信息安全-中级03-密码安全技术要求与测评初探

商用密码安全技术要求与测评初探信息产业信息安全测评中心刘健此处添加幻灯片标题1•【什么是密评】《商用密码应用安全性评估（简称“密评”）是指对采用商用密码技术、产品和服务集成建设的网络和信息系统密码应用的合规性、正确性、有效性进行评估。按照商用密码应用安全性评估管理的要求，在系统规划阶段，可组织专家或委托测评机构进行评估；在系统建设完成后以及运行阶段，由测评机构进行评估。概述1此处添加幻灯片标题2•【哪些系统要做密评】《密码法》（征求意见稿）要求“国家对关键信息基础设施的密码应用安全性进行分类分级评估，按照国家安全审查的要求对影响或者可能影响国家安全的密码产品、密码相关服务和密码保障系统进行安全审查”。《信息安全等级保护商用密码管理办法》规定：“国家密码管理局和省、自治区、直辖市密码管理机构对第三级及以上信息系统使用商用密码的情况进行检查”。在国家密码管理局印发的《信息安全等级保护商用密码管理办法实施意见》中规定“第三级及以上信息系统的商用密码应用系统，应当通过国家密码管理部门指定测评机构的密码测评后方可投入运行”。这些制度明确了信息安全等级保护第三级及以上信息系统的商用密码应用和测评要求。此外，在新版《网络安全等级保护条例》（征求意见稿）明确要求在规划、建设、运行阶段开展密码应用安全性评估。概述2此处添加幻灯片标题3•【密评关注哪些方面】为规范商用密码应用安全性评估工作，国家密码管理局制定了《商用密码应用安全性评估管理办法》、《商用密码应用安全性测评机构管理办法》等有关规定，对测评机构、网络运营者、管理部分三类对象提出了要求，对评估程序、评估方法、监督管理等进行了明确。同时，组织编制了《信息系统密码应用基本要求》《信息系统密码测评要求》等标准，及《商用密码应用安全性评估测评过程指南（试行）》《商用密码应用安全性评估测评作业指导书（试行）》等指导性文件，指导测评机构规范有序开展评估工作。其中，《信息系统密码应用基本要求》从物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全、密钥管理以及安全管理六个方面提出密码应用安全性评估指标。概述3此处添加幻灯片标题4提纲一．测评标准二．测评过程与实践4此处添加幻灯片标题5依据标准•《信息系统密码应用基本要求》（GM/T0054-2018）•《信息系统密码测评要求》（试行）•《信息系统密码测评过程指南》•《商用密码应用安全性测评机构能力要求》参照标准•13个GB标准，53个GM•《GB/T22239-2008信息安全技术信息系统安全等级保护基本要求》•《GB/T20984-2007信息安全技术信息安全风险评估规范》评估标准5此处添加幻灯片标题6一、测评标准6此处添加幻灯片标题7一、测评标准7此处添加幻灯片标题8一、测评标准8此处添加幻灯片标题9一、测评标准9此处添加幻灯片标题10一、测评标准10此处添加幻灯片标题11一、测评标准11此处添加幻灯片标题12一、测评标准12此处添加幻灯片标题13一、测评标准13此处添加幻灯片标题14一、测评标准14此处添加幻灯片标题15一、测评标准15此处添加幻灯片标题16一、测评标准16此处添加幻灯片标题17一、测评标准17此处添加幻灯片标题18一、测评标准18此处添加幻灯片标题19一、测评标准19此处添加幻灯片标题20提纲一．测评标准二．测评过程与实践20此处添加幻灯片标题21二、测评过程与实践：概述21此处添加幻灯片标题22二、测评过程与实践：测评准备阶段工作目标启动测评项目收集被测信息系统相关资料准备测评所需资料为编制测评方案打下良好的基础工作流程工作启动、信息收集和分析、工具和表单准备22工作启动工具和表单准备信息收集和分析此处添加幻灯片标题23二、测评过程与实践：测评准备阶段1、工作启动环节组建测评项目组，编制项目计划书（包含项目概述、工作依据、技术思路、工作内容和项目组织等）测评委托单位提供基本资料，为全面初步了解被测信息系统准备资料23委托测评协议书项目计划书工作启动此处添加幻灯片标题24二、测评过程与实践：测评准备阶段2、信息收集和分析环节收集资料：测评委托单位的管理架构、技术体系、运行情况、被测评系统商用密码总体描述文件、各种密码安全规章制度及相关过程管理记录、配置管理文档等填写系统调查表格分析调查结果：被测系统的基本信息、行业特征、密码管理策略、网络及设备部署、软硬件重要性及部署情况、范围及边界、业务种类及重要性、业务流程、业务数据及重要性、业务安全保护等级、用户范围、用户类型、被测系统所处的运行环境及面临的威胁等沟通和确认，必要时安排一次现场调查24项目计划书/系统调查表格/被测信息系统相关资料填好的调查表格/各种与被测信息系统相关的技术资料信息收集和分析此处添加幻灯片标题25二、测评过程与实践：测评准备阶段3、工具和表单准备环节调试测评工具：漏洞扫描工具、渗透性测试工具、性能测试工具和协议分析工具等在测评环境模拟被测信息系统架构，准备开发测评指导书，并进行必要的工具验证准备和打印表单，主要包括：风险确认书、文档交接单、会议记录表单、会议签到表单等25填好的调查表格/各种与被测信息系统相关的技术资料选用的测评工具清单/打印的各类表单工具和表单准备此处添加幻灯片标题26虚拟化测评模拟平台•主流的Linux、Unix、Windows和Macintosh操作系统环境•Oracle、SQLServer、MySQL等数据库系统数据库环境•搭建J2EE、.Net等框架的语言运行环境、WebSphere和IIS等中间件应用环境•Metasploit、BackTrack5、kalilinux等漏洞利用套件26《商用密码应用安全性测评机构能力要求》宜具备搭建密码应用模拟系统的能力，以展现密码应用安全性技术测评实施能力、管理测评实施能力和详细测评工作流程；此处添加幻灯片标题27二、测评过程与实践：方案编制阶段工作目标整理测评准备阶段中获取的信息系统相关资料为现场测评活动提供最基本的文档和指导方案工作流程测评对象确定、测评指标确定、测评内容确定、工具测试方法确定、测评指导书开发及测评方案编制27测评对象确定测评内容确定测评指标确定测评方案编制工具测试方法确定测评指导书开发此处添加幻灯片标题28二、测评过程与实践：方案编制阶段1、测评对象确定环节识别并描述被测信息系统的整体结构：物理环境、网络拓扑和外部边界连接、业务系统既相关硬件设备，相关商用密码技术应用情况识别并描述被测信息系统的边界及边界设备：识别并描述被测信息系统的网络区域：根据业务类型及其重要程度识别并描述被测信息系统的主要设备：主要承载的业务、软件安装情况以及各个设备之间的主要连接情况等确定测评对象：重要性、安全性、共享性、全面性和恰当性描述测评对象28填好的调查表格/各种与被测信息系统相关的技术资料测评方案的测评对象部分测评对象确定此处添加幻灯片标题29二、测评过程与实践：方案编制阶段2、测评指标确定环节系统定级结果从《信息系统密码应用基本要求》和《信息系统密码测评要求》中选择相应等级的基本安全要求作为基本测评指标确定不适用测评指标：整体不适用项对确定的基本测评指标进行描述，并分析给出指标不适用的原因对于由多个不同等级的信息系统组成的被测系统，应分别确定各个定级对象的测评指标；如果多个不同等级的信息系统共用相同的物理环境和商用密码管理体系，则物理安全指标和管理指标应采用就高原则分别针对每个定级对象加以描述：系统的定级结果、指标选择两部分。其中，指标选择可以列表的形式给出29填好的调查表格/《信息系统密码应用基本要求》/《信息系统密码测评要求》/业务需求文档测评方案的测评指标部分测评指标确定此处添加幻灯片标题30二、测评过程与实践：方案编制阶段3、测评内容确定环节依据《信息系统密码应用基本要求》和《信息系统密码测评要求》，将前面已经得到的测评指标和测评对象结合起来，将测评指标映射到各测评对象上，然后结合测评对象的特点，说明各测评对象所采取的测评方法。如此构成一个个可以具体实施测评的单项测评内容。测评内容是测评人员开发测评指导书的基础。30填好的系统调查表格/测评方案的测评对象部分/测评方案的测评指标部分测评方案的测评实施部分测评内容确定此处添加幻灯片标题31二、测评过程与实践：方案编制阶段4、工具测试方法确定环节确定工具测试环境，对于7×24小时运行的重要被测系统进行工具测试时，可选择与生产环境各项安全配置相同的备份环境、生产验证环境或测试环境作为工具测试环境确定需要进行测试的测评对象选择测试路径：从外到内，从其他网络到本地网络逐步逐点接入确定测试工具的接入点：边界接入时，测试工具一般接在系统边界设备（通常为交换设备）上；系统内部与测评对象不同网络区域接入时，测试工具一般接在与被测对象不在同一网络区域的内部核心交换设备上；系统内部与测评对象同一网络区域内接入时，测试工具一般接在与被测对象在同一网络区域的交换设备上描述测试工具的接入点、测试目的、测试途径和测试对象等相关内容31测评方案的测评实施部分/《信息系统密码应用基本要求》/《信息系统密码测评要求》/选用的测评工具清单测评方案的工具测试方法及内容部分测评内容确定此处添加幻灯片标题32二、测评过程与实践：方案编制阶段4、工具测试方法确定环节32TG-5130C4948TS-2103-IDSTA-W-WATCH-G防毒墙核心应用区…………C4507-2C4507-1TG-5130C2960辅助业务区……C2960内部办公区………………TOS_VPNTG-5166TG-5130市政专网歌华专线互联网DMZ区A3A2A1A1A1此处添加幻灯片标题33二、测评过程与实践：方案编制阶段5、测评指导书开发环节描述单个测评对象：测评对象的名称、位置信息、用途、管理人员等信息根据标准中单项测评实施确定测评活动：测评项、测评方法、操作步骤和预期结果等四部分单项测评一般以表格形式设计和描述测评项、测评方法、操作步骤和预期结果等内容；整体测评则一般以文字描述的方式表述，以测评用例的方式进行组织根据测评指导书，形成测评结果记录表格33测评方案的单项测评实施部分、工具测试内容及方法部分测评指导书/测评结果记录表格测评指导书开发此处添加幻灯片标题34二、测评过程与实践：方案编制阶段6、测评方案编制环节提取信息：项目来源、测评委托单位整体信息化建设情况及被测信息系统与单位其他系统之间的连接情况等罗列标准估算现场测评工作量：根据测评对象的数量和工具测试的接入点及测试内容等情况进行估算编制工作安排编制具体测评计划：现场工作人员的分工和时间安排汇总形成测评方案文稿评审和提交测评方案：签字认可根据测评方案制定风险规避实施方案34委托测评协议书/填好的调研表格/各种与被测信息系统相关的技术资料/选用的测评工具清单/基本要求/测评方案的测评对象、测评指标、单项测评实施部分、工具测试方法及内容部分等经过评审和确认的测评方案文本测评方案编制此处添加幻灯片标题35二、测评过程与实践：方案编制阶段35此处添加幻灯片标题36二、测评过程与实践：现场测评阶段工作目标将测评方案和测评方法等内容具体落实到现场测评活动中取得报告编制活动所需的、足够的证据和资料工作流程现场测评准备、现场测评和结果记录、结果确认和资料归还36此处添加幻灯片标题37二、测评过程与实践：现场测评阶段1、现场测评准备环节测评委托单位对风险确认书签字确认，了解测评过程中存在的安全风险，做好相应的应急和备份工作获得信息系统相关方的现场测评授权召开测评现场首次会确认现场测评需要的各种资源37经过评审和确认的测评方案文本/风险确认书/现场测评工作计划会议记录/测评方案/现场测评工作计划和风险确认书/现场测评授权书等现场测评准备此处添加幻灯片标题38二、测评过程与实践：现场测评阶段2、现场测评和结果记录环节确认测评对象中的关键数据已经进行了备份确认具备测评工作开展的