丁香五月激情综合国产,国产亚洲精品美女久久久m,国产亚洲av在线,国产成人综合野草

1、基本情況

1.1　商用密碼應(yīng)用安全性評估

商用密碼應(yīng)用安全性評估（以下簡稱 “密評”）是指對采用商用密碼技術(shù)、產(chǎn)品和服務(wù)集成建設(shè)的網(wǎng)絡(luò)與信息系統(tǒng)密碼應(yīng)用的合規(guī)性、正確性、有效性進(jìn)行評估 。

《密碼法》 第二十七條規(guī)定 “法律、行政法規(guī)和國家有關(guān)規(guī)定要求使用商用密碼進(jìn)行保護(hù)的關(guān)鍵信息基礎(chǔ)設(shè)施，其運(yùn)營者應(yīng)當(dāng)使用商用密碼進(jìn)行保護(hù)，自行或者委托商用密碼檢測機(jī)構(gòu)開展商用密碼應(yīng)用安全性評估”?！渡逃妹艽a應(yīng)用安全性評估管理辦法（試行）》第三條規(guī)定 “涉及國家安全和社會公共利益的重要領(lǐng)域網(wǎng)絡(luò)和信息系統(tǒng)的建設(shè)、使用、管理單位（以下簡稱責(zé)任單位）應(yīng)當(dāng)健全密碼保障體系，實施商用密碼應(yīng)用安全性評估。重要領(lǐng)域網(wǎng)絡(luò)和信息系統(tǒng)包括：基礎(chǔ)信息網(wǎng)絡(luò)、涉及國計民生和基礎(chǔ)信息資源的重要信息系統(tǒng)、重要工業(yè)控制系統(tǒng)、面向社會服務(wù)的政務(wù)信息系統(tǒng)，以及關(guān)鍵信息基礎(chǔ)設(shè)施、網(wǎng)絡(luò)安全等級保護(hù)第三級及以上信息系統(tǒng)”。第十條規(guī)定 “關(guān)鍵信息基礎(chǔ)設(shè)施、網(wǎng)絡(luò)安全等級保護(hù)第三級及以上信息系統(tǒng)，每年至少評估一次，測評機(jī)構(gòu)可將商用密碼應(yīng)用安全性評估與關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全測評、網(wǎng)絡(luò)安全等級保護(hù)測評同步進(jìn)行”?！秶艺?wù)信息化項目建設(shè)管理辦法（國辦發(fā)〔2019〕57 號）》中對政務(wù)信息系統(tǒng)的商用密碼應(yīng)用與評估工作提出了相應(yīng)要求。由此可知，關(guān)基、政務(wù)等領(lǐng)域必須開展商用密碼應(yīng)用建設(shè)與評估工作。

為了有效推進(jìn)密評工作，在密碼相關(guān)主管部門的推動下，GB/T 39786—2021《信息安全技術(shù) 信息系統(tǒng)密碼應(yīng)用基本要求》、GM/T 0115—2021《 信 息 系 統(tǒng) 密 碼 應(yīng) 用 測 評 過 程 指 南》、GM/T 0116—2021《信息系統(tǒng)密碼應(yīng)用測評要求》《商用密碼應(yīng)用安全性評估量化評估規(guī)則》《信息系統(tǒng)密碼應(yīng)用高風(fēng)險判定指引》和《商用密碼應(yīng)用安全性評估 FAQ》等標(biāo)準(zhǔn)和指導(dǎo)性文件相繼出臺，為密評工作的快速開展奠定了良好基礎(chǔ)。

1.2　密評目前存在的主要問題

密碼技術(shù)應(yīng)用具有專業(yè)性較強(qiáng)、技術(shù)復(fù)雜度高的特點(diǎn)，通常與業(yè)務(wù)系統(tǒng)聯(lián)系緊密。在專業(yè)、復(fù)雜的環(huán)境中，按照測評要求準(zhǔn)確獲取測評內(nèi)容并分析測評結(jié)果，對密評人員業(yè)務(wù)能力考驗較大?，F(xiàn)有標(biāo)準(zhǔn)和指導(dǎo)性文件在一定程度上解決了密評工作中較為集中、困惑的問題，但針對測評具體對象采用何種測評方法卻缺乏相應(yīng)指導(dǎo)，仍然存在下述主要問題。

一是測評對象數(shù)據(jù)抓包過程中，如何快速部署抓包工具。抓包工具的安裝和部署是獲得測評數(shù)據(jù)的前提條件。密評人員需依據(jù)被測系統(tǒng)的網(wǎng)絡(luò)拓?fù)浼軜?gòu)，快速準(zhǔn)確地識別出測評對象，例如：網(wǎng)絡(luò)通信設(shè)備、密碼設(shè)備等，并結(jié)合被測系統(tǒng)實際情況確定測評工具接入點(diǎn)。

二是抓包數(shù)據(jù)分析過程中，如何高效提取關(guān)鍵測評信息。針對已抓取的通信數(shù)據(jù)，密評人員需要快速識別出該數(shù)據(jù)包是否符合測評要求，例如：如何判斷通信雙方的主體是否正確、一次通信過程是否完整、使用的密碼算法和數(shù)字證書是否合規(guī)、數(shù)字證書是否為雙證書等。

三是如何快速識別應(yīng)用層的重要加密數(shù)據(jù)。由于應(yīng)用層的數(shù)據(jù)識別與網(wǎng)絡(luò)層數(shù)據(jù)識別不同，針對應(yīng)用層的數(shù)據(jù)，密評人員如何判斷應(yīng)用層是否對數(shù)據(jù)進(jìn)行加密，以及根據(jù)密文如何判斷應(yīng)用層使用了何種密碼算法等。

2、實踐方法

為解決密評工作中面臨的實際問題，中國電子技術(shù)標(biāo)準(zhǔn)化研究院密評團(tuán)隊通過對標(biāo)準(zhǔn)和指導(dǎo)文件的深入解讀，結(jié)合具體密評實踐活動，歸納總結(jié)了下述測評方法，供業(yè)內(nèi)同行參考。

2.1　抓包工具的部署

抓包是密評實踐活動中的必要內(nèi)容。抓包工具有多種，包括：Wire Shark、SnifferPro、Snoop、Burpsuite 和 Tcpdump 等。密評實踐活動中多采用 WireShark 等工具

以抓包的方式進(jìn)行數(shù)據(jù)的采集和分析。WireShark 是一個網(wǎng)絡(luò)封包分析軟件，網(wǎng)絡(luò)封包分析軟件的功能是捕獲網(wǎng)絡(luò)封包，并盡可能顯示出最為詳細(xì)的網(wǎng)絡(luò)封包資料。Wir

eshark 使 用 WinPCAP/NpCAP 作 為 接 口， 獲取網(wǎng)卡通信報文信息，其基本工作流程如下：

(1）選擇捕獲接口。根據(jù)業(yè)務(wù)數(shù)據(jù)傳輸路徑，選擇對應(yīng)的網(wǎng)卡進(jìn)行數(shù)據(jù)監(jiān)聽捕獲。

(2）設(shè)置捕獲過濾器。通過設(shè)置捕獲過濾器，從大量網(wǎng)絡(luò)數(shù)據(jù)中獲取所需網(wǎng)絡(luò)報文數(shù)據(jù)，在分析數(shù)據(jù)時可避免其他數(shù)據(jù)的干擾，節(jié)約時間。

(3）采用顯示過濾器。密評人員使用捕獲過濾器過濾后的數(shù)據(jù)，通常還是比較復(fù)雜。為了使過濾的數(shù)據(jù)包更細(xì)致，可使用顯示過濾器進(jìn)行再次過濾。

(4）采用著色規(guī)則。通常使用顯示過濾器過濾后的數(shù)據(jù)，都是有用的數(shù)據(jù)包。如想突顯某個會話，可以使用著色規(guī)則高亮顯示。

WireShark 通常安裝在測評終端上，通過監(jiān)聽特定網(wǎng)卡的方式進(jìn)行網(wǎng)絡(luò)報文的檢測。根據(jù)其部署安裝的位置不同，主要有直接采集和鏡像采集兩種模式。

如圖 1 所示，直接采集模式下，WireShark 通常部署在訪問終端，即測評終端。通過監(jiān)聽其用于業(yè)務(wù)通信的網(wǎng)卡來直接獲取終端與其他通信端之間傳輸?shù)膱笪男畔ⅰ?/span>

圖 1　直接采集模式

如圖 2 所示，鏡像模式下，需要將交換機(jī)用于信息交互的若干接口報文以鏡像的方式克隆到鏡像觀察口，進(jìn)而由連接到該觀察口的終端進(jìn)行數(shù)據(jù)監(jiān)聽。上述應(yīng)用模式適

用于一對多的場景。以堡壘機(jī)管理多個業(yè)務(wù)服務(wù)器、數(shù)據(jù)庫服務(wù)器為例：為了檢測堡壘機(jī)與多個服務(wù)器之間的通信過程，通常需要在堡壘機(jī)或者服務(wù)器中安裝抓包工具

逐個檢測。在鏡像模式中，可直接通過堡壘機(jī)與服務(wù)器連接的交換機(jī)接口進(jìn)行鏡像，通過上述方式獲取堡壘機(jī)與服務(wù)器之間通信的報文信息并分析。這種 “旁路外掛”

鏡像的工作模式，無須在測評對象中逐個安裝抓包工具，一次即可獲取所有通信報文，既不影響現(xiàn)有業(yè)務(wù)，同時提高了測評效率。

圖 2　鏡像采集模式

2.2　報文過濾的技巧

由于網(wǎng)絡(luò)通信頻繁，在實際抓包中往往不同的報文混雜在一起，如圖 3 所示。一次業(yè)務(wù)互動通常由多個報文通信來完成，而網(wǎng)絡(luò)通信的頻繁性可能導(dǎo)致多個通信報文分散

開來，無法直接對捕獲的報文進(jìn)行集中分析。

為了快速準(zhǔn)確地從雜亂的通信報文中獲取測評對象的通信過程，需要借助抓包軟件的過濾功能進(jìn)行報文過濾。

圖 3　抓包報文

過濾報文如圖 4 所示，通過指定協(xié)議、交互的 IP 地址以及交互的端口，可快速剝離出一次完整的握手過程（每次交互終端之間可能有多個連接進(jìn)行，通過指定端口能夠快速

過濾到某一個連接交互過程）。以 WireShark 為例，常用的過濾信息如表 1 所示。

圖 4　過濾報文

表 1　報文過濾信息

在報文過濾時，賦值比較采用 “==” 進(jìn)行標(biāo)識，多個過濾條件可通過 &&（與）、||（或）等邏輯符進(jìn)行組合設(shè)置。

2.3　數(shù)字證書的認(rèn)證方式

數(shù)字證書通常由證書認(rèn)證（Certificate Authority，CA）機(jī)構(gòu)統(tǒng)一發(fā)放和管理，通過公鑰基礎(chǔ)設(shè)施（Public Key Infrastructure，PKI）體系實現(xiàn)身份的真實性和操作行為的不可

否認(rèn)性。目前國內(nèi)證書認(rèn)證體系均采用雙證書機(jī)制，即同時具備簽名證書、加密證書以及各自的私鑰，并嚴(yán)格按照其密鑰使用方法在業(yè)務(wù)中規(guī)范應(yīng)用。證書認(rèn)證機(jī)構(gòu)以證書鏈來

鑒別數(shù)字證書是否由其簽發(fā)，并通過證書撤銷列表（Certificate Revocation List，CRL）/ 在 線 證 書 狀 態(tài) 協(xié) 議（Online Certificate Status Protocol，OCSP）等方式提供證

書狀態(tài)查詢認(rèn)證服務(wù)。

以 SSL VPN（Virtual Private Network）產(chǎn)品數(shù)字證書檢測為例，根據(jù)商用密碼相關(guān)行業(yè)標(biāo)準(zhǔn)，SSL VPN 產(chǎn)品需采用數(shù)字證書進(jìn)行通信雙方的身份鑒別。在密評實踐活動中，除

了要確認(rèn) SSL VPN 產(chǎn)品是否具備商用密碼產(chǎn)品認(rèn)證證書并核查證書的合規(guī)性，還需要進(jìn)一步抓包、檢測通信內(nèi)容，確保產(chǎn)品使用的正確性及有效性。參照 GM/T 0024—2014

《SSL VPN 技術(shù)規(guī)范》的相關(guān)要求，需對如圖 5 所示的相關(guān)內(nèi)容進(jìn)行審核。

圖 5　證書報文內(nèi)容

服務(wù)端響應(yīng)的報文中至少包括 2 張證書，且這 2 張證書的順序應(yīng)為簽名數(shù)字證書在前，加密數(shù)字證書在后。如圖 5 所示，本次通信過程中共涉及 4 張證書，分別是對應(yīng) SSL VPN

服務(wù)端的簽名、加密實體證書以及其上一級 CA 的證書（由于標(biāo)準(zhǔn)中沒有明確上一級證書鏈與通信實體證書的排序，可能會存在多種情況）。密評人員應(yīng)從通信報文中導(dǎo)出上述證

書，檢查證書的簽發(fā)是否來自合法的第三方 CA 機(jī)構(gòu)或來自采用合規(guī)密碼產(chǎn)品的自建 CA，并按照圖 6 完成數(shù)字證書的認(rèn)證。

圖 6　數(shù)字證書的認(rèn)證流程

數(shù)字證書認(rèn)證流程具體如下：

(1）密評人員針對導(dǎo)出的證書，首先判斷證書是否由可信的 CA 機(jī)構(gòu)頒發(fā)?？尚?CA 機(jī)構(gòu)一般分為兩類，分別是依法設(shè)立的第三方 CA 機(jī)構(gòu)和采用合規(guī)數(shù)字證書認(rèn)證系統(tǒng)自建的機(jī)

構(gòu)。技術(shù)層面通常采用白名單機(jī)制來設(shè)置 CA 可信域。將信任的 CA 根證書或多級證書鏈添置在白名單內(nèi)，對數(shù)字證書進(jìn)行鑒別時，從當(dāng)前白名單中檢索待認(rèn)證數(shù)字證書頒發(fā)機(jī)構(gòu)

的根證書或證書鏈。能夠在白名單中檢索到記錄的，則會進(jìn)行后續(xù)證書認(rèn)證處理；反之則視當(dāng)前數(shù)字證書為非法證書，身份不可信，業(yè)務(wù)即刻終止。通過數(shù)字簽名驗證技術(shù)，可判

斷當(dāng)前數(shù)字證書是否由已在白名單中的根證書或證書鏈對應(yīng)的私鑰進(jìn)行簽發(fā)。認(rèn)證通過的數(shù)字證書，則視為身份來源可信的證書，將進(jìn)入后續(xù)證書狀態(tài)檢測流程；反之，當(dāng)前數(shù)字

證書為非法證書。

(2）密評人員可通過查看 CRL 判斷該證書是否已被撤銷。例如：通過輕量級目錄訪問協(xié)議（Lightweight Directory Access Protocol，LDAP）查詢證書相關(guān)信息，該協(xié)議用于查

詢、下載數(shù)字證書以及 CRL，并進(jìn)一步確認(rèn)當(dāng)前數(shù)字證書是否已經(jīng)被列入至 CRL 中；或者通過向在線證書 狀 態(tài) 協(xié) 議（Online Certificate Status Protocol，OCSP）服務(wù)器查

詢該證書是否被撤銷，服務(wù)器返回的響應(yīng)消息表明該證書的撤銷狀態(tài)（正常、撤銷或者未知）。OCSP 相較于 CRL 的實時性更高，密評人員可根據(jù)實際情況選擇合適的驗證方式。

若驗證結(jié)果順利通過，則進(jìn)入證書自身屬性的驗證環(huán)節(jié)；否則，該證書的狀態(tài)不符合測評要求。

(3）密評人員判斷證書的主要信息是否符合測評要求，例如：查看證書的有效期（開始、截止時間）是否滿足測評時間要求、密鑰用法（簽名和加密）是否正確等。若證書自身

屬性判斷結(jié)果均順利通過，則完成證書認(rèn)證過程；否則，不符合測評要求。

2.4　應(yīng)用層重要數(shù)據(jù)的讀取

應(yīng)用層是以網(wǎng)絡(luò)層為承載進(jìn)行數(shù)據(jù)傳輸，若網(wǎng)絡(luò)層已經(jīng)完成了諸如部署 VPN 產(chǎn)品等密碼技術(shù)應(yīng)用的改造，通過抓包獲取的數(shù)據(jù)多是密文，無法便捷地識別應(yīng)用傳輸?shù)臄?shù)據(jù)編碼格式。

為了有效識別應(yīng)用層數(shù)據(jù)傳輸是否做了對應(yīng)的密碼保護(hù)，針對 B/S 和非 B/S 模式下的應(yīng)用層通信可以參考下述測試方法：

(1）B/S 模式下，終端往往通過瀏覽器來訪問服務(wù)端業(yè)務(wù)，可以通過瀏覽器自身的調(diào)試模式獲取瀏覽器與服務(wù)端之間的傳輸數(shù)據(jù)。如圖 7 和圖 8 所示，通過上述抓包方式即可看到

頁面中輸入的信息已經(jīng)在應(yīng)用層進(jìn)行了處理，變成了密文。

圖 7　應(yīng)用系統(tǒng)數(shù)據(jù)錄入界面

圖 8　B/S 模式下抓包頁面

(2） 非 B/S 模 式 下， 通 常 需 要 VPN 產(chǎn) 品完 成 接 入 后 方 可 進(jìn) 行 業(yè) 務(wù) 訪 問。VPN 產(chǎn)品完成接入后，會在本地創(chuàng)建一個虛擬網(wǎng)卡，通過 WireShark 等抓包工具監(jiān)聽該虛擬

網(wǎng)卡，即可獲取到應(yīng)用層數(shù)據(jù)的通信內(nèi)容。虛擬網(wǎng)卡通常以 TAP/TUN 技術(shù)來實現(xiàn) VPN 報文的封裝和解封，通過監(jiān)聽該虛擬網(wǎng)卡，即可清楚地監(jiān)測到加密前發(fā)送以及解密后接收到

的報文信息。

以 VPN 產(chǎn)品接入內(nèi)網(wǎng)并在內(nèi)網(wǎng) X.X.X.243 地址服務(wù)器的 8089 端口訪問業(yè)務(wù)為例進(jìn)行說明。應(yīng)用系統(tǒng)用戶需先進(jìn)入 VPN 產(chǎn)品的登錄頁面，如圖 9 所示。然后啟動抓包工具，針

對 VPN 產(chǎn)品虛擬出的 TAP 網(wǎng)卡進(jìn)行抓包，同時在該頁面上進(jìn)行登錄操作，獲取應(yīng)用層通信數(shù)據(jù)，如圖 10 所示，登錄完成后才可正常訪問業(yè)務(wù)應(yīng)用。

圖 9　內(nèi)網(wǎng)服務(wù)登錄頁面

圖 10　虛擬網(wǎng)卡抓包

上述示例中的瀏覽器是客戶端應(yīng)用，對于其他非瀏覽器的應(yīng)用，采用上述方法可以達(dá)到同等效果。

3、結(jié)語

本文簡單介紹了密碼應(yīng)用安全性評估的相關(guān)背景情況，指出了現(xiàn)階段密評實踐中存在的主要問題，針對上述問題，中國電子技術(shù)標(biāo)準(zhǔn)化研究院密評團(tuán)隊結(jié)合自身工作經(jīng)驗，從抓包

工具的部署、報文過濾的技巧、數(shù)字證書的認(rèn)證和加密后的應(yīng)用層重要數(shù)據(jù)的讀取等方面提出了可行的解決方法。上述方法均具備一定的普適性和可落地性，方便業(yè)內(nèi)人員參閱并實踐。

下一步，將進(jìn)一步加強(qiáng)密碼技術(shù)應(yīng)用和安全性評估研究，與產(chǎn)學(xué)研用更多力量深度合作交流，依托工業(yè)和信息化部商用密碼應(yīng)用產(chǎn)業(yè)促進(jìn)聯(lián)盟，研究密碼相關(guān)標(biāo)準(zhǔn)與評估方法，提升

評估的準(zhǔn)確性和高效性，為密碼應(yīng)用推廣及安全性評估貢獻(xiàn)力量。