1.1 密码评估概述
商用密码是指对不涉及国家秘密内容的信息进行加密保护或安全认证所使用的密码技术和密码产品。商用密码技术是商用密码的核心,是信息化时代社会团体、组织、企事业单位和个人用于保护自身权益的重要工具。国家将商用密码技术列入国家秘密,任何单位和个人都有责任和义务保护商用密码技术的秘密。
典型的商用密码应用场景包括:密钥管理系统、身份鉴别系统、金融IC卡发卡系统和交易系统、网上银行系统 、远程移动支付服务业务系统、信息采集系统、智能网联汽车共享租赁业务系统、综合网站群系统以及政务云系统等。
1.2 测评实施
1.2.1 通用测评
1.2.1.1 密码算法测评
l测评指标
信息系统中使用的密码算法应当符合法律、法规的规定和密码相关国家标准、行业标准的有关要求。
l测评方法
访谈系统管理员,查看技术文档,并实地查看密码系统,了解系统使用的算法名称、用途、何处使用、执行设备及其实现方式(软件、硬件或固件);通过文档审查、配置检查,核查系统使用的密码算法是否以国家标准或行业标准形式发布,或取得国家密码管理部门同意其使用的证明文件。
1.2.1.2 密码技术测评
l测评指标
信息系统中使用的密码技术应遵循密码相关国家标准和行业标准。
l测评方法
访谈系统管理员,查看技术文档,实地查看密码系统;核查系统使用的密码技术是否符合相关国家标准或行业标准。
1.2.1.3 密码产品测评
l测评指标
信息系统中使用的密码产品应符合法律法规的相关要求。
l测评方法
访谈系统管理员,查看技术文档,实地查看密码系统;核查密码产品是否获得国家密码管理部门颁发的密码产品型号认证证书,或国家密码管理部门认可的商用密码测评机构出具的合格检测报告。
1.2.1.4 密码服务测评
l测评指标
信息系统中使用的密码服务应符合法律法规的相关有要求。
l测评方法
访谈系统管理员,查看技术文档,并实地查看密码系统;核查密码服务是否获得密码服务许可证,核查密码服务提供方是否为商用密码产品生产单位、是否具有相应的密码应用研发服务能力。
1.2.2 密码应用技术测评
1.2.2.1 物理和环境安全测评
身份鉴别
l测评项
宜采用密码技术进行物理访问身份鉴别,保证重要区域进入人员身份的真实性。
l测评方法
访谈物理安全负责人;核查电子门禁系统是否具有商用密码产品型号认证证书;查看电子门禁系统。
电子门禁记录数据存储完整性
l测评项
宜采用密码技术保证电子门禁系统进出记录数据的存储完整性。
l测评方法
访谈物理安全负责人;核查电子门禁系统是否具有商用密码产品型号认证证书;查看电子门禁系统后台配置;实地查看电子门禁系统。
视频监控记录数据存储完整性
l测评项
宜采用密码技术保证视频监控音像记录数据的存储完整性。
l测评方法
访谈物理安全负责人,了解视频监控系统视频监控音像记录数据的完整性保护技术及实现机制;核查实现完整性保护操作的密码产品是否具有商用密码产品型号认证证书;实地查看视频监控系统。
1.2.2.2 网络和通信安全测评
身份鉴别
l测评项
应采用密码技术对通信实体进行身份鉴别,保证通信实体身份的真实性。
l测评方法
查看设计文档中系统采用的密码技术及实现机制;查看身份鉴别机制密码算法、密码协议是否符合密码国家标准和行业标准;查看身份鉴别采用的密码设备是否获得国家密码管理部门颁发的商用密码产品型号认证证书;使用Wireshark验证传输过程中鉴别信息机密性的有效性。
通信数据完整性
l测评项
宜采用密码技术保证通信过程中数据的完整性。
l测评方法
查看技术文档中通信过程中数据采用的完整性保护技术及实现机制;查看通信数据完整性保护所使用的密码产品是否经过了国家密码管理部门核准;使用Wireshark捕获并分析通信数据,验证通信数据完整性保护的有效性。
通信过程中重要数据的机密性
l测评项
应采用密码技术保证通信过程中重要数据的机密性。
l测评方法
查看技术文档中通信过程中敏感数据采用的机密性保护技术及实现机制;查看通信数据机密性保护所使用的密码产品是否经过了国家密码管理部门核准;使用Wireshark捕获并分析通信数据,验证通信数据机密性保护的有效性,验证密码算法的正确性。
网络边界访问控制信息的完整性
l测评项
宜采用密码技术保证网络边界访问控制信息的完整性。
l测评方法
查看系统密码技术使用情况;查看访问控制信息完整性。
安全接入认证
l测评项
可采用密码技术对从外部连接到内部网络的设备进行接入认证,确保接入的设备身份真实性。
l测评方法
查看技术文档,了解并查验是否采用密码技术从外部连接到内部网络的设备进行接入认证,并验证安全接入认证机制是否正确和有效;查看安全接入认证机制所使用的密码产品是否经过了国家密码管理部门核准,密码算法是否符合法律法规和密码相关标准的要求。
1.2.2.3 设备和计算安全测评
身份鉴别
l测评项
应采用密码技术对登录设备的用户进行身份鉴别,保证用户身份的真实性。
l测评方法
结合设计文档,访谈系统管理员和数据库管理员,了解用户在本地登录核心服务器或核心数据库时,系统对用户实施身份鉴别的过程中是否采用了密码技术对主机标识信息进行密码保护,并明确其所采用的密码技术;检查主机用户身份鉴别过程是否使用国家密码管理部门认可的密码算法;核查主机用户身份鉴别过程中使用的密码产品情况;查看主机配置信息;查看主机配置信息及鉴别信息更换记录。
远程管理通道安全
l测评项
远程管理设备时,采用密码技术建立安全的传输通道。
l测评方法
访谈系统管理员,查阅相关技术文档;核查远程管理鉴别信息机密性保护所使用的密码产品;使用Wireshark验证口令鉴别密码算法的合规性、密码保护技术的有效性。
系统资源访问控制信息完整性
l测评项
宜采用密码技术保证系统资源访问控制信息的完整性。
l测评方法
查看相关技术文档,访谈系统管理员,了解设备访问控制信息完整性保护密码技术及实现机制;查看系统是否使用以及使用何种密码技术对系统资源访问控制信息进行完整性保护;查看是否使用国家密码管理部门认可的密码算法;密码设备是否获得国家密码管理部门颁发的商用密码产品型号认证证书。
重要信息资源安全标记完整性
l测评项
宜采用密码技术保证设备中的重要信息资源安全标记的完整性。
l测评方法
查看相关技术文档,访谈系统管理员,了解重要信息资源安全标记完整性保护密码技术及实现机制;查看系统使用密码技术情况;查看是否使用国家密码管理部门认可的密码算法。
日志记录完整性
l测评项
宜采用密码技术保证日志记录的完整性。
l测评方法
审阅技术文档,访谈安全审计员,了解日志信息完整性保护密码技术及实现机制;检查系统是否使用国家密码管理部门认可的密码算法、协议。
重要可执行程序完整性、重要可执行程序来源真实性
l测评项
宜采用密码技术对重要可执行程序进行完整性保护,并对其来源进行真实性验证。
l测评方法
查看技术文档中关于可信计算技术建立从系统到应用信任链的实现机制;查看技术文档中关于系统运行过程中重要程序或文件完整性保护技术及实现机制;核查重要程序或文件完整性所使用的密码产品是否获得国家密码管理部门颁发的商用密码产品型号认证证书;尝试在系统运行过程中对重要程序或文件进行篡改,验证完整性保护技术及实现机制的有效性;查看所使用的密码算法、密码协议是否符合有关密码国家标准和行业标准。
1.2.2.4 应用和数据安全测评
身份鉴别
l测评项
应采用密码技术对登录的用户进行身份鉴别,保证应用系统用户身份的真实性。
l测评方法
结合设计文档访谈应用系统管理员,了解被测应用系统在对用户实施身份鉴别的过程中是否使用了密码技术对假冒的身份标识信息进行有效鉴别,并明确其所采用的密码技术和密码产品;检查应用系统用户身份鉴别过程密码算法使用情况。核查应用系统用户身份鉴别过程中使用的密码产品。
访问控制信息完整性
l测评项
宜采用密码技术保证业务信息系统应用的访问控制信息的完整性。
l测评方法
查看相关技术文档,访谈应用系统管理员,了解系统如何对业务应用系统访问控制策略、数据库表访问控制信息和重要信息资源敏感标记等重要信息进行完整性保护;如果重要信息采用了完整性保护,了解是否使用密码技术对重要信息进行完整性保护。
重要信息资源安全标记完整性
l测评项
宜采用密码技术保证信息系统应用的重要信息资源安全标记的完整性。
l测评方法
查看相关技术文档,访谈系统负责人,了解系统如何对业务应用系统重要信息资源安全标记进行完整性保护;如果业务应用系统重要信息资源安全标记采用了完整性保护,了解是否使用密码技术对重要信息进行完整性保护;如果采用了密码技术,查验系统是否使用国家密码管理部门认可的密码算法、密码协议;密码产品是否获得国家密码管理部门颁发的商用密码产品型号认证证书;相关密码功能是否正确有效。
重要数据传输机密性
l测评项
应采用密码技术保证信息系统应用的重要数据在传输过程中的机密性。
l测评方法
查看技术文档,了解应用系统中鉴别数据、业务数据、配置数据等重要数据在传输过程中的机密性保护技术及实现机制;使用Wireshark验证应用系统中重要数据在传输过程中机密性保护的有效性;查看所使用的密码算法、身份鉴别协议是否符合有关密码国家标准和行业标准。
重要数据存储机密性
l测评项
应采用密码技术保证信息系统应用的重要数据在存储过程中的机密性。
l测评方法
查看相关技术文档,了解应用系统中重要数据在存储过程中的机密性保护技术及实现机制;核查密码产品是否具有商用密码产品型号认证证书;查看所使用的密码算法、身份鉴别协议是否符合有关密码国家标准和行业标准。
重要数据传输完整性
l测评项
宜采用密码技术保证信息系统应用的重要数据在传输过程中的完整性。
l测评方法
查看相关技术文档,了解应用系统中鉴别数据、业务数据、配置数据等重要数据在传输过程中的完整性保护技术及实现机制;使用Wireshark验证应用系统中重要数据在传输过程中完整性保护的有效性;查看所使用的密码算法、身份鉴别协议是否符合有关密码国家标准和行业标准。
重要数据存储完整性
l测评项
宜采用密码技术保证信息系统应用的重要数据在存储过程中的完整性。
l测评方法
查看相关技术文档,了解应用系统中鉴别数据、业务数据、配置数据、审计数据等重要数据在存储过程中的完整性保护技术及实现机制;核查密码产品是否具有商用密码产品型号认证证书;通过读取硬盘中的数据或捕获分析进出存储完整性保护所采用的密码产品的数据,验证应用系统中重要数据在存储过程中完整性保护的有效性;查看所使用的密码算法、身份鉴别协议是否符合有关密码国家标准和行业标准。
不可否认性
l测评项
在可能涉及法律责任认定的应用中,宜采用密码技术提供数据原发证据和数据接收证据,实现数据原发行为的不可否认性和数据接收行为的不可否认性。
l测评方法
核查应用系统是否采用以及采用何种密码技术对数据原发行为和接收行为实现不可否认性,并验证不可否认性实现机制是否正确和有效。如果采用了密码技术,查验系统是否使用国家密码管理部门认可的密码算法、密码协议;密码产品是否获得国家密码管理部门颁发的商用密码产品型号认证证书;相关密码功能是否正确有效。
1.2.3 密码应用管理测评
1.2.3.1 管理制度测评
具备密码应用安全管理制度
l测评项
应具备密码应用安全管理制度,包括密码人员管理、密钥管理、建设运行、应急处置、密码软硬件及介质管理等制度。
l测评方法
访谈系统负责人是否具备密码应用安全管理制度;核查各项密码应用安全管理制度是否覆盖包括密码人员管理、密钥管理、建设运行、应急处置、密码软硬件及介质管理等相关内容。
密钥管理规则
l测评项
应根据密码应用方案建立相应密钥管理规则。
l测评方法
访谈系统负责人是否具备密码应用方案;核查是否有通过评估的密码应用方案。
建立操作规程
l测评项
应对管理人员或操作人员执行的日常管理操作建立操作规程。
l测评方法
核查是否对密码相关管理人员或操作人员的日常管理操作建立操作规程。
定期修订安全管理制度
l测评项
应定期对密码应用安全管理制度和操作规程的合理性和适用性进行论证和审定,对存在不足或需要改进之处进行修订。
l测评方法
访谈系统负责人是否定期对密码应用安全管理制度、操作规程的合理性和适用性进行审定;核查是否具有密码应用安全管理制度、操作规程的审定或论证记录。
明确管理制度发布流程
l测评项
应明确相关密码应用安全管理制度和操作规程的发布流程并进行版本控制。
l测评方法
访谈系统负责人是否具有安全管理制度和操作规程的发布流程;核查是否具有安全管理制度和操作规程发布文件。
制度执行过程记录留存
l测评项
应具有密码应用操作规程的相关执行记录并妥善保存。
l测评方法
核查是否具有密码应用操作规程执行过程中留存的相关执行记录文件。
1.2.3.2 人员管理测评
了解并遵守密码相关法律法规和密码管理制度
l测评项
相关人员应了解并遵守密码相关法律法规、密码应用安全管理制度。
l测评方法
访谈系统负责人并随机抽查1-2位与密码相关的人员(系统负责人、密码操作员、密码安全审计员等),确认是否了解并遵守商用密码相关法律法规、密码应用安全管理制度。
建立密码应用岗位责任制度
l测评项
应根据密码应用的实际情况,设置密钥管理员、密码安全审计员、密码操作员等安全岗位;对关键岗位建立多人共管机制;密钥管理、密码安全审计、密码操作人员职责互相制约互相监督,其中密码安全审计员不可与密钥管理员、密码操作员兼任;相关设备与系统的管理和使用账号不得多人共用。
l测评方法
访谈系统负责人,确认是否进行了密码安全管理岗位的划分;核查人员安全管理制度及相关记录表单;访谈系统负责人是否明确相关人员在密码设备管理与密钥系统管理中的职责和权限;核查人员安全管理制度及岗位设置相关文档;访谈系统负责人,并核查岗位设置相关文档;访谈系统负责人,实地查看设备及系统登录过程,确认设备与系统的管理和使用账号是否多人共用。
建立上岗人员培训制度
l测评项
应建立上岗人员培训制度,对于设计密码的操作和管理的人员进行专门培训,确保其具备岗位所需专业技能。
l测评方法
核查人员安全管理制度;访谈系统负责人,并核查记录表单类文档,确认是否对涉及密码的操作和管理以及密钥管理人员进行了专门培训。
定期进行安全岗位人员考核
l测评项
定期对密码应用安全岗位人员进行考核。
l测评方法
核查人员安全管理制度中是否包含具体的人员考核制度和奖惩措施;访谈系统管理员,并核查记录表单类文档,确认是否定期进行岗位人员考核。
建立关键岗位人员保密制度和调离制度
l测评项
建立关键岗位人员保密制度和调离制度,签订保密合同,承担保密义务。
l测评方法
应核查人员安全管理制度;核查关键岗位人员保密合同。
1.2.3.3 建设运行测评
制定密码应用方案
l测评项
应依据密码相关标准和密码应用需求,制定密码应用方案。
l测评方法
核查在信息系统规划阶段,是否依据密码相关标准和信息系统密码应用需求,制定密码应用方案,并核查方案是否通过评估;访谈系统负责人,并核查责任单位是否组织专家对密码应用方案进行评审、有无评审报告。
制定密钥安全管理策略
l测评项
应根据密码应用方案,确定系统涉及的密钥种类、体系及其生存周期环节。
l测评方法
核查是否有通过评估的密码应用方案,并核查是否根据密码应用方案,确定系统涉及的密钥种类、体系及其生存周期环节;若信息系统没有相应的密码应用方案,则按照密钥生存周期管理中的密钥产生、分发、存储、使用、更新、归档、撤销、备份、恢复和销毁等环节核查密钥生存周期的各个环节是否符合要求。
制定实施方案
l测评项
应按照应用方案,制定实施方案。
l测评方法
核查信息系统投入运行前,责任单位是否进行了密码安全性评估,是否具有评估报告。
投入运行前进行密码应用安全性评估
l测评项
投入运行前应进行密码应用安全性评估,评估通过后系统方可正式运行。
l测评方法
核查是否具有系统投入运行前编制的密码应用安全性评估报告且系统通过评估;访谈系统负责人,并核查责任单位在信息系统投入运行前,是否组织进行密码应用安全性评估。
定期开展密码应用安全性评估及攻防对抗演习
l测评项
在运行过程中,应严格执行既定的密码应用安全管理制度,应定期开展密码应用安全性评估及攻防对抗演习,并根据评估结果进行整改。
l测评方法
核查信息系统投入运行后,责任单位是否严格执行既定的密码应用安全管理制度;核查是否根据评估结果制定整改方案,并进行相应整改。
1.2.3.4 应急处置测评
应急预案
l测评项
应制定密码应用应急处置方案,做好应急资源准备,当密码应用安全事件发生时,应立即启动应急处置方案,结合实际情况及时处置。
l测评方法
核查是否根据密码应用安全事件等级制定了相应的密码应用应急策略并对应急策略进行评审;访谈系统负责人安全事件发生情况。
事件处置
l测评项
事件发生后,应及时向信息系统主管部门进行报告。
l测评方法
访谈系统负责人,了解系统安全事件发生后的上报流程;核查安全事件发生后,是否及时向信息系统主管部门进行报告。
向有关主管部门上报处置情况
l测评项
事件处置完成后,应及时向信息系统主管部门及归属的密码管理部门报告事件发生情况及处置情况。
l测评方法
访谈系统负责人,了解系统安全事件处置完成后的上报流程;核查密码应用安全事件处置完成后,是否及时向信息系统主管部门及归属的密码管理部门报告事件发生情况及处置情况。
2 评估流程
密评流程主要包括密码应用方案评估、测评准备、方案编制、现场测评、分析和报告编制五个环节。
1.密码应用方案评估
密码应用方案评估是根据系统的定级情况,审查系统密码应用设计方案或系统安全设计方案中密码应用设计部分密码防护措施是否满足密码使用要求或规定。
2.测评准备
被测评单位编制项目计划书,提供基本资料,如管理架构、技术体系、运行情况、各种密码安全管理制度及相关管理记录等,填写系统调查表,调查被测系统的基本信息、行业特征、密码管理策略、网络及设备部署情况,以供测评人员和机构初步了解被测信息系统的实际情况。同时准备好相关测评工具。
3.方案编制
根据政策基本要求,确定测评对象和测评指标,合理选择测试接入点,分析系统内部算法、密码协议应用的合规性和正确性,整理测评准备阶段中获取的信息系统相关资料,为现场测评提供基本的文档和指导方案,并最终绘制成密码测评方案。
4.现场测评
开展访谈、文档审查、实地查看、工具测试等,并做好过程与结果的记录;确认具备测评开展的条件,测评对象工作正常,系统处于相对良好的状况。测评结束后,确认测评工作是否对测评对象造成影响,测评对象及系统是否工作正常。
5.分析和报告编制
现场测评完成后,根据现场的测评结果记录进行分析,输出测评结果,并准备编制测评报告,包括单项测评结论、整体测评结论、风险分析结论及最终的评估结论。
3 测评质量保证措施
质量保证将为项目管理团队提供了解项目质量必须的数据,质量保证的方法主要包括过程检查、计划跟踪、风险评估等。
1)过程检查
过程检查采取阶段性评估和不定期检查相结合的方式,根据项目质量管理计划对项目进展过程中的重要阶段和关键检查点进行检查与评估。主要工作内容包括以下方面:
l 制定检查规范。根据项目计划对预先定义的项目管理过程制定相应的过程检查规范,如检查内容、检查标准、检查方式、提交文档等内容。
l 细化过程检查计划。根据检查规范对质量保证计划中的过程检查章节进行细化,详细说明每一次过程检查活动的检查内容、检查时机以及检查标准等,与项目相关方达成一致,作为过程检查活动的行动依据。
l 执行过程检查。根据计划进行过程检查,发现问题、记录检查结果。
l 检查结果处理。组织项目相关方对检查结果进行分析评估,制定解决措施并达成一致认可,形成过程检查报告,通知项目相关方处理。
l 问题跟踪检查。对过程评审报告中达成一致的问题解决措施进行不定期跟踪,检查问题处理情况并通知项目相关方知悉。
2)计划跟踪
计划跟踪就是在整个项目过程中,以《项目计划》为主线和依据对项目进展情况进行跟踪与检查。其主要目的在于跟踪项目进展过程中的计划性、规范性和时效性,包括在某个时间点(里程碑或关键检查点)上,所有正在进行的工作是否都在计划范围内,是否依照计划在执行,该交付的工作产出是否已经完成,实际执行与计划的偏差程度、存在的质量问题等内容。通过计划跟踪,可以及时发现计划执行过程中存在的各种问题,提前预见项目风险,以便提早进行应对。
计划跟踪采取周期性跟踪与不定期检查相结合的方式,在项目的各个阶段、各主要检查点以及项目进展过程中的任意可能时刻进行跟踪检查或抽查。主要内容如下:
l 制定计划跟踪规范。与项目相关方充分协商,制定项目的计划跟踪规范,包括跟踪检查的内容、标准、时机/频率,汇报的方式、渠道,出具的检查结果等内容,达成一致后形成本项目的计划跟踪规范。
l 细化质量保证计划。根据计划跟踪规范对质量保证计划中的计划跟踪章节进行细化,明确说明计划跟踪的内容、时机以及交付结果等项目。作为执行计划跟踪的依据。
l 执行计划跟踪。根据质量保证计划,定期跟踪检查项目进展情况,找出计划偏差和异常问题并进行简要分析,记录计划跟踪情况。
l 妥善处理计划跟踪结果。组织项目相关方就计划跟踪情况进行讨论和评估,就计划异常问题和偏差制定纠正措施并达成一致,形成计划跟踪检查报告,通知项目相关方进行处理。
l 问题跟踪与检查。对计划跟踪报告中达成一致的问题纠正措施进行不定期跟踪,检查问题处理情况并通知项目相关方知悉。
3)风险评估
风险评估的目的在于发现项目进展过程中存在的风险问题并提早做出应对措施,以便降低或减小风险问题给项目造成的影响或损失。风险评估主要根据项目相关方的需要,在项目进展过程的关键阶段(重大里程碑)进行。风险评估主要采取团队评估、个人评估、专家评估等有效方式。根据相关方需要确定风险评估的内容、成员、时机等,不定期进行。主要工作内容如下:
l 制定风险评估规范。通过与项目相关方充分协商,制定项目的风险评估规范,包括风险评估的工作范围、内容、流程、交付物、评估准则以及工作模版等。
l 制定风险评估计划。与项目相关方充分协商,根据《项目计划》确定项目的风险评估计划,作为进行项目风险评估活动的工作依据。
l 风险识别。根据计划确定的风险识别领域进行检查,发现风险问题并纪录。通常的风险识别领域包括需求范围风险、过程风险、技术风险、人力资源风险等。
l 风险评估。组织风险评估成员评定各风险问题的产生原因、发生概率和产生影响以及可以采取的补救措施等内容并进行详细记录。形成风险评估报告并通知项目相关方。
l 风险问题跟踪与检查。针对达成一致的风险评估记录对风险问题的应对处理情况进行跟踪与检查,将跟踪检查情况及时通知项目相关方。
测评质量保证措施主要包括以下各个阶段,分别为检测设备质量保证、检测人员质量保证、检测过程质量保证和质量事故处理。
4 评估结果
现场测评完成后,根据现场的测评结果记录进行分析,输出测评结果,并准备编制测评报告,包括单项测评结论、整体测评结论、风险分析结论及最终的评估结论。
