首页>安全资讯>密评FAQ:如何确定网络和通信安全层面的测评对象?

密评FAQ:如何确定网络和通信安全层面的测评对象?

信息系统一般通过网络技术来实现与外界的互联互通,GB/T 39786-2021《信息安全技术信息系统密码应用基本要求》规定了信息系统在网络和通信安全层面的密码应用技术要求,这些要求涉及到通信的主体(通信双方)、信息系统与网络边界外建立的网络通信信道,以及提供通信保护功能的设备、组件和产品。

网络和通信安全层面的测评对象主要是针对跨网络访问的通信信道,这里的跨网络访问指的是从不受保护的网络区域访问被测系统。可以从通信主体和网络类型两个方面来确定网络和通信安全层面的测评对象:

(1)网络类型:这里主要依据网络之间是否相对独立进行分类,如互联网、政务外网、企业专网等;

(2)通信主体:指的是参与通信的各方,典型的如客户端与服务端,例如,PC机上运行的浏览器与服务器上运行的web服务系统之间;移动智能终端上运行的APP与服务器上运行的应用系统之间。也可以是服务端与服务端,例如,IPSec VPN与IPSec VPN之间。

【场景示例】

下面以一个具体场景来描述测评对象的确定过程。在一个信息系统中,通常应用包括前台应用系统和后台管理系统;系统运行的网络环境通常包括互联网、政务外网和办公内网,其中,办公内网也属于政务外网。该信息系统网络通信情况描述如下。

(1) 用户可以从互联网、政务外网、办公内网,使用非国密浏览器或国密浏览器通过HTTPS协议访问前台应用系统;

(2) 管理员可以从办公内网或使用VPN客户端通过内网SSLVPN接入办公内网后,再使用国密浏览器通过HTTPS协议访问后台管理系统;

(3) 系统管理员可以从互联网先登录运维SSLVPN后,再通过堡垒机对服务器、密码产品等设备进行运维;

(4) 信息系统可以通过IPSecVPN调用外部的密码资源(例如政务外网的数据加密服务)。 针对此场景,根据通信主体,梳理出对应的网络类型,形成以下表格。

密评FAQ:如何确定网络和通信安全层面的测评对象 第1张

根据上述表格描述,即可确定此信息系统网络和通信安全层面的测评对象。表中的每个元素表示通信主体可在某种网络类型下进行通信,例如表格第二行第二列表示:用户可在互联网和政务外网环境使用国密浏览器访问前台应用系统。由此可确定的两个测评对象为:互联网国密浏览器与前台应用系统之间的通信信道、政务外网国密浏览器与前台应用系统之间的通信信道。

根据以上的方法,此信息系统网络和通信安全层面的测评对象确定如下:

密评FAQ:如何确定网络和通信安全层面的测评对象 第2张

了解更多内容可下载:《商用密码应安全性评估FAQ(第二版)》

声明:内容来源中国密码学会密评联委会《商用密码应用安全性评估FAQ(第二版)》,版权归作者所有,转载目的在于传递更多信息。如有侵权,请联系本站处理。

密评FAQ:如何确定网络和通信安全层面的测评对象 第3张

专题推荐

网络勒索不断,企业该如何防范勒索软件攻击

警惕“未知发布者”应用,软件代码签名证书帮助远离恶意软件

网络通信安全,需要https守护——SSL证书助力保障网站安全可信

最新资讯

工信部:推动建立工业互联网安全分类分级管理制度

电子签名助力企业数字化转型,怎么签署电子签名你知道吗?

网络钓鱼事件频发,网络安全须重视,如何防范网络钓鱼攻击?

CA/B论坛新规:9月1日起弃用SSL证书中的 OU字段

俄乌冲突凸显网络对抗加剧:“热战”之前网络战先行

标签推荐:数字证书申请 | 域名ssl证书 | https证书申请| 数字证书过期| 网站证书安装| 可靠的ssl证书| 小程序证书| ca认证电子签名| 微软代码签名| android数字签名| java代码签名| ssl证书部署| 时间戳技术| 电子签名技术| https证书配置| 谷歌浏览器证书| tomcat数字证书| openssl漏洞| ECC加密算法| 服务器SSL证书| 链路层劫持| 物联网安全技术| 火狐插件签名证书