密碼測(cè)評(píng) | 等級(jí)保護(hù)2.0第三級(jí)信息系統(tǒng)
背景
本文內(nèi)容編輯參考文獻(xiàn):《GM/T0054-2018 信息系統(tǒng)密碼應(yīng)用基本要求》。
一、密碼技術(shù)應(yīng)用要求
1、物理和環(huán)境安全
(1)測(cè)評(píng)范圍:
機(jī)房物理環(huán)境、物理安全負(fù)責(zé)人、電子門禁系統(tǒng)、視頻監(jiān)控系統(tǒng)、系統(tǒng)管理員、技術(shù)文檔。
(2)測(cè)評(píng)要求:
a)在電子門禁系統(tǒng)中,應(yīng)使用密碼技術(shù)的真實(shí)性功能來保護(hù)物理訪問控制身份鑒別信息,保證重要區(qū)域進(jìn)入人員身份的真實(shí)性。
b)應(yīng)使用密碼技術(shù)的完整性功能來保證電子門禁系統(tǒng)進(jìn)出記錄的完整性。
c)應(yīng)使用密碼技術(shù)的完整性功能來保證視頻監(jiān)控音像記錄的完整性。
d)宜采用符合GM/T 0028的三級(jí)及以上密碼模塊或通過國(guó)家密碼管理部門核準(zhǔn)的硬件密碼產(chǎn)品實(shí)現(xiàn)密碼運(yùn)算和密鑰管理。
(3)測(cè)評(píng)方法:
遵循物理和環(huán)境安全測(cè)評(píng)要求,對(duì)服務(wù)端設(shè)備所在機(jī)房環(huán)境進(jìn)行測(cè)評(píng)
(以核實(shí)新增記錄的真實(shí)性、完整性為主)。
查看門禁系統(tǒng)本身以及涉及的密碼產(chǎn)品(如動(dòng)態(tài)口令、智能密碼鑰匙、IC卡等)是否經(jīng)過國(guó)家密碼管理部門許可。
2、網(wǎng)絡(luò)和通信安全
(1)測(cè)評(píng)范圍:
交換機(jī)、堡壘機(jī)、應(yīng)用系統(tǒng)、網(wǎng)絡(luò)安全運(yùn)維人員、技術(shù)文檔;
(2)測(cè)評(píng)要求:
a)應(yīng)在通信前基于密碼技術(shù)對(duì)通信雙方進(jìn)行驗(yàn)證或認(rèn)證,使用密碼技術(shù)的機(jī)密性和真實(shí)性服務(wù)來實(shí)現(xiàn)防截獲、防假冒和防重用,保證傳輸過程中鑒別信息的機(jī)密性和網(wǎng)絡(luò)設(shè)備實(shí)體身份的真實(shí)性。
b)應(yīng)使用密碼技術(shù)的完整性服務(wù)來保證網(wǎng)絡(luò)邊界和系統(tǒng)資源訪問控制信息的完整性。
c)應(yīng)采用密碼技術(shù)保證通信過程中數(shù)據(jù)的完整性。
d)應(yīng)采用密碼技術(shù)保證通信過程中敏感信息數(shù)據(jù)字段或整個(gè)報(bào)文的機(jī)密性。
e)應(yīng)采用密碼技術(shù)建立一條安全的信息傳輸通道,對(duì)網(wǎng)絡(luò)中的安全設(shè)備或安全組件進(jìn)行集中管理。
f)宜采用符合GM/T 0028 的三級(jí)及以上密碼模塊或通過國(guó)家密碼管理部門核準(zhǔn)的硬件密碼產(chǎn)品實(shí)現(xiàn)密碼運(yùn)算和密鑰管理。
(3)測(cè)評(píng)方法:
接入點(diǎn)JA:在前置服務(wù)器前的外部接入交換機(jī)處接入,主要目的是捕獲通信數(shù)據(jù),分析數(shù)據(jù)交互雙方是否加密、通信密碼協(xié)議是否合規(guī),分析密碼服務(wù)是否合規(guī)、正確、有效。
查看網(wǎng)絡(luò)設(shè)備本身以及涉及的密碼產(chǎn)品(如動(dòng)態(tài)口令、智能密碼鑰匙、IC卡等)是否經(jīng)過國(guó)家密碼管理部門許可。
3、設(shè)備和計(jì)算安全
測(cè)評(píng)范圍:
交換機(jī)、堡壘機(jī)、系統(tǒng)管理員、數(shù)據(jù)庫(kù)管理員、業(yè)務(wù)服務(wù)器、數(shù)據(jù)庫(kù)服務(wù)器、證書服務(wù)器、密鑰管理服務(wù)器、技術(shù)文檔。
測(cè)評(píng)要求:
a)應(yīng)使用密碼技術(shù)對(duì)登錄的用戶進(jìn)行身份標(biāo)識(shí)和鑒別,身份標(biāo)識(shí)具有唯一性,身份鑒別信息具有復(fù)雜度要求并定期更換。
測(cè)評(píng)方法:
嘗試正常登錄和異常登錄(包括錯(cuò)誤的口令、不插入智能密碼鑰匙或插入未授權(quán)的智能密碼鑰匙等情況)情況下,是否按照預(yù)期結(jié)果完成身份鑒別。
測(cè)評(píng)要求:
b)在遠(yuǎn)程管理時(shí),應(yīng)使用密碼技術(shù)的機(jī)密性服務(wù)來實(shí)現(xiàn)鑒別信息的防竊聽。
測(cè)評(píng)方法:
在管理區(qū)JA交換機(jī)接入通信協(xié)議分析工具,查看用于設(shè)備管理涉及的管理員口令等鑒別數(shù)據(jù)和敏感數(shù)據(jù)在傳輸中是否進(jìn)行了機(jī)密性保護(hù)。
測(cè)評(píng)要求:
c)應(yīng)使用密碼技術(shù)的完整性服務(wù)來保證系統(tǒng)資源訪問控制信息的完整性。
測(cè)評(píng)方法:
在JB交換機(jī)接入通信協(xié)議分析工具捕獲通信數(shù)據(jù),分析業(yè)務(wù)服務(wù)器(內(nèi)置密碼模塊)是否被有效調(diào)用。嘗試修改訪問控制信息和日志記錄(或?qū)?yīng)的MAC),查看完整性保護(hù)機(jī)制的有效性。
測(cè)評(píng)要求:
d)應(yīng)使用密碼技術(shù)的完整性服務(wù)來保證重要信息資源敏感標(biāo)記的完整性。
測(cè)評(píng)方法:
核實(shí)“不適用”的論證依據(jù)。
測(cè)評(píng)要求:
e)應(yīng)采用可信計(jì)算技術(shù)建立從系統(tǒng)到應(yīng)用的信任鏈,實(shí)現(xiàn)系統(tǒng)運(yùn)行過程中重要程序或文件完整性保護(hù)。
測(cè)評(píng)方法:
1.嘗試修改訪問業(yè)務(wù)服務(wù)器上重要程序和文件,查看完整性保護(hù)機(jī)制的有效性。
2.獲取重要程序及其對(duì)應(yīng)數(shù)字簽名和數(shù)字證書(根據(jù)實(shí)際情況確定)。
3.不插入智能密碼鑰匙或插入未授權(quán)的智能密碼鑰匙(或其他鑒別設(shè)備、口令等),查看完整性保護(hù)機(jī)制的有效性。
測(cè)評(píng)要求:
f) 應(yīng)使用密碼技術(shù)的完整性功能來對(duì)日志記錄進(jìn)行完整性保護(hù)。
測(cè)評(píng)方法:
在JB交換機(jī)接入通信協(xié)議分析工具捕獲通信數(shù)據(jù),分析業(yè)務(wù)服務(wù)器(內(nèi)置密碼模塊)是否被有效調(diào)用。嘗試修改訪問控制信息和日志記錄(或?qū)?yīng)的MAC),查看完整性保護(hù)機(jī)制的有效性。
測(cè)評(píng)要求:
g)宜采用符合 GM/T 0028 的三級(jí)及以上密碼模塊或通過國(guó)家密碼管理部門核準(zhǔn)的硬件密碼產(chǎn)品實(shí)現(xiàn)密碼運(yùn)算和密鑰管理。
測(cè)評(píng)方法:
查看被測(cè)系統(tǒng)當(dāng)前設(shè)備及相關(guān)鑒別設(shè)備是否為通過國(guó)家密碼管理局認(rèn)可的產(chǎn)品。
4、應(yīng)用和數(shù)據(jù)安全
測(cè)評(píng)范圍:
應(yīng)用系統(tǒng)管理員、數(shù)據(jù)庫(kù)系統(tǒng)、XXX系統(tǒng)業(yè)務(wù)應(yīng)用、存儲(chǔ)各類密鑰的密鑰管理平臺(tái)、設(shè)計(jì)文檔。
測(cè)評(píng)要求:
a)應(yīng)使用密碼技術(shù)對(duì)登錄的用戶進(jìn)行身份標(biāo)識(shí)和鑒別,實(shí)現(xiàn)身份鑒別信息的防截獲、防假冒和防重用,保證應(yīng)用系統(tǒng)用戶身份的真實(shí)性。
測(cè)評(píng)方法:
1)查看設(shè)計(jì)文檔中身份鑒別采用的密碼技術(shù)及實(shí)現(xiàn)機(jī)制;
2)訪談應(yīng)用管理員,了解應(yīng)用系統(tǒng)在對(duì)用戶實(shí)施身份鑒別過程中是否使用了密碼技術(shù)來實(shí)現(xiàn)用戶身份信息的鑒別,具體采用了何種密碼技術(shù)和安全設(shè)備。
3)核查專用密碼產(chǎn)品,如密碼算法模塊、證書服務(wù)管理模塊等是否具有國(guó)家密碼管理部門批準(zhǔn)的商用密碼產(chǎn)品型號(hào)證書。
4)核查XXX系統(tǒng)用戶身份鑒別信息使用密碼技術(shù)的正確性和有效性;在接入點(diǎn)JA使用網(wǎng)絡(luò)協(xié)議分析工具,抓取報(bào)文,分析身份鑒別過程是否正確實(shí)現(xiàn)。
測(cè)評(píng)要求:
b)應(yīng)使用密碼技術(shù)的完整性服務(wù)來保證業(yè)務(wù)應(yīng)用系統(tǒng)訪問控制策略、數(shù)據(jù)庫(kù)表訪問控制信息和重要資源敏感標(biāo)記的完整性。
測(cè)評(píng)方法:
1) 核查是否使用密碼技術(shù)對(duì)訪問控制策略進(jìn)行完整性保護(hù)(如使用支持SM2/SM3/SM4算法的密碼機(jī)/密碼算法模塊執(zhí)行密碼運(yùn)算,對(duì)數(shù)據(jù)庫(kù)表訪問控制信息、重要資源敏感標(biāo)記進(jìn)行保護(hù));
測(cè)評(píng)要求:
c)應(yīng)采用密碼技術(shù)保證重要數(shù)據(jù)在傳輸過程中的機(jī)密性,包括但不限于鑒別數(shù)據(jù)、重要業(yè)務(wù)數(shù)據(jù)和重要用戶信息等。
測(cè)評(píng)方法:
1) 在接入點(diǎn)JA使用網(wǎng)絡(luò)協(xié)議分析工具和密碼算法合規(guī)性驗(yàn)證工具,捕獲通信數(shù)據(jù),分析系統(tǒng)是否使用SM4算法保證XXXX系統(tǒng)與XXXX之間交易數(shù)據(jù)傳輸機(jī)密性。
2) 查看系統(tǒng)所使用的密碼算法、國(guó)密算法模塊是否經(jīng)過了國(guó)家密碼管理部門核準(zhǔn);并截取相關(guān)關(guān)鍵數(shù)據(jù),作為證據(jù)材料。
測(cè)評(píng)要求:
d)應(yīng)采用密碼技術(shù)保證重要數(shù)據(jù)在存儲(chǔ)過程中的機(jī)密性,包括但不限于鑒別數(shù)據(jù)、重要業(yè)務(wù)數(shù)據(jù)和重要用戶信息等。
測(cè)評(píng)方法:
1) 在接入點(diǎn)JB接入網(wǎng)絡(luò)協(xié)議分析工具,捕獲業(yè)務(wù)服務(wù)器發(fā)往數(shù)據(jù)庫(kù)服務(wù)器的通信數(shù)據(jù),分析數(shù)據(jù)存儲(chǔ)是否進(jìn)行機(jī)密性保護(hù);
2)在接入點(diǎn)JB(業(yè)務(wù)服務(wù)器和密鑰管理平臺(tái)之間)接入網(wǎng)絡(luò)協(xié)議分析工具,捕獲通信數(shù)據(jù),分析密鑰管理平臺(tái)提供的加密功能是否被有效調(diào)用;
3) 查看系統(tǒng)所使用的密碼算法、密碼算法模塊是否經(jīng)過了國(guó)家密碼管理部門核準(zhǔn);并截取相關(guān)關(guān)鍵數(shù)據(jù),作為證據(jù)材料。
測(cè)評(píng)要求:
e)應(yīng)采用密碼技術(shù)保證重要數(shù)據(jù)在傳輸過程中的完整性,包括但不限于鑒別數(shù)據(jù)、重要業(yè)務(wù)數(shù)據(jù)、重要審計(jì)數(shù)據(jù)、重要配置數(shù)據(jù)、重要視頻數(shù)據(jù)和重要用戶信息等。
測(cè)評(píng)方法:
1) 通過JA工具接入點(diǎn)接入網(wǎng)絡(luò)協(xié)議分析工具和數(shù)字證書合規(guī)性驗(yàn)證工具,捕獲通信數(shù)據(jù),分析XXXX系統(tǒng)業(yè)務(wù)服務(wù)器與XXXX之間的通訊數(shù)據(jù)是否使用國(guó)密算法數(shù)字證書進(jìn)行簽名和完整性保護(hù)。
2) 查看系統(tǒng)所使用國(guó)家密碼管理局認(rèn)可的密碼算法、數(shù)字證書是否經(jīng)過了國(guó)家密碼管理部門核準(zhǔn);并截取相關(guān)關(guān)鍵數(shù)據(jù),作為證據(jù)材料。
測(cè)評(píng)要求:
f)應(yīng)采用密碼技術(shù)保證重要數(shù)據(jù)在存儲(chǔ)過程中的完整性,包括但不限于鑒別數(shù)據(jù)、重要業(yè)務(wù)數(shù)據(jù)、重要審計(jì)數(shù)據(jù)、重要配置數(shù)據(jù)、重要視頻數(shù)據(jù)和重要用戶信息、重要可執(zhí)行程序等。
測(cè)評(píng)方法:
1) 在接入點(diǎn)JB接入數(shù)據(jù)包捕獲工具,捕獲業(yè)務(wù)服務(wù)器發(fā)往數(shù)據(jù)庫(kù)服務(wù)器的通信數(shù)據(jù),分析數(shù)據(jù)存儲(chǔ)是否進(jìn)行完整性保護(hù)。
測(cè)評(píng)要求:
g)應(yīng)使用密碼技術(shù)的完整性功能來實(shí)現(xiàn)對(duì)日志記錄完整性的保護(hù)。
測(cè)評(píng)方法:
1) 在接入點(diǎn)JA接入數(shù)據(jù)包捕獲工具,捕獲業(yè)務(wù)服務(wù)器發(fā)往日志服務(wù)器的通信數(shù)據(jù),分析日志存儲(chǔ)是否進(jìn)行完整性保護(hù);2) 嘗試修改日志記錄(或?qū)?yīng)的MAC值),查看完整性保護(hù)機(jī)制的有效性。
測(cè)評(píng)要求:
h) 應(yīng)采用密碼技術(shù)對(duì)重要應(yīng)用程序的加載和卸載進(jìn)行安全控制。
測(cè)評(píng)方法:
1)核查系統(tǒng)對(duì)客戶端程序加載與卸載是否實(shí)現(xiàn)安全控制(如對(duì)重要程序文件使用SM3算法進(jìn)行HASH運(yùn)算、程序加載與卸載前對(duì)操作員身份進(jìn)行鑒別);
測(cè)評(píng)要求:
i) 宜采用符合 GM/T 0028 的三級(jí)及以上密碼模塊或通過國(guó)家密碼管理部門核準(zhǔn)的硬件密碼產(chǎn)品實(shí)現(xiàn)密碼運(yùn)算和密鑰管理。
測(cè)評(píng)方法:
查看被測(cè)系統(tǒng)當(dāng)前設(shè)備及相關(guān)鑒別設(shè)備是否為通過國(guó)家密碼管理局認(rèn)可的產(chǎn)品。
二、密碼管理
第三級(jí)信息系統(tǒng)密鑰管理應(yīng)包括對(duì)密鑰的生成、分發(fā)、導(dǎo)入、導(dǎo)出、使用、備份、恢復(fù)、歸檔、銷毀等環(huán)節(jié)進(jìn)行管理和策略制定的全過程,并滿足:
(a)密碼生成:
密鑰生成使用的隨機(jī)數(shù)應(yīng)符合GM/T 0005要求,密鑰應(yīng)在符合GM/T0028的密鑰模塊中產(chǎn)生;密鑰應(yīng)在密碼模塊內(nèi)部產(chǎn)生,不得以明文方式出現(xiàn)在密碼模塊之外;應(yīng)具備檢查和剔除弱密鑰的能力。
(b)密鑰存儲(chǔ):
密鑰應(yīng)加密存儲(chǔ),并采取嚴(yán)格的安全防護(hù)措施防止密鑰被非法獲??;密鑰加密密鑰應(yīng)存儲(chǔ)在符合GM/T 0028的二級(jí)以上密碼模塊中。
(c)密鑰分發(fā):
密鑰分發(fā)應(yīng)采取身份鑒別、數(shù)據(jù)完整性、數(shù)據(jù)機(jī)密性等安全措施,應(yīng)能夠抗截取、假冒、篡改、重放等攻擊,保證密鑰的安全性。
(d)密鑰導(dǎo)入與導(dǎo)出:
應(yīng)采取安全措施,防止密鑰導(dǎo)入導(dǎo)出時(shí)被非法獲取或篡改,并保證密鑰的正確性。
(e)密鑰使用:
密鑰應(yīng)明確用途,并按用途正確使用;對(duì)于公鑰密碼體制,在使用公鑰之前應(yīng)對(duì)其進(jìn)行驗(yàn)證;應(yīng)有安全措施防止密鑰的泄露和替換,密鑰泄露時(shí),應(yīng)停止使用,并啟動(dòng)相應(yīng)的應(yīng)急處理和響應(yīng)措施。應(yīng)按照密鑰更換周期要求更換密鑰;應(yīng)采取有效的安全措施,保證密鑰更換時(shí)的安全性。
(f)密鑰備份與恢復(fù):
應(yīng)制定明確的密鑰備份策略,采用安全可靠的密鑰備份恢復(fù)機(jī)制,對(duì)密鑰進(jìn)行備份或恢復(fù);密鑰備份或恢復(fù)應(yīng)進(jìn)行記錄,并生成審計(jì)信息;審計(jì)信息包括備份或恢復(fù)的主體、備份或恢復(fù)的時(shí)間等。
(g)密鑰歸檔:
應(yīng)采取有效的安全措施,保證歸檔密鑰的安全性和正確性;歸檔密鑰只能用于解密該密鑰加密的歷史信息或驗(yàn)證該密鑰簽名的歷史信息;密鑰歸檔應(yīng)進(jìn)行記錄,并生成審計(jì)信息;審計(jì)信息包括歸檔的密鑰、歸檔的時(shí)間等;歸檔密鑰應(yīng)進(jìn)行數(shù)據(jù)備份,并采用有效的安全保護(hù)措施。
(h)密鑰銷毀:
應(yīng)具有在緊急情況下銷毀密鑰的措施。
三、安全管理
1、制度:
a)應(yīng)制定密碼安全管理制度及操作規(guī)范、安全操作規(guī)范。密碼安全管理制度應(yīng)包括密碼建設(shè)、運(yùn)維、人員、設(shè)備、密鑰等密碼管理相關(guān)內(nèi)容。
b)應(yīng)定期對(duì)密碼安全管理制度的合理性和適用性進(jìn)行論證和審定,對(duì)存在不足或需要改進(jìn)的安全管理制度進(jìn)行修訂。
c)應(yīng)明確相關(guān)管理制度發(fā)布流程。
2、人員:
a)應(yīng)了解并遵守密碼相關(guān)法律法規(guī)。
b)應(yīng)能夠正確使用密碼產(chǎn)品。
c)應(yīng)根據(jù)相關(guān)密碼管理政策、數(shù)據(jù)安全保密政策,結(jié)合組織實(shí)際情況,設(shè)置密鑰管理人員、安全審計(jì)人員、密碼操作人員等關(guān)鍵崗位;建立相應(yīng)崗位責(zé)任制度,明確相關(guān)人員在安全系統(tǒng)中的職責(zé)和權(quán)限,對(duì)關(guān)鍵崗位建立多人共管機(jī)制;密鑰管理、安全審計(jì)、密碼操作人員職責(zé),互相制約互相監(jiān)督,相關(guān)設(shè)備與系統(tǒng)的管理和使用賬號(hào)不得多人共用。
d) 應(yīng)建立人員考核制度,定期進(jìn)行崗位人員考核,建立健全獎(jiǎng)懲制度。
e)應(yīng)建立人員培訓(xùn)制度,對(duì)于涉及密碼的操作和管理以及密鑰管理人員進(jìn)行專門培訓(xùn)。
f)應(yīng)建立關(guān)鍵崗位人員保密制度和調(diào)離制度,簽訂保密合同,承擔(dān)保密義務(wù)。
3、實(shí)施:
(1)規(guī)劃
a)信息系統(tǒng)規(guī)劃階段,責(zé)任單位應(yīng)依據(jù)密碼相關(guān)標(biāo)準(zhǔn),制定密碼應(yīng)用建設(shè)方案,組織專家進(jìn)行評(píng)審,評(píng)審意見作為項(xiàng)目規(guī)劃立項(xiàng)的重要材料。
通過專家審定后的方案應(yīng)作為建設(shè)、驗(yàn)收和測(cè)評(píng)的重要依據(jù)。
(2)建設(shè)
a)應(yīng)按照國(guó)家相關(guān)標(biāo)準(zhǔn),制定實(shí)施方案,方案內(nèi)容應(yīng)包括但不少于信息系統(tǒng)概述、安全需求分析、商用密碼系統(tǒng)設(shè)計(jì)方案、商用密碼產(chǎn)品清單(包括產(chǎn)品資質(zhì)、功能及性能列表和產(chǎn)品生產(chǎn)單位等)、商用密碼系統(tǒng)安全管理與維護(hù)策略、商用密碼系統(tǒng)實(shí)施計(jì)劃等。
b)應(yīng)選用經(jīng)國(guó)家密碼管理部門核準(zhǔn)的密碼產(chǎn)品、許可的密碼服務(wù)。
(3)運(yùn)行
a)信息系統(tǒng)投入運(yùn)行前,應(yīng)經(jīng)密碼測(cè)評(píng)機(jī)構(gòu)進(jìn)行安全性評(píng)估,評(píng)估通過方可投入正式運(yùn)行。
b)信息系統(tǒng)投入運(yùn)行后,責(zé)任單位每年應(yīng)委托密碼測(cè)評(píng)機(jī)構(gòu)開展密碼應(yīng)用安全性評(píng)估,并根據(jù)評(píng)估意見進(jìn)行整改;有重大安全隱患的,應(yīng)停止系統(tǒng)運(yùn)行,制定整改方案,整改完成并通過評(píng)估后方可投入運(yùn)行。
(4)應(yīng)急
a)制定應(yīng)急預(yù)案,做好應(yīng)急資源準(zhǔn)備,當(dāng)事件發(fā)生時(shí),按照應(yīng)急預(yù)案結(jié)合實(shí)際情況及時(shí)處置。
b)事件發(fā)生后,應(yīng)及時(shí)向信息系統(tǒng)的上級(jí)主管部門進(jìn)行報(bào)告。
c)事件處置完成后,應(yīng)及時(shí)向同級(jí)的密碼主管部門報(bào)告事件發(fā)生情況及處置情況。