Контакты
Подписка
МЕНЮ
Контакты
Подписка

Аутентификация на веб-сервере и защита канала связи - Форум по вопросам информационной безопасности

Аутентификация на веб-сервере и защита канала связи - Форум по вопросам информационной безопасности

К списку тем | Добавить сообщение


Автор: Pavel | 108767 28.09.2020 18:03
Коллеги,

Имеется клиент-серверное приложение сертифицированное для использования в ГИС 1-го класса. Взаимодействие между клиентом и сервером осуществляется по протоколу HTTPS, при этом канал связи проходит за пределами контролируемой зоны. Аутентификация клиента на сервере осуществляется по логину и паролю (по каналу связи передается хэш пароля). Канал связи служит для передачи управляющих сигналов (команд) и аутентификационной информации. Для защиты канала связи используется сертифицированное СКЗИ.

1) В каких случаях, управляющие сигналы (команды) являются конфиденциальной информацией требующей защиты в соответствии с законодательством РФ?
2) Обязательно ли в данном случае применение сертифицированного СКЗИ для защиты канала связи?

Автор: oko | 108771 28.09.2020 23:47
to Pavel
1. Зависит от того, что написано в перечне сведений, составляющих коммерческую/служебную/иную тайну (за исключением гос.тайны) или конф.инф....
2. Зависит от того, что написано в сертификате и ТУ/ЗБ на это странное приложение, в выводах результирующей Модели угроз, а также в акте классификации целевой инф.системы...

ЗЫ хэш пароля, при его передаче по каналу связи, аналогичен паролю в чистом виде. Потому что перехват хэша также позволяет аутентифицироваться на удаленном сервере (сличать-то будут хэш-хэш). Вот использовать алгоритмы с "третьей стороной" или каскад криптографических преобразований по схеме "запрос-ответ" - это другое дело. И хранить эту информацию на сервере в хэш-виде, чтобы никто не уволок, ага...

Просмотров темы: 82

К списку тем | Добавить сообщение



Добавить сообщение

Автор*
Компания
E-mail
Присылать уведомления да
нет
Текст сообщения*
Введите код*