设备和计算安全之测评对象/指标的解读

1.设备和计算安全

依据《GB/T 39786-2021 信息安全技术 信息系统密码应用基本要求》

         以下为三级信息系统的测评指标和测评要求：

1.1测评对象识别与确定

        GM/T 0115《信息系统密码应用测评要求》在设备和计算层面的测评对象包括：通用设备（及其操作系统、数据库管理系统）、网络及安全设备、密码设备、各类虚拟设备以及提供相应密码功能的密码产品。

1.2如何确定设备和计算安全层面的测评对象？

       设备和计算层面的测评对象主要包括通用服务器（如应用服务器、数据库服务器）、数据库管理系统、整机类和系统类的密码产品、堡垒机（当系统使用堡垒机用于对设备进行集中管理时，不涉及应用和数据安全层面）等。
       交换机、网闸、防火墙、WAF等未使用密码功能的网络设备、安全设备一般不作为设备和计算安全层面的测评对象。需要注意若存在管理通道跨越边界的情况，需在网络和通信安全层面梳理一条远程管理数据传输通道作为测评对象。                                                                                             建议在密评报告中，对设备和计算层面的测评对象进行分类整理和描述。至少分为密码产品/设备、具有密码功能的网络及安全设备、采用密码技术的其他产品、通用设备、不具有密码功能的网络及安全设备、虚拟设备和系统。

1.3设备和计算安全层面测评对象选取粒度

       设备和计算安全层面的测评对象为通用服务器（如应用服务器、数据库服务器）、数据库管理系统、整机类和系统类密码产品、堡垒机等。
       在一些较大型信息系统中，针对上述每一类测评对象，普遍均会部署多台设备（如部署多台服务器或者部署服务器集群，部署多台IPSec VPN以与不同的外界通信实体建立通信信道）。在这种情况下，在编写《商用密码应用安全性评估报告》时，设备和计算安全层面各个测评对象确定结果所选取的粒度会影响报告最后得分。

1.3.1如何确定设备和计算安全层面的各个测评对象选取的粒度？
       针对通用服务器和堡垒机，以“具有相同硬件、软件配置的设备”为粒度确定测评对象，即具有相同硬件配置（如生产厂商、型号等）和软件配置（如操作系统版本、中间件等）的服务器/堡垒机作为一个测评对象。以通用服务器为例，若某一信息系统部署了5台生产厂商为A、型号为B、
操作系统版本为C的应用服务器，还部署了3台生产厂商为D、型号为E、操作系统版本为F的数据库服务器，则在《商用密码应用安全性评估报告》“设备和计算安全测评对象确定结果”中，以“应用服务器（A-B- C）、数据库服务器（D-E-F）”作为测评对象。对通用服务器、堡垒机类的测评对象进行量化评估时，D/A/K均以各测评对象所包含的各个设备的实际应用情况的最低分值赋分。
        针对整机类密码产品（如IPSec VPN网关、SSL VPN网关、安全认证网关、数据密码机、服务器密码机、签名验签服务器、时间戳服务器、云服务器密码机等）、系统类密码产品（如动态令牌认证系统、证书认证系统、证书认证密钥管理系统等），以“具有相同商用密码产品认证证书编
号的密码产品”为粒度确定测评对象，即具有同一商用密码产品认证证书的密码产品作为一个测评对象。比如，某一信息系统部署了5台商用密码产品认证证书编号均为GMxxx的IPSec VPN，则在《商用密码应用安全性评估报告》“设备和计算安全测评对象确定结果”中，以“IPSec VPN（编
号GMxxx）”作为测评对象。对密码产品类测评对象进行量化评估时，D/A/K均以各测评对象所包含的各个整机类的密码产品或系统类密码产品的实际应用情况的最低分值赋分。

1.4设备和计算安全层面的身份鉴别

背景：
       某些信息系统只能在本地进行设备登录运维，但是设备部署在相对安全的机房内部。由于设备改造难度较大，难以对设备的登录机制进行整改。

1.4.1仅进行本地运维的设备，如何针对设备和计算安全层面的“身份鉴别”和“远程管理通道安全”该如何进行测评和结果判定。

       测评机构需要首先核实设备确实仅进行本地运行，关闭了对外运维的接口。核实后，该测评对象的“远程管理通道安全”测评指标可作为不适用项，“身份鉴别”测评指标为适用项。
       在对“身份鉴别”测评指标进行测评时，若本地运维均未采用密码技术对登录设备的用户进行身份鉴别，或用户身份真实性的密码技术实现机制不正确或无效，则该测评对象的测评结果为不符合。进一步地，对于不符合的情况，如果信息系统采用了必要的缓解手段（如《信息系统密码应
用高风险判定指引》文件中所描述的采用基于特定设备或生物识别技术保证用户身份的真实性），又或是将仅支持本地管理的被运维设备单独安置在具有良好安防措施的密闭区域（如机柜）内且仅有设备运维人员才有该区域的访问权限，可酌情降低风险等级。

1.5设备和计算安全层面，如果信息系统通过堡垒机统一运维管理设备，堡垒机及其被运维设备的身份鉴别指标如何进行判定？

       在合规性判定方面，各设备的身份鉴别应分开判定，例如，堡垒机采用动态令牌系统登录，使用用户名+口令登录应用服务器等被运维的设备，则堡垒机的身份鉴别可判定为符合，但被运维设备的身份鉴别应判定为不符合。
       在风险判定方面，遇有以下情况可以酌情降低风等级：                                                                     (1) 直接通过堡垒机运维，如果堡垒机的身份鉴别指标的测评结论为“符合”或“部分符合”，并且没有高风险，则通过堡垒机进行统一管理的设备，其身份鉴别可视为采取了风险缓解措施；
       (2) 通过 VPN 保护运维通信信道，同时满足以下条件则堡垒机及其被运维的设备，其身份鉴别可视为采取了风险缓解措施：
        a. VPN 是运维专用的安全网关，运维人员也无法绕过安全网关进行设备远程运维管理（如堡垒机仅对 VPN 地址开放远程管理端口并限制堡垒机从本地登录）；
        b. VPN 客户端与安全网关之间的通信信道采用密码技术进行通信实体双向身份鉴别，并且在对客户端鉴别时须使用运维人员所持智能密码钥匙等存有身份鉴别信息的硬件介质进行实现（需注意每次设备运维时须重新建立 VPN 连接）；或者，运维人员登录 VPN 设备进入内网时采用动态口令机制、基于对称密码算法或密码杂凑算法的消息鉴别码（MAC）机制、基于公钥密码算法的数字签名机制等密码技术对登录用户进行身份鉴别并且机制正确、有效。

1.6远程管理通道安全的测评要点

        GM/T 0115《信息系统密码应用测评要求》在网络和通信层面的测评对象为“信息系统与网络边界外建立的网络通信信道，以及提供通信保护功能的设备或组件、密码产品”，设备和计算层面“远程管理通道安全”测评项要求系统实现“远程管理设备时，采用密码技术建立安全的信息传输通道”。

1.6.1设备和计算安全层面“远程管理通道安全”测评项如何避免与网络和通信安全层面的测评对象重复测评，如何进行量化评估？

        以管理员在互联网通过SSL VPN接入系统内网后，登录堡垒机对设备进行远程管理为例，说明网络和通信安全层面和设备和计算安全层面“远程管理通道安全”测评单元关于远程管理数据传输通道测评内容的区别和量化评估方法。
        对于网络和通信安全层面，只有当远程管理通道跨越网络边界时才将其作为该层面测评对象。如果只是在网络内部对设备进行管理，则不必将远程管理通道列为网络和通信安全层面的测评对象。针对在互联网访问SSL VPN接入内网后通过堡垒机对设备进行管理的情况，网络和通信安全层面仅需要测评由管理员在互联网访问VPN的过程，接入内网后访问堡垒机的过程体现在设备和计算安全层面。
        对于设备和计算安全层面的“远程管理通道安全”测评单元，仅测评与测评对象直接相连的信息传输通道。测评对象为堡垒机时，无需测评管理员在互联网通过VPN接入系统内网的过程，因为该部分已在网络和通信安全层面体现，仅需测评接入内网后访问堡垒机的信息传输通道，如访问堡垒机管理应用时使用的HTTPS协议的密码应用情况；测评对象为通用服务器时，测评内容为通过堡垒机对设备进行管理的信息传输通道，如访问设备时使用的SSH协议的密码应用情况。
        根据上述避免重复测评的方式，网络和通信安全层面将会根据SSL VPN提供的身份鉴别、通信数据机密性、完整性保护过程中的密码使用安全、密码算法/技术合规性、密钥管理情况进行量化评估；设备和计算层面“远程管理通道安全”测评项将根据接入内网后访问堡垒机，以及通过堡
垒机管理设备时身份鉴别、通信数据机密性、完整性保护过程中的密码使用安全、密码算法/技术合规性、密钥管理情况进行量化评估。
        考虑另外一种情况，若系统未部署SSL VPN，管理员可在互联网直接访问堡垒机对设备进行管理，在网络和通信安全层面、设备和计算安全层面“远程管理通道安全”测评单元均可将访问堡垒机的信息传输通道作为测评对象。

1.7合规密码产品的设备层身份鉴别、完整性相关指标的判定

       通常情况下，信息系统责任单位通过部署密码产品以实现各项密码应用，信息系统责任单位只能通过密码产品的外部接口、系统配置界面等实现相应的密码应用，无法对密码产品内部的系统访问控制信息完整性、日志记录完整性、重要可执行程序完整性与来源真实性进行修改。

1.7.1合规密码产品的“身份鉴别”“系统资源访问控制信息完整性”“日志记录完整性”“重要可执行程序完整性、重要可执行程序来源真实性”等设备和计算安全层面的指标，应该如何测评？

        在确认密码产品具有合格的商用密码产品认证证书，且可以确定实际部署的密码产品与获认证产品一致的情况下，考虑到安全等级二级及以上的密码产品自身安全防护能力较高且采用基于核准的数字签名或带密钥消息鉴别码技术实现软件/固件的完整性校验，针对整机类密码产品在设备和计算安全层面的“系统资源访问控制信息完整性”“日志记录完整性”“重要可执行程序完整性、重要可执行程序来源真实性”这三个指标，可判定为符合。对于安全等级一级的整机类密码产品，由于并未要求其软件/固件完整性校验采用带密钥的核准密码技术实现，因此对于设备和计算安全层面的上述三个指标而言，如确认未采用带密钥的核准密码技术实现时，可判定为部分符合。
       但是，针对整机类密码产品的“身份鉴别”指标不能直接判定为符合，还需要进一步实地查看密码产品是否采用了密码技术（如智能 IC 卡、智能密码钥匙、动态口令等）、是否按照密码产品使用要求对登录设备的用户等进行身份鉴别，从而保证用户身份的真实性。特别地，如果配套的终端类密码产品（如智能密码钥匙、智能 IC 卡等）没有独立的商用密码产品认证证书，或者不包含在该整机类密码产品的商用密码产品认证证书对应的检测报告中，则可判定“身份鉴别”指标的“密钥管理安全性”为“不符合”。
       对于系统类密码产品，其软件部分所在服务器和所含整机类密码产品应分别作为设备和计算安全层面的测评对象，并单独实施测评。                                                                                                      对于没有“商用密码产品认证证书”而仅具有“密码检测证书”的密码产品，同样依据相关标准通过了检测，是经过国家密码管理部门认可的，在具体密评判定时，将其视同具有“商用密码产品认证证书”。另外，针对此种情况，还需核查产品实际使用范围与检测证书上所标注范围的一致性。

1.8在云应用/平台测评中，密码资源池的密码管理平台应作为应用和数据安全层面的测评对象，还是设备和计算安全层面的测评对象？

       通常在云平台建设过程中，会搭建密码资源池，统一为云上应用提供密码计算、密码服务等资源，密码管理平台是对若干台密码设备的统一调度管理平台，在对云平台密码资源池里的密码设备进行运维管理的同时，建立统一的密码服务接口，面向云平台上的所有应用系统提供密码接口服
务，业务逻辑复杂，是云上系统实现密码应用的重要支撑，故应将其作为应用和数据安全层面一个管理类应用系统进行测评。

1.9设备和计算安全提出的访问控制信息指什么？

        在设备和计算安全中，要求为“采用密码技术保证系统资源访问控制信息的完整性”，强调的是系统资源。因此在该层面中，访问控制信息主要包括设备操作系统的系统权限访问控制信息、系统文件目录的访问控制信息、数据库中的数据访问控制信息、堡垒机等第三方运维系统中的权限访问控制信息等。

       以上内容摘自《商用密码应用安全性评估 FAQ（第三版）》，如有不妥之处，请留言指正。