今日頭條
官方微信
官方抖音
資訊頻道近日,在第九屆全國網(wǎng)絡(luò)安全等級保護測評體系建設(shè)會議上,東安檢測的網(wǎng)絡(luò)安全專家現(xiàn)場分享了《基于等保2.0要求的密碼測評經(jīng)驗分享》,以下是本次分享的重點內(nèi)容:
一、前言
隨著《中華人民共和國網(wǎng)絡(luò)安全法》、《中華人民共和國密碼法》和《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護基本要求》即等保2.0的相繼發(fā)布和正式實施,以及當下嚴峻的網(wǎng)絡(luò)安全形勢,網(wǎng)絡(luò)數(shù)據(jù)的保密性、完整性、可用性需求逐漸提高。密碼技術(shù)作為網(wǎng)絡(luò)安全的核心技術(shù),合理運用密碼技術(shù)可以達到防泄密、防篡改、防假冒和抗抵賴的需求。因此,創(chuàng)新發(fā)展和掌握網(wǎng)絡(luò)安全核心技術(shù),是牢牢掌握網(wǎng)絡(luò)安全主動權(quán),爭奪網(wǎng)絡(luò)空間話語權(quán)的重要舉措。與等保1.0相比,2.0提高了密碼技術(shù)的應用要求,對相關(guān)條款的測評方法也提出了更高的標準。
二、法律法規(guī)政策依據(jù)
2016年11月7日,《中華人民共和國網(wǎng)絡(luò)安全法》(以下簡稱“網(wǎng)絡(luò)安全法”)正式發(fā)布,2017年6月1日起施行;2019年12月1日,等保2.0開始實施;《中華人民共和國密碼法》(以下簡稱“密碼法”)于2019年10月26日通過表決,2020年1月1日起正式實施。這些法律法規(guī)有效地保障了網(wǎng)絡(luò)安全,維護了網(wǎng)絡(luò)空間主權(quán)和國家安全、社會公共利益,保護公民、法人和其他組織的合法權(quán)益,促進了經(jīng)濟社會信息化健康發(fā)展。
(一) 網(wǎng)絡(luò)安全法
“網(wǎng)絡(luò)安全法”總則第十條中明確,“維護網(wǎng)絡(luò)數(shù)據(jù)的完整性、保密性和可用性”。第二十一條中表明“國家實行網(wǎng)絡(luò)安全等級保護制度,保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問,防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改,且需要采取數(shù)據(jù)分類、重要數(shù)據(jù)備份和加密等措施”。以上內(nèi)容均可以通過正確、有效地使用密碼技術(shù)來滿足相應的需求,其中使用密碼技術(shù)對數(shù)據(jù)加密可以防數(shù)據(jù)泄露,使用密碼技術(shù)的完整性功能可以防止攻擊者對數(shù)據(jù)的篡改。
(二) 密碼法
“密碼法”是我國歷史上第一部密碼大法,旨在規(guī)范密碼應用和管理,促進密碼事業(yè)發(fā)展,保障網(wǎng)絡(luò)與信息安全。“密碼法”第八條表明“公民、法人和其他組織可以依法使用商用密碼保護網(wǎng)絡(luò)與信息安全”。第二十七條“法律、行政法規(guī)和國家有關(guān)規(guī)定要求使用商用密碼進行保護的關(guān)鍵信息基礎(chǔ)設(shè)施,其運營者應當使用商用密碼進行保護,自行或者委托商用密碼檢測機構(gòu)開展商用密碼應用安全性評估。商用密碼應用安全性評估應當與關(guān)鍵信息基礎(chǔ)設(shè)施安全檢測評估、網(wǎng)絡(luò)安全等級測評制度相銜接,避免重復評估、測評”。同時建立了以國產(chǎn)密碼為核心的密碼體系:1)國家建立和完善商用密碼標準體系;2)推進商用密碼檢測認證體系建設(shè);3)商用密碼產(chǎn)品的檢測認證;4)關(guān)鍵信息基礎(chǔ)設(shè)施由商用密碼檢測機構(gòu)開展商用密碼應用安全性評估;5)采用商用密碼技術(shù)從事電子政務(wù)電子認證服務(wù)。
(三) 等保2.0
“等保2.0”在傳統(tǒng)信息系統(tǒng)模型的基礎(chǔ)上不僅增加了新技術(shù)的擴展要求,保護對象覆蓋更全面,還強化了密碼技術(shù)的應用和管理要求,包括通信傳輸、數(shù)據(jù)存儲、身份鑒別、產(chǎn)品采購、使用和密鑰管理中均有密碼相關(guān)的要求。
隨著密碼法的發(fā)布和等保2.0強化了密碼方面的要求,我們有必要更好地使用密碼技術(shù)夯實安全基礎(chǔ)、滿足多方合規(guī)、保證整體安全。我們測評機構(gòu)也應加強對密碼相關(guān)要求項的測評,結(jié)合網(wǎng)絡(luò)安全法、密碼法和密碼相關(guān)的國家標準、行業(yè)標準,探索更合理的方式開展等保2.0密碼相關(guān)要求的測評。
三、等保2.0密碼條款與測評方法
(一) 密碼相關(guān)條款分布
以等保2.0的三級安全通用要求為例,在十個層面中,有五個層面,共十三個安全要求項包含了密碼技術(shù)和管理的要求。
(二) 相關(guān)條款及測評方法簡述
1. 安全通信網(wǎng)絡(luò)
8.1.2.2 通信傳輸a) 應采用校驗技術(shù)或密碼技術(shù)保證通信過程中數(shù)據(jù)的完整性。
8.1.2.2 通信傳輸b) 應采用密碼技術(shù)保證通信過程中數(shù)據(jù)的保密性。
在網(wǎng)絡(luò)通信中,通常需要對通信數(shù)據(jù)進行完整性驗證,從而防止通信過程中因線路故障或惡意攻擊導致的通信數(shù)據(jù)篡改;保密性則是對數(shù)據(jù)做加密處理,在網(wǎng)絡(luò)通信中實現(xiàn)防竊聽。主要檢查通信過程中使用的是何種加密傳輸協(xié)議,使用的算法套件是否具有安全隱患。
2. 安全計算環(huán)境
身份鑒別
8.1.4.1 身份鑒別c) 當進行遠程管理時,應采取必要的措施防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽。
若使用SSH或HTTPS協(xié)議進管理,且其中使用了安全的算法套件,通常都是符合的。對于應用系統(tǒng)可能在前端使用一些其他方式對用戶鑒別信息加密傳輸,并配合后端解密。這一點需要根據(jù)應用實際情況來看。
8.1.4.1 身份鑒別d) 應采用口令、密碼技術(shù)、生物技術(shù)等兩種或兩種以上組合的鑒別技術(shù)對用戶進行身份鑒別,且其中一種鑒別技術(shù)至少應使用密碼技術(shù)來實現(xiàn)。
采用雙因素進行身份鑒別,其中一種需使用密碼技術(shù)。這里的密碼技術(shù)包括且不僅包括動態(tài)口令、使用數(shù)字證書的智能密碼鑰匙或智能IC卡等。
動態(tài)口令技術(shù):應使用密碼技術(shù)生成動態(tài)口令(一次一密的HMAC)。若為手機短信驗證碼,也應使用密碼技術(shù)生成。
數(shù)字證書技術(shù):檢查智能密碼鑰匙、智能IC卡中的數(shù)字證書,并進行驗簽試驗。
數(shù)據(jù)傳輸完整性、保密性
8.1.4.7 數(shù)據(jù)完整性a) 應采用校驗技術(shù)或密碼技術(shù)保證重要數(shù)據(jù)在傳輸過程中的完整性,包括但不限于鑒別數(shù)據(jù)、重要業(yè)務(wù)數(shù)據(jù)、重要審計數(shù)據(jù)、重要配置數(shù)據(jù)、重要視頻數(shù)據(jù)和重要個人信息等。
8.1.4.8 數(shù)據(jù)保密性a) 應采用密碼技術(shù)保證重要數(shù)據(jù)在傳輸過程中的保密性,包括但不限于鑒別數(shù)據(jù)、重要業(yè)務(wù)數(shù)據(jù)和重要個人信息等;
對于管理設(shè)備和應用的數(shù)據(jù)傳輸,可以直接檢查其傳輸協(xié)議是否使用了加密協(xié)議。在內(nèi)網(wǎng)環(huán)境中,有些應用未使用加密協(xié)議,但是相關(guān)的重要信息使用了其他方式進行完整性或保密性保護,如使用信源加密代替信道加密。系統(tǒng)中使用數(shù)字簽名技術(shù)進行完整性保護時,則可以使用相應的公鑰對抓取的簽名結(jié)果進行驗證。
數(shù)據(jù)傳輸保密性:在加密機上截取加密前后的數(shù)據(jù),來驗證數(shù)據(jù)是否加密傳輸。若輸入和輸出加密機前后的數(shù)據(jù)分別是明、密文,且加密后的數(shù)據(jù)格式符合預期,則可以判定為符合。傳輸傳輸完整性:使用抓包工具截取數(shù)據(jù)包,模擬中間人攻擊,并將其中的重要數(shù)據(jù)篡改后發(fā)包,從而驗證系統(tǒng)是否可以探測數(shù)據(jù)包被破壞。
數(shù)據(jù)存儲完整性、保密性
8.1.4.7數(shù)據(jù)完整性b) 應采用校驗技術(shù)或密碼技術(shù)保證重要數(shù)據(jù)在存儲過程中的完整性,包括但不限于鑒別數(shù)據(jù)、重要業(yè)務(wù)數(shù)據(jù)、重要審計數(shù)據(jù)、重要配置數(shù)據(jù)、重要視頻數(shù)據(jù)和重要個人信息等。
8.1.4.8 數(shù)據(jù)保密性b) 應采用密碼技術(shù)保證重要數(shù)據(jù)在存儲過程中的保密性,包括但不限于鑒別數(shù)據(jù)、重要業(yè)務(wù)數(shù)據(jù)和重要個人信息等。
數(shù)據(jù)存儲完整性,通過檢查保護完整性的數(shù)據(jù)格式(如簽名長度、MAC長度)符合預期;數(shù)據(jù)存儲保密性,可以直接查看存儲數(shù)據(jù)是否為明文存儲,存儲的數(shù)據(jù)格式是否符合預期。
3. 安全管理中心
8.1.5.4 集中管控b) 應能夠建立一條安全的信息傳輸路徑,對網(wǎng)絡(luò)中的安全設(shè)備或安全組件進行管理。
檢查管理安全設(shè)備或安全組件前是否建立安全信息傳輸通道,如使用SSH、HTTPS協(xié)議的傳輸路徑。若使用了相應安全傳輸通道,檢查所使用的協(xié)議的密碼套件是否存在使用具有安全風險的密碼算法。
4. 安全建設(shè)管理
8.1.9.3 產(chǎn)品采購和使用b) 應確保密碼產(chǎn)品與服務(wù)的采購和使用符合國家密碼管理主管部門的要求。
檢查信息系統(tǒng)中所使用到的密碼產(chǎn)品或服務(wù)供應商是否具有國密局頒發(fā)的 “商用密碼產(chǎn)品銷售許可證”或 “電子認證服務(wù)使用密碼許可證”。
新出臺的“密碼法”的第26條也明確,重要的商用密碼產(chǎn)品,應當依法列入網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品目錄,由具備資格的機構(gòu)檢測認證合格后,方可銷售或者提供。商用密碼服務(wù)使用網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品的,也是要取得該商用密碼服務(wù)認證合格的。具體內(nèi)容可以之后參考“密碼法”相關(guān)內(nèi)容。
8.1.9.7 測試驗收b) 應進行上線前的安全性測試,并出具安全測試報告,安全測試報告應包含密碼應用安全性測試相關(guān)內(nèi)容。
訪談建設(shè)負責人和查閱相關(guān)安全測試報告,在系統(tǒng)上線前是否經(jīng)過由第三方檢測機構(gòu)進行密碼應用安全性測試。
5. 安全運維管理
8.1.10.9 密碼管理a) 應遵循密碼相關(guān)國家標準和行業(yè)標準。
8.1.10.9 密碼管理b) 應使用國家密碼管理部門認證核準的密碼技術(shù)和產(chǎn)品。
可以與相關(guān)負責人了解密鑰方面是如何管理的,是否遵循相關(guān)標準,并檢查系統(tǒng)中使用的密碼產(chǎn)品是否具有商用密碼產(chǎn)品型號證書。該證書中通常會說明該產(chǎn)品所遵循的規(guī)范等。
來源:浙江東安檢測技術(shù)有限公司密碼測評實驗室
北京市公安局海淀分局備案號:11010802023656號