论坛 › 网络安全 › 密评实战之设备和盘算安全

金歌 发表于 2024-6-8 18:18:14

密评实战之设备和盘算安全

设备和盘算安全实战测评

1.测评指标

https://img-blog.csdnimg.cn/6cb9c209e81b42bfa231fe66483e920e.png
2.测评要求

https://img-blog.csdnimg.cn/d496a177fb984c08ad0e0b32b4180110.png
3.测评证据采集

3.1身份辨别

           设备和盘算安全首先就是要确定测评对象，然后根据测评要求举行取证。设备层面的身份辨别取证过程基本相同，下面以密码产物为例 。
密码产物，如：服务器密码机、签名验签服务器、IPSec/SSL VPN等

须要取证截图如下：
第一步：查验身份辨别方式

https://img-blog.csdnimg.cn/7cd7fc2469ad4b149ad69caf8f04e02c.png
上图为登录方式截图
https://img-blog.csdnimg.cn/820519fa4a004bcca55fb6e2607e16ff.png
上图为智能密码钥匙截图
https://img-blog.csdnimg.cn/e6a6b3c546a94bbd8b280d75782d3288.png
上图为智能密码钥匙产物证书
 通过查验产物和证书信息一致，运维职员使用了智能密码钥匙举行身份辨别。
第二步：查验密码技术的实现方式

        智能密码钥匙USBkey，使用数字证书举行身份辨别，导出数字证书，查验证书合规性。
https://img-blog.csdnimg.cn/e827e976a8b940caa7ae894a8d9f3e56.png
       
       查验证书的使用者、颁发者、有用期是否合规，上图有用已过期，故身份辨别机制存在安全风险，不满意测评要求。
       看到这里有仔细的小伙伴可能发现该证书的颁发机构不是合规的第三发机构颁发，而是由密码产物的厂商自行签发，那么对于自签证书的合规性该如何判断呢？
      小编这里也咨询了密评方面的专家，得到的回复是“由于设备在这种特定的环境下，设备的数目有限，接触的职员较少，几乎没有法律责任认定题目，K可以给分”，“如果面向大规模用户，用户和系统之间存在潜在的责任认定风险，就要用第三方电子认证服务”。
       设备层面大部分是自签证书，如果是合规的第三方CA机构颁发的证书，小编在这里建议：验证一下证书链是否完备，防止证书被伪造。
第三步：在条件答应的环境下，验证证书签名值的有用性。

        在现实密评中，取证往往不是一帆风顺，要尽可能寻找多个证据来举行结论的支持。

3.2远程管理通道安全

        远程管理通道测评，同网络和通信层面的抓包一致，须要对数据包举行分析。
3.2.1通用服务器

         找到目标服务器通过wireshark或者TCPdump举行抓包，表明流量得到以下信息：

https://img-blog.csdnimg.cn/1846745dc3bb48a2881994b5dd034b24.png
         上图中可以清晰看到远程运维服务器使用的算法套件，不存在高风险算法，部分符合相干要求，DAK分别为√××。
3.2.2密码产物

        目前小编遇到的密码产物运维大部分为B/S架构，通过浏览器举行图形化界面运维，详细如下：
第一步：抓取流量包

https://img-blog.csdnimg.cn/5cbe2fbef3be4fdc8dd0538fa9e22688.png
       通过抓包分析，可知密码产物在运维时通过TLSv1.2协议，采用数字证书举行通信实体的身份辨别。
第二步：导出数字证书，验证证书合规性。（同网络层）

https://img-blog.csdnimg.cn/7eadd280d936472e9e3b6e3ef23d62d0.png
https://img-blog.csdnimg.cn/6da7c74fc0ee458b84a8f5dc115ffcc3.png
3.3系统资源访问控制信息完备性

        详细题目详细分析，目前小编尚未遇到此类题目，大部分系统不涉及该指标。
        小编给小伙伴一个办理题目标思路：首先密评主要针对的是密码产物，如若举行了相干的密码防护，就去查验掩护的方式，比如调用密码机，第一步：先窜改已有数据，看是否有掩护机制。如果有防护机制，举行第二步：查找调用的代码截图、加密的接口、密码机的日志记载等信息，验证机制是否匹配。
3.4重要信息资源安全标记完备性

3.5日志记载完备性

3.6重要可实行程序完备性、重要可实行程序泉源真实性

       针对3.4、3.5、3.6，查验部署的产物信息是否与商用密码产物认证证书信息一致。
       由于产物特殊，不方便展示，小编网上截取了密码机的截图供大家参考，现实测评中须要查验产物上的标签、标识来验证。
https://img-blog.csdnimg.cn/63901322687146a5a61c00f737860093.png
https://img-blog.csdnimg.cn/a915930dad4b4c14b677d666bbde4a49.png
       查验证书和现实使用的产物信息一致，且在有用期内，可判断产物符合要求，能满意身份辨别需求。
        以上内容是小编的个人履历总结，不妥之处，欢迎留言指正。




免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。

查看完整版本: 密评实战之设备和盘算安全