一、前言
距離上一次發表等保2.0系列的文章已經有一個多月的時間了,這一個多月的時間正好是新冠疫情居家隔離的時間,最近家鄉降為了低風險地區,我也順利解封開始上班,由於之前測評的資料都在單位儲存,導致居家期間沒有了整理總結的靈感,頓時覺得筆下暗淡,乾脆放棄了低效率的更新,轉而專注於科技類資訊,奈何居家過於長久,又心繫解封之事,故而近日發文有些雜亂,現在迴歸正軌,繼續科技尤其是網路安全方面的知識和資訊分享。
毫無頭緒
翻看一下之前釋出的等保2.0測評的文章,發現等保2.0安全通用要求部分,就已經只剩下應用資料完整性這一小部分,內容不是很多,也算是給《一項一項教你測等保2.0》系列的安全通用部分結個尾,順便練練手,找找之前寫作的感覺,從這篇之後我會繼續介紹等保2.0擴充套件要求的測評項介紹,等保2.0實施還不久,擴充套件要求都是新增的內容,可以說是很少有測評的實際案例可以借鑑,不多說了,我們還是言歸正傳,開始我們應用的資料完整性測評項的介紹。
二、測評項和之前我們講到的等保2.0測評項的要求一樣,我們還是按照慣例列出關於應用的資料完整性各項測評項。
a)應採用校驗技術或密碼技術保證重要資料在傳輸過程中的完整性,包括但不限千鑑別資料、重要業務資料、重要審計資料、重要配置資料、重要影片資料和重要個人資訊等;
b)應採用校驗技術或密碼技術保證重要資料在儲存過程中的完整性,包括但不限於鑑別資料、重要業務資料、重要審計資料、重要配置資料、重要影片資料和重要個人資訊等。
沒錯就只有兩項而已,而且讀者朋友可能已經發現了,應用系統的測評項的相關要求並不像其他測評項有非常固定的測評方法,這需要我們在測評的過程中視情況而定,因為應用系統因業務的不同而有所差異,因此我們今天多講一些理論性的東西,重點在於理解,做到隨機應變,學以致用。
學以致用
三、測評項aa)應採用校驗技術或密碼技術保證重要資料在傳輸過程中的完整性,包括但不限千鑑別資料、重要業務資料、重要審計資料、重要配置資料、重要影片資料和重要個人資訊等;
這一項沒有什麼可以解讀的,主要是明白幾個概念:
1、資料完整性
這裡偷個懶,從網上搜索了關於“資料完整性”的解釋,大家也可以自己搜尋更多的相關內容,相信對以後的測評會有很大的幫助。
資料完整性
資料完整性(Data Integrity)是指資料的精確性(Accuracy) 和可靠性(Reliability)。它是應防止資料庫中存在不符合語義規定的資料和防止因錯誤資訊的輸入輸出造成無效操作或錯誤資訊而提出的。資料完整性分為四類:實體完整性(Entity Integrity)、域完整性(Domain Integrity)、參照完整性(Referential Integrity)、使用者自定義完整性(User-definedIntegrity)。
2、密碼技術
密碼技術
3、校驗技術
這個我更加不太瞭解,原諒我再次求助“度娘”。
幾種常見的校驗方法:
(1)奇偶校驗Parity Check
實現方法:在資料儲存和傳輸中,位元組中額外增加一個位元位,用來檢驗錯誤。校驗位可以透過資料位異或計算出來。
(2)bcc異或校驗法(block check character)
實現方法:很多基於串列埠的通訊都用這種既簡單又相當準確的方法。它就是把所有資料都和一個指定的初始值(通常是0)異或一次,最後的結果就是校驗值,通常把它附在通訊資料的最後一起傳送出去。接收方收到資料後自己也計算一次異或和校驗值,如果和收到的校驗值一致就說明收到的資料是完整的。
(3)crc迴圈冗餘校驗
實現方法:這是利用除法及餘數的原理來進行錯誤檢測的.將接收到的碼組進行除法運算,如果除盡,則說明傳輸無誤;如果未除盡,則表明傳輸出現差錯。crc校驗具還有自動糾錯能力。
(4)md5校驗和數字簽名
實現方法:主要有md5和des演算法,這個在加密技術中也提到過。
瞭解了這幾個概念之後,具體的這一項該怎麼測評,最簡單的就是檢視應用系統是否採用HTTPS協議,或者資料庫是否採用了SSL,如果都沒有,我們就需要根據以上的知識自己判斷是否符合了。
四、測評項bb)應採用校驗技術或密碼技術保證重要資料在儲存過程中的完整性,包括但不限於鑑別資料、重要業務資料、重要審計資料、重要配置資料、重要影片資料和重要個人資訊等。
測評項a和測評項b的區別在於前者是傳輸過程中,後者是儲存過程中,傳輸過程是一個短暫的、動態的、進行過程,而儲存則為長期的儲存過程。
一般長期的儲存我們都會儲存在資料庫中,也就是如何使用校驗技術或密碼技術保證資料庫中儲存資料的完整性。
資料庫儲存
一般我們都會在資料庫表的欄位中增加一個檢驗欄位(放在最後),這個欄位的內容是根據前邊所有欄位的內容生成的(一般採用hash演算法),一旦前邊任意欄位內容發生改變,這個欄位也會發生改變,當我們呼叫資料時,首先使用hash演算法計算一下所有欄位的hash值,與校驗欄位作比較,相同則內容沒有修改,反之則不然。
我只是舉一個例子,如果有其他方法實現也可以,還是那句話具體情況具體對待吧。