关注蓝字 看点网络安全
Hello,亲爱的看官们,大家晚上好。又到了安全等保分享时间啦,今天我们要说的内容时6.1.4应用安全章节中6.1.4.4通信完整性小结的内容。
虽然每次到通信完整性部分时,内容都会很短,但却对安全信息管理和通信畅通保障方面要求不低哦,因此各位看官们一定要多多注意。
网络安全等级保护系列(二十三)
在本章节中,主要考核的是安全管理人员在对系统与系统间通信的畅通性、保密性、完整性等部分的考核,现在就来一起看看具体要求吧。
1、访谈安全管理员,询问应用系统是否具有在数据传输过程中保护其完整性的措施,具体措施有哪些?
依旧是等保考核的初始惯例,从开始的访谈工作开始,通过安全审计人员对安全管理人员所询问的问题,来了解在对应用系统进行通信保障的同时,都做出了哪些方面工作来确保系统通信能够得到应用的保护。
如通信信息的完整程度、信息不被窃取或拦截的概率等。
2、检查设计和验收文档,查看其是否有关于保护通信完整性的说法,如果有则产看文档中描述的保护措施是否与依据验证码判断对方数据包的有效的措施一致。
本条内容依旧很简单,前半段主要考核的是应用系统在开发初始时是否曾有保障通信完整性的内容要求。
然后在基于此类验证文字信息存在的情况下,来对应用系统进行关键数据保障的确认工作,通过这种方式最终考核是否真实、有效。
3、应测试关键应用系统,可通过获取通信双方的数据包,查看其是否有验证码。
作为管理,每一个小结内容考核时,安全审计人员都会变换身份,将自己模拟为一名非法攻击人员,然后通过技术手段验证和确认安全运维人员在安全工作中的表现是否真实、可靠。
同时对系统的安全程度、可行性等进行确认和感知。
作为本节内唯一的全重点,及涵盖了此前众多要求内容的考验工作,同时对关键应用数据在传输过程中的加密方式、保护级别、可被破解和反编译等多方面特性提出了严格的验证要求。
好啦,今天的等保分享到此结束,由于内容比较短,希望各位看官们能够尽快了解。
2cats 寄语
老规矩不变,
如果有任何问题依旧可以发给e品小顽童。
小顽童的邮箱是:
xiaowantong@epinjianghu.com。
也可以在微信公众号的下方留言,我们会及时整理反馈的。
期待各位的来信交流!
另外,大家可以扫描下面的二维码,加我2cats的个人微信哈!
e品江湖
不失初心 不忘初衷
长按扫码 加关注!
领取专属 10元无门槛券
私享最新 技术干货