依据GB/T 39786 -2021《信息安全技术 信息系统密码应用基本要求》针对等保三级系统要求:
设备和计算层面:
a)应采用密码技术对登录设备的用户进行身份鉴别,保证用户身份的真实性;
b)远程管理设备时,应采用密码技术建立安全的信息传输通道;
c)宜采用密码技术保证系统资源访问控制信息的完整性;
d)宜采用密码技术保证设备中的重要信息资源安全标记的完整性;
e)宜采用密码技术保证日志记录的完整性;
f )宜采用密码技术对重要可执行程序进行完整性保护 ,并对其来源进行真实性验证;
前 期 说 明
如何确定设备和计算层面的测评对象:
背景:GM/T 0115-2021《信息系统密码应用测评要求》在设备和计算层面的测评对象包括:通用设备(及其操作系统、 数据库管理系统)、网络及安全设备、密码设备、 各类虚拟设备以及提供相应密码功能的密码产品。
注意:设备和计算层面的测评对象主要包括通用服务器(如应用服务器、数据库服务器)、数据库管理系统、整机类和系统类的密码产品、堡垒机(当系统使用堡垒机用于对设备进行集
中管理时,不涉及应用和数据安全层面) 等。交换机、网闸、防火墙、WAF等未使用密码功能的网络设备、安全设备一般不作为设备和计算安全层面的测评对象。需要注意若存在管理通道跨越边界的情况,需在网络和通信安全层面梳理一条远程管理数据传输通道作为测评对象。
建议在密评报告中,对设备和计算层面的测评对象进行分类整理和描述。至少分为密码产品/设备、具有密码功能的网络及安全设备、采用密码技术的其他产品、通用设备、不具有密码功能的网络及安全设备、虚拟设备和系统。
设备和计算层面测评对象选取粒度:
背景:设备和计算安全层面的测评对象为通用服务器(如应用服务器、数据库服务器)、数据库管理系统、整机类和系统类密码产品、堡垒机等。
在一些较大型信息系统中,针对上述每一类测评对象,普遍均会部署多台设备(如部署多台服务器或者部署服务器集群,部署多台IPSec VPN以与不同的外界通信实体建立通信信道)。在这种情况下,在编写《商用密码应用安全性评估报告》时,设备和计算安全层面各个测评对象确定结果所选取的粒度会影响报告最后得分。
注意:针对通用服务器和堡垒机,以“具有相同硬件、软件配置的设备”为粒度确定测评对象,即具有相同硬件配置(如生产厂商、型号等) 和软件配置(如操作系统版本、中间件等)的服务器/堡垒机作为一个测评对象。以通用服务器为例,若某一信息系统部署了5台生产厂商为A、型号为B、操作系统版本为C的应用服务器,还部署了3台生产广商为D、型号为E、操作系统版本为F的数据库服务器,则在《商用密码应用安全性评估报告》“设备和计算安全测评对象确定结果”中,以“应用服务器(A-B- C)、数据库服务器(D-E-F)”作为测评对象。对通用服务器、堡垒机类的测评对象进行量化评估时,D/AK均以各测评对象所包含的各个设备的实际应用情况的最低分值赋分。
针对整机类密码产品(如IPSec VPN网关、SSL VPN网关、安全认证网关、金融数据密码机、服务器密码机、签名验签服务器、时间戳服务器、云服务器密码机等)、系统类密码产品(如动态令牌认证系统、证书认证系统、证书认证密钥管理系统等),以“具有相同商用密码产品认证证书编号的密码产品”为粒度确定测评对象,即具有同一商用密码产品认证证书的密码产品作为一个测评对象。比如,某一信息系统部署了5台商用密码产品认证证书编号均为GMxxx的IPSe VPN,则在《商用密码应用安全性评估报告》“设备和计算安全测评对象确定结果”中,以“IPSec VPN (编号GMxxx)”作为测评对象。对密码产品类测评对象进行量化评估时,D/A/K均以各测评对象所包含的各个整机类的密码产品或系统类密码产品的实际应用情况的最低分值赋分。
设备和计算安全层面的身份鉴别:
背景:某些信息系统只能在本地进行设备登录运维,但是设备部署在相对安全的机房内部。由于设备改造难度较大,难以对设备的登录机制进行整改。
仅进行本地运维的设备,如何针对设备和计算安全层面的“身份鉴别”和“远程管理通道安全”该如何进行测评和结果判定?
测评机构需要首先核实设备确实仅进行本地运行,关闭了对外运维的接口。核实后,该测评对象的“远程管理通道安全”测评指标可作为不适用项,“身份鉴别”测评指标为适用项。在对“身份鉴别”测评指标进行测评时,若本地运维均未采用密码技术对登录设备的用户进行身份鉴别,或用户身份真实性的密码技术实现机制不正确或无效,则该测评对象的测评结果为不符合。进一步地,对于不符合的情况,如果信息系统采用了必要的缓解手段(如《信息系统密码应用高风险判定指引》文件中所描述的采用基于特定设备或生物识别技术保证用户身份的真实性),又或是将仅支持本地管理的被运维设备单独安置在具有良好安防措施的密闭区域(如机柜)内且仅有设备运维人员才有该区域的访问权限,可酌情降低风险等级。
设备和计算安全层面,如果信息系统通过堡垒机统一运维管理设备,而堡垒机前部署了合规的 SSL VPN,在该情况下堡垒机的身份鉴别以及其所运维设备的身份鉴别应该如何判定?
VPN 解决的是远程管理通道的问题,并不能解决堡垒机与其他被运维设备的身份鉴别;
堡垒机与被运维设备的身份鉴别应各自独立进行判定。
远程管理通道安全:
背景:GM/T 0115-2021《信息系统密码应用测评要求》在网络和通信层面的测评对象为“信息系统与网络边界外建立的网络通信信道,以及提供通信保护功能的设备或组件、密码产品”,设备和计算层面“远程管理通道安全”测评项要求系统实现“远程管理设备时,采用密码技术建立安全的信息传输通道”。
设备和计算安全层面“远程管理通道安全”测评项如何避免与网络和通信安全层面的测评对象重复测评,如何进行量化评估?
以管理员在互联网通过SSL VPN接入系统内网后,登录堡垒机对设备进行远程管理为例,说明网络和通信安全层面和设备和计算安全层面“远程管理通道安全”测评单元关于远程管理数据传输通道测评内容的区别和量化评估方法。
对于网络和通信安全层面,只有当远程管理通道跨越网络边界时才将其作为该层面测评对象。如果只是在网络内部对设备进行管理,则不必将远程管理通道列为网络和通信安全层面的测评对象。针对在互联网访问SSL VPN接入内网后通过堡垒机对设备进行管理的情况网络和通信安全层面仅需要测评由管理员在互联网访问VPN的过程,接入内网后访问堡垒机的过程体现在设备和计算安全层面。
对于设备和计算安全层面的“远程管理通道安全”测评单元,仅测评与测评对象直接相连的信息传输通道。测评对象为堡垒机时,无需测评管理员在互联网通过VPN接入系统内网的过程,因为该部分已在网络和通信安全层面体现,仅需测评接入内网后访问堡机的信息传输通道,如访问堡垒机管理应用时使用的HTTPS协议的密码应用情况: 测评对象为通用服务器时,测评内容为通过堡垒机对设备进行管理的信息传输通道,如访问设备时使用的SSH协议的密码应用情况。
根据上述避免重复测评的方式,网络和通信安全层面将会根据SSL VPN提供的身份鉴别、通信数据机密性、完整性保护过程中的密码使用安全、密码算法/技术合规性、密钥管理情况进行量化评估: 设备和计算层面“远程管理通道安全”测评项将根据接入内网后访问堡垒机,以及通过堡垒机管理设备时身份鉴别、通信数据机密性、完整性保护过程中的密码使用安全、密码算法/技术合规性、密钥管理情况进行量化评估。考虑另外一种情况,若系统未部署SSL VPN,管理员可在互联网直接访问堡垒机对设备进行管理,在网络和通信安全层面、设备和计算安全层面“远程管理通道安全”测评单元均可将访问堡垒机的信息传输通道作为测评对象。
合规性产品身份鉴别、完整性相关指标的判定:
背景:通常情况下,信息系统责任单位通过部署密码产品以实现各项密码应用,信息系统责任单位只能通过密码产品的外部接口、系统配置界面等实现相应的密码应用,无法对密码产品内部的系统访问控制信息完整性、日志记录完整性、重要可执行程序完整性与来源真实性进行修改。
合规密码产品的“身份鉴别”“系统资源访问控制信息完整性””“日志记录完整性””“重要可执行程序完整性、重要可执行程序来源真实性”等设备和计算安全层面的指标,应该如何测评?
在确认密码产品具有合格的商用密码产品认证证书,且可以确定实际部署的密码产品与获认证产品一致的情况下,考虑到密码产品功能确定且自身安全防护能力较高,针对整机类密码产品在设备和计算安全层面的“系统资源访问控制信息完整性”“日志记录完整性”““重要可执行程序完整性、重要可执行程序来源真实性”这三个指标,可判定为符合。但是,针对整机类密码产品的“身份鉴别”指标不能直接判定为符合,还需要进一步实地查看密码产品是否采用了密码技术(如智能IC卡、智能密码钥匙、动态口令等)、是否按照密码产品使用要求对登录设备的用户等进行身份鉴别,从而保证用户身份的真实性。
现 场 测 评
接下来我们以常见的设备和计算层面的测评对象为例,来进行现场测评的取证和相关记录的文字描述:堡垒机、通用服务器(应用服务器、数据库服务器)、数据库管理系统、密码产品(IPSec/SSL VPN(安全认证网关)、服务器密码机)
以三级系统为例:
测评对象 身份鉴别
堡垒机 记录描述:
经访谈运维人员:运维人员进行运维管理时,使用XXXX的动态令牌登录堡垒机对系统的相关资产设备进行运维管理。
经实地查看及工具测试:运维人员使用XXX的国密动态令牌登录堡垒机,动态令牌采用XXXX的 XXXX 型号,动态口令每间隔60秒刷新一次,是基于时间同步技术的动态令牌身份认证设备,通过此种认证方式实现运维人员的身份鉴别。
综上所述:运维人员通过国密动态令牌实现登录用户身份的真实性保护,密码算法符合国密算法要求,密钥管理合规。
证据截图:
✔堡垒机实物图(在物理和环境层面进行测评时注意留证据,有最好)
✔堡垒机登录界面
✔动态令牌实物图片
✔动态令牌商用密码产品认证证书
✔时间超时验证截图
✔基于时间同步技术代码片段(如果有更好)
应用服务器 记录描述:
经访谈系统相关运维人员:系统的应用服务器、数据库服务器、数据库管理系统使用堡垒进行统一运维管理。
经实地查看配置:系统的应用服务器、数据库服务器、数据库管理系统通过堡垒机进行统一运维管理,运维人员通过动态令牌登录堡垒机后,使用用户名加口令的方式登录到各个设备。
综上所述:被测系统的应用服务器、数据库服务器、数据库管理系统未使用密码实现登录设备人员的身份鉴别和真实性保护。
证据截图:
✔应用服务器、数据库服务器、数据库管理系统实物图(在物理和环境层面进行测评时注意留证据,有最好,注意:数据库管理系统的部署位置,方便后期取证)
✔堡垒机统一运维应用服务器、数据库服务器、数据库管理系统截图
✔应用服务器登录截图
✔数据库服务器登录截图
✔数据库管理系统登录截图
说明:一般情况下通用服务器(应用服务器、数据库服务器)、数据库管理系统均采用用户名口令的方式登录,在这里通过堡垒机登录后再对设备进行统一运维是为了缓解身份鉴别的高风险。
数据库服务器 数据库管理系统 IPSec/SSL VPN(安全认证网关) 记录描述:
经访谈系统相关运维人员:运维人员通过智能密码钥匙(Ukey)登录IPSec/SSL VPN(安全认证网关)。
经实地查看配置:被测系统的IPSec/SSL VPN(安全认证网关)部署在XXX环境下,通过智能密码钥匙(Ukey)进行登录,其中智能密码钥匙(Ukey)和IPSec/SSL VPN(安全认证网关)均具有商用密码产品认证证书。
经工具测试:运维人员所使用的智能密码钥匙(Ukey)采用基于算法标识为“1.2.156.10197.1.501”,对应签名算法为SM3withSM2的数字证书实现运维人员的身份鉴别和真实性验证,且证书在有效期内。
综上所述:IPSec/SSL VPN(安全认证网关)通过智能密码钥匙(Ukey)采用基于SM3withSM2的签名算法的数字证书实现登录设备用户的真实性保护,其密码算法合规、密码管理安全。
证据截图:
✔智能密码钥匙(Ukey)实物图
✔智能密码钥匙(Ukey)商用密码产品认证证书
✔IPSec/SSL VPN(安全认证网关)实物图
✔IPSec/SSL VPN(安全认证网关)商用密码产品认证证书
✔数字证书颁发者合规性截图(国密局网站面行政审批目录)
✔数字证书验证截图(包括但不限于证书链验证、证书有效期验证、签名算法验证)
说明:这里指的IPSec/SSL VPN(安全认证网关)是服务器端,注意:B/S架构和C/S架构的区别。
服务器密码机 记录描述:
经访谈系统相关运维人员:运维人员使用智能密码钥匙(UKey)登录服务器密码机。
经配置检查:服务器密码机的登录过程采用挑战/应答机制:1)服务密码机接收客户端请求后生成一个随机数并传输给前台客户端;前台客户端收到随机数,识别插入的智能密码钥匙序列号,使用存储于智能密码钥匙中的私钥并采用基于SM2算法的数字签名技术对随机数进行数字签名;2)前台客户端将生成的签名值传输给服务器密码机;服务器密码机使用该随机数与存储于服务器密码机中的智能密码钥匙公钥进行验签操作;
经工具测试:使用wireshark工具抓取用户通过智能密码钥匙登入时的通信流量包,用户使用智能密码钥匙登入时,服务器密码机向前台客户端传输的随机数,前台客户端向服务器密码机传输的签名值。
综上所述::运维人员登入服务器密码机时,采用基于SM2算法的数字签名技术实现登录用户身份的真实性保护,其密码算法合规、密钥管理安全。
证据截图:
✔智能密码钥匙(Ukey)实物图
✔智能密码钥匙(Ukey)商用密码产品认证证书
✔服务器密码机实物图
✔服务器密码机商用密码产品认证证书
✔服务器密码机获取随机数代码
✔前台客户端识别智能密码钥匙进行数字签名实现代码
✔服务器密码机验签功能实现代码截图
✔服务器密码机存储SM2密钥对
✔传输的随机数信息
✔传输的签名值信息
.......... ..........
测评对象 远程管理通道安全 堡垒机 记录描述:
经访谈系统相关运维人员:堡垒机设备的远程管理通道由HTTPS协议建立。
经实地查看和工具测试:运维人员对堡垒机进行远程运维时,远程管理通道通过HTTPS协议建立,使用Wiresahrk工具抓取运维人员远程运维堡垒机的通信数据流量包,分析可知其通信协议为TLS1.2协议,分析该协议的握手阶段,导出流量包中的数字证书,可知该数字证书采用sha256RSA(2048bits)的签名算法,且证书由XXXCA公司颁发,证书在有效期内;该协议采用基于TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384的算法套件实现远程管理中通信数据的机密性和完整性保护。
综上所述:运维人员在远程管理堡垒机设备时采用了密码技术实现远程管理通道的安全性保护,但所采用的密码算法不合规、密钥管理不安全。
证据截图:
✔HTTPS协议建立截图
✔TLS1.2协议证据截图
✔数字证书颁发者合规性截图(国密局网站面行政审批目录)
✔数字证书验证截图(包括但不限于证书链验证、证书有效期验证、签名算法验证)
✔算法套件截图
应用服务器 记录描述:
经访谈系统相关运维人员:系统的应用服务器、数据库服务器、数据库管理系统由堡垒机进行运维管理,远程管理通道由SSH协议建立。
经实地查看和工具测试:运维人员通过堡垒机使用SSH2.0协议远程运维应用服务器、数据库服务器、数据库管理系统,利用Wireshark抓取远程运维设备时的通信数据流量包,分析可知其通信过程使用的通信协议为SSH2.0协议,导出该数字流量包可知该协议使用chacha20-poly1305算法套件实现对通信数据的机密性和完整性保护。
综上所述:运维远程运维管理应用服务器、数据库服务器、数据库管理系统时使用SSH2.0协议保证了远程管理通道安全,但密码算法不合规、密钥管理不安全。
证据截图:
✔SSH协议版本(运维应用服务器SSH协议版本、运维数据库服务器SSH协议版本、运维数据库管理系统SSH协议版本)
✔SSH协议算法套件(同上,三个设备的算法套件)
说明:一般情况下数据库管理系统部署在数据库服务器上。
数据库服务器 数据库管理系统 IPSec/SSL VPN(安全认证网关) 记录描述:
经访谈系统相关运维人员:运维人员使用HTTPS协议访问IPSec/SSL VPN(安全认证网关)服务器端。
经实地查看和工具测试:利用Wireshark工具抓取运维通过HTTPS协议访问IPSec/SSL VPN(安全认证网关)的数据流量包,分析可知其通信过程通过TLS1.2协议建立远程管理通道,采用基于sha256RSA(2048bit)的数字证书实现远程管理通道通信实体的身份鉴别和真实性保护,使用TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384的算法套件实现远程管理通道通信数据的机密性和完整性保护。
综上所述:运维人员远程管理IPSec/SSL VPN(安全认证网关)设备时,通过TLS1.2协议保证了远程管理通道安全,但密码算法不合规,密钥管理安全。
证据截图:
✔HTTPS协议建立截图
✔TLS1.2协议证据截图
✔数字证书颁发者合规性截图(国密局网站面行政审批目录)
✔数字证书验证截图(包括但不限于证书链验证、证书有效期验证、签名算法验证)
✔算法套件截图
说明:在这里记录描述中省略了数字证书的描述。
服务器密码机 服务器密码机仅本地运维,不做远程管理,此项不适用。
.......... ..........
测评对象 系统资源访问控制信息完整性
重要信息资源安全标记完整性
日志记录完整性
重要可执行程序完整性、重要可执行程序来源真实性
堡垒机 不符合
不适用 不符合
不符合 证据截图:
✔堡垒机系统资源访问控制信息截图
证据截图:
✔堡垒机系统日志记录截图
应用服务器 不符合
不适用 不符合
不符合 证据截图:
✔应用服务器资源访问控制信息截图
证据截图:
✔应用服务器日志记录截图
数据库服务器 不符合
不适用 不符合
不符合 证据截图:
✔数据库服务器资源访问控制信息截图
证据截图:
✔数据库服务器日志记录截图
数据库管理系统 不符合
不适用 不符合
不符合 证据截图:
✔数据库管理系统资源访问控制信息截图
证据截图:
✔数据库管理系统日志记录截图
IPSec/SSL VPN(安全认证网关) 符合
不适用 符合
符合
证据截图:
✔IPSec/SSL VPN(安全认证网关)资源访问控制信息截图
✔IPSec/SSL VPN(安全认证网关)商用密码产品认证证书
证据截图:
✔IPSec/SSL VPN(安全认证网关)日志记录截图
✔IPSec/SSL VPN(安全认证网关)商用密码产品认证证书
证据截图:
✔IPSec/SSL VPN(安全认证网关)商用密码产品认证证书
服务器密码机 符合
不适用 符合
符合
证据截图:
✔服务器密码机资源访问控制信息截图
✔IPSec/SSL VPN(安全认证网关)商用密码产品认证证书
证据截图:
✔服务器密码机日志记录截图
✔IPSec/SSL VPN(安全认证网关)商用密码产品认证证书
证据截图:
✔服务器密码机商用密码产品认证证书
.......... .......... 不适用 .......... ..........
说明:由于系统的复杂性和应用场景不同,在这里仅列举了(堡垒机、应用服务器、数据库服务器、数据库管理系统、IPSec/SSL VPN(安全认证网关)、服务器密码机)现场测评时需要注意的点,后期会不定时更新其他设备的测评记录。
967
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
