在当前社会整体的风险环境下,密码技术的安全保障作用日益凸显,对信息和系统进行有计划的加密保护仍然是不可替代的安全策略。但是对于大多数系统运营者和使用者而言,由数量庞大的政策、立法和标准组成的“密码机制”显然仍然过于复杂。例如,如何有效确定何时需要进行密码保护,以及如何部署相应的加密策略。在今天看来,随着密码技术应用的普及,“密码机制”中相对分散的规范性结构(不同的层次、细致度、模糊的对应关系)开始构成密码合规实践中的巨大障碍,如何在宏观政策立法层面和微观标准层面形成清晰的对应和指导关系就变得异常重要。
针对这一问题,美国国家标准与技术研究院(NIST)分别于2016年和2020年发布极具代表性的指南:《联邦政府使用密码标准指南:指令,法律和政策》(Guideline for Using Cryptographic Standards in the Federal Government:Directives, Mandates and Policies,SP800-175A)及《联邦政府使用密码标准指南:加密机制》(Guideline for Using Cryptographic Standards in the Federal Government:Cryptographic Mechanisms,SP800-175B),为联邦机构确定密码标准的使用提供了指导。基于SP800-175A的基础性规范意义,本期简报优先对SP800-175A的重点内容进行了整理。
NIST认为,关于是否采用加密保护的决定取决于待保护信息的所有者,这一过程通常基于彻底的风险分析,以确定需要进行密码保护的信息敏感性以及在传输和存储期间保护该信息所需使用的安全控制。在SP800-175A中,NIST对进行风险评估以确定需要保护的信息,以及如何更好地保护这些信息进行指导。NIST特别强调,虽然在联邦政府之外使用该指南完全是自愿的,但其中包含的许多过程和参考可能同样对非联邦政府系统适用。对于这一问题,SP800-175A主要从组织政策和风险管理流程出发,为联邦政府信息系统建立了密码标准使用的参照指导。
一、关于组织政策
NIST要求各联邦机构必须针对本机构收集和使用的信息制定专门的信息处理政策,包括信息管理政策和信息安全政策,使用密码技术的联邦机构还应当制定专门的密钥管理政策。
·信息管理政策
联邦机构的信息管理政策主要包括该机构收集和使用信息的范围及管理方式。联邦机构管理层制定组织政策时应遵循信息管理最佳实践的行业标准、与该机构信息相关的法律法规,并考虑该机构收集和使用信息所要达到的目标。
信息管理政策通常应明确管理人员的角色及工作职责,并对履行信息管理职责的人员进行合理授权。政策应明确敏感信息的范围及保护措施,应规定需要被保护的信息类别以防止未经授权的披露、修改或销毁。这些规定构成信息安全政策的基础,并进一步决定了为不同类别敏感信息所提供的相应机密性、完整性、可用性、源身份验证保护的等级(SP800-130,加密密钥管理系统设计框架)。
SP800-152第4.1节“美国联邦加密密钥管理系统的配置文件”,为联邦机构提供了信息管理政策的内容要求。
·信息安全政策
联邦机构的信息安全政策旨在通过更详细地说明哪些信息应被保护而免于受到预期的威胁影响,以及如何实现信息保护,从而支持并践行信息管理政策的相关规定。信息安全政策规定了以纸质和电子形式进行敏感信息收集、保护、分发的细则。制定信息安全政策的输入性考量因素,包括但不限于信息管理政策中的相关规定,机构信息安全的潜在威胁,以及未经授权的信息披露、修改、销毁或丢失所涉及的风险。
信息安全政策的输出性内容包括分配给不同类别信息的敏感性级别(例如,低、中、高)和用于信息保护的高级规则(SP800-130,设计加密密钥管理系统的框架)。
SP800-152第4.2节为联邦机构提供了信息安全政策的内容要求。
·密钥管理政策
对敏感信息保护加密系统进行管理的联邦机构应基于机构的政策声明进行密钥管理。
密钥管理政策应阐明适用于加密密钥材料生成、分发、核算、存储、使用、恢复、销毁的授权、保护及约束性规定,以及适用于机构所要提供的加密服务(例如,消息认证、数字签名和加密)的授权、保护及约束性规定。
SP800-57第2部分第3节“密钥管理建议:密钥管理机构最佳实践”,提供了密钥管理政策相关的进一步信息和要求。
密钥管理系统用于保护联邦机构敏感信息的加密密钥。联邦机构可运行自己的密钥管理系统,也可购买密钥管理服务。SP800-152提供了关于管理加密密钥的密钥管理系统的相关信息和要求。
二、关于风险管理程序
《联邦信息系统风险管理框架应用指南:安全生命周期方法》(SP800-37),为如何将风险管理框架应用于联邦信息系统提供指引,包括进行安全分类活动、安全控制选择与实施、安全控制评估、信息系统授权和安全控制监控。该指南规定:
·确保信息系统相关的安全风险管理与联邦机构的使命、业务目标以及由高层领导通过风险主管建立的总体风险战略相一致;
·确保信息安全需求(包括必要的安全控制)融入联邦机构的体系结构建设和系统开发生命周期过程中;
·支持具备一致性、公开性、持续性的安全授权决策过程(通过持续监控),促进安全和风险管理相关信息的透明性和互惠性 ;
·通过实施适当的风险缓解战略,提升联邦政府内信息与信息系统的安全性;
在处理加密功能时,将风险管理框架应用于信息系统所涉及的任务应注意以下四点:
·相较于安全控制的实施,应更注重信息和信息系统的分类以及安全控制的选择;
·注重安全控制的有效性评估;
·注重信息系统的授权;
·注重安全控制的持续性监控以及信息系统的安全状态。
信息和信息系统分类的相关要求包括:
·将信息系统进行分类,并将安全分类结果写入FIPS199、SP800-30、SP800-39、SP800-59、SP800-60、和CNSS 1253号指令等文件中所述的安全计划;
·描述信息系统(包括系统边界),并在安全计划中记录描述;
·向适当的联邦机构项目/管理办公室注册该信息系统。
安全控制的选择包括以下步骤:
·根据FIPS199、FIPS200、SP800-30、SP800-53和CNSS 1253号指令,识别由机构提供的、作为机构信息系统公共控制的安全控制措施,并将其记录在安全计划(或等效文件)中;
·选择信息系统的安全控制,并将其写入FIPS199、FIPS200、SP800-30、SP800-53和CNSS 1253号指令等文件中所描述的安全计划;
·针对SP800-30、SP800-39、SP800-53、SP800-53A、SP800-137、和CNSS 1253号指令等文件中所述的安全控制有效性、信息系统及其运行环境中的任何潜在或实际变更,制定相应策略;
·根据SP800-30、SP800-53和CNSS 1253号指令等文件,审查并批准安全计划。
此外,在该指南中,NIST还系统梳理了有关保护联邦政府敏感但受控非机密信息(CUI)的法律和指令摘要,这些法律和指令涉及到NIST制定或参与的密码标准的法律授权和适用指导,展现了美国在该时期较为清晰的密码使用规则框架。对于第三方政策研究者而言,该指南同样也可以作为全面了解和洞察美国联邦政府密码政策的重要参照材料。
例如,2009年《健康信息技术促进经济和临床健康法案》(HITECH)是特定行业立法的一个典型实例。该法案规定使用NIST标准对健康信息进行加密,解决了与健康信息电子传输相关的隐私和安全问题。这些规定加强了1996年《健康保险可携带性和责任法案》(HIPAA)的民事和刑事执行。该法案要求对受保护健康信息(PHI)的安全违反行为进行报告,但如果相关数据通过加密方法变得无法识别,则不必履行报告义务。
限于篇幅,本简报不再对各法律和指令的内容进行赘述,仅列出英文名称以供参考:
·E-Government Act of 2002 (FISMA)
·Health Information Technology for Economic and Clinical Health (HITECH) Act
·Federal Information Systems Modernization Act of 2014
·Cybersecurity Enhancement Act of 2014
·Homeland Security Presidential Directive 7 (HSPD-7): Critical Infrastructure Identification, Prioritization, and Protection
·HSPD-12: Policies for a Common Identification Standard for Federal Employees and Contractors
·Executive Order 13636: Improving Critical Infrastructure Cybersecurity
·OMB Circular A-119: Federal Participation in the Development and Use of Voluntary Consensus Standards and in Conformity Assessment Activities
·OMB Circular A-130: Managing Information as a Strategic Resource
·OMB Memorandum M-06-16: Protection of Sensitive Agency Information
·OMB Memorandum M-06-18, Acquisition of Products and Services for Implementation of HSPD-12
·OMB Memorandum M-07-16, Safeguarding Against and Responding to the Breach of Personally Identifiable Information
·OMB Memorandum M-08-23: Securing the Federal Government’s Domain Name System Infrastructure (DNS)
·OMB Memorandum M-11-33: FY 2011 Reporting Instructions for the Federal Information Security Management Act and Agency Privacy Management
·OMB Memorandum M-16-03, Fiscal Year 2015-2016 Guidance on Federal Information Security and Privacy Management Requirements
(本期翻译、撰稿:马宁,校对:何治乐)
附:参考资料
Guideline for Using Cryptographic Standards in the Federal Government:Directives,Mandates and Policies
https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-175A.pdf
关于“寰球密码法律政策发展动态简报”
为深入研讨我国密码法相关制度与现实挑战,凝聚国内外密码与网络安全精英,合力推动我国密码产业发展,苏州信息安全法学所密码法研究中心特别编辑“寰球密码法律政策发展动态”简报,供政府、产业及学术同仁参考。以期联合政产学研力量,为我国密码工作在法治轨道上稳步前行提供智力支撑。编委会、编辑部采取开放组织形式,欢迎各界同仁予以各种方式积极参与和支持,踊跃投稿!
主 编:马民虎
副主编:黄道丽 朱莉欣
责任编辑:原浩赵丽莉马宁 方婷 何治乐 冯潇洒 谢永红 赵婧琳 郝静雯
联系电话:0512—69562805,13771998064(同微信)
投稿邮箱:xieyonghong2015@xjtu.edu.cn
声明:本文来自苏州信息安全法学所,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
