密码应用安全性评估实施要点之二密码技术应用要求与实现要点（2）

1 物理和环境安全的要求与实现要点

物理和环境安全密码应用总则如下：
①采用密码技术实施对重要场所、监控设备等的物理访问控制。
②采用密码技术对物理访问控制记录、监控信息等物理和环境的敏感信息数据实施完整性保护。
③采用密码技术实现的电子门禁系统应遵循GM/T 0036要求。
物理和环境安全是信息系统安全的基础层面。如果信息系统的物理和环境安全得不到保障，则设备、数据、应用等都将直接暴露在威胁之下，信息系统的安全就无从谈起。利用密码技术确保信息系统的物理和环境安全，可以有效阻断外界对信息系统各类重要场所、监控设备的直接入侵，并确保监控记录信息不被恶意篡改。对应物理和环境安全性的要求主要有两方面：一是对于物理和环境的访问控制，即未授权人员无法访问重要场所、重要设备和监控设备；二是对各类物理和环境的监控信息的完整性保护，包括人员进入记录、监控记录等，实现事前威慑、事中监控和事后追责。
实现要点概述：为保障物理和环境安全，一种典型的做法是将信息系统部署在机房，机房配套部署电子门禁系统和视频监控设备。采用电子门禁系统是是实现物理和环境访问的有效手段。但是，当前采用或启用密码技术的电子门禁系统还不普遍，复制门禁卡的行为还时有发生。国家密码管理局于2014年发布了GM/T 0036，信息系统应尽可能选择符合该标准的电子门禁系统保护物理和环境安全。

1） 身份鉴别

电子门禁系统应采用密码技术实现身份标识和鉴别信息绑定，保护物理防控控制身份鉴别信息。使用遵循GM/T 0036要求的电子门禁系统可满足该条款要求。符合该标准的电子门禁系统使用SM4等算法进行密钥分散，实现门禁卡的一卡一密，并基于SM4等算法鉴别人员身份。

2） 电子门禁记录数据完整性

电子门禁系统进出记录应严格进行完整性保护，完整的进出记录是实现安全管理、事后追责的重要基础。信息系统可根据自身需求，选择合适的密码产品，采用MAC或数字签名等技术对记录进行完整性保护。

3） 视频记录数据完整性

可采用MAC或数字签名技术对视频监控音像记录进行完整性保护。不同的是，音像记录文件较大，考虑效率因素，信息系统可采用专用设备实现音像记录存储的完整性保护。

4） 密码模块实现

在默认情况下，选用符合GM/T 0028要求的三级及以上密码模块或通过国家密码管理部门核准的硬件密码产品实现电子门禁系统的密钥管理，以及进出记录数据和视频监控音像记录的完整性保护。

2 网络和通信安全的要求与实现要点

网络和通信安全密码应用总则如下：
①采用密码技术对连接到内部网络的设备进行安全认证。
②采用密码技术对通信的双方身份进行认证。
③采用密码技术保证通信过程中数据的完整性。
④采用密码技术保证通信过程中敏感信息数据字段或整个报文的保密性。
⑤采用密码技术保证网络边界访问控制信息、系统资源访问控制信息的完整性。
⑥采用密码技术建立一条安全的信息传输通道，对网络中的安全设备或安全组件进行集中管理。
信息系统一般通过网络技术来实现与外界的互联互通。网络和通信安全层面的密码应用要求主要指利用密码技术保护网络通信链路的安全，不涉及其他层次的相关概念。本文中提到的身份、系统资源访问控制信息等是网络和通信安全层面的概念，虽然与其他层面的保护方式较为类似，但应避免与其他层面的类似概念相混淆，避免遗漏需要保护的对象。例如，“采用密码技术对通信的双方身份进行认证”要求中的通信双方指的是建立网络通信链路的两台设备，并非指应用和用户；用通信链路上可能承载多个不同应用，这些应用可能需要对各自的用户实施更细粒度的身份标记和鉴别，因此，该层面的鉴别一般情况下不能代替其他层面的鉴别。需要注意的是，GM/T 0054在本层面相关条款要去的身份认证称为身份鉴别更为准确。
如果在TCP/IP模型中的网络层和传输层使用通用安全通信协议，通用安全通信协议应符合国内标准要求。我国IPSec/SSL VPN协议标准和国外标准在密码算法、数字证书使用等方面要求不同，在选用时应注意使用符合我国密码行业标准的通信协议。若在网络层和传输层使用非通用安全协议，信息系统责任单位应将整体技术方案，以及对应标准或对应方案提交国家密码管理部门审查。
实现要点概述：在网络边界部署核准的IPSec VPN或SSL VPN设备，是满足网络通信安全层面要求的通用实现方法。对网络边界内的安全设备、安全组件进行集中管理时，需要建立一条与普通业务数据通信链路相隔离的专用信息安全传输通道，用于保护设备远程管理的数据和鉴别信息。

① 身份鉴别

通信实体身份真实性鉴别通常采用PKI技术实现。在实现PKI时，可参考GM/T 0034《基于SM2密码算法的证书认证系统密码及相关安全技术规范》要求执行双中心、双证书的部署方式，或者直接使用合规的第三方电子认证服务。对于一些网络设备较少、拓补简单的小型信息系统，可以不需要PKI证书体系来完成证书的签发、验证、撤销等维护工作，但必须对实体标识和鉴别数据进行有效绑定。例如，通过预共享密钥、预置证书或公钥等方式。没有实体标识与鉴别数据绑定功能的方案将无法验证实体的真实性。对于实体的鉴别方式，要使用GB/T 15843中规定的鉴别方式，保证鉴别过程的安全性。

② 内部网络安全接入

为确保接入内部网络的设备真实可用，首先需利用PKI等技术对所有授权接入设备进行身份唯一性标识，并配备证书、密钥等鉴别数据。连接到内部网络的设备分为两种情形：一种是设备从网络边界外远程接入到内部网络，这种情况下可通过IPSec/SSL VPN或安全认证网关对设备进行接入控制；另一种是设备从网络边界内连接内网，例如，管理员将设备直接连接内网核心交换机，此时需要在网络边界内部配备身份鉴别设备，并建立访问控制机制，对接入设备进行接入控制，只有通过鉴别的设备才能访问信息系统内网资源。

③ 访问控制信息完整性

除使用防火墙等安全产品外，利用密码技术也能够实现对网络边界的完整性保护，如使用IPSec/SSL VPN内部的网络边界控制机制等。对于网络访问控制信息保护，可采用密码产品对访问控制信息计算MAC或签名后保存，以保证信息的完整性。

④ 通信数据完整性

通信数据的保密性和完整性保护是信息系统中最普遍的需求。信息系统可根据需求选择网络中的不同层次进行完整性保护。通常可以采用符合标准的IPSec/SSL VPN来实现通信数据的加密和完整性保护。

⑤ 通信数据保密性

一般在实现通信数据完整性时，可同时实现通信数据的保密性，可参考通信数据完整性。某些情况下，考虑实际应用针对非敏感网络字段可不进行保密性保护，但仍需进行完整性保护。

⑥ 集中管理通道安全

安全设备或组件的管理直接关系到信息系统的安全，因此在进行设备远程管理时，即便认为内网网络相对安全，也应对管理通道内的敏感数据进行保密性和完整性进行保护，并与内部网络中的业务通道相分离。一种实现方式是利用IPSec/SSL VPN在内部网路中构建管理内网，管理员通过管理内网对网络中的安全设备或组件进行管理。

⑦ 密码模块实现

在默认情况下，选用符合GM/T 0028要求的三级及以上密码模块或通过国家密码管理部门核准的硬件密码产品来实现密钥管理、身份鉴别、数据加解密、MAC计算和数字签名计算等功能。