《商密知识》第1期:等保系统如何用密码
当前,我国金融和重要领域的密码应用逐渐深入,不少责任单位都在考虑如何更好地应用密码技术来提高网络信息系统的安全保障水平。但由于密码技术不太普及,很多单位对信息系统中究竟该如何使用密码技术产品不太清楚,对于我国的有关密码管理政策也不太熟悉。
1、GMT 0054内容概述 2018年2月,密标委发布了GM/T 0054-2018 《信息系统密码应用基本要求》(简称国密0054标准),对信息系统中如何应用密码提出了基本要求,是当前指导、规范和评估信息系统中的商用密码应用的标准依据。0054共提出了总体要求、密码功能要求、密码技术应用要求、密钥管理和安全管理共五个部分的要求。其中,总体要求是所有信息系统都需遵循的基本要求;密码功能要求是对密码在信息系统中起到什么作用的阐述;后面的“密码技术应用要求、密钥管理和安全管理”对信息系统如何用密码提出了要求,并分别针对一级至四级的等保系统,对要求进行了具体阐述。 2、总体要求 以下几点总体要求是所有级别信息系统都应该遵循的准则: 密码算法: 使用的密码算法应当符合法律、法规的规定和密码相关国家标准、行业标准的有关要求。一般情况下就是采用我国公开的SM2/3/4/9算法了。目前,SM2/3//9已经正式成为ISO/IEC国际算法,SM4也正在国际化进程中,我国密码算法国际标准体系已初步成型,各行各业可以放心使用。 密码技术:使用的密码技术应遵循密码相关国家标准和行业标准。目前,关于密码算法、密码协议、密码设备要求、密码服务接口等等都有系列标准,所有国密标准都在密标委网站上能够查询到。密码技术是一种专项技术,密码技术能够保护信息系统安全的前提是正确使用了安全可靠的密码技术,密码相关标准除了满足互联互通需求之外,更是密码技术安全性的基本保证。 密码产品:使用的密码产品与密码模块应通过国家密码管理部门核准。具体地说,就是应该选用获得国家密码管理局颁发的型号证书的产品,型号产品列表可以在国家密码管理局网站上查询。当前,我国对商用密码产品的安全性实行分级管理,所有送检的密码产品,都需根据GM/T 0028-2014 《密码模块安全技术要求》确定自身安全等级,并依据GM/T0039-2015 《密码模块安全检测要求》通过检测。因此,在商用密码领域,很多时候“密码模块”是一个特定称谓,指根据0028和0039标准进行检测的密码产品,因此,“密码模块”可包括密码卡、密码机、定制密码模块、密码软件等各种形态。 密码服务:使用的密码服务应通过国家密码管理部门许可。目前,主要是作为第三方运营的CA认证机构应获得《电子认证服务使用密码许可证》,在此基础上,才能继续申请工信部的《电子认证服务许可证》。其它密码服务许可相关规定正在研究中。 以上是国密0054标准中对我国所有信息系统使用密码提出的总体要求。 下篇我们会来说密码技术在信息系统中究竟能发挥什么作用,解读0054标准中的“密码功能要求”部分 二 GM/T 0054-2018 《信息系统密码应用基本要求》是当前指导、规范和评估信息系统中的商用密码应用的标准依据,共提出了总体要求、密码功能要求、密码技术应用要求、密钥管理和安全管理共五个部分的要求。上篇学习了第一部分“总体要求”,这篇该说“密码功能要求”。 现实工作中,不少用户认为,自己的系统中没什么信息需要保密,为什么也需要设计密码应用方案,并开展密码应用安全性评估(简称“密评”)呢?下面我们就来系统性地了解一下密码技术究竟能实现哪些功能。 1.密码技术的功能概览:
从图中可以看出,密码可以实现的功能包括:(1)保护信息的机密性,防止窃听。(2)保护信息的完整性,防止数据被篡改,也就是说如果数据被改了,一定会被发现;区块链中用密码最多的也是这个特性。(3)确认信息发送方和接收方的真实性,也称为身份认证。(4)确保事件的不可否认性,有时也称为“抗抵赖性”,也就是说对于已经执行的操作,事后不能称自己没做。 2.GM/T 0054中的“密码功能要求” 0054的“密码功能要求”部分,是对信息系统中应该使用密码技术来完成哪些功能提出的要求。也是从密码技术能够实现的上述四方面功能来阐述的,把信息系统中可以用密码技术来保护的对象进行了罗列。整体上指出了在信息系统中:哪些对象需要机密性保护,哪些对象需要完整性保护,哪些场景需要鉴别用户身份的真实性,哪些操作需要不可否认性。
三
学习了“总体要求”和“密码功能要求”两部分内容。接下来是硬核部分,“密码技术应用要求”,标准中分为四个层面提出要求,每个层面都是先说总则,然后针对等保一级、等保二级、等保三级、等保四级信息系统分别提出要求。 由于该部分跟等保信息系统的系统结构和技术要求密切相关,因此,本篇先来做点储备,把从安全视角看到的等保系统的技术结构做一个简要介绍。 2008年开始的等保体系中,对于技术要求采用了层次结构;随着云计算、移动互联网、物联网、工控系统、大数据等新技术的出现和应用,信息系统等级保护步入V2.0时代,虽然2.0标准尚未正式发布,但很多相关规范已经都采用了其中的成果。GM/T0054的密码应用要求就是其中一个,主要借鉴了V2.0的体系架构来提出相应的密码应用要求。
美国2000年左右演进提出的信息保障技术框架(Information Assurance Technical Framework,IATF),对于理解等保系统的各项要求很有帮助,因此,本篇也简单做个介绍。IATF是美国国家安全局(NSA)制定的,为保护美国政府和工业界的信息与信息技术设施提供技术指南。IATF的代表理论为“深度防御(Defense-in-Depth)”。为了阐述安全防护措施,IATF中对网络信息系统的架构做了如下分解
从上图可以看出,IATF认为,一个信息系统的安全保障,需要重点考虑:本地计算环境、本地计算环境与其他计算环境的联结、远程访问的保护、区域边界、通信网络基础设施以及支撑性安全基础设施(包括检测响应措施和密钥管理基础设施)。 四
0054沿用了等级保护V2.0标准中的四层结构,也就是说是从信息系统的物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全共四个层面来提出信息系统中应该如何用密码的要求。
当然,并不是上述各层密码类产品都需要在等保三级信息系统中去部署,具体方案需要根据实际情况进行设计,设计内容在各个信息系统的“密码应用方案”中进行明确,根据《商用密码应用安全性评估管理办法(试行)》规定,审定后的密码应用方案是各信息系统密码应用建设和密码应用安全性评估的重要依据。 五 一部分是密钥管理,另一部分是安全管理。首先来看密钥管理部分:
虽然GM/T 0054中也是按照总则和等保一级至四级的顺序,对上图所示的密钥生成、存储、分发、导入与导出、使用、备份与恢复、归档、销毁等全生命周期分别都提出了具体的要求,但是,由于0054密钥管理部分中的大部分要求是针对密码产品而非密码使用提出来的,在密钥管理方面应该关注哪些事项。 首先,责任单位应要求建设单位对密码保障系统的密钥管理环节和操作规程进行清晰的设计。密钥安全是密码保障系统发挥作用的基础,这一点密码保障系统的建设单位非常清楚,但是,仅建设单位清楚是远远不够的,信息系统的责任单位也应完全知悉,并要求建设单位设计出与责任单位业务管理环节及组织架构相适配的密钥管理技术方案(一般可包含在《密码应用方案》中),并提供完整的操作指导文档,对系统初始化和运行维护过程中后应执行的密钥管理环节和责任进行明确。 其次,责任单位应选用国家密码主管部门核准的密码产品。这些产品的密钥管理功能均通过检测,符合相关技术要求。这些产品既包括含密钥管理功能的通用密码产品(比如密码卡/密码机),也包括独立的密钥管理产品。 最后,责任单位应按照安全管理的要求,设置密码管理相关岗位,配备相关人员,依照安全规程,执行密钥管理操作。 另外,还需强调一点,无论是等保几级的系统,对于责任单位来讲,密钥管理都至关重要。对密钥管理的技术内容比较感兴趣的,推荐阅读GB/T 17901.1-1999《信息技术 安全技术 密钥管理 第1部分:框架》 GM/T0054的最后一部分是安全管理:
安全管理从制度、人员、实施和应急几个方面提出了要求。等保要求中也有安全管理的部分,责任单位可在原有安全管理体系的基础上进行扩展,把密码应用方案、密码产品、密钥等相关管理部分囊括进去即可。
