https和ssl网关在各安全层面的应用场景及测评要点

1、https和https实现

        SSL/TLS协议是独立的概念（这里的重点是https和ssl v**，关于ssl/tls协议就不展开说了），可以实现对基于TCP/UDP应用的安全保护，如https和sftp等。

        https是其中应用非常广泛的一种，即Hypertext Transfer Protocol Secure 或者理解为http over ssl，是以安全为目标的 HTTP 通道，在HTTP的基础上通过传输加密和身份认证保证了传输过程的安全性 。也就是说，HTTPS 在HTTP 的基础下加入SSL，HTTPS 的安全基础是 SSL，https协议的实现主要是在浏览器和应用服务器之间，具体实现方式五花八门，比如基于Apache、Tomcat、Ngnix、websphere之类的webserver配置https，甚至可以使用python等语言实现https服务器；证书则可以申购CA证书或openssl自签证书。然而对于已建系统，从http升级到https存在较大业务风险，https网关产品的出现一定程度上解决了一些问题，可以部署在已有服务器前端，且支持国密算法。感兴趣的话，可以搜索国密https网关了解。另外还有通过单一系统来统一管理所有需要使用https的服务（https网关统一管理平台）。目前这类专门https硬件设备和管理系统使用很少。

        需要注意的是，https虽应用广泛，但却存在默认不支持终端身份认证（单向或双向身份鉴别都是服务器端决定的，而采用https一般服务器都是对客户端开放的，所以服务器默认都是单向验证），故存在中间人攻击风险。另外，https支持国密算法难度较大，需要特定的SDK或者国密浏览器。

        当然，如果使用https访问的服务只允许特定的客户端访问，服务器端可以设置双向身份鉴别，例如tomcat服务器设置server.xml文件中connector节点的clientauth属性为true。这是就要求客户端也具备合法的证书，在ssl握手协议时按服务器端要求发送client certificate。比如使用国密浏览器支持国密SM2证书和基于SM2、SM3和SM4的密码套件。

2、SSL V**

        ssl v**指的是ssl v**网关-基于SSL/TLS协议，在通信网络中构建安全通道的设备。ssl v**网关设备是国家密码局认证目录产品，具备密码模块等级（如安全二级/三级)。ssl v**相关行业标准包括有GM/T 0024《SSL V** 技术规范》、GM/T 0025《SSL V** 网关产品规范》和GM/T 0028《密码模块安全技术要求》。

        信息系统中一般场景是ssl客户端与ssl v**网关建立一条安全通道，例如sangfor easy connect客户端与ssl v**网关建立连接，使用的认证方式包括用户名+口令、证书、Ukey、短信动态口令、硬件特征码等等。在安全需求一般的情况下，大多使用用户名+口令方式。填入服务器地址后一般就会让输入用户名及口令。连接成功就意味着在客户端和ssl v**网关之间已经建立起一条end-to-site的ssl安全通道，之后可使用http或https访问相应资源。

        在安全性上，ssl v**大于https，这是因为ssl v**对客户端的身份鉴别（支持多种认证方式），同时V**作为密码产品检测认证，具备安全等级，合规性更强，安全需求满足更有保障。

3、https、ssl v**应用场景和测评要点

        3.1 物理和环境安全

        测评对象包括机房区域、电子门禁系统和视频监控系统。可能会存在（1）管理员使用https登录门禁系统后台；（2）管理员或工作人员使用https登录监控视频平台。但要注意，在物理安全层面，测评指标是身份鉴别、门禁记录存储完整性和视频记录存储完整性，并不涉及信道安全。所以，这里虽然有https的应用场景，但物理和环境层面没有对应的测评点。

        那么，安全门禁系统和视频监控系统的https需要测评么，如果需要测评应该作为哪个层面的测评对象呢？这里安全门禁系统是采用密码技术，确定用户身份和用户权限的门禁控制系统，属于密码系统类，可以作为设备和计算层面测评对象，故管理员使用https登录门禁系统后台可以按照该层面远程管理通道安全指标测评。视频监控系统不属于密码系统类，要看被测系统是否将视频监控系统列入关键业务应用范围之内（关键业务应用一般情况下应包含被测系统的所有业务应用）参考FAQ问题11。若属于则应该作为网络安全层面、设备安全层面对应指标测评；若不属于则无要求。

        3.2 网络和通信安全

        测评对象主要是针对跨网络访问的通信信道，https和ssl v**主要就是对跨网络访问的通信信道的完全保护，所以与本安全层面关系非常密切。注意，这里针对的是跨网络的信道，若不跨网，一般就不作为网络层面测评对象。测评指标主要包括：通信实体身份鉴别、网络边界访问控制信息完整性、重要数据传输机密性、数据传输完整性、安全接入认证，

        （1）浏览器客户端直接使用https访问应用系统前/后台。在网络层面测评单元可作为测评对象。这种情况下，若使用国密浏览器和https网关设备，则DAK可能都打勾；否则AK一般很难符合。

        （2）浏览器客户端直接使用httpst访问堡垒机。若跨网访问，则网络层面或设备层面测评单元均可作为测评对象。若不跨网络，则设备层面测评单元作为测评对象。DAK判断同（1）。

        （3）ssl v**客户端连接内网ssl v**。密码应用重要测评ssl v**协议，DAK符合比较容易满足。

        （4）ssl v**客户端连接运维ssl v**。DAK判断同（3）

        3.3 设备和计算安全

        按照GMT0115-2021测评对象包括通用设备、网络及安全设备、密码设备、各类虚拟设备以及提供相应密码功能的密码产品。FAQ问题6指出交换机、网闸、防火墙、WAF等未使用密码功能的网络设备、安全设备一般不作为设备和计算安全层面的测评对象。但需要注意若存在管理通道跨越边界的情况，需在网络和通信安全层面梳理一条远程管理数据传输通道作为测评对象。这也就是说“网络及安全设备”在设备层面不测评。在这个层面的重要是密码产品设备（整机类和系统类）、数据库管理系统、通用服务器（应用服务器、数据库服务器）和堡垒机。

        这个层面与https、ssl v**相关的是远程管理通道安全测评单元，通道安全包括通信双方的身份鉴别、传输数据的机密性和完整性保护。按照FAQ问题8，需要把远程管理通道安全和网络层面通道安全测评区别开来，把握一个原则“对于网络和通信安全层面，只有当远程管理通道跨越网络边界时才将其作为该层面测评对象”，同时在设备层面，仅测试与测评对象直接相连的信息传输通道。

        ssl v**的场景是跨网络访问，按原则不在本层考虑。

        https在远程管理通道安全中经常会被使用到，例如访问堡垒机及使用堡垒机访问设备。下图是使用https访问管理堡垒机界面。

        堡垒机提供多样方式访问被管理设备，比如SSH（第三方工具）、RDP（windows主机）和web方式（https+ssh）等。

        按照GMT0030-2014标准服务器密码机的远程管理功能只能用于远程监控，包括参数和状态查询等（可能用到https）。其他功能不允许远程管理，只能本地管理。

        3.4 应用和数据安全

        测评对象主要是业务应用（应用用户、重要数据、操作行为等），https和ssl v**对于业务应用都是透明的，故不会涉及到。典型的业务应用数据密码保护实现是采用KMS（密钥管理系统，如下图）或者HSM（硬件安全模块）的方式，都是采用外接服务器密码机。

        另外要注意：测评过程中网络和通信层面数据传输机密性和完整性，以及应用和数据层面数据传输机密性和完整性存在互相弥补的可能；在高风险判定时，也可作为安全缓解措施使用，