应用和数据安全之测评指标/对象分析

1.应用和数据安全

依据《GB/T 39786-2021 信息安全技术 信息系统密码应用基本要求》

         以下为三级信息系统的测评指标和测评要求：

1.1应用和数据安全层面的测评对象识别与确定

       GM/T 0115《信息系统密码应用测评要求》在应用和数据层面的测评对象为“业务应用以及重要数据”。

1.1.1如何确定应用和数据安全层面的测评对象？

       应用和数据安全层面的测评对象应包含关键业务应用，具体参考通过评估的密码应用方案设定的范围确定。如无密码应用方案，应根据网络安全等级保护定级报告描述的范围确定。关键业务应用一般情况下应包含被测系统的所有业务应用，关键业务应用中的关键数据一般包含但不限于以下数据：鉴别数据、重要业务数据、重要审计数据、个人敏感信息以及法律法规规定的其他重要数据类型。

1.2在云应用/平台测评中，密码资源池的密码管理平台应作为应用和数
据安全层面的测评对象，还是设备和计算安全层面的测评对象？

       通常在云平台建设过程中，会搭建密码资源池，统一为云上应用提供密码计算、密码服务等资源，密码管理平台是对若干台密码设备的统一调度管理平台，在对云平台密码资源池里的密码设备进行运维管理的同时，建立统一的密码服务接口，面向云平台上的所有应用系统提供密码接口服
务，业务逻辑复杂，是云上系统实现密码应用的重要支撑，故应将其作为应用和数据安全层面一个管理类应用系统进行测评。

1.3某些信息系统通过前端设备采集数据，并且在前端会有存储设备或功能模块收集相关数据，这部分数据是否需要纳入测评范围？

        应结合信息系统所在行业关于数据分级的标准和要求，以及信息系统的网络安全等级保护测评报告和密码应用方案（或密码改造方案）进行相关数据重要程度的确定。将所确定的重要数据纳入测评范围，并根据数据实际安全需求开展测评。

1.4信息系统的关键数据，通常以生产数据（存储在生产环境中）和备份数据（存储在备份环境或备份介质中）的形式呈现。信息系统使用了第三方提供的数据异地备份的服务，如备份在第三方提供的异地机房中，备份数据是否纳入测评范围？

       备份数据作为生产数据的副本，其密码应用需求与生产数据一致。在测评时，应分别核查原始生产数据和备份数据的密码应用需求是否得到满足。特别地，若采用第三方提供的数据异地备份服务，由于涉及系统间通信，还应注意核查数据备份时跨网络传输的安全性。                                           在编写密评报告时，通常可考虑将备份数据同生产数据合并处理，作为同一个业务类重要数据体现。若存在备份数据的密码应用需求没得到满足情况，应体现在该项重要数据的相应测评项结果判定中。例如，合并对象后的生产数据的存储机密性为“符合”，备份数据的存储机密性为“不符合”，则该项重要数据的存储机密性结果为“部分符合”。

1.5应用和数据安全层面的身份鉴别

       大量应用系统的身份鉴别使用第三方提供的身份认证服务（此处特指第三方身份认证服务为已单独等保定级的系统）。例如，采用政务集约化建设模式，应用系统用户由第三方（包括统一身份认证平台等）提供的身份认证服务进行身份鉴别。此外，某些应用系统在与其他系统对接时也存在身份鉴别的需求。

1.5.1对于此类提供身份认证服务的第三方系统是否要求通过密评后再提供身份认证服务？若该第三方系统未通过密评，是否可以直接认为其应用和数据安全层面的“身份鉴别”指标为不符合？

       对于已通过密评（“符合”或“基本符合”）的第三方身份认证服务系统，应用和数据安全层面“身份鉴别”指标经过了完整的密码测评，对业务应用系统进行该指标核查时，在确认第三方身份认证服务的有效性后，可复用该指标相关结论；此外，由于调用第三方身份认证服务涉及到系统间通信，所以还需对在鉴别机制工作过程中涉及到的重要数据的传输安全性进行延伸测评。
       对于未通过密评或未做密评的第三方身份认证服务系统，在测评业务应用系统时，测评人员应对第三方系统所提供的身份鉴别机制及其鉴别机制工作过程中涉及到的重要数据的传输安全性进行延伸测评。再进一步，如果第三方身份认证系统上保存有应用系统的身份鉴别信息，应对第三方
身份认证服务系统上相关的密码应用进行（重新）测评，例如，重要数据存储的机密性和完整性。对于测评条件不允许的情况，可以要求第三方身份认证服务的系统责任方提供相关说明文件和证据以支撑测评结论。
       在上述情况中，如果存在跨网络区域调用的情况，还需要考虑被测系统与第三方身份认证服务系统之间的“网络和通信安全层面”的测评。

1.6重要数据机密性、完整性保护的实现方法问题

       GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》的应用和数据安全层面涉及到重要数据的机密性和完整性保护要求。在实际测评时，可能遇到一些算法选用方面的问题。

1.6.1对于数据库中的重要数据存储完整性保护，仅使用SM3进行保护能否判定为符合？

       仅使用 SM3 算法实现数据存储完整性功能，在安全机制方面存在缺陷。入侵者可在篡改数据后，重新进行 SM3 杂凑运算并覆盖原先的杂凑值。因此，应判定为不符合。
       因此建议使用合规的密码产品通过HMAC-SM3、基于SM4的MAC（参考GB/T15852.1-2020）或数字签名的方式实现数据存储的完整性。

1.7使用经检测认证合格的服务器密码机（符合相应等级的密码模块安全要求）中的 SM4-ECB 算法（密钥管理由服务器密码机完成）对重要数据进行机密性保护，能否判定为符合？

       分组密码的 ECB 模式，因其特殊的工作流程，无法隐蔽数据模式（如使用同一个密钥会导致相同的明文分组产生相同的密文分组），也不能抵抗对分组的重放、嵌入、删除等攻击。因此，不推荐在密码应用中使用 ECB模式，并且在测评时应告知对方安全风险；若有明显安全风险，应进一步敦促其改正以免影响风险判定结果。但在测评判定时，按照目前测评的现行准则，可判定为符合。

1.8如何编写涉及应用和数据安全层面的测评内容报告

       在《商用密码应用安全性评估报告模板（2023版）》中，第3.3.2节“测评对象确定结果”、第4章“单元测评”和附录A.4“应用和数据安全”均涉及应用和数据安全层面的测评对象。此外，第4章“单元测评”结果汇总，需要针对应用和数据安全层面关键数据的机密性和完整性保护情况进行说明和汇总。目前，针对该层面的内容报告编制形式多样，且存在各个密评机构对该层面的测评对象粒
度把握尺度不一致的情况，对量化评估结果有一定的影响。

1.8.1如何编写密评报告中应用和数据安全层面的测评内容？

       信息系统业务应用的密码应用与其具体业务和安全需求密切相关，不同信息系统差异较为明显。在编制密评报告时，无论是较为简单的系统业务应用还是较为复杂的系统业务应用，在密评报告第3.3.2.1节的“表3-7应用和数据安全测评对象”和第4章节的“表4-4应用和数据安全测评结果汇
总”中，可以都只列系统大的业务应用，而针对该层面身份鉴别、重要数据传输和存储保护的较为细粒度的测评对象，可以在第4章节“表4-4应用和数据安全测评结果汇总”下方，针对应用和数据安全层面身份鉴别情况、关键数据的机密性和完整性保护情况、不可否认性情况进行说明，以及附
录中的测评结果记录中来体现。
       下面以某信息化办公系统（第三级）为参考示例，给出该层面的报告编制案例。该信息化办公系统的业务应用包括OA办公系统、公文管理系统。其中，两个应用的用户均包括业务用户和管理员用户；OA办公系统和公文管理系统业务用户均有操作行为的不可否认性需求；OA办公系统
的重要数据包括用户的身份鉴别信息、业务数据（仅有完整性需求）等，公文管理系统的重要数据包括用户的身份鉴别信息、业务数据（有机密性和完整性需求）等。密评报告模板中第3.3.2.1节“表3-7应用和数据安全测评对象”可按照如下方式

1.9应用和数据安全等层面提出的访问控制信息指什么？

       在应用和数据安全中，要求为“采用密码技术保证信息系统应用的访问控制信息的完整性”，强调的是系统应用。因此在该层面中，访问控制信息主要包括应用系统的权限、标签等能够决定系统应用访问控制的措施等信息。

1.10应用层身份鉴别是否可以缓解网络层身份鉴别的高风险

       “身份鉴别”指标是“网络和通信安全”“应用和数据安全”两个层面的关键性指标。但在实际测评过程中，这两个“身份鉴别”指标可能存在模糊不清、混淆的情况。

1.10.1“网络和通信安全”“应用和数据安全”的身份鉴别指标有何区别？在测评时如何把握两者的关系？

       “网络和通信安全”和“应用和数据安全”的身份鉴别指标的测评对象不同，“网络和通信安全”层面的“身份鉴别”的具体测评对象是客户端与服务器建立的通信信道中的通信实体的身份，应用层身份鉴别的具体测评对象是关键业务应用的用户，因此无法在《商用密码应安全性评估报告模板（2023 版）》的 5.1 小节进行测评结果修正（也就是无法对测评结果和分值进行“弥补”）。
       但在风险评估时，仍应当结合其他层面的“身份鉴别”指标测评结果，对本层面的“身份鉴别”指标进行综合考虑。比如，“网络和通信安全”进行对接入的用户设备进行了身份鉴别，但“应用和数据安全”未额外使用身份鉴别机制，而是直接使用了“网络和通信安全”的“身份鉴别”结果，默认接入的用户可以登录应用，此时，“应用和数据安全”身份鉴别指标判定仍为“不符合”，但需要结合“网络和通信安全”层面的身份鉴别机制和“应用和数据安全”层面相关的工作机制，给出合适的风险等级。

1.11特殊网络系统的测评对象选取

        现阶段，大量的纯网络的信息系统被单独定级，如基础网络系统、骨干网络系统、电子政务外网等网络型信息系统，极端情况下骨干网仅涉及核心路由器、交换机、防火墙等网络基础设备。由于这类系统的核心保护内容通常并非是应用系统和数据，因此其测评与一般的信息系统会有差异。

1.11.1针对这种纯网络系统，如何开展密评工作？网络和通信安全、设备和计算安全、应用和数据安全层面的测评对象如何选取？

       针对这类定级系统，首先可根据其密码应用（或改造）方案、网络安全等级保护测评报告等技术材料确认该系统的边界、密码应用需求以及相应的保护对象。若经确认，网络系统确实有密码应用需求以及相应的保护对象，则可按照 GB/T 39786-2021、GM/T 0115-2021 的相关要求选取适用
指标进行测评。应用和数据安全层面可分析是否存在网络管理等相关的应用，若存在可考虑作为应用和数据安全层面的测评对象；设备和计算安全层面的测评对象可能包括重要应用所在应用服务器、数据库及数据库服务器、密码产品、堡垒机等；网络和通信安全层面的测评对象可根据信息系
统网络连接情况，从通信主体和网络类型这两个方面进行确定。
        如果单独定级的网络系统仅涉及核心路由器、交换机、防火墙等网络基础设备且不含有任何应用，那么建议密评机构进一步参考密码应用（或改造）方案、网络安全等级保护测评报告，以确认相关系统开展密评的可行性。

      以上内容摘自《商用密码应用安全性评估 FAQ（第三版）》，如有不妥之处，请留言指正。