
不知道楼上的几位GG对此有什么感觉

没有完整性检查或者不知道 如果做事风格负责点可以自己去查验下平台 不想多事的话么就直接判不符合 反正肯定要做加固和整改的 到时候对方被判不符合了会重视的 重视之后肯定能给你符合的证据吧

抓包 算法 。。。 这个么 有些环境这些检测可以省略的 比如加密设备你网络拓扑上都看的到 确实在起作用的 那么不做也没什么大碍 只是偷懒节约成本的方式

密码算法 涉密和非涉密是有保密要求的 商秘普密你问问就知道了 如果没达到足够的密级要求自然就是不符合

如果你确定你的经验足够 用户提供的文档很全 你也去现场看过情况 那么其实有些测评项看看都知道结果了

如果是你们和客户的时间都很充分 也是要好好做的 那么多花点时间是应该的


--------本帖迄今已累计获得29安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 请教等保高人:测评中的应用部分“通信完整性保密性”及数据部分“数据完整性保密性”问题。
帖子发表于 : 2010-10-25 17:00 
离线
新手

注册: 2007-11-07 14:46
最近: 2013-08-27 20:29
拥有: 146.80 安全币

奖励: 2 安全币
在线: 160 点
帖子: 17
看来楼上对测评和类似服务的过程确实很熟悉,向您学习~


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 请教等保高人:测评中的应用部分“通信完整性保密性”及数据部分“数据完整性保密性”问题。
帖子发表于 : 2010-11-04 12:03 
离线
初级用户

注册: 2010-04-08 23:36
最近: 2013-04-15 12:00
拥有: 890.00 安全币

奖励: 0 安全币
在线: 72 点
帖子: 34
现在好像一说“通信完整性保密性”就是使用抓包工具进行抓包,但是很多单位也许就不会同意而且抓包得到的信息是否有价值和有用,是否可以接入核心进行抓包。


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 请教等保高人:测评中的应用部分“通信完整性保密性”及数据部分“数据完整性保密性”问题。
帖子发表于 : 2011-04-17 18:28 
离线
新手

注册: 2010-04-28 17:58
最近: 2013-11-12 21:45
拥有: 22.00 安全币

奖励: 51 安全币
在线: 71 点
帖子: 16
1.数据完整性,在技术上讲应该是保证通信过程中数据从A点到B点的完整,比如说我从A点像B点发送一个包,包内信息为“123456”那么我们在B端接收的时候应该也能收到“123456”。比如具体测试时我们可以在A端向B端发送一组数据比如“123456”然后采用MD5算法加密得到一串“乱码”,然后我们再B端接收到包时分析其内容,如果得到的“乱码”与发送端的相同,那么我们可认为完整性合格。
2.通信保密性,从技术上讲,我们在被测系统某个重要节点上接入抓包工具。第一,我们能否抓包,如果该设备上配置了严格的访问控制列表,那么我们是抓不到任何数据包的,那么保密可行;第二,我们如果能够抓到数据包,那么通过工具分析包的内容,其除了包头的内容是否加密传输,是否明文传输,从而判断整个通信过程是否保密。当然,如果被测单位没有采用远程接入技术的话我认为类似是否采用VPN等技术就可不做测评,如果被测单位采用远程接入技术,那么我们就可以询问远程接入采用的协议、技术等,是否明文,是否加密,然后进行判断。

以上,个人观点,欢迎指教

噢,补充一点,有些单位确实存在楼上所说,不让你接入设备。这个时候我们可以在这个节点设备上做一个镜像端口,讲数据流复制一份引向这个端口,从而对数据包进行分析,这样就不会影响到设备运转


--------本帖迄今已累计获得30安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 请教等保高人:测评中的应用部分“通信完整性保密性”及数据部分“数据完整性保密性”问题。
帖子发表于 : 2011-04-17 23:57 
离线
中级用户

注册: 2006-07-20 10:10
最近: 2013-05-09 16:15
拥有: 888.10 安全币

奖励: 57 安全币
在线: 1503 点
帖子: 77
等保本身就没有说清楚,事实上这么写就是有问题,通信完整性保密性和数据完整性保密性这两点根本就没有说清楚,举个简单例子,如果程序使用TCP,通信完整性本身基本上不需要再在应用层上实现,TCP基本可以实现通信完整性,如果程序使用UDP,则在应用层上应当考虑完整性的问题,但应用层上如何设计这块,恐怕不是一个等保测评项目就能做到得,人家设计机制和代码可不是你想看就能看的,更何况很多应用程序就不太注重通信的完整性,而只强调通信的速度和效率,如网络视频,所以这些点只能模模糊糊带过去,只要客户能接受,能大致解释的通就行,没有什么正确的方法,上面一些朋友说的抓包分析,我说这方法只对最基本的彻头彻尾的明文,而且还是ASCII编码的才有用,你一眼就能看到明文的敏感信息,如果对方只是简单的混乱下数据,如SQL SERVER 曾经用的TDS数据包格式,看上去不是明文,仔细分析或者查下TDS数据包格式,就知道和明文没有啥区别,还有好多数据采用UNICODE编码或其他编码格式,如果你的抓包分析工具分析不出来,你不也会认为这不是明文吗?所以在等保项目里这些东西都是糊弄糊弄的,没啥实际意义


--------本帖迄今已累计获得37安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 请教等保高人:测评中的应用部分“通信完整性保密性”及数据部分“数据完整性保密性”问题。
帖子发表于 : 2011-04-20 23:36 
离线
顶级用户

注册: 2008-03-17 17:22
最近: 2018-01-26 14:17
拥有: 9,485.60 安全币

奖励: 1018 安全币
在线: 22882 点
帖子: 1818
地址: HK/Peking
等保测评的时候,首先你要知道测评的原则,不是每一项都符合要求才算是通过了,根据测评要求把一些核心、关键的点保证符合,
其他的可以为基本符合 即使不符合,测评结果也是符合X级要求的。


回到顶部
 奖励本帖 用户资料  
 
显示帖子 :  排序  
发表新帖 回复这个主题  [ 19 篇帖子 ]  前往页数 1, 2  下一页

当前时区为 UTC + 8 小时


在线用户

正在浏览此版面的用户:没有注册用户 和 2 位游客


不能 在这个版面发表主题
不能 在这个版面回复主题
不能 在这个版面编辑帖子
不能 在这个版面删除帖子
不能 在这个版面提交附件

前往 :  
cron
华安信达(CISPS.org) ©2003 - 2012