密码测评 | 等级保护2.0第三级信息系统
背景
本文内容编辑参考文献:《GM/T0054-2018 信息系统密码应用基本要求》。
一、密码技术应用要求
1、物理和环境安全
(1)测评范围:
机房物理环境、物理安全负责人、电子门禁系统、视频监控系统、系统管理员、技术文档。
(2)测评要求:
a)在电子门禁系统中,应使用密码技术的真实性功能来保护物理访问控制身份鉴别信息,保证重要区域进入人员身份的真实性。
b)应使用密码技术的完整性功能来保证电子门禁系统进出记录的完整性。
c)应使用密码技术的完整性功能来保证视频监控音像记录的完整性。
d)宜采用符合GM/T 0028的三级及以上密码模块或通过国家密码管理部门核准的硬件密码产品实现密码运算和密钥管理。
(3)测评方法:
遵循物理和环境安全测评要求,对服务端设备所在机房环境进行测评
(以核实新增记录的真实性、完整性为主)。
查看门禁系统本身以及涉及的密码产品(如动态口令、智能密码钥匙、IC卡等)是否经过国家密码管理部门许可。
2、网络和通信安全
(1)测评范围:
交换机、堡垒机、应用系统、网络安全运维人员、技术文档;
(2)测评要求:
a)应在通信前基于密码技术对通信双方进行验证或认证,使用密码技术的机密性和真实性服务来实现防截获、防假冒和防重用,保证传输过程中鉴别信息的机密性和网络设备实体身份的真实性。
b)应使用密码技术的完整性服务来保证网络边界和系统资源访问控制信息的完整性。
c)应采用密码技术保证通信过程中数据的完整性。
d)应采用密码技术保证通信过程中敏感信息数据字段或整个报文的机密性。
e)应采用密码技术建立一条安全的信息传输通道,对网络中的安全设备或安全组件进行集中管理。
f)宜采用符合GM/T 0028 的三级及以上密码模块或通过国家密码管理部门核准的硬件密码产品实现密码运算和密钥管理。
(3)测评方法:
接入点JA:在前置服务器前的外部接入交换机处接入,主要目的是捕获通信数据,分析数据交互双方是否加密、通信密码协议是否合规,分析密码服务是否合规、正确、有效。
查看网络设备本身以及涉及的密码产品(如动态口令、智能密码钥匙、IC卡等)是否经过国家密码管理部门许可。
3、设备和计算安全
测评范围:
交换机、堡垒机、系统管理员、数据库管理员、业务服务器、数据库服务器、证书服务器、密钥管理服务器、技术文档。
测评要求:
a)应使用密码技术对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换。
测评方法:
尝试正常登录和异常登录(包括错误的口令、不插入智能密码钥匙或插入未授权的智能密码钥匙等情况)情况下,是否按照预期结果完成身份鉴别。
测评要求:
b)在远程管理时,应使用密码技术的机密性服务来实现鉴别信息的防窃听。
测评方法:
在管理区JA交换机接入通信协议分析工具,查看用于设备管理涉及的管理员口令等鉴别数据和敏感数据在传输中是否进行了机密性保护。
测评要求:
c)应使用密码技术的完整性服务来保证系统资源访问控制信息的完整性。
测评方法:
在JB交换机接入通信协议分析工具捕获通信数据,分析业务服务器(内置密码模块)是否被有效调用。尝试修改访问控制信息和日志记录(或对应的MAC),查看完整性保护机制的有效性。
测评要求:
d)应使用密码技术的完整性服务来保证重要信息资源敏感标记的完整性。
测评方法:
核实“不适用”的论证依据。
测评要求:
e)应采用可信计算技术建立从系统到应用的信任链,实现系统运行过程中重要程序或文件完整性保护。
测评方法:
1.尝试修改访问业务服务器上重要程序和文件,查看完整性保护机制的有效性。
2.获取重要程序及其对应数字签名和数字证书(根据实际情况确定)。
3.不插入智能密码钥匙或插入未授权的智能密码钥匙(或其他鉴别设备、口令等),查看完整性保护机制的有效性。
测评要求:
f) 应使用密码技术的完整性功能来对日志记录进行完整性保护。
测评方法:
在JB交换机接入通信协议分析工具捕获通信数据,分析业务服务器(内置密码模块)是否被有效调用。尝试修改访问控制信息和日志记录(或对应的MAC),查看完整性保护机制的有效性。
测评要求:
g)宜采用符合 GM/T 0028 的三级及以上密码模块或通过国家密码管理部门核准的硬件密码产品实现密码运算和密钥管理。
测评方法:
查看被测系统当前设备及相关鉴别设备是否为通过国家密码管理局认可的产品。
4、应用和数据安全
测评范围:
应用系统管理员、数据库系统、XXX系统业务应用、存储各类密钥的密钥管理平台、设计文档。
测评要求:
a)应使用密码技术对登录的用户进行身份标识和鉴别,实现身份鉴别信息的防截获、防假冒和防重用,保证应用系统用户身份的真实性。
测评方法:
1)查看设计文档中身份鉴别采用的密码技术及实现机制;
2)访谈应用管理员,了解应用系统在对用户实施身份鉴别过程中是否使用了密码技术来实现用户身份信息的鉴别,具体采用了何种密码技术和安全设备。
3)核查专用密码产品,如密码算法模块、证书服务管理模块等是否具有国家密码管理部门批准的商用密码产品型号证书。
4)核查XXX系统用户身份鉴别信息使用密码技术的正确性和有效性;在接入点JA使用网络协议分析工具,抓取报文,分析身份鉴别过程是否正确实现。
测评要求:
b)应使用密码技术的完整性服务来保证业务应用系统访问控制策略、数据库表访问控制信息和重要资源敏感标记的完整性。
测评方法:
1) 核查是否使用密码技术对访问控制策略进行完整性保护(如使用支持SM2/SM3/SM4算法的密码机/密码算法模块执行密码运算,对数据库表访问控制信息、重要资源敏感标记进行保护);
测评要求:
c)应采用密码技术保证重要数据在传输过程中的机密性,包括但不限于鉴别数据、重要业务数据和重要用户信息等。
测评方法:
1) 在接入点JA使用网络协议分析工具和密码算法合规性验证工具,捕获通信数据,分析系统是否使用SM4算法保证XXXX系统与XXXX之间交易数据传输机密性。
2) 查看系统所使用的密码算法、国密算法模块是否经过了国家密码管理部门核准;并截取相关关键数据,作为证据材料。
测评要求:
d)应采用密码技术保证重要数据在存储过程中的机密性,包括但不限于鉴别数据、重要业务数据和重要用户信息等。
测评方法:
1) 在接入点JB接入网络协议分析工具,捕获业务服务器发往数据库服务器的通信数据,分析数据存储是否进行机密性保护;
2)在接入点JB(业务服务器和密钥管理平台之间)接入网络协议分析工具,捕获通信数据,分析密钥管理平台提供的加密功能是否被有效调用;
3) 查看系统所使用的密码算法、密码算法模块是否经过了国家密码管理部门核准;并截取相关关键数据,作为证据材料。
测评要求:
e)应采用密码技术保证重要数据在传输过程中的完整性,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要用户信息等。
测评方法:
1) 通过JA工具接入点接入网络协议分析工具和数字证书合规性验证工具,捕获通信数据,分析XXXX系统业务服务器与XXXX之间的通讯数据是否使用国密算法数字证书进行签名和完整性保护。
2) 查看系统所使用国家密码管理局认可的密码算法、数字证书是否经过了国家密码管理部门核准;并截取相关关键数据,作为证据材料。
测评要求:
f)应采用密码技术保证重要数据在存储过程中的完整性,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要用户信息、重要可执行程序等。
测评方法:
1) 在接入点JB接入数据包捕获工具,捕获业务服务器发往数据库服务器的通信数据,分析数据存储是否进行完整性保护。
测评要求:
g)应使用密码技术的完整性功能来实现对日志记录完整性的保护。
测评方法:
1) 在接入点JA接入数据包捕获工具,捕获业务服务器发往日志服务器的通信数据,分析日志存储是否进行完整性保护;2) 尝试修改日志记录(或对应的MAC值),查看完整性保护机制的有效性。
测评要求:
h) 应采用密码技术对重要应用程序的加载和卸载进行安全控制。
测评方法:
1)核查系统对客户端程序加载与卸载是否实现安全控制(如对重要程序文件使用SM3算法进行HASH运算、程序加载与卸载前对操作员身份进行鉴别);
测评要求:
i) 宜采用符合 GM/T 0028 的三级及以上密码模块或通过国家密码管理部门核准的硬件密码产品实现密码运算和密钥管理。
测评方法:
查看被测系统当前设备及相关鉴别设备是否为通过国家密码管理局认可的产品。
二、密码管理
第三级信息系统密钥管理应包括对密钥的生成、分发、导入、导出、使用、备份、恢复、归档、销毁等环节进行管理和策略制定的全过程,并满足:
(a)密码生成:
密钥生成使用的随机数应符合GM/T 0005要求,密钥应在符合GM/T0028的密钥模块中产生;密钥应在密码模块内部产生,不得以明文方式出现在密码模块之外;应具备检查和剔除弱密钥的能力。
(b)密钥存储:
密钥应加密存储,并采取严格的安全防护措施防止密钥被非法获取;密钥加密密钥应存储在符合GM/T 0028的二级以上密码模块中。
(c)密钥分发:
密钥分发应采取身份鉴别、数据完整性、数据机密性等安全措施,应能够抗截取、假冒、篡改、重放等攻击,保证密钥的安全性。
(d)密钥导入与导出:
应采取安全措施,防止密钥导入导出时被非法获取或篡改,并保证密钥的正确性。
(e)密钥使用:
密钥应明确用途,并按用途正确使用;对于公钥密码体制,在使用公钥之前应对其进行验证;应有安全措施防止密钥的泄露和替换,密钥泄露时,应停止使用,并启动相应的应急处理和响应措施。应按照密钥更换周期要求更换密钥;应采取有效的安全措施,保证密钥更换时的安全性。
(f)密钥备份与恢复:
应制定明确的密钥备份策略,采用安全可靠的密钥备份恢复机制,对密钥进行备份或恢复;密钥备份或恢复应进行记录,并生成审计信息;审计信息包括备份或恢复的主体、备份或恢复的时间等。
(g)密钥归档:
应采取有效的安全措施,保证归档密钥的安全性和正确性;归档密钥只能用于解密该密钥加密的历史信息或验证该密钥签名的历史信息;密钥归档应进行记录,并生成审计信息;审计信息包括归档的密钥、归档的时间等;归档密钥应进行数据备份,并采用有效的安全保护措施。
(h)密钥销毁:
应具有在紧急情况下销毁密钥的措施。
三、安全管理
1、制度:
a)应制定密码安全管理制度及操作规范、安全操作规范。密码安全管理制度应包括密码建设、运维、人员、设备、密钥等密码管理相关内容。
b)应定期对密码安全管理制度的合理性和适用性进行论证和审定,对存在不足或需要改进的安全管理制度进行修订。
c)应明确相关管理制度发布流程。
2、人员:
a)应了解并遵守密码相关法律法规。
b)应能够正确使用密码产品。
c)应根据相关密码管理政策、数据安全保密政策,结合组织实际情况,设置密钥管理人员、安全审计人员、密码操作人员等关键岗位;建立相应岗位责任制度,明确相关人员在安全系统中的职责和权限,对关键岗位建立多人共管机制;密钥管理、安全审计、密码操作人员职责,互相制约互相监督,相关设备与系统的管理和使用账号不得多人共用。
d) 应建立人员考核制度,定期进行岗位人员考核,建立健全奖惩制度。
e)应建立人员培训制度,对于涉及密码的操作和管理以及密钥管理人员进行专门培训。
f)应建立关键岗位人员保密制度和调离制度,签订保密合同,承担保密义务。
3、实施:
(1)规划
a)信息系统规划阶段,责任单位应依据密码相关标准,制定密码应用建设方案,组织专家进行评审,评审意见作为项目规划立项的重要材料。
通过专家审定后的方案应作为建设、验收和测评的重要依据。
(2)建设
a)应按照国家相关标准,制定实施方案,方案内容应包括但不少于信息系统概述、安全需求分析、商用密码系统设计方案、商用密码产品清单(包括产品资质、功能及性能列表和产品生产单位等)、商用密码系统安全管理与维护策略、商用密码系统实施计划等。
b)应选用经国家密码管理部门核准的密码产品、许可的密码服务。
(3)运行
a)信息系统投入运行前,应经密码测评机构进行安全性评估,评估通过方可投入正式运行。
b)信息系统投入运行后,责任单位每年应委托密码测评机构开展密码应用安全性评估,并根据评估意见进行整改;有重大安全隐患的,应停止系统运行,制定整改方案,整改完成并通过评估后方可投入运行。
(4)应急
a)制定应急预案,做好应急资源准备,当事件发生时,按照应急预案结合实际情况及时处置。
b)事件发生后,应及时向信息系统的上级主管部门进行报告。
c)事件处置完成后,应及时向同级的密码主管部门报告事件发生情况及处置情况。