第九届全国网络安全等级保护测评体系建设会议上,东安检测的网络安全专家跟大家分享了《基于等保2.0要求的密码测评经验分享》,以下是本次分享的重点内容:
一、前言
随着《中华人民共和国网络安全法》、《中华人民共和国密码法》和《信息安全技术 网络安全等级保护基本要求》即等保2.0的相继发布和正式实施,以及当下严峻的网络安全形势,网络数据的保密性、完整性、可用性需求逐渐提高。密码技术作为网络安全的核心技术,合理运用密码技术可以达到防泄密、防篡改、防假冒和抗抵赖的需求。因此,创新发展和掌握网络安全核心技术,是牢牢掌握网络安全主动权,争夺网络空间话语权的重要举措。与等保1.0相比,2.0提高了密码技术的应用要求,对相关条款的测评方法也提出了更高的标准。
二、法律法规政策依据
2016年11月7日,《中华人民共和国网络安全法》(以下简称“网络安全法”)正式发布,2017年6月1日起施行;2019年12月1日,等保2.0开始实施;《中华人民共和国密码法》(以下简称“密码法”)于2019年10月26日通过表决,2020年1月1日起正式实施。这些法律法规有效地保障了网络安全,维护了网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,促进了经济社会信息化健康发展。
(一) 网络安全法
“网络安全法”总则第十条中明确,“维护网络数据的完整性、保密性和可用性”。第二十一条中表明“国家实行网络安全等级保护制度,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改,且需要采取数据分类、重要数据备份和加密等措施”。以上内容均可以通过正确、有效地使用密码技术来满足相应的需求,其中使用密码技术对数据加密可以防数据泄露,使用密码技术的完整性功能可以防止攻击者对数据的篡改。
(二) 密码法
“密码法”是我国历史上第一部密码大法,旨在规范密码应用和管理,促进密码事业发展,保障网络与信息安全。“密码法”第八条表明“公民、法人和其他组织可以依法使用商用密码保护网络与信息安全”。第二十七条“法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码进行保护,自行或者委托商用密码检测机构开展商用密码应用安全性评估。商用密码应用安全性评估应当与关键信息基础设施安全检测评估、网络安全等级测评制度相衔接,避免重复评估、测评”。同时建立了以国产密码为核心的密码体系:
1)国家建立和完善商用密码标准体系;
2)推进商用密码检测认证体系建设;
3)商用密码产品的检测认证;
4)关键信息基础设施由商用密码检测机构开展商用密码应用安全性评估;
5)采用商用密码技术从事电子政务电子认证服务。
(三) 等保2.0
“等保2.0”在传统信息系统模型的基础上不仅增加了新技术的扩展要求,保护对象覆盖更全面,还强化了密码技术的应用和管理要求,包括通信传输、数据存储、身份鉴别、产品采购、使用和密钥管理中均有密码相关的要求。
随着密码法的发布和等保2.0强化了密码方面的要求,我们有必要更好地使用密码技术夯实安全基础、满足多方合规、保证整体安全。我们测评机构也应加强对密码相关要求项的测评,结合网络安全法、密码法和密码相关的国家标准、行业标准,探索更合理的方式开展等保2.0密码相关要求的测评。
三、等保2.0密码条款与测评方法
(一) 密码相关条款分布
以等保2.0的三级安全通用要求为例,在十个层面中,有五个层面,共十三个安全要求项包含了密码技术和管理的要求。
(二) 相关条款及测评方法简述
1. 安全通信网络
8.1.2.2 通信传输a) 应采用校验技术或密码技术保证通信过程中数据的完整性。
8.1.2.2 通信传输b) 应采用密码技术保证通信过程中数据的保密性。
在网络通信中,通常需要对通信数据进行完整性验证,从而防止通信过程中因线路故障或恶意攻击导致的通信数据篡改;保密性则是对数据做加密处理,在网络通信中实现防窃听。主要检查通信过程中使用的是何种加密传输协议,使用的算法套件是否具有安全隐患。
2. 安全计算环境
身份鉴别
8.1.4.1 身份鉴别c) 当进行远程管理时,应采取必要的措施防止鉴别信息在网络传输过程中被窃听。
若使用SSH或HTTPS协议进管理,且其中使用了安全的算法套件,通常都是符合的。对于应用系统可能在前端使用一些其他方式对用户鉴别信息加密传输,并配合后端解密。这一点需要根据应用实际情况来看。
8.1.4.1 身份鉴别d) 应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现。
采用双因素进行身份鉴别,其中一种需使用密码技术。这里的密码技术包括且不仅包括动态口令、使用数字证书的智能密码钥匙或智能IC卡等等。
动态口令技术:应使用密码技术生成动态口令(一次一密的HMAC)。若为手机短信验证码,也应使用密码技术生成。
数字证书技术:检查智能密码钥匙、智能IC卡中的数字证书,并进行验签试验。
数据传输完整性、保密性
8.1.4.7 数据完整性a) 应采用校验技术或密码技术保证重要数据在传输过程中的完整性,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等。
8.1.4.8 数据保密性a) 应采用密码技术保证重要数据在传输过程中的保密性,包括但不限于鉴别数据、重要业务数据和重要个人信息等;
对于管理设备和应用的数据传输,可以直接检查其传输协议是否使用了加密协议。在内网环境中,有些应用未使用加密协议,但是相关的重要信息使用了其他方式进行完整性或保密性保护,如使用信源加密代替信道加密。系统中使用数字签名技术进行完整性保护时,则可以使用相应的公钥对抓取的签名结果进行验证。
数据传输保密性:在加密机上截取加密前后的数据,来验证数据是否加密传输。若输入和输出加密机前后的数据分别是明、密文,且加密后的数据格式符合预期,则可以判定为符合。传输传输完整性:使用抓包工具截取数据包,模拟中间人攻击,并将其中的重要数据篡改后发包,从而验证系统是否可以探测数据包被破坏。
数据存储完整性、保密性
8.1.4.7数据完整性b) 应采用校验技术或密码技术保证重要数据在存储过程中的完整性,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等。
8.1.4.8 数据保密性b) 应采用密码技术保证重要数据在存储过程中的保密性,包括但不限于鉴别数据、重要业务数据和重要个人信息等。
数据存储完整性,通过检查保护完整性的数据格式(如签名长度、MAC长度)符合预期;数据存储保密性,可以直接查看存储数据是否为明文存储,存储的数据格式是否符合预期。
3. 安全管理中心
8.1.5.4 集中管控b) 应能够建立一条安全的信息传输路径,对网络中的安全设备或安全组件进行管理。
检查管理安全设备或安全组件前是否建立安全信息传输通道,如使用SSH、HTTPS协议的传输路径。若使用了相应安全传输通道,检查所使用的协议的密码套件是否存在使用具有安全风险的密码算法。
4. 安全建设管理
8.1.9.3 产品采购和使用b) 应确保密码产品与服务的采购和使用符合国家密码管理主管部门的要求。
检查信息系统中所使用到的密码产品或服务供应商是否具有国密局颁发的 “商用密码产品销售许可证”或 “电子认证服务使用密码许可证”。
新出台的“密码法”的第26条也明确,重要的商用密码产品,应当依法列入网络关键设备和网络安全专用产品目录,由具备资格的机构检测认证合格后,方可销售或者提供。商用密码服务使用网络关键设备和网络安全专用产品的,也是要取得该商用密码服务认证合格的。具体内容可以之后参考“密码法”相关内容。
8.1.9.7 测试验收b) 应进行上线前的安全性测试,并出具安全测试报告,安全测试报告应包含密码应用安全性测试相关内容。
访谈建设负责人和查阅相关安全测试报告,在系统上线前是否经过由第三方检测机构进行密码应用安全性测试。
5. 安全运维管理
8.1.10.9 密码管理a) 应遵循密码相关国家标准和行业标准。
8.1.10.9 密码管理b) 应使用国家密码管理部门认证核准的密码技术和产品。
可以与相关负责人了解密钥方面是如何管理的,是否遵循相关标准,并检查系统中使用的密码产品是否具有商用密码产品型号证书。该证书中通常会说明该产品所遵循的规范等。