今日頭條
官方微信
官方抖音
資訊頻道近日,在第九屆全國網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)體系建設(shè)會(huì)議上,東安檢測(cè)的網(wǎng)絡(luò)安全專家現(xiàn)場(chǎng)分享了《基于等保2.0要求的密碼測(cè)評(píng)經(jīng)驗(yàn)分享》,以下是本次分享的重點(diǎn)內(nèi)容:
一、前言
隨著《中華人民共和國網(wǎng)絡(luò)安全法》、《中華人民共和國密碼法》和《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》即等保2.0的相繼發(fā)布和正式實(shí)施,以及當(dāng)下嚴(yán)峻的網(wǎng)絡(luò)安全形勢(shì),網(wǎng)絡(luò)數(shù)據(jù)的保密性、完整性、可用性需求逐漸提高。密碼技術(shù)作為網(wǎng)絡(luò)安全的核心技術(shù),合理運(yùn)用密碼技術(shù)可以達(dá)到防泄密、防篡改、防假冒和抗抵賴的需求。因此,創(chuàng)新發(fā)展和掌握網(wǎng)絡(luò)安全核心技術(shù),是牢牢掌握網(wǎng)絡(luò)安全主動(dòng)權(quán),爭(zhēng)奪網(wǎng)絡(luò)空間話語權(quán)的重要舉措。與等保1.0相比,2.0提高了密碼技術(shù)的應(yīng)用要求,對(duì)相關(guān)條款的測(cè)評(píng)方法也提出了更高的標(biāo)準(zhǔn)。
二、法律法規(guī)政策依據(jù)
2016年11月7日,《中華人民共和國網(wǎng)絡(luò)安全法》(以下簡稱“網(wǎng)絡(luò)安全法”)正式發(fā)布,2017年6月1日起施行;2019年12月1日,等保2.0開始實(shí)施;《中華人民共和國密碼法》(以下簡稱“密碼法”)于2019年10月26日通過表決,2020年1月1日起正式實(shí)施。這些法律法規(guī)有效地保障了網(wǎng)絡(luò)安全,維護(hù)了網(wǎng)絡(luò)空間主權(quán)和國家安全、社會(huì)公共利益,保護(hù)公民、法人和其他組織的合法權(quán)益,促進(jìn)了經(jīng)濟(jì)社會(huì)信息化健康發(fā)展。
(一) 網(wǎng)絡(luò)安全法
“網(wǎng)絡(luò)安全法”總則第十條中明確,“維護(hù)網(wǎng)絡(luò)數(shù)據(jù)的完整性、保密性和可用性”。第二十一條中表明“國家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度,保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問,防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改,且需要采取數(shù)據(jù)分類、重要數(shù)據(jù)備份和加密等措施”。以上內(nèi)容均可以通過正確、有效地使用密碼技術(shù)來滿足相應(yīng)的需求,其中使用密碼技術(shù)對(duì)數(shù)據(jù)加密可以防數(shù)據(jù)泄露,使用密碼技術(shù)的完整性功能可以防止攻擊者對(duì)數(shù)據(jù)的篡改。
(二) 密碼法
“密碼法”是我國歷史上第一部密碼大法,旨在規(guī)范密碼應(yīng)用和管理,促進(jìn)密碼事業(yè)發(fā)展,保障網(wǎng)絡(luò)與信息安全。“密碼法”第八條表明“公民、法人和其他組織可以依法使用商用密碼保護(hù)網(wǎng)絡(luò)與信息安全”。第二十七條“法律、行政法規(guī)和國家有關(guān)規(guī)定要求使用商用密碼進(jìn)行保護(hù)的關(guān)鍵信息基礎(chǔ)設(shè)施,其運(yùn)營者應(yīng)當(dāng)使用商用密碼進(jìn)行保護(hù),自行或者委托商用密碼檢測(cè)機(jī)構(gòu)開展商用密碼應(yīng)用安全性評(píng)估。商用密碼應(yīng)用安全性評(píng)估應(yīng)當(dāng)與關(guān)鍵信息基礎(chǔ)設(shè)施安全檢測(cè)評(píng)估、網(wǎng)絡(luò)安全等級(jí)測(cè)評(píng)制度相銜接,避免重復(fù)評(píng)估、測(cè)評(píng)”。同時(shí)建立了以國產(chǎn)密碼為核心的密碼體系:1)國家建立和完善商用密碼標(biāo)準(zhǔn)體系;2)推進(jìn)商用密碼檢測(cè)認(rèn)證體系建設(shè);3)商用密碼產(chǎn)品的檢測(cè)認(rèn)證;4)關(guān)鍵信息基礎(chǔ)設(shè)施由商用密碼檢測(cè)機(jī)構(gòu)開展商用密碼應(yīng)用安全性評(píng)估;5)采用商用密碼技術(shù)從事電子政務(wù)電子認(rèn)證服務(wù)。
(三) 等保2.0
“等保2.0”在傳統(tǒng)信息系統(tǒng)模型的基礎(chǔ)上不僅增加了新技術(shù)的擴(kuò)展要求,保護(hù)對(duì)象覆蓋更全面,還強(qiáng)化了密碼技術(shù)的應(yīng)用和管理要求,包括通信傳輸、數(shù)據(jù)存儲(chǔ)、身份鑒別、產(chǎn)品采購、使用和密鑰管理中均有密碼相關(guān)的要求。
隨著密碼法的發(fā)布和等保2.0強(qiáng)化了密碼方面的要求,我們有必要更好地使用密碼技術(shù)夯實(shí)安全基礎(chǔ)、滿足多方合規(guī)、保證整體安全。我們測(cè)評(píng)機(jī)構(gòu)也應(yīng)加強(qiáng)對(duì)密碼相關(guān)要求項(xiàng)的測(cè)評(píng),結(jié)合網(wǎng)絡(luò)安全法、密碼法和密碼相關(guān)的國家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn),探索更合理的方式開展等保2.0密碼相關(guān)要求的測(cè)評(píng)。
三、等保2.0密碼條款與測(cè)評(píng)方法
(一) 密碼相關(guān)條款分布
以等保2.0的三級(jí)安全通用要求為例,在十個(gè)層面中,有五個(gè)層面,共十三個(gè)安全要求項(xiàng)包含了密碼技術(shù)和管理的要求。
(二) 相關(guān)條款及測(cè)評(píng)方法簡述
1. 安全通信網(wǎng)絡(luò)
8.1.2.2 通信傳輸a) 應(yīng)采用校驗(yàn)技術(shù)或密碼技術(shù)保證通信過程中數(shù)據(jù)的完整性。
8.1.2.2 通信傳輸b) 應(yīng)采用密碼技術(shù)保證通信過程中數(shù)據(jù)的保密性。
在網(wǎng)絡(luò)通信中,通常需要對(duì)通信數(shù)據(jù)進(jìn)行完整性驗(yàn)證,從而防止通信過程中因線路故障或惡意攻擊導(dǎo)致的通信數(shù)據(jù)篡改;保密性則是對(duì)數(shù)據(jù)做加密處理,在網(wǎng)絡(luò)通信中實(shí)現(xiàn)防竊聽。主要檢查通信過程中使用的是何種加密傳輸協(xié)議,使用的算法套件是否具有安全隱患。
2. 安全計(jì)算環(huán)境
身份鑒別
8.1.4.1 身份鑒別c) 當(dāng)進(jìn)行遠(yuǎn)程管理時(shí),應(yīng)采取必要的措施防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽。
若使用SSH或HTTPS協(xié)議進(jìn)管理,且其中使用了安全的算法套件,通常都是符合的。對(duì)于應(yīng)用系統(tǒng)可能在前端使用一些其他方式對(duì)用戶鑒別信息加密傳輸,并配合后端解密。這一點(diǎn)需要根據(jù)應(yīng)用實(shí)際情況來看。
8.1.4.1 身份鑒別d) 應(yīng)采用口令、密碼技術(shù)、生物技術(shù)等兩種或兩種以上組合的鑒別技術(shù)對(duì)用戶進(jìn)行身份鑒別,且其中一種鑒別技術(shù)至少應(yīng)使用密碼技術(shù)來實(shí)現(xiàn)。
采用雙因素進(jìn)行身份鑒別,其中一種需使用密碼技術(shù)。這里的密碼技術(shù)包括且不僅包括動(dòng)態(tài)口令、使用數(shù)字證書的智能密碼鑰匙或智能IC卡等。
動(dòng)態(tài)口令技術(shù):應(yīng)使用密碼技術(shù)生成動(dòng)態(tài)口令(一次一密的HMAC)。若為手機(jī)短信驗(yàn)證碼,也應(yīng)使用密碼技術(shù)生成。
數(shù)字證書技術(shù):檢查智能密碼鑰匙、智能IC卡中的數(shù)字證書,并進(jìn)行驗(yàn)簽試驗(yàn)。
數(shù)據(jù)傳輸完整性、保密性
8.1.4.7 數(shù)據(jù)完整性a) 應(yīng)采用校驗(yàn)技術(shù)或密碼技術(shù)保證重要數(shù)據(jù)在傳輸過程中的完整性,包括但不限于鑒別數(shù)據(jù)、重要業(yè)務(wù)數(shù)據(jù)、重要審計(jì)數(shù)據(jù)、重要配置數(shù)據(jù)、重要視頻數(shù)據(jù)和重要個(gè)人信息等。
8.1.4.8 數(shù)據(jù)保密性a) 應(yīng)采用密碼技術(shù)保證重要數(shù)據(jù)在傳輸過程中的保密性,包括但不限于鑒別數(shù)據(jù)、重要業(yè)務(wù)數(shù)據(jù)和重要個(gè)人信息等;
對(duì)于管理設(shè)備和應(yīng)用的數(shù)據(jù)傳輸,可以直接檢查其傳輸協(xié)議是否使用了加密協(xié)議。在內(nèi)網(wǎng)環(huán)境中,有些應(yīng)用未使用加密協(xié)議,但是相關(guān)的重要信息使用了其他方式進(jìn)行完整性或保密性保護(hù),如使用信源加密代替信道加密。系統(tǒng)中使用數(shù)字簽名技術(shù)進(jìn)行完整性保護(hù)時(shí),則可以使用相應(yīng)的公鑰對(duì)抓取的簽名結(jié)果進(jìn)行驗(yàn)證。
數(shù)據(jù)傳輸保密性:在加密機(jī)上截取加密前后的數(shù)據(jù),來驗(yàn)證數(shù)據(jù)是否加密傳輸。若輸入和輸出加密機(jī)前后的數(shù)據(jù)分別是明、密文,且加密后的數(shù)據(jù)格式符合預(yù)期,則可以判定為符合。傳輸傳輸完整性:使用抓包工具截取數(shù)據(jù)包,模擬中間人攻擊,并將其中的重要數(shù)據(jù)篡改后發(fā)包,從而驗(yàn)證系統(tǒng)是否可以探測(cè)數(shù)據(jù)包被破壞。
數(shù)據(jù)存儲(chǔ)完整性、保密性
8.1.4.7數(shù)據(jù)完整性b) 應(yīng)采用校驗(yàn)技術(shù)或密碼技術(shù)保證重要數(shù)據(jù)在存儲(chǔ)過程中的完整性,包括但不限于鑒別數(shù)據(jù)、重要業(yè)務(wù)數(shù)據(jù)、重要審計(jì)數(shù)據(jù)、重要配置數(shù)據(jù)、重要視頻數(shù)據(jù)和重要個(gè)人信息等。
8.1.4.8 數(shù)據(jù)保密性b) 應(yīng)采用密碼技術(shù)保證重要數(shù)據(jù)在存儲(chǔ)過程中的保密性,包括但不限于鑒別數(shù)據(jù)、重要業(yè)務(wù)數(shù)據(jù)和重要個(gè)人信息等。
數(shù)據(jù)存儲(chǔ)完整性,通過檢查保護(hù)完整性的數(shù)據(jù)格式(如簽名長度、MAC長度)符合預(yù)期;數(shù)據(jù)存儲(chǔ)保密性,可以直接查看存儲(chǔ)數(shù)據(jù)是否為明文存儲(chǔ),存儲(chǔ)的數(shù)據(jù)格式是否符合預(yù)期。
3. 安全管理中心
8.1.5.4 集中管控b) 應(yīng)能夠建立一條安全的信息傳輸路徑,對(duì)網(wǎng)絡(luò)中的安全設(shè)備或安全組件進(jìn)行管理。
檢查管理安全設(shè)備或安全組件前是否建立安全信息傳輸通道,如使用SSH、HTTPS協(xié)議的傳輸路徑。若使用了相應(yīng)安全傳輸通道,檢查所使用的協(xié)議的密碼套件是否存在使用具有安全風(fēng)險(xiǎn)的密碼算法。
4. 安全建設(shè)管理
8.1.9.3 產(chǎn)品采購和使用b) 應(yīng)確保密碼產(chǎn)品與服務(wù)的采購和使用符合國家密碼管理主管部門的要求。
檢查信息系統(tǒng)中所使用到的密碼產(chǎn)品或服務(wù)供應(yīng)商是否具有國密局頒發(fā)的 “商用密碼產(chǎn)品銷售許可證”或 “電子認(rèn)證服務(wù)使用密碼許可證”。
新出臺(tái)的“密碼法”的第26條也明確,重要的商用密碼產(chǎn)品,應(yīng)當(dāng)依法列入網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品目錄,由具備資格的機(jī)構(gòu)檢測(cè)認(rèn)證合格后,方可銷售或者提供。商用密碼服務(wù)使用網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品的,也是要取得該商用密碼服務(wù)認(rèn)證合格的。具體內(nèi)容可以之后參考“密碼法”相關(guān)內(nèi)容。
8.1.9.7 測(cè)試驗(yàn)收b) 應(yīng)進(jìn)行上線前的安全性測(cè)試,并出具安全測(cè)試報(bào)告,安全測(cè)試報(bào)告應(yīng)包含密碼應(yīng)用安全性測(cè)試相關(guān)內(nèi)容。
訪談建設(shè)負(fù)責(zé)人和查閱相關(guān)安全測(cè)試報(bào)告,在系統(tǒng)上線前是否經(jīng)過由第三方檢測(cè)機(jī)構(gòu)進(jìn)行密碼應(yīng)用安全性測(cè)試。
5. 安全運(yùn)維管理
8.1.10.9 密碼管理a) 應(yīng)遵循密碼相關(guān)國家標(biāo)準(zhǔn)和行業(yè)標(biāo)準(zhǔn)。
8.1.10.9 密碼管理b) 應(yīng)使用國家密碼管理部門認(rèn)證核準(zhǔn)的密碼技術(shù)和產(chǎn)品。
可以與相關(guān)負(fù)責(zé)人了解密鑰方面是如何管理的,是否遵循相關(guān)標(biāo)準(zhǔn),并檢查系統(tǒng)中使用的密碼產(chǎn)品是否具有商用密碼產(chǎn)品型號(hào)證書。該證書中通常會(huì)說明該產(chǎn)品所遵循的規(guī)范等。
來源:浙江東安檢測(cè)技術(shù)有限公司密碼測(cè)評(píng)實(shí)驗(yàn)室
北京市公安局海淀分局備案號(hào):11010802023656號(hào)