密评FAQ:如何确定网络和通信安全层面的测评对象?
发布日期:2022-08-19信息系统一般通过网络技术来实现与外界的互联互通,GB/T 39786-2021《信息安全技术信息系统密码应用基本要求》规定了信息系统在网络和通信安全层面的密码应用技术要求,这些要求涉及到通信的主体(通信双方)、信息系统与网络边界外建立的网络通信信道,以及提供通信保护功能的设备、组件和产品。
网络和通信安全层面的测评对象主要是针对跨网络访问的通信信道,这里的跨网络访问指的是从不受保护的网络区域访问被测系统。可以从通信主体和网络类型两个方面来确定网络和通信安全层面的测评对象:
(1)网络类型:这里主要依据网络之间是否相对独立进行分类,如互联网、政务外网、企业专网等;
(2)通信主体:指的是参与通信的各方,典型的如客户端与服务端,例如,PC机上运行的浏览器与服务器上运行的web服务系统之间;移动智能终端上运行的APP与服务器上运行的应用系统之间。也可以是服务端与服务端,例如,IPSec VPN与IPSec VPN之间。
【场景示例】
下面以一个具体场景来描述测评对象的确定过程。在一个信息系统中,通常应用包括前台应用系统和后台管理系统;系统运行的网络环境通常包括互联网、政务外网和办公内网,其中,办公内网也属于政务外网。该信息系统网络通信情况描述如下。
(1) 用户可以从互联网、政务外网、办公内网,使用非国密浏览器或国密浏览器通过HTTPS协议访问前台应用系统;
(2) 管理员可以从办公内网或使用VPN客户端通过内网SSLVPN接入办公内网后,再使用国密浏览器通过HTTPS协议访问后台管理系统;
(3) 系统管理员可以从互联网先登录运维SSLVPN后,再通过堡垒机对服务器、密码产品等设备进行运维;
(4) 信息系统可以通过IPSecVPN调用外部的密码资源(例如政务外网的数据加密服务)。 针对此场景,根据通信主体,梳理出对应的网络类型,形成以下表格。
根据上述表格描述,即可确定此信息系统网络和通信安全层面的测评对象。表中的每个元素表示通信主体可在某种网络类型下进行通信,例如表格第二行第二列表示:用户可在互联网和政务外网环境使用国密浏览器访问前台应用系统。由此可确定的两个测评对象为:互联网国密浏览器与前台应用系统之间的通信信道、政务外网国密浏览器与前台应用系统之间的通信信道。
根据以上的方法,此信息系统网络和通信安全层面的测评对象确定如下:
了解更多内容可下载:《商用密码应安全性评估FAQ(第二版)》
声明:内容来源中国密码学会密评联委会《商用密码应用安全性评估FAQ(第二版)》,版权归作者所有,转载目的在于传递更多信息。如有侵权,请联系本站处理。
专题推荐
网络通信安全,需要https守护——SSL证书助力保障网站安全可信