公司密评培训 - 2023/09/23
本文是公司质量部杨总组织的密评培训第四课《商用密码应用与安全性评估》的讲义,著作权归属于杨总,博主仅为适配 post 修改格式。
密码应用安全性评估包括:信息系统规划阶段对密码应用方案的评审/评估、建设完成后对信息系统开展的实际测评。
密码应用方案设计
密码应用方案设计原则:总体性原则、科学性原则、完备性原则、可行性原则
密码应用方案包括:密码应用解决方案、实施方案和应急处置方案。
密码应用基本要求
技术框架
密码应用基本要求标准中,密码应用技术框架分为:通用测评要求、密码应用技术要求和密码应用管理要求。
通用要求
- 密码算法
- 密码技术
- 密码产品和服务
在 GB/T 39786-2021 标准中,通用要求为如上三项。但在 GM/T 0115-2021 测评要求标准文件中,通用测评要求扩展为如下五项:
- 密码算法合规性
- 密码技术合规性
- 密码产品合规性
- 密码服务合规性
- 密钥管理安全性
不过这部分内容用于指导后续技术要求和管理要求的实施,不单独实施测评,也不单独体现在密码应用安全性评估报告的单元测评结果和整体测评结果中。例如 6.1.1 物理和环境安全层面身份鉴别测评第一项指标,测评实施过程中需要核查密码算法和密码技术是否符合 5.1 和 5.2,核查密码产品、密码服务和密钥管理是否符合 5.3、5.4 和 5.5。
其中,密码算法部分,三种类型的密码算法满足条款要求:
- 以国家标准或国家密码行业标准形式公开发布的密码算法
- 为特定行业、特定需求设计的专用算法及未公开的通用算法:使用这类算法前应向国家密码管理部门咨询有关政策
- 由于国际互联互通等需要而兼容的其他算法:在选取这些算法前,信息系统责任单位须同时咨询行业主管部门和国家密码管理部门的意见,且应在应用中默认优先使用商用密码算法
密码产品要求部分,《信息系统密码应用基本要求》要求高安全等级的信息系统应当使用高安全等级的密码模块。在实际密码应用中,在经过充分论证的情况下,信息系统可以选用适合自身安全等级的密码模块;选用理由应当在密码应用方案中阐述,而且密码应用方案应当通过评估。
密码应用技术要求
- 物理和环境安全
- 网络和通信安全
- 设备和计算安全
- 应用和数据安全
密码应用管理要求
- 管理制度
- 人员管理
- 建设运行
- 应急处置
技术要求维度
技术要求主要由机密性、完整性、真实性、不可否认性功能维度构成
机密性技术要求保护对象:
- 身份鉴别信息
- 密钥数据
- 传输的重要数据
- 信息系统应用中所有存储的重要数据
完整性技术要求保护对象:
- 身份鉴别信息
- 密钥数据
- 日志记录
- 访问控制信息
- 重要信息资源安全标记
- 重要可执行程序
- 视频监控音像记录
- 电子门禁系统进出记录
- 传输的重要数据
- 信息系统应用中所有存储的重要数据
真实性技术要求保护对象:
- 进入重要物理区域人员的身份鉴别
- 通信双方的身份鉴别
- 网络设备接入时的身份鉴别
- 重要可执行程序的来源真实性保证
- 登录操作系统和数据库系统的用户身份鉴别
- 应用系统的用户身份鉴别
不可否认性技术要求保护对象:
- 数据原发行为
- 数据接收行为
管理要求维度
- 密码应用安全管理相关流程制度的制定、发布、修订的规范性要求;
- 密码相关安全人员的密码安全意识以及关键密码安全岗位员工的密码安全能力的培养,人员工作流程要求等;
- 建设运行过程中密码应用安全要求及方案落地执行的一致性和有效性要求;
- 处理密码应用安全相关的应急突发事件的能力要求。
密码应用基本要求等级
密码应用测评要求
密评人员在开展实际测评时,对于 GB/T 39786—2021 中的不同安全保护等级的“可”“宜”“应”的条款,按照如下方法确定是否将其纳入测评范围。
- 对于“可”的条款,由信息系统责任方自行决定是否纳入标准符合性测评范围。若纳入测评范围,则密评人员应按照第6章相应的测评指标要求进行测评和结果判定;否则,该测评指标为“不适用”。
- 对于“宜”的条款,密评人员根据信息系统的密码应用方案和方案评估意见决定是否纳入标准符合性测评范围。若信息系统没有通过评估的密码应用方案或密码应用方案未做明确说明,则“宜”的条款默认纳入标准符合性测评范围。
- 若纳入标准符合性测评范围,则密评人员应按照第 6 章相应的测评指标要求进行测评和结果判定。
- 若未纳入标准符合性测评范围,密评人员应根据信息系统的密码应用方案和方案评估意见,在测评中进一步核实密码应用方案中所描述的风险控制措施使用条件在实际的信息系统中是否被满足,且信息系统的实施情况与所描述的风险控制措施是否一致。若满足使用条件,该测评指标为“不适用”,并在密码应用安全性评估报告中体现核实过程和结果;若不满足使用条件,则应按照第 6 章相应的测评指标要求进行测评和结果判定。
- 对于“应”的条款,密评人员应按照第 6 章相应的测评指标要求进行测评和结果判定。若根据信息系统的密码应用方案和方案评估意见,判定信息系统确无与某项或某些项测评指标相关的密码应用需求,则相应测评指标为“不适用”。
根据信息系统的密码应用方案和方案评估意见,若通过评估的密码应用方案中的要求,高于信息系统相对应的密码应用基本要求等级的指标要求,则应按照密码应用方案中的要求进行测评。例如,根据密码应用需求,对安全保护等级第三级的信息系统,选取了安全保护等级第四级信息系统的相关指标要求。对上述特殊情况进行测评实施的结论应体现在密码应用安全性评估报告中。
信息系统的商用密码应用测评的最终输出是密码应用安全性评估报告,在报告中应给出各个测评单元(见第 6 章)的测评结果、整体测评结果(见第 7 章)、风险分析和评价结果(见第 8 章),以及在进行整体测评、风险分析和评价后给出的测评结论(见第 9 章)。其中,第 7 章整体测评是以测评单元的判定结果为基础,经单元间、层面间测评相互弥补后得出纠正结果;第8章风险分析和评价是对整体测评结果中的不符合项和部分符合项,判断信息系统密码应用在合规性、正确性和有效性方面的不符合所产生的安全问题被威胁利用后对信息系统造成影响的程度;第 9 章测评结论是由综合得分以及风险分析和评价共同决定,表示信息系统达到相应等级保护要求的程度。
量化评估框架(DAK)
- D 密码使用有效性(Cryptography Deployment effectiveness)是指,密码技术是否被正确、有效使用,以满足信息系统的安全需求,有效提供机密性、完整性、真实性和不可否认性的保护;
- A 密码算法/技术合规性(Cryptography Algorithm/Technique compliance)是指,信息系统中使用的密码算法是否符合法律、行政法规、国家有关规定和密码相关国家标准、行业标准的有关要求,信息系统中使用的密码技术是否遵循密码相关国家标准和行业标准或通过国家密码管理部门审查鉴定。
- K 密钥管理安全(Key management security)是指,密钥的全生命周期管理是否安全,用 于密码计算或密钥管理的密码产品/密码服务是否安全。
DAK 是非常重要的内容,针对密码应用技术要求各安全层面的各个测评单元,都需要通过 DAK 框架进行量化判定。
| 判定的顺序 | 测评对象量化 | 测评单元量化 | 安全层面量化 | 整体测评结果量化 |
|---|---|---|---|---|
| 量化方法 | $S_{i,j,k}∈[0, 1]$ | 算数平均 | 加权平均值 | 加权平均值 |
| 取值 | 小数点后 4 位 | 小数点后 4 位 | 小数点后 4 位 | 小数点后 2 位 |
测评对象量化部分,密码应用管理要求不针对各个测评对象的测评结果进行量化评估。密码应用技术要求涉及以下情况,需要对测评对象的分值进行修正:
若测评对象 A 弥补了测评对象 B 的不足,测评对象 A 的分值为 PA,测评对象B的弥补前分值为 PB,则测评对象 B 弥补后的分值为 MAX(0.5×PA,PB),即 0.5×PA 和 PB 之间的较大值(四舍五入,取小数点后 4 位)。
《商用密码应用安全性评估量化评估规则》2023 版于 2023 年 7 月 17 日发布,8 月 1 日正式实施。该版本与之前的 2021 版变动较多,特别是是结果量化部分变动较大。
