GB/T 39786—2021《信息安全技术 信息系统密码应用基本要求》对信息系统密码应用划分为自低向高的五个等级,参照GB/T 22239的等级保护对象应具备的基本安全保护能力要求,提出密码保障能力逐级增强的要求,用一、二、三、四、五表示。其中,从密码算法、密码技术、密码产品和密码服务的合规性方面,提出了第一级到第五级的密码应用通用要求,从信息系统的物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全四个技术层面提出了第一级到第四级的密码应用技术要求,并从管理制度、人员管理、建设运行和应急处置四个方面提出了第一级到第四级的密码应用管理要求。
GB/T 39786—2021中的密码应用等级一般由网络安全等级保护的级别确定。信息系统根据GB/T 22240—2020《信息安全技术 网络安全等级保护定级指南》确定等级保护级别时,同步对应确定密码应用等级,即等保定级为第一级的网络与信息系统应遵循GB/T 39786第一级密码应用基本要求,等保定级为第二级的网络与信息系统应遵循GB/T 39786第二级密码应用基本要求,以此类推。对于未完成网络安全等级保护定级的重要信息系统,其密码应用等级至少为第三级。
GB/T 39786对密码应用各项指标要求的力度,主要通过“应”“宜”“可”加以区分,具体实施时,需把握哪些是必须实现的、哪些是可以自行把握的。在“应”“宜”“可”三个指标中,“可”和“应”的含义明确,但“宜”含义,在GB/T 39786中有其特殊性。
依据GM/T 0115《信息系统密码应用测评要求》,据信息系统的密码应用方案和方案评估报告/评审意见,决定是否将“宜”的指标要求纳入标准符合性测评范围,具体如下:
(1)若信息系统未编制密码应用方案或在方案中未对“宜”的指标要求做明确说明,则“宜”的指标要求纳入标准符合性测评范围。
(2)若信息系统编制了密码应用方案,且方案通过评估,方案中明确了不适用的“宜”的指标要求项,且有对应的风险控制措施说明的情况下。密评人员在测评时,应根据信息系统的密码应用方案和方案评估报告/评审意见,核实方案中的不适用指标要求项所采用的风险控制措施的适用条件,在实际的信息系统中是否被满足,且信息系统的实施情况与方案中所描述的风险控制措施是否一致,若满足适用条件,该测评指标为“不适用”;若不满足适用条件,则应纳入标准符合性测评范围,进行测评和结果判定。
GM/T 0115《信息系统密码应用测评要求》中,在通用测评要求中提出了“5.2密钥管理安全性”测评要求,其指标主要涉及密码产品/服务相关的内容。
经认证合格的密码产品,《信息系统密码应用测评要求》中“5.2密钥管理安全性”测评是否可以直接判定为“符合”?
不能直接判定为“符合”。信息系统采用经认证合格的密码产品仅仅是密钥管理安全性判定为“符合”的必要条件,还应当对以下内容进行核查:
(1) 该密码产品的安全级别是否满足GB/T 39786 相应等级的要求,如GB/T 39786第三级的信息系统应当采用满足GB/T 37092第二级及以上安全要求的密码产品;
(2) 由密码产品产生的密钥在该密码产品外部进行管理,是否进行了相应保护,如密钥在外部数据库中存储/备份/归档时是否进行了机密性和完整性保护;
(3) 该密码产品是否按照产品配套的安全策略文档进行部署和使用,信息系统的密钥管理制度是否能够保证该密码产品被正确地部署和使用等。
GB/T 39786《信息安全技术 信息系统密码应用基本要求》在8.1节中要求
“a)宜采用密码技术进行物理访问身份鉴别,保证重要区域进入人员身份的真实性;
b)宜采用密码技术保证电子门禁系统进出记录数据的存储完整性;
c)宜采用密码技术保证视频监控音像记录数据的存储完整性”。
相应的,GM/T 0115《信息系统密码应用测评要求》在“6.1物理和环境安全”中规定该安全层面的测评对象包括信息系统所在机房等重要区域及其电子门禁系统和视频监控系统。
如何确定该层面的测评对象?对于系统部署在非被测系统单位管辖范围之内的情况,如运营商机房、云服务提供商机房、其他单位或部门管辖的机房等,在物理和环境安全层面应如何判定该指标的适用性?如何开展密评?
物理和环境安全层面的测评对象为被测信息系统所在的物理机房,具体为物理机房的电子门禁系统和视频监控系统。
如果被测信息系统所在的物理机房采用多区域部署或被测信息系统重要资产分布在不同的物理机房中,那么针对该信息系统涉及的所有物理机房均应作为测评对象进行测评,密评人员需现场取证。
针对被测信息系统部署在被测系统单位管辖范围之外的情况,物理和环境安全层面仍然适用,即需要针对该安全层面进行测评。
如果被测信息系统所在的IDC机房、运营商机房或云服务提供商机房等通过了商用密码应用安全性评估,则可以复用商用密码应用安全性评估报告中“物理和环境安全”层面的相关测评结论;如果被测信息系统所在的IDC机房、运营商机房或云服务提供商机房等未通过或未开展商用密码应用安全性评估,密评人员需现场取证,对于条件不允许的情况,可以要求IDC机房或云服务提供商机房等的运维方提供相关说明文件和证据以支撑测评结论。
信息系统一般通过网络技术来实现与外界的互联互通,GB/T 39786《信息安全技术信息系统密码应用基本要求》规定了信息系统在网络和通信安全层面的密码应用技术要求,这些要求涉及到通信的主体(通信双方)、信息系统与网络边界外建立的网络通信信道,以及提供通信保护功能的设备、组件和产品。
网络和通信安全层面的测评对象主要是针对跨网络访问的通信信道,这里的跨网络访问指的是从不受保护的网络区域访问被测系统。可以从通信主体和网络类型两个方面来确定网络和通信安全层面的测评对象:
(1) 网络类型:这里主要依据网络之间是否相对独立进行分类,如互联网、政务外网、企业专网等;
(2) 通信主体:指的是参与通信的各方,典型的如客户端与服务端。例如,PC机上运行的浏览器与服务器上运行的web服务系统,移动智能终端上运行的APP与服务器上运行的应用系统;也可以是服务端与服务端,例如,IPSec VPN与IPSec VPN之间。
GM/T 0115《信息系统密码应用测评要求》在设备和计算层面的测评对象包括:通用设备(及其操作系统、 数据库管理系统)、网络及安全设备、密码设备、 各类虚拟设备以及提供相应密码功能的密码产品。
设备和计算层面的测评对象主要包括通用服务器(如应用服务器、数据库服务器)、数据库管理系统、整机类和系统类的密码产品、堡垒机(当系统使用堡垒机用于对设备进行集中管理时,不涉及应用和数据安全层面)等。
交换机、网闸、防火墙、WAF等未使用密码功能的网络设备、安全设备一般不作为设备和计算安全层面的测评对象。需要注意若存在管理通道跨越边界的情况,需在网络和通信安全层面梳理一条远程管理数据传输通道作为测评对象。
建议在密评报告中,对设备和计算层面的测评对象进行分类整理和描述。至少分为密码产品/设备、具有密码功能的网络及安全设备、采用密码技术的其他产品、通用设备、不具有密码功能的网络及安全设备、虚拟设备和系统。
设备和计算安全层面的测评对象为通用服务器(如应用服务器、数据库服务器)、数据库管理系统、整机类和系统类密码产品、堡垒机等。
在一些较大型信息系统中,针对上述每一类测评对象,普遍均会部署多台设备(如部署多台服务器或者部署服务器集群,部署多台IPSec VPN以与不同的外界通信实体建立通信信道)。在这种情况下,在编写《商用密码应用安全性评估报告》时,设备和计算安全层面各个测评对象确定结果所选取的粒度会影响报告最后得分。
如何确定设备和计算安全层面的各个测评对象选取的粒度?
针对通用服务器和堡垒机,以“具有相同硬件、软件配置的设备”为粒度确定测评对象,即具有相同硬件配置(如生产厂商、型号等)和软件配置(如操作系统版本、中间件等)的服务器/堡垒机作为一个测评对象。以通用服务器为例,若某一信息系统部署了5台生产厂商为A、型号为B、操作系统版本为C的应用服务器,还部署了3台生产厂商为D、型号为E、操作系统版本为F的数据库服务器,则在《商用密码应用安全性评估报告》 “设备和计算安全测评对象确定结果”中,以“应用服务器(A-B- C)、数据库服务器(D-E-F)”作为测评对象。
对通用服务器、堡垒机类的测评对象进行量化评估时,D/A/K均以各测评对象所包含的各个设备的实际应用情况的最低分值赋分。
针对整机类密码产品(如IPSec VPN网关、SSL VPN网关、安全认证网关、金融数据密码机、服务器密码机、签名验签服务器、时间戳服务器、云服务器密码机等)、系统类密码产品(如动态令牌认证系统、证书认证系统、证书认证密钥管理系统等),以“具有相同商用密码产品认证证书编号的密码产品”为粒度确定测评对象,即具有同一商用密码产品认证证书的密码产品作为一个测评对象。比如,某一信息系统部署了5台商用密码产品认证证书编号均为GMxxx的IPSec VPN,则在《商用密码应用安全性评估报告》 “设备和计算安全测评对象确定结果”中,以“IPSec VPN(编号GMxxx)”作为测评对象。对密码产品类测评对象进行量化评估时,D/A/K均以各测评对象所包含的各个整机类的密码产品或系统类密码产品的实际应用情况的最低分值赋分。
欢迎关注《网络安全和等保测评》微信公众号⬇️
关注我们
联系我们
原文始发于微信公众号(网络安全和等保测评):商用密码应用安全性评估 · 常见问答(一)
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
点赞
https://cn-sec.com/archives/3972689.html
复制链接
复制链接
-
左青龙
- 微信扫一扫
-
-
右白虎
- 微信扫一扫
-
评论