今日頭條
官方微信
官方抖音
資訊頻道近日,在第九屆全國網絡安全等級保護測評體系建設會議上,東安檢測的網絡安全專家現場分享了《基于等保2.0要求的密碼測評經驗分享》,以下是本次分享的重點內容:
一、前言
隨著《中華人民共和國網絡安全法》、《中華人民共和國密碼法》和《信息安全技術 網絡安全等級保護基本要求》即等保2.0的相繼發布和正式實施,以及當下嚴峻的網絡安全形勢,網絡數據的保密性、完整性、可用性需求逐漸提高。密碼技術作為網絡安全的核心技術,合理運用密碼技術可以達到防泄密、防篡改、防假冒和抗抵賴的需求。因此,創新發展和掌握網絡安全核心技術,是牢牢掌握網絡安全主動權,爭奪網絡空間話語權的重要舉措。與等保1.0相比,2.0提高了密碼技術的應用要求,對相關條款的測評方法也提出了更高的標準。
二、法律法規政策依據
2016年11月7日,《中華人民共和國網絡安全法》(以下簡稱“網絡安全法”)正式發布,2017年6月1日起施行;2019年12月1日,等保2.0開始實施;《中華人民共和國密碼法》(以下簡稱“密碼法”)于2019年10月26日通過表決,2020年1月1日起正式實施。這些法律法規有效地保障了網絡安全,維護了網絡空間主權和國家安全、社會公共利益,保護公民、法人和其他組織的合法權益,促進了經濟社會信息化健康發展。
(一) 網絡安全法
“網絡安全法”總則第十條中明確,“維護網絡數據的完整性、保密性和可用性”。第二十一條中表明“國家實行網絡安全等級保護制度,保障網絡免受干擾、破壞或者未經授權的訪問,防止網絡數據泄露或者被竊取、篡改,且需要采取數據分類、重要數據備份和加密等措施”。以上內容均可以通過正確、有效地使用密碼技術來滿足相應的需求,其中使用密碼技術對數據加密可以防數據泄露,使用密碼技術的完整性功能可以防止攻擊者對數據的篡改。
(二) 密碼法
“密碼法”是我國歷史上第一部密碼大法,旨在規范密碼應用和管理,促進密碼事業發展,保障網絡與信息安全。“密碼法”第八條表明“公民、法人和其他組織可以依法使用商用密碼保護網絡與信息安全”。第二十七條“法律、行政法規和國家有關規定要求使用商用密碼進行保護的關鍵信息基礎設施,其運營者應當使用商用密碼進行保護,自行或者委托商用密碼檢測機構開展商用密碼應用安全性評估。商用密碼應用安全性評估應當與關鍵信息基礎設施安全檢測評估、網絡安全等級測評制度相銜接,避免重復評估、測評”。同時建立了以國產密碼為核心的密碼體系:1)國家建立和完善商用密碼標準體系;2)推進商用密碼檢測認證體系建設;3)商用密碼產品的檢測認證;4)關鍵信息基礎設施由商用密碼檢測機構開展商用密碼應用安全性評估;5)采用商用密碼技術從事電子政務電子認證服務。
(三) 等保2.0
“等保2.0”在傳統信息系統模型的基礎上不僅增加了新技術的擴展要求,保護對象覆蓋更全面,還強化了密碼技術的應用和管理要求,包括通信傳輸、數據存儲、身份鑒別、產品采購、使用和密鑰管理中均有密碼相關的要求。
隨著密碼法的發布和等保2.0強化了密碼方面的要求,我們有必要更好地使用密碼技術夯實安全基礎、滿足多方合規、保證整體安全。我們測評機構也應加強對密碼相關要求項的測評,結合網絡安全法、密碼法和密碼相關的國家標準、行業標準,探索更合理的方式開展等保2.0密碼相關要求的測評。
三、等保2.0密碼條款與測評方法
(一) 密碼相關條款分布
以等保2.0的三級安全通用要求為例,在十個層面中,有五個層面,共十三個安全要求項包含了密碼技術和管理的要求。
(二) 相關條款及測評方法簡述
1. 安全通信網絡
8.1.2.2 通信傳輸a) 應采用校驗技術或密碼技術保證通信過程中數據的完整性。
8.1.2.2 通信傳輸b) 應采用密碼技術保證通信過程中數據的保密性。
在網絡通信中,通常需要對通信數據進行完整性驗證,從而防止通信過程中因線路故障或惡意攻擊導致的通信數據篡改;保密性則是對數據做加密處理,在網絡通信中實現防竊聽。主要檢查通信過程中使用的是何種加密傳輸協議,使用的算法套件是否具有安全隱患。
2. 安全計算環境
身份鑒別
8.1.4.1 身份鑒別c) 當進行遠程管理時,應采取必要的措施防止鑒別信息在網絡傳輸過程中被竊聽。
若使用SSH或HTTPS協議進管理,且其中使用了安全的算法套件,通常都是符合的。對于應用系統可能在前端使用一些其他方式對用戶鑒別信息加密傳輸,并配合后端解密。這一點需要根據應用實際情況來看。
8.1.4.1 身份鑒別d) 應采用口令、密碼技術、生物技術等兩種或兩種以上組合的鑒別技術對用戶進行身份鑒別,且其中一種鑒別技術至少應使用密碼技術來實現。
采用雙因素進行身份鑒別,其中一種需使用密碼技術。這里的密碼技術包括且不僅包括動態口令、使用數字證書的智能密碼鑰匙或智能IC卡等。
動態口令技術:應使用密碼技術生成動態口令(一次一密的HMAC)。若為手機短信驗證碼,也應使用密碼技術生成。
數字證書技術:檢查智能密碼鑰匙、智能IC卡中的數字證書,并進行驗簽試驗。
數據傳輸完整性、保密性
8.1.4.7 數據完整性a) 應采用校驗技術或密碼技術保證重要數據在傳輸過程中的完整性,包括但不限于鑒別數據、重要業務數據、重要審計數據、重要配置數據、重要視頻數據和重要個人信息等。
8.1.4.8 數據保密性a) 應采用密碼技術保證重要數據在傳輸過程中的保密性,包括但不限于鑒別數據、重要業務數據和重要個人信息等;
對于管理設備和應用的數據傳輸,可以直接檢查其傳輸協議是否使用了加密協議。在內網環境中,有些應用未使用加密協議,但是相關的重要信息使用了其他方式進行完整性或保密性保護,如使用信源加密代替信道加密。系統中使用數字簽名技術進行完整性保護時,則可以使用相應的公鑰對抓取的簽名結果進行驗證。
數據傳輸保密性:在加密機上截取加密前后的數據,來驗證數據是否加密傳輸。若輸入和輸出加密機前后的數據分別是明、密文,且加密后的數據格式符合預期,則可以判定為符合。傳輸傳輸完整性:使用抓包工具截取數據包,模擬中間人攻擊,并將其中的重要數據篡改后發包,從而驗證系統是否可以探測數據包被破壞。
數據存儲完整性、保密性
8.1.4.7數據完整性b) 應采用校驗技術或密碼技術保證重要數據在存儲過程中的完整性,包括但不限于鑒別數據、重要業務數據、重要審計數據、重要配置數據、重要視頻數據和重要個人信息等。
8.1.4.8 數據保密性b) 應采用密碼技術保證重要數據在存儲過程中的保密性,包括但不限于鑒別數據、重要業務數據和重要個人信息等。
數據存儲完整性,通過檢查保護完整性的數據格式(如簽名長度、MAC長度)符合預期;數據存儲保密性,可以直接查看存儲數據是否為明文存儲,存儲的數據格式是否符合預期。
3. 安全管理中心
8.1.5.4 集中管控b) 應能夠建立一條安全的信息傳輸路徑,對網絡中的安全設備或安全組件進行管理。
檢查管理安全設備或安全組件前是否建立安全信息傳輸通道,如使用SSH、HTTPS協議的傳輸路徑。若使用了相應安全傳輸通道,檢查所使用的協議的密碼套件是否存在使用具有安全風險的密碼算法。
4. 安全建設管理
8.1.9.3 產品采購和使用b) 應確保密碼產品與服務的采購和使用符合國家密碼管理主管部門的要求。
檢查信息系統中所使用到的密碼產品或服務供應商是否具有國密局頒發的 “商用密碼產品銷售許可證”或 “電子認證服務使用密碼許可證”。
新出臺的“密碼法”的第26條也明確,重要的商用密碼產品,應當依法列入網絡關鍵設備和網絡安全專用產品目錄,由具備資格的機構檢測認證合格后,方可銷售或者提供。商用密碼服務使用網絡關鍵設備和網絡安全專用產品的,也是要取得該商用密碼服務認證合格的。具體內容可以之后參考“密碼法”相關內容。
8.1.9.7 測試驗收b) 應進行上線前的安全性測試,并出具安全測試報告,安全測試報告應包含密碼應用安全性測試相關內容。
訪談建設負責人和查閱相關安全測試報告,在系統上線前是否經過由第三方檢測機構進行密碼應用安全性測試。
5. 安全運維管理
8.1.10.9 密碼管理a) 應遵循密碼相關國家標準和行業標準。
8.1.10.9 密碼管理b) 應使用國家密碼管理部門認證核準的密碼技術和產品。
可以與相關負責人了解密鑰方面是如何管理的,是否遵循相關標準,并檢查系統中使用的密碼產品是否具有商用密碼產品型號證書。該證書中通常會說明該產品所遵循的規范等。
來源:浙江東安檢測技術有限公司密碼測評實驗室
北京市公安局海淀分局備案號:11010802023656號