商用密码应用安全性评估的政策背景
在网络安全等级保护制度(简称:“等保2.0”)的基础上,特别是《中华人民共和国密码法》正式颁布实施,强调了进一步使用商用密码对网络信息系统进行安全增强的必要性和合规性要求。为落实《中华人民共和国密码法》有关立法精神,国家相关机构对《商用密码管理条例》进行修订,强化密码应用要求,突出对关键信息基础设施、等保第三级及以上信息系统、国家政务信息系统等网络与信息系统的密码应用监管,并实施商用密码应用安全性评估(简称“密评”)和安全审查制度,为信息系统安全和数据安全提供保障。
2018年,国家密码管理局发布了密码行业标准GM/T 0054-2018《信息系统密码应用基本要求》,作为密评的指导性标准。2021年10月1日,国家标准GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》正式实施,是密评工作的重要里程碑。与行标相比,国标将在全国范围多行业内适用,且其他各级标准不得与国标相抵触,该标准将成为未来很长时间信息系统安全标准体系中的主体之一,是网络运营者、系统承建者在信息系统规划、建设、运行阶段设计密码应用方案的重要依据,是密码测评机构开展密评的顶层准则,也是密码管理部门进行监督检查的重要抓手,对有效规范商用密码应用,促进我国密码事业发展,切实保障网络空间安全,具有不可替代的重要作用。
由此可见,密评是在等保2.0的基础上,对密码应用的进一步合规性规范要求。对于等保三级及以上系统,密评与等保2.0同时产生作用,允许两者测评同时开展,两者测评时间一致,等保2.0是密评测试内容的指引,密评是等保2.0的必要条件。因此,在实际开展密评改造和测评工作时,作为改造和测评对象的网络信息系统往往已经完成基于等保2.0的改造和测评,或者与基于等保2.0的改造和测评同步进行,并且在安全等级上具有一致性,即网络信息系统若备案达到等保2.0的第三级要求,则其也应达到密评第三级要求。
身份安全是密评要求的重要抓手
在密评中,信息系统密码应用安全要求分为五个级别,其中,第一级,是信息系统密码应用安全要求等级的最低等级,要求信息系统符合通用要求和最低限度的管理要求,并鼓励使用密码保障信息系统安全。第二级,是在第一级要求的基础上,増加操作规程、人员上岗培训与考核、应急预案等管理要求,并要求优先选择使用密码保障信息系统安全。第三级,是在第二级要求的基础上,増加对真实性、机密性的技术要求以及全部的管理要求。第四级,是在第三级要求的基础上,增加对完整性、不可否认性的技术要求。第五级略。
通过进一步研究分析密评要求,不难发现密评的目标是通过对商用密码产品的正确、有效应用,确保网络信息系统的数据安全,而通过密码技术确保网络信息系统中各用户的身份安全,则是确保网络信息系统安全和数据安全的重要抓手。本文将围绕密评中对身份安全相关的要求做进一步深入研究,得出以下结论:
2.1 密评第三级要求是应用场景最多的适用性要求
在密评中适用性最强、应用场景最多的是密评的第三级要求,这是由于密评的第三级要求是与等保2.0的第三级存在对应关系,而对于绝大多数政府机构、事业单位、国有企业而言,其网络信息系统是必须要达到等保2.0的第三级要求,故其在密评中也应达到第三级要求。通过对密评各级要求进行回顾,不难发现,前两级要求只是提出了较低限度的通用和管理要求,只有到了第三级,才真正对网络信息系统所使用的密码技术提出强制性要求。
2.2 网络用户身份相关的真实性要求是强制性要求
在密评第三级要求中,相比第二级要求,重点增加了真实性和机密性的要求。其中真实性要求共出现5条,与网络用户身份相关的真实性要求有4条,且这4条真实性要求均为“应”的要求,即强制性要求。在此基础上,密评第三级要求中关于机密性的要求,也都需要通过身份的真实性实现,即身份的真实性是保证数据机密性的前置条件。
2.3 对身份鉴别的全技术维度覆盖
密评第三级要求对身份鉴别进行全技术维度覆盖。具体到密评要求的技术维度中,四大技术维度(即物理与环境安全、网络与通信安全、设备和计算安全、应用和数据安全)均要求对访问网络信息系统的用户进行身份鉴别。在物理与环境安全中,要求对物理访问人员进行身份鉴别;在网络和通信安全中,要求对通信实体进行双向鉴别;在设备和计算安全中,要求对登录设备的用户(管理员)进行身份鉴别;在应用和数据安全中,要求对登录应用的用户进行身份鉴别。通过全技术维度覆盖对访问网络信息系统的用户身份鉴别,确保网络用户身份的真实性。上述身份鉴别要求,均为密评高风险项,即如果网络信息系统不满足上述身份鉴别要求,则直接中止密评检测,认定网络信息系统未达到相应的密评安全等级。
2.4 基于身份安全的密码技术实现数据传输机密性
密评第三级要求的数据传输机密性,也是由基于身份安全的密码技术实现。由于移动应用、移动办公的实际需求,以及拉专线在实现层面的不可行,建立基于VPN的安全通信信道是目前解决数据传输机密性的主要技术。而在建立IPSec VPN或SSL VPN通信信道时,第一步就是通信双方的双向身份鉴别(部分应用场景允许单向身份鉴别,但不推荐),通过身份鉴别后协商会话密钥,建立安全通信信道。通过在用户终端和网络信息系统服务器端建立基于VPN的安全通信信道,实现密评第三级要求中对通信数据机密性、远程管理通道安全、应用的重要数据传输机密性的要求。
2.5 基于身份安全的密码技术实现数据存储机密性
密评第三级要求的数据存储机密性,同样由基于身份安全的密码技术实现。这里的数据存储机密性分为商用密码产品自身的数据存储机密性和网络信息系统业务应用的数据存储机密性两部分。对于商用密码产品自身的数据存储机密性,由于商用密码产品自身至少应达到密码模块安全二级的要求,故对于密钥等敏感安全参数进行基于角色或基于身份的访问控制,也就是说,未通过身份鉴别的用户或角色,是无法访问商用密码产品自身的敏感安全参数。对于网络信息系统业务应用的数据存储机密性,如果每个业务应用可以独占单一服务器密码机,则该密码机可保证业务应用的重要数据的存储机密性;若多个业务应用共用单一服务器密码机或密码资源集群(这种情形更常见也更经济),则密码资源集群先要完成对不同业务应用的身份鉴别,通过身份鉴别后,使用相应业务应用的加密密钥完成数据的机密性存储。
2.6 身份安全相关的密码技术落地范式
在目前的密评工作中,通过结合具体的密评案例来分析使用哪些密码技术和商用密码产品来保证网络信息系统的身份安全,可以总结出一套身份安全相关的密码技术落地范式是:安全认证网关(通常包含SSL VPN功能)+CA系统+用户身份凭证+网络安全接入(通常为SSL VPN接入)。通过应用部署上述身份安全相关的密码技术,有效地对用户等网络实体进行身份鉴别,以实现网络身份的可信,进而对网络信息系统提供更有效的安全保障。
身份安全技术的未来展望
在开展密评工作时,除了少部分新建系统,作为密评对象的网络信息系统,大部分已经通过了等保2.0的测评,故在对其进行密评改造时,受限于经费、服务连续性、甲方意愿等客观因素,只能因地制宜地在密评改造中提供最低限度的身份安全。
然而,随着软件定义网络、云计算、大数据等技术的出现,未来新建或改造的信息系统在网络、服务、数据部署方式都将发生显著改变,产生诸如数据的边界变得越来越模糊、多类应用的交叉授权越来越普及、身份标识的范围越来越广、身份服务的参与方越来越多的新趋势和特点。在这种趋势特点下,身份将成为用户等网络实体的最重要凭据,相应的身份安全技术也将在未来的网络信息系统中占据越来越重要的地位,提供更加完善的身份安全保障,符合数据安全法和个人信息保护法相关要求,进而支撑未来的密评工作。
参考文献
[1]GM/T 0054-2018《信息系统密码应用基本要求》
[2]GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》
[3]GB/T 22239-2019《信息安全技术网络安全等级保护基本要求》
[4]政务信息系统密码应用与安全性评估工作指南
(本文作者:中国科学院信息工程研究所 屠晨阳 李敏)
声明:本文来自CCIA数据安全工作委员会,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。