GSMA SAS 密钥管理安全审计检查清单
以下是根据 GSMA FS.18 - Security Accreditation Scheme - Consolidated Security Requirements and Guidelines v11.1 文档中 第6章:证书和密钥管理 部分整理的 密钥管理安全审计检查清单。该清单涵盖了密钥管理的关键领域、控制措施和最佳实践,并按照文档结构进行组织。
1. 密钥分类与保护
| 控制措施/要求 | 适用性 | 状态 | 备注 |
|---|
| 1.1 密钥分类 | | | |
| 1.1.1 将所有密钥和证书分类为敏感信息,并应用适当的控制措施来确保:<br> - 保密性:防止未经授权的访问和泄露。<br> - 完整性:防止未经授权的修改。<br> - 可用性:确保授权用户可以访问密钥。 | | | |
| 1.2 密钥存储系统保护 | | | |
| 1.2.1 用于处理和存储密钥和证书的系统应:<br> - 按照 CSR 和 CSG 中关于基础设施安全的相关要求进行配置、管理和操作。<br> - 与第 10 章(计算机和网络管理)的要求保持一致。<br> - 在符合第 5 章(物理安全)要求的物理环境中运行。<br> - 由符合第 4 章(人员安全)要求的经过审查的人员进行操作。 | | | |
2. 密钥管理角色与职责
| 控制措施/要求 | 适用性 | 状态 | 备注 |
|---|
| 2.1 密钥管理责任 | | | |
| 2.1.1 密钥管理活动必须始终在审计对象的直接控制下进行。<br> 密钥管理职责和程序应明确界定,例如:<br> - 密钥生成<br> - 密钥分发<br> - 密钥存储<br> - 密钥备份和恢复<br> - 密钥销毁 | | | |
| 2.1.2 除 6.7.2 节允许的活动外,密钥管理活动只能由经过授权和培训的人员执行。 | | | |
| 2.2 人员安全 | | | |
| 2.2.1 所有参与密钥管理的人员都应:<br> - 正式任命,并完成适当的增强审查控制措施以确认其适用性。<br> - 正式接受其职责和责任。<br> - 定期重新审查以重新确认其适用性。 | | | |
| 2.2.2 在 HSM 作为托管服务的情况下(参见第 6.7 节),HSM 基础设施管理活动应由经过充分授权和培训的云服务提供商 (CSP) 人员执行。 | | | |
| 2.3 双重控制 | | | |
| 2.3.1 对密钥管理的敏感步骤应用可审计的双重控制,例如:<br> - 对密码的操作<br> - 密钥文件的备份和恢复<br> - 证书申请信息的验证<br> - 证书申请、撤销请求、密钥恢复请求或续订请求的接受、拒绝或其他处理<br> - 证书的颁发或撤销(包括访问存储库受限部分的人员)<br> - 订阅者信息或请求的处理 | | | |
3. 密钥生命周期管理
| 控制措施/要求 | 适用性 | 状态 | 备注 |
|---|
| 3.1 密钥生成 | | | |
| 3.1.1 负责生成密钥对的实体应确保密钥对在具有适当保护的安全环境中生成。 | | | |
| 3.2 密钥交换和存储 | | | |
| 3.2.1 密钥组件和相关敏感数据应安全存储,并处于各自拥有者的控制之下。<br> 3.2.2 在密钥传输过程中,从第三方收到的密钥应使用防篡改序列化信封包装。<br> 3.2.3 密钥组件不得在密钥仪式 (Key Ceremony) 之外的安全环境之外打开或访问。<br> 3.2.4 密钥应在适当的控制下加载(例如,在正式的密钥仪式期间)。<br> 3.2.5 成功加载密钥后,密钥组件应由接收者立即销毁。 | | | |
| 3.3 密钥备份 | | | |
| 3.3.1 手动生成的密钥备份应在双重控制下执行。<br> 3.3.2 CA 私钥签名密钥不得存档或托管。<br> 3.3.3 应使用适当的机制销毁密钥和密钥组件,以防止其被盗、泄露或未经授权的使用。 | | | |
| 3.4 密钥销毁 | | | |
| 3.4.1 应使用适当的机制销毁密钥和密钥组件,以防止其被盗、泄露或未经授权的使用。 | | | |
| 3.5 激活数据管理 | | | |
| 3.5.1 与 SP 相关的激活数据用于解锁私钥时,应:<br> - 具有适当的强度,以保护密钥或数据。<br> - 防止未经授权的修改、泄露或使用。<br> - 适当地进行更新。 | | | |
4. 密钥管理流程文档化
| 控制措施/要求 | 适用性 | 状态 | 备注 |
|---|
| 4.1 文档化 | | | |
| 4.1.1 密钥管理流程应记录,并涵盖密钥和证书的完整生命周期,包括:<br> - 密钥生成、分发、加载、存储、使用、备份/恢复、销毁和审计跟踪。<br> - 事件管理(妥协)。 | | | |
| 4.2 审计日志 | | | |
| 4.2.1 应建立并维护正确的审计日志报告。<br> 4.2.2 审计日志应记录所有操作、密钥使用、设备和参与流程的角色。<br> 4.2.3 审计日志应记录所有系统部署情况。 | | | |
5. 硬件安全模块 (HSM) 管理
| 控制措施/要求 | 适用性 | 状态 | 备注 |
|---|
| 5.1 HSM 作为托管服务 | | | |
| 5.1.1 审计对象只能使用由 SAS 认证的数据中心或云区域管理的 HSM。<br> 5.1.2 HSM 作为托管服务可以由 SAS 认证的证书管理中心管理。<br> 5.1.3 在 SAS-SM 范围内允许进行证书管理活动。 | | | |
| 5.2 HSM 责任分配 | | | |
| 5.2.1 应记录并同意 HSM 责任分配矩阵及其实现方式。<br> 5.2.2 例如,当 CSP 提供 HSM 托管服务时,预期责任分配如下:<br> - CSP: 负责物理安装和管理、固件、HSM 配置文件、密钥仪式、管理 IT 基础设施。<br> - SM 服务提供商: 负责 HSM 配置文件、密钥仪式、密钥管理、升级管理、退役。<br> - 双方: 负责密钥仪式和退役。 | | | |
| 5.3 HSM 分区 | | | |
| 5.3.1 HSM 支持分区时,必须将其所有分区分配给单个 SM 服务提供商。<br> 5.3.2 每个 HSM 分区应仅暴露给相关的逻辑环境,并配置有自己的主密钥。<br> 5.3.3 HSM 应接受逻辑、物理和密钥管理的全面审查,包括平台和分区级别的现场审查。 | | | |
| 5.4 HSM 活动日志记录 | | | |
| 5.4.1 对 HSM 上的所有活动都应进行日志记录。<br> 5.4.2 审计跟踪日志的完整性应得到保护。 | | | |
6. 远程密钥管理
| 控制措施/要求 | 适用性 | 状态 | 备注 |
|---|
| 6.1 可信路径 | | | |
| 6.1.1 远程密钥管理活动只有在证明存在可信路径后才能进行。<br> 6.1.2 远程密钥管理活动应:<br> - 从符合 6.4.1 节和 10.4 节要求的认证环境中执行。<br> - 通过 SM 服务提供商的密钥管理系统到 HSM 的点对点安全通道执行。<br> - 使用适当的技术来确保所需的机密性、完整性、真实性、重放保护和前向保密性。<br> - 限制远程访问权限仅限受信任的来源和授权人员。 | | | |
7. HSM 密钥管理
| 控制措施/要求 | 适用性 | 状态 | 备注 |
|---|
| 7.1 HSM 分区密钥管理 | | | |
| 7.1.1 HSM 支持分区时,所有分区必须分配给单个 SM 服务提供商。<br> 7.1.2 HSM 分区密钥管理应符合 HSM 托管服务的所有要求。 | | | |
8. 密钥管理技术控制
| 控制措施/要求 | 适用性 | 状态 | 备注 |
|---|
| 8.1 技术控制措施 | | | |
| 8.1.1 应始终考虑实施技术控制措施以强制执行密钥管理原则,例如:<br> - 知识分割(不是一个人可以单独访问的)<br> - 流程活动在双重控制下进行 | | | |
| 8.1.2 在多党控制不可行或有效的情况下,应始终强制执行、记录和可审计的多党参与。 | | | |
总结
该检查清单涵盖了密钥管理的关键领域,包括:
- 密钥分类与保护: 对密钥进行分类,并保护密钥存储系统。
- 密钥管理角色与职责: 明确界定密钥管理责任,并实施人员安全措施和双重控制。
- 密钥生命周期管理: 安全地执行密钥生成、交换、存储、备份和销毁,并管理激活数据。
- 密钥管理流程文档化: 记录密钥管理流程,并维护审计日志。
- HSM 管理: 管理 HSM 作为托管服务,并分配 HSM 责任。
- 远程密钥管理: 确保远程密钥管理活动的安全性。
- HSM 密钥管理: 管理 HSM 分区密钥。
- 密钥管理技术控制: 实施技术控制措施以强制执行密钥管理原则。
建议根据组织的需求和风险状况对清单进行审查和调整,并定期进行审计以确保控制措施的有效性。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
