一、对于独立建设运行的网络安全等级保护三级以上(包含三级)及被认定为关键信息基础设施的信息系统如何进行测评?
以下是具体步骤:
依据国家相关法律法规,如《中华人民共和国密码法》,明确密码测评的法律要求。同时,参考国家标准GB/T 39786 - 2021《信息安全技术 信息系统密码应用基本要求》,这是信息系统密码测评的重要技术标准,规定了不同安全等级信息系统密码应用的技术要求。
对于关键信息基础设施,还需要考虑行业特定的监管要求和指南,如金融行业的相关规定,其对金融信息系统的密码应用可能有更严格的要求。
确定信息系统的边界,包括硬件设备(如服务器、存储设备、网络设备等)、软件系统(操作系统、数据库、应用程序等)以及相关的网络连接和数据流向。明确哪些子系统、模块或业务流程涉及密码应用,例如,用户登录认证模块、数据存储和传输部分等。
收集信息系统的设计文档,包括网络拓扑图、系统架构图等,以了解系统的整体结构和各组件之间的关系。这些文档有助于分析密码技术在系统中的应用位置和方式。
获取系统的安全策略文档,如访问控制策略、数据保护策略等,从中可以发现密码应用与安全策略的契合点,以及密码技术如何保障策略的实施。
收集密码设备的技术手册和配置文件,如密码机、密钥管理系统等设备的文档。这些文件包含密码设备的功能、参数设置、接口信息等内容,对于评估密码设备的合规性和安全性非常重要。
整理密码应用的操作流程文档,包括密钥生成、存储、分发、使用和销毁等环节的操作记录,以及密码技术在数据加密、身份认证等场景中的应用流程。
测评团队应包括密码学专家,他们熟悉各种密码算法(如对称加密算法AES、非对称加密算法RSA或ECC、哈希算法等)的原理和应用,能够对密码技术的正确性进行评估。
邀请信息安全工程师,他们可以从系统安全的角度分析密码应用在整个信息系统中的作用,检查密码与其他安全机制(如访问控制、防火墙等)的协同性。
配备网络工程师,以评估密码应用在网络环境中的传输安全,如SSL/TLS协议在网络通信中的应用情况。
在测评前,对团队成员进行培训,使其熟悉测评依据、范围和方法。培训内容包括相关法律法规、标准规范以及具体的测评工具和技术。
建立有效的沟通机制,团队成员之间能够及时交流测评过程中发现的问题、分享经验,确保测评工作的顺利进行。
数据加密:检查信息系统中存储和传输的数据是否进行了加密。对于存储的数据,查看数据库、文件系统等存储介质中的数据是否采用了合适的加密算法(如AES)进行加密。在数据传输方面,通过网络嗅探工具等检查数据在网络中的传输是否使用了SSL/TLS等加密协议进行保护。
加密算法合规性:验证所使用的加密算法是否符合国家密码管理规定和相关标准。检查加密算法的参数设置,如密钥长度是否满足安全要求。例如,对于AES算法,128位及以上的密钥长度在一般情况下被认为是安全的。
认证方式:评估系统采用的身份认证方式,如用户名/密码、数字证书、生物识别等。对于用户名/密码认证,检查密码的强度要求是否合理(如长度、复杂度等)。对于数字证书认证,验证证书的合法性、有效性以及证书颁发机构的可信度。
多因素认证:如果系统采用多因素认证,检查各个因素之间的独立性和安全性。例如,在密码+数字证书的认证方式中,验证数字证书是否能够有效增强认证的安全性,以及两种因素的结合是否符合安全最佳实践。
签名生成和验证:检查系统在重要数据(如电子合同、电子文件等)处理过程中是否使用了数字签名技术。验证数字签名的生成算法(如基于RSA或ECC的签名算法)是否正确,签名验证过程是否能够有效防止数据篡改。
证书管理:对于数字签名所涉及的数字证书,查看证书的管理情况,包括证书的申请、颁发、更新和吊销等环节。确保证书的有效期管理合理,并且在证书过期或吊销后,系统能够及时检测并采取相应措施。
检查密钥生成的方式,是否采用了安全的随机数生成器。对于硬件设备生成的密钥,验证设备的安全性和随机性保证。例如,使用硬件安全模块(HSM)生成密钥时,检查HSM是否通过了相关的安全认证,其随机数生成功能是否符合安全标准。
查看密钥的存储位置和存储方式。如果密钥存储在软件系统中,检查存储的安全性措施,如加密存储、访问控制等。对于存储在硬件设备(如HSM)中的密钥,验证设备的物理和逻辑安全防护措施,如防止物理攻击、非法访问等。
在密钥分发过程中,检查是否采用了安全的传输方式,如通过加密通道(SSL/TLS)分发密钥。验证密钥更新的周期是否合理,以及更新过程是否安全可靠。例如,在更新密钥时,是否能够确保旧密钥的安全销毁和新密钥的正确替换。
检查密码设备(如密码机、加密服务器等)的安全性和合规性。查看设备的安全认证情况,如是否通过国家密码管理部门的认证。评估设备的物理安全防护措施,如机箱是否具备防拆、防盗等功能。
对密码设备的性能进行测试,包括加密和解密速度、并发处理能力等。通过性能测试工具,模拟高并发的密码运算场景,检查设备是否能够满足信息系统在实际运行中的密码应用需求。
评估密码系统与信息系统其他组件(如操作系统、数据库、应用程序等)的集成情况。检查密码系统的接口是否安全、稳定,是否能够与其他组件进行有效的数据交互。例如,应用程序是否能够正确调用密码设备进行加密和解密操作。
通过模拟常见的密码攻击(如暴力破解、中间人攻击、重放攻击等)来测试密码应用的抗攻击能力。在暴力破解测试中,使用密码破解工具尝试破解用户密码,检查系统是否能够检测到异常的密码尝试并采取相应措施(如锁定账户)。
对于中间人攻击,在测试环境中设置中间人攻击场景,检查系统是否能够识别并拒绝不安全的通信连接,如通过验证数字证书的有效性来防止中间人攻击。
检查密码应用是否具备完善的安全审计功能。查看审计日志是否能够记录所有与密码相关的操作,如密钥生成、使用、更新,以及用户的身份认证、数字签名等操作。验证审计日志的完整性和准确性,以及是否能够方便地进行查询和分析。
将测评过程中收集到的数据、发现的问题等进行整理,按照密码技术应用、密钥管理、密码设备和系统、密码应用安全性等方面分别汇总。例如,列出所使用的密码技术是否合规、密钥管理的各个环节是否存在风险、密码设备的性能和安全性是否满足要求等。
对发现的问题进行深入分析,找出问题产生的原因。例如,密码技术应用不符合要求可能是因为系统更新后未及时采用新的标准密码技术,或者是开发人员对密码标准理解有误。密钥管理问题可能是由于缺乏完善的管理制度,或者是密码设备的配置错误。
测评报告应包括前言、测评范围、测评依据、测评方法、测评结果、问题分析和建议等部分。在前言中,简要介绍测评的背景和目的。在测评范围部分,明确说明被测评信息系统的边界和涉及的密码应用内容。
在测评结果部分,详细描述密码技术应用、密钥管理、密码设备和系统、密码应用安全性等方面的测评情况,包括合规情况、存在的问题等。对于问题分析,要准确指出问题产生的原因和可能导致的安全风险。在建议部分,针对发现的问题提出具体的改进措施和建议,如更新密码技术、加强密钥管理、完善密码设备配置等。
根据测评报告中的问题和建议,与信息系统运营者共同制定整改计划。整改计划应明确整改的目标、任务、责任人和时间节点。例如,对于密码技术应用不符合要求的问题,确定在什么时间内完成密码技术的更新,由谁负责技术改造等。
定期跟踪整改过程,检查整改任务的完成情况。在整改过程中,如发现新的问题或需要调整整改计划,及时与信息系统运营者沟通协调。整改完成后,可进行复查,确保问题得到有效解决,密码应用达到合规要求。
二、对于云模式、集约化部署建设的应用平台如何进行商用密码测评?
依据相关法律法规(如《中华人民共和国密码法》)和标准(如GB/T 39786 - 2021《信息安全技术 信息系统密码应用基本要求》),明确云模式和集约化部署应用平台密码测评的目标。主要是评估密码应用是否满足数据保密性、完整性、可用性的要求,以及是否符合合规性和安全性标准。
针对云模式,要考虑云服务提供商和租户的责任划分,明确是对云平台整体密码能力测评还是对租户应用的密码应用测评,或者两者兼顾。对于集约化部署,要确定测评是涵盖整个集约平台还是其中特定的应用组合。
对于云模式应用平台,包括云基础设施(如服务器、存储、网络设备等)、云服务平台(如PaaS平台的数据库服务、中间件服务等)和部署在云上的应用程序。确定哪些是云服务提供商提供的密码服务(如密钥管理服务),哪些是租户自己应用的密码功能。
在集约化部署场景下,要明确集约平台内的共享资源(如共享存储、公共服务组件)和各个应用的边界。梳理数据在集约平台内的流向,包括应用之间的数据交互以及与外部系统的数据交换,确定密码应用涉及的范围。
收集云服务提供商的技术架构文档,包括云平台的网络拓扑、计算存储架构、安全架构等。这些文档有助于理解密码技术在云平台整体架构中的应用位置和方式。
对于部署在云平台上的应用,获取应用的设计文档、业务流程说明、数据字典等。了解应用的功能、数据类型和业务操作,以便确定密码应用的具体场景,如用户登录、数据存储和传输等环节的密码需求。
收集云平台提供的密码服务文档,如密钥管理系统(KMS)的使用手册、加密存储服务的技术规格等。了解密码服务的功能、接口、安全特性和配置参数。
对于应用自身采用的密码技术,收集密码算法说明、密钥管理流程、数字签名和认证机制等文档。包括密码设备(如果有)的安装配置文件和技术手册。
密码学专家:熟悉各种密码算法(如对称加密算法AES、非对称加密算法RSA/ECC、哈希算法等)的原理、性能和安全性评估。能够检查密码算法的合规性和正确性,对密码技术应用进行深入分析。
云计算专家:了解云平台的架构、服务模式(IaaS、PaaS、SaaS)和安全机制。可以评估密码应用在云环境中的适用性和与云服务的集成情况,如云存储加密、云网络安全中的密码应用。
应用安全专家:精通应用程序的安全漏洞检测和防护,能够分析密码应用在应用系统中的功能实现,如用户身份认证、授权和数据保护。他们可以检查密码应用与应用安全机制(如访问控制、输入验证等)的协同性。
网络安全工程师:擅长网络安全协议(如SSL/TLS)和网络攻击检测。在密码测评中,可评估密码应用在网络传输过程中的安全性,如数据加密传输的完整性和保密性。
开展测评前培训,使团队成员熟悉测评目标、范围、依据(法律法规和标准)和方法。培训内容包括云模式和集约化部署的特点、密码测评工具的使用以及特定行业的密码应用要求。
建立有效的沟通机制,如定期会议、问题跟踪系统等。团队成员可以及时交流测评过程中的发现、讨论复杂问题,并共享相关经验和知识。
存储加密:在云模式下,检查云存储服务是否对数据进行加密。对于集约化部署应用平台,查看共享存储和各应用独立存储的数据加密情况。验证加密算法(如AES)的使用是否合规,包括密钥长度和加密模式。检查加密密钥的管理方式,是否与云平台的密钥管理系统或应用自身的密钥管理流程相匹配。
传输加密:评估数据在云平台内部(如不同虚拟机之间、应用服务器与存储之间)和外部(如与用户终端、外部合作伙伴系统)传输过程中的加密情况。检查是否使用了安全的传输协议(如SSL/TLS),验证证书的合法性和有效性。对于集约化部署平台中应用之间的数据交互,检查加密机制是否能够保障数据的保密性和完整性。
云平台认证:对于云模式,检查云服务提供商提供的用户身份认证方式(如多因素认证)是否安全可靠。验证认证机制是否符合相关标准,如是否支持基于数字证书、口令与生物识别等组合的认证方式。检查认证系统的抗攻击能力,如是否能够抵御暴力破解、中间人攻击等。
应用内认证:在云平台上的应用和集约化部署应用中,评估应用自身的身份认证机制。查看是否采用了合适的认证方式,如基于角色的认证、单点登录(SSO)等。对于认证过程中使用的密码,检查密码强度要求和存储方式是否安全。
签名生成和验证功能:检查应用平台是否在关键业务数据(如电子合同、审批文件等)处理过程中使用数字签名技术。验证数字签名算法(如RSA - PKCS#1或ECC - DSA)的正确性和合规性。评估签名验证过程是否能够有效防止数据篡改,如验证签名是否与原始数据紧密关联。
证书管理:对于数字签名涉及的数字证书,检查证书的管理情况。包括证书的申请、颁发、更新和吊销机制是否健全。在云模式下,查看云平台是否提供证书管理服务,以及该服务是否符合安全要求。在集约化部署平台中,检查应用之间证书交互的安全性。
在云模式下,检查云平台密钥管理系统(KMS)的密钥生成功能。验证是否采用安全的随机数生成器,如硬件随机数生成器或经过严格测试的软件随机数生成器。对于集约化部署应用平台,查看应用自身密钥生成机制是否符合安全要求,特别是对于关键密钥的生成是否有足够的安全性保障。
评估云平台KMS存储密钥的安全性,如是否采用硬件安全模块(HSM)或加密存储方式。检查密钥的访问控制机制,确保只有授权用户或服务能够访问密钥。在集约化部署应用平台中,检查各应用密钥存储的安全性,包括共享密钥和应用专用密钥的存储情况。
在云模式下,检查密钥分发过程是否通过安全通道进行,如是否使用SSL/TLS加密传输。验证云平台是否能够及时、安全地更新密钥,以及更新过程中的密钥备份和恢复机制是否健全。对于集约化部署应用平台,查看应用之间密钥分发的安全性和更新的协调性,确保密钥在整个平台中的一致性和安全性。
在云模式下,检查云平台提供的密码设备(如密码机)的安全性和合规性。查看设备是否通过国家密码管理部门的认证,评估其物理安全防护措施(如防拆、防盗等)和逻辑安全功能(如访问控制、审计等)。在集约化部署应用平台中,对于应用自身采用的密码设备,同样进行安全性和合规性检查。
评估密码系统(包括密码设备和密码服务)与云平台和集约化部署应用平台其他组件的集成情况。在云模式下,检查密码服务(如加密服务、密钥管理服务)与云平台的计算、存储、网络等服务的接口是否安全、稳定,是否能够有效协同工作。在集约化部署应用平台中,查看密码系统与应用系统(如操作系统、数据库、中间件等)的集成是否良好,如应用是否能够正确调用密码功能。
通过模拟常见的密码攻击(如暴力破解、中间人攻击、重放攻击等)来测试密码应用的抗攻击能力。在云模式下,检查云平台的安全防护机制(如入侵检测系统、防火墙等)是否能够有效检测和抵御密码攻击。在集约化部署应用平台中,评估应用自身的抗攻击能力以及平台整体的安全防御体系是否能够保障密码应用的安全。
检查密码应用是否具备完善的安全审计功能。在云模式下,查看云平台的审计系统是否能够记录所有与密码相关的操作,如密钥生成、使用、更新,用户身份认证、数字签名等操作。在集约化部署应用平台中,检查应用的审计日志是否完整、准确,并且能够方便地进行查询和分析。
将测评过程中收集到的数据、发现的问题等按照密码技术应用、密钥管理、密码设备和系统、密码应用安全性等方面进行分类汇总。例如,列出数据加密方面的合规情况、密钥管理环节存在的风险点、密码设备的性能和安全性问题等。
对发现的问题进行深入分析,找出问题产生的原因。例如,密码技术应用不符合要求可能是由于云平台或应用更新后未及时采用新的标准密码技术,或者是对密码应用的理解和配置存在偏差。密钥管理问题可能是因为缺乏完善的管理制度、安全措施不到位或者系统集成缺陷。
测评报告应包括前言、测评范围、测评依据、测评方法、测评结果、问题分析和建议等部分。前言部分简要介绍测评的背景和目的。测评范围明确说明被测评的云模式或集约化部署应用平台的边界和密码应用内容。
在测评结果部分,详细描述密码技术应用、密钥管理、密码设备和系统、密码应用安全性等方面的测评情况,包括合规情况、存在的问题等。对于问题分析,要准确指出问题产生的原因和可能导致的安全风险。在建议部分,针对发现的问题提出具体的改进措施和建议,如优化密码技术应用、加强密钥管理、完善密码设备配置等。
根据测评报告中的问题和建议,与云平台提供商和应用运营者共同制定整改计划。整改计划应明确整改的目标、任务、责任人和时间节点。例如,对于密码技术应用不符合要求的问题,确定在什么时间内完成密码技术的更新,由谁负责技术改造等。
定期跟踪整改过程,检查整改任务的完成情况。在整改过程中,如发现新的问题或需要调整整改计划,及时与相关方沟通协调。整改完成后,可进行复查,确保问题得到有效解决,密码应用达到合规要求。
三、对于统一密码资源支撑系统和部署在政务云的应用系统如何进行测评?
密码运算功能:检查系统是否能够提供高效、准确的加密、解密、数字签名和验证签名等基本密码运算。例如,测试加密算法(如AES、RSA等)是否能够正确地对不同类型的数据(文本、文件、数据库记录等)进行加密,解密后的结果是否与原始数据一致。对于数字签名,验证签名生成和验证功能是否符合相关标准,如使用正确的哈希算法(如SHA - 256)来确保数据完整性。
密钥管理功能:评估密钥的生成、存储、分发、更新和销毁等全生命周期管理能力。查看密钥生成是否基于安全的随机数生成器,以保证密钥的随机性和不可预测性。检查密钥存储是否采用了硬件安全模块(HSM)或其他安全存储方式,防止密钥泄露。对于密钥分发,验证是否有安全的传输机制,如采用SSL/TLS协议加密传输。同时,要测试密钥更新是否能够按计划自动执行,以及在密钥销毁后是否无法恢复和使用。
密码设备管理功能:查看系统对密码设备(如密码机、加密服务器等)的管理能力。包括设备的添加、删除、状态监控等功能。例如,测试当新密码设备接入系统时,是否能够自动识别并进行配置;对于设备故障,系统是否能够及时发出警报并进行相应的处理,如切换到备用设备。
密码运算性能:测试密码运算的速度和效率,特别是在高并发场景下的性能表现。例如,通过模拟大量用户同时进行加密或解密操作,测量系统的响应时间和吞吐量。对于加密操作,评估每秒能够处理的数据量(如Mbps);对于数字签名,测试每秒能够生成和验证的签名数量。同时,还要考虑不同密码算法和密钥长度对性能的影响,如较长的密钥长度可能会增加加密和解密的时间,但能提高安全性。
密钥管理性能:评估密钥管理操作的性能,如密钥生成的速度、分发的延迟等。在大规模应用场景下,密钥的快速生成和安全分发至关重要。测试在多用户或多应用环境中,系统能够在多长时间内为新用户或新应用生成并分发密钥,以及密钥更新操作是否会对系统性能产生较大的影响。
访问控制:检查系统的访问控制机制是否严格,只有授权用户能够访问和操作密码资源。验证是否采用了多因素身份认证(如用户名/密码+数字证书或令牌)来增强访问控制的安全性。同时,查看访问权限的划分是否合理,不同角色(如管理员、操作员、审计员等)是否有明确的权限范围,是否能够防止越权访问。
抗攻击能力:通过模拟常见的密码攻击(如暴力破解、中间人攻击、重放攻击等)来测试系统的抗攻击能力。例如,对于暴力破解攻击,检查系统是否能够检测到频繁的密码尝试并采取相应的措施,如锁定账户或增加验证步骤。对于中间人攻击,验证系统是否能够识别并拒绝不安全的通信连接,如通过证书验证和密钥交换协议来确保通信双方的身份真实性。
安全审计:评估系统是否具备完善的安全审计功能,能够记录所有密码相关操作(如密钥生成、使用、更新等)的详细信息。查看审计日志是否完整、准确,并且能够方便地进行查询和分析。审计功能还应包括对异常操作的实时报警,如非法访问密码设备或异常的密钥使用情况。
数据存储加密:检查应用系统中存储的数据是否采用了适当的加密方式。例如,对于政务云中存储的敏感文件(如公民个人信息、政务机密文件等),验证是否使用了符合安全标准的加密算法进行加密。查看加密密钥的管理方式,是否与统一密码资源支撑系统进行了安全的集成,确保密钥的安全存储和正确使用。
数据传输加密:评估应用系统在数据传输过程中的加密情况,特别是在政务云内部不同组件之间以及与外部系统通信时。验证是否采用了SSL/TLS等安全协议对数据进行加密传输,检查证书的有效性和合法性。对于移动政务应用,还需要测试在移动网络环境下的数据传输加密是否安全可靠。
身份认证和授权:查看应用系统如何对用户进行身份认证和授权。例如,是否采用了基于数字证书的认证方式,或者结合了密码和生物识别技术等多因素认证。验证授权机制是否能够根据用户的角色和权限准确地控制对数据和功能的访问,防止未授权的访问和操作。
接口兼容性:测试应用系统与统一密码资源支撑系统之间的接口是否兼容。检查应用系统是否能够正确地调用密码资源支撑系统提供的加密、解密、数字签名等功能。例如,验证应用系统在进行数据加密时,是否能够通过接口向密码资源支撑系统发送加密请求,并正确接收和使用加密后的结果。
交互安全性:评估应用系统与密码资源支撑系统交互过程中的安全性。查看在调用密码资源时,是否采用了安全的通信协议和身份验证机制。例如,在接口调用过程中是否进行了双向认证,以确保应用系统和密码资源支撑系统的身份真实性,防止中间人攻击。同时,检查数据在交互过程中是否进行了加密,避免数据泄露。
应用安全漏洞检测:通过漏洞扫描工具和安全测试方法,检查应用系统自身是否存在安全漏洞,如SQL注入、跨站脚本攻击(XSS)等。这些漏洞可能会影响密码应用的安全性,例如,如果应用系统存在SQL注入漏洞,攻击者可能会获取数据库中的加密密钥等敏感信息。
安全配置检查:评估应用系统的安全配置是否符合最佳实践和相关安全标准。例如,检查应用服务器的安全设置,如是否启用了安全的HTTP头、是否限制了不必要的网络端口等。对于使用的软件框架和库,查看是否及时更新到最新的安全版本,以防止已知的安全漏洞被利用。
欢迎关注《网络安全和等保测评》微信公众号⬇️
关注我们
联系我们
原文始发于微信公众号(网络安全和等保测评):不同部署环境下如何进行商用密码测评?
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
点赞
http://cn-sec.com/archives/3564083.html
复制链接
复制链接
-
左青龙
- 微信扫一扫
-
-
右白虎
- 微信扫一扫
-
评论