江湖秘笈：二级等保之应用安全篇通信保密性言简意赅的考核标准 条条戳中安全危害核心所在

关注蓝字 看点网络安全

Hello，亲爱的看官们，大家晚上好。今天是周六，一个天气并不算好的周末开端。

不知各位看官们在今天都忙些什么呢？是堵在路上一起郊外旅游呼吸那不算新鲜的雾霾呢？还是说在家蒙头大睡到舒爽呢？

作为一个闲不住的安全老司机，今天2 cats大侠我将为大家带来等保的内容。

网络安全等级保护系列（二十四）

6.1.4应用安全篇6.1.4.5通信保密性小结中的内容。

由于本小结中内容都将作为重点出现，因此各位看官们在进行等保测评前一定要了解和注意，避免出现工作失误和理解偏差。

1、访谈安全管理员，询问应用系统数据在通信过程中是否采取保密措施，具体措施有哪些，关键应用系统的通信是否都采取了上述措施；

作为重点内容，特别是应用通信过程中对数据的保密措施，一直是很多非法攻击者最为关心的内容，并不是说这里有多么多的技术含量在内，而是说加密保护的数据信息中都包含了什么深深的吸引着他们。

如果说通信加密技术有哪些，这还得要从类型说起。譬如Web应用中所使用的加密技术大都来自于网络协议之中，例如数据加密法、对称加密法、非对称加密法、链路加密、节点加密、端到端加密等。

不同的加密手法所带来的数据保护形式也会有所不同，相信作为安全运维人员的看官们对这些不会感到陌生，因此在这里不做详解解释。

考虑到自身工作类型、数据流转方式以及应用自身特性等，采用的加密需求与方法肯定不会相同的，故此看官们一定要切实注意这点。

2、测试关键应用系统，通过查看通信双方数据包内容，查看系统是否在通信双方建立连接之前，利用密码技术进行会话初始化验证；系统在通信过程中，对敏感信息字段进行加密的功能是否有效。

既然安全审计人员已经了解过通信加密的方式和过程了，那么就要开始进入到正题当中来，那就是进行数据通信保密验证工作。

特别是针对一段被截取到的数据信息进行相关验证，如加密技术是否过关，对相关应用数据加密是否合理，在正式通信之前，是否有对通信双方进行身份验证等。

虽说这部分的内容并不多，只有单纯的两条简短信息，可是却并没有杂余性内容出现，条条要求都直指重点，并且考核标准非常严格，故此安全运维看官们一定要在平时工作中做足工作，否则现场抓瞎可不是好事情哦。

2cats 寄语

老规矩不变，

如果有任何问题依旧可以发给e品小顽童。

小顽童的邮箱是：

xiaowantong@epinjianghu.com。

也可以在微信公众号的下方留言，我们会及时整理反馈的。

期待各位的来信交流！

另外，大家可以扫描下面的二维码，加我2cats的个人微信哈！

e品江湖

不失初心 不忘初衷

长按扫码 加关注！