要计算机应用技术专业学什么一项技术,必须遵循什么?

来源:蜘蛛抓取(WebSpider) 时间:2024-04-05 03:47 标签: 计算机应用技术专业学什么
一、密评中密码相关通用要求(一)密码算法指标要求:信息系统中使用的密码算法应符合法律、法规的规定和密码相关国家标准、行业标准的有关要求。措施:采用SHA256以上、RSA2048及以上、国密算法等密码算法。(二)密码技术指标要求:信息系统中使用的密码技术应遵循密码相关国家标准和行业标准。措施:采用IPSec或TLS1.1及以上的安全传输层协议(三)密码产品和密码服务指标要求:信息系统中使用的密码产品、密码服务应符合法律法规的相关要求。措施:密码产品具备商密认证证书二、物理和环境安全部分(一)身份鉴别指标要求:采用密码技术进行物理访问身份鉴别,保证重要区域进入人员身份的真实性。得分措施:使用符合商密要求的视频监控和电子门禁。降低风险措施:1、基于生物识别技术(如指纹等)对进入人员进行身份鉴别;2、重要区域出入口配备专人值守并进行登记,且采用视频监控系统进行实时监控等。检查方法:1、视频监控和电子门禁产品是否具备商密认证证书;2、视频监控记录是否完整,是否调用服务器密码机或密码模块实现完整性保护;3、电子门禁出入记录是否完整,是否调用服务器密码机或密码模块实现完整性保护;4、专人值守的,是否有出入登记记录。三、网络和通信安全(一)身份鉴别指标要求:采用密码技术对通信实体进行身份鉴别(第二级到第三级)/双向身份鉴别(第四级),保证通信实体身份的真实性。得分措施:1、采用具备商密认证的SSLVPN安全网关,用户Ukey配备个人证书。2、采用动态口令机制、基于对称密码算法或密码杂凑算法的消息鉴别码(MAC)机制、基于公钥密码算法的数字签名机制等密码技术对通信实体进行身份鉴别(第二级和第三级)/双向身份鉴别(第四级)降低风险措施:无检查方法:1、检查SSLVPN、智能密码钥匙是否具备商密认证证书;2、抓取身份鉴别过程中的数据报文,检查是否使用了符合要求的SSL通道;3、导出ukey中的用户证书,检查是否采用了国密算法或RSA2048及以上秘钥强度;4、抓取主机usb接口数据,检查身份鉴别过程中,是否真实调用了ukey中的数据。(实力强的测评机构这么干。)(二)通信过程中重要数据的机密性指标要求:采用密码技术保证通信过程中重要数据的机密性。得分措施:采用具备商密认证的SSLVPN安全网关,用户Ukey配备个人证书。缓解措施:在“应用和数据安全”层面针对重要数据传输采用符合要求的密码技术进行机密性保护。检查方法:1、一般此项都做不到。2、基本直接检查应用和数据安全层面。(三)安全接入认证指标要求:采用密码技术对从外部连接到内部网络的设备进行接入认证,确保接入设备身份的真实性。适用范围: 第四级四、设备和计算安全(一)身份鉴别指标要求:采用密码技术对登录设备的用户进行身份鉴别,保证用户身份的真实性。得分措施:采用动态口令机制、基于对称密码算法或密码杂凑算法的消息鉴别码(MAC)机制、基于公钥密码算法的数字签名机制等密码技术对登录设备的用户进行身份鉴别。商密设备一般配备管理员Ukey登录,测评会检查管理key中是否有证书或秘钥,且证书或秘钥使用RSA2048及以上秘钥强度或国密算法的证书。降低风险措施:基于特定设备(如手机短信验证)或生物识别技术(如指纹)保证用户身份的真实性。检查方法:1、检查使用密码产品是否具备商密认证证书;2、检查登录设备使用的ukey是否有证书或秘钥,且证书或秘钥的算法为国密算法或RSA秘钥长度不低于2048位。3、抓包检查登录过程是否明文传输。(二)远程管理安全通道指标要求:远程管理设备时,采用密码技术建立安全的信息传输通道。得分措施:采用密码技术建立安全的信息传输通道(目前没见过符合的)降低风险措施: 在“网络和通信安全”层面使用SSL VPN网关/IPSec VPN网关等建立集中管理通道,且使用的密码技术符合要求。并通过堡垒机集中管理。(可部分得分)检查方法:1、密码产品的商密认证证书;2、抓包检查通信过程中,国密算法或国际算法加密通道,且无明文传输。3、检查是否是在建立sslvpn隧道后才能登录堡垒机。五、应用和数据安全(一)身份鉴别指标要求:采用密码技术对登录用户进行身份鉴别,保证应用系统用户身份的真实性。得分措施:1、使用具备商用密码产品认证证书的签名验签设备、智能密码钥匙(含个人国密证书)2、应用需进行二次开发,单向验证实现要求:
客户端侧调用智能密码钥匙接口来产生随机数、导出用户证书、使用用户私钥对随机数进行签名,并读取证书中的唯一识别信息。
客户端侧将以上信息传输给应用服务器,由应用服务器调用签名验签设备接口,将随机数、用户证书、签名值传输给签名验签服务器进行验签。
验签通过后,应用服务器根据证书中的唯一识别信息与数据库中用户存储的唯一识别信息验证,通过后允许登录。降低风险措施:基于特定设备(如手机短信验证)或生物识别技术(如指纹)保证用户身份的真实性。应用系统双向身份鉴别基本流程:应用系统双向身份鉴别基本流程-这个示例并不完全正确检查方法:1、检查使用的密码产品智能密码钥匙、签名验签设备的商密证书;2、分别在客户端和服务器抓取登录过程的报文,检查客户端登录过程是否明文传输,检查服务器是否调用签名验签设备。3、抓取客户端USB接口数据,检查登录过程中是否从智能密码钥匙中读取用户证书、随机数、用私钥对数进行签名,并将读取到的三个数据进行验签。4、停止签名验签设备的验签服务,检查是否能够登录成功,如果停止签名验签设备的验签服务还能登录验证成功,说明数据造假。5、导出智能密码钥匙中的用户证书,检查证书中的算法是否为国密算法或RSA秘钥长度不低于2048。(二)重要数据传输机密性指标要求:采用密码技术保证信息系统应用的重要数据在传输过程中的机密性。得分措施:1、使用国密算法的SSL证书,建立https安全通道。(需配合支持国密算法且具备商密认证证书的SSL安全网关来实现SSL卸载。)2、使用国际算法的SSL证书(RSA秘钥长度不低于2048),建立Https安全通道,可部分得分。3、使用的SSL证书为权威CA机构签发。降低风险措施:在“网络和通信安全”层面采用符合要求的密码技术保证重要数据在传输过程中的机密性。检查方法:1、检查https证书,是否为国密算法或RSA秘钥长度不低于2048。2、抓包检查通信过程中,数据是否全部加密。3、检查浏览器设置,是否开启“拦截HTTPS网页内的HTTP通信”。(三)重要数据存储机密性指标要求:采用密码技术保证信息系统应用的重要数据在存储过程中的机密性。得分措施:1、使用具备商密认证证书的密码模块,例如XX数据库的密码模块,来实现对重要数据字段的SM4加密。2、使用具备商密认证证书的服务器密码机,应用在将重要数据写入数据库前,先调用服务器密码机对数据进行加密,再将加密后的数据写入数据库。(重要数据的定义:至少有用户的密码、手机号、身份证号、审计日志等)降低风险措施:无。检查方法:(一)若使用密码模块1、若使用密码模块,检查密码模块是否具备商密认证证书;2、检查是否使用密码模块对重要数据进行加密,且非授权用户无法查看。(二)若使用服务器密码机1、若使用服务器密码机,检查服务器密码机是否具备商密认证证书;2、在服务器抓取重要数据产生过程、使用过程,是否调用服务器密码机进行加解密。(四)重要数据存储完整性指标要求:采用密码技术保证信息系统应用的重要数据在存储过程中的完整性。得分措施:在重要数据的数据库表中增加一个字段,用于记录SM3散列值;应用将重要数据写入数据库后,对重要数据的几个字段取值并调用服务器密码机进行SM3计算,将返回的SM3散列值记录到数据库中。(重要数据的定义,不同的测评机构理解不同,一般至少有用户的密码、手机号、身份证号、审计日志等)降低风险措施:应用系统具有符合要求的身份鉴别措施,保证只有授权人员才能访问应用系统的重要数据,且定期对重要数据进行备份。(测评机构理解不同,有些测评机构不按这条执行。)检查方法:(一)若使用密码模块1、若使用密码模块,检查密码模块的商密认证证书;2、检查数据库表中,是否有单独的字段,用来存储对重要数据进行散列计算的散列值3、修改一个重数据,检查散列值是否有变化。(二)若使用服务器密码机1、若使用服务器密码机,检查服务器面积的商密认证证书;2、检查数据库表中,是否有单独的字段,用来存储对重要数据进行散列计算的散列值。3、修改一个重要数据,抓包检查是否有调用服务器密码机,检查表中的散列值是否有变化。(五)不可否认性(一般涉及电子签章才会检查此项)指标要求:在可能涉及法律责任认定的应用中,采用密码技术提供数据原发证据和数据接收证据,实现数据原发行为的不可否认性和数据接收行为的不可否认性。得分措施:采用基于公钥密码算法的数字签名机制等密码技术对数据原发行为和接收行为实现不可否认性;采用具有商密认证证书的密码产品。降低风险措施:无六、秘钥管理和安全管理制度秘钥管理、安全管理制度,可向测评机构索要制度模板,根据用户单位情况进行修改即可。

我要回帖

更多关于 计算机应用技术专业学什么 的文章

 

随机推荐