《商密知識》第1期:等保系統如何用密碼
當前,我國金融和重要領域的密碼應用逐漸深入,不少責任單位都在考慮如何更好地應用密碼技術來提高網絡信息系統的安全保障水平。但由于密碼技術不太普及,很多單位對信息系統中究竟該如何使用密碼技術產品不太清楚,對于我國的有關密碼管理政策也不太熟悉。
1、GMT 0054內容概述 2018年2月,密標委發布了GM/T 0054-2018 《信息系統密碼應用基本要求》(簡稱國密0054標準),對信息系統中如何應用密碼提出了基本要求,是當前指導、規范和評估信息系統中的商用密碼應用的標準依據。0054共提出了總體要求、密碼功能要求、密碼技術應用要求、密鑰管理和安全管理共五個部分的要求。其中,總體要求是所有信息系統都需遵循的基本要求;密碼功能要求是對密碼在信息系統中起到什么作用的闡述;后面的“密碼技術應用要求、密鑰管理和安全管理”對信息系統如何用密碼提出了要求,并分別針對一級至四級的等保系統,對要求進行了具體闡述。 2、總體要求 以下幾點總體要求是所有級別信息系統都應該遵循的準則: 密碼算法: 使用的密碼算法應當符合法律、法規的規定和密碼相關國家標準、行業標準的有關要求。一般情況下就是采用我國公開的SM2/3/4/9算法了。目前,SM2/3//9已經正式成為ISO/IEC國際算法,SM4也正在國際化進程中,我國密碼算法國際標準體系已初步成型,各行各業可以放心使用。 密碼技術:使用的密碼技術應遵循密碼相關國家標準和行業標準。目前,關于密碼算法、密碼協議、密碼設備要求、密碼服務接口等等都有系列標準,所有國密標準都在密標委網站上能夠查詢到。密碼技術是一種專項技術,密碼技術能夠保護信息系統安全的前提是正確使用了安全可靠的密碼技術,密碼相關標準除了滿足互聯互通需求之外,更是密碼技術安全性的基本保證。 密碼產品:使用的密碼產品與密碼模塊應通過國家密碼管理部門核準。具體地說,就是應該選用獲得國家密碼管理局頒發的型號證書的產品,型號產品列表可以在國家密碼管理局網站上查詢。當前,我國對商用密碼產品的安全性實行分級管理,所有送檢的密碼產品,都需根據GM/T 0028-2014 《密碼模塊安全技術要求》確定自身安全等級,并依據GM/T0039-2015 《密碼模塊安全檢測要求》通過檢測。因此,在商用密碼領域,很多時候“密碼模塊”是一個特定稱謂,指根據0028和0039標準進行檢測的密碼產品,因此,“密碼模塊”可包括密碼卡、密碼機、定制密碼模塊、密碼軟件等各種形態。 密碼服務:使用的密碼服務應通過國家密碼管理部門許可。目前,主要是作為第三方運營的CA認證機構應獲得《電子認證服務使用密碼許可證》,在此基礎上,才能繼續申請工信部的《電子認證服務許可證》。其它密碼服務許可相關規定正在研究中。 以上是國密0054標準中對我國所有信息系統使用密碼提出的總體要求。 下篇我們會來說密碼技術在信息系統中究竟能發揮什么作用,解讀0054標準中的“密碼功能要求”部分 二 GM/T 0054-2018 《信息系統密碼應用基本要求》是當前指導、規范和評估信息系統中的商用密碼應用的標準依據,共提出了總體要求、密碼功能要求、密碼技術應用要求、密鑰管理和安全管理共五個部分的要求。上篇學習了第一部分“總體要求”,這篇該說“密碼功能要求”。 現實工作中,不少用戶認為,自己的系統中沒什么信息需要保密,為什么也需要設計密碼應用方案,并開展密碼應用安全性評估(簡稱“密評”)呢?下面我們就來系統性地了解一下密碼技術究竟能實現哪些功能。 1.密碼技術的功能概覽:
從圖中可以看出,密碼可以實現的功能包括:(1)保護信息的機密性,防止竊聽。(2)保護信息的完整性,防止數據被篡改,也就是說如果數據被改了,一定會被發現;區塊鏈中用密碼最多的也是這個特性。(3)確認信息發送方和接收方的真實性,也稱為身份認證。(4)確保事件的不可否認性,有時也稱為“抗抵賴性”,也就是說對于已經執行的操作,事后不能稱自己沒做。 2.GM/T 0054中的“密碼功能要求” 0054的“密碼功能要求”部分,是對信息系統中應該使用密碼技術來完成哪些功能提出的要求。也是從密碼技術能夠實現的上述四方面功能來闡述的,把信息系統中可以用密碼技術來保護的對象進行了羅列。整體上指出了在信息系統中:哪些對象需要機密性保護,哪些對象需要完整性保護,哪些場景需要鑒別用戶身份的真實性,哪些操作需要不可否認性。
三
學習了“總體要求”和“密碼功能要求”兩部分內容。接下來是硬核部分,“密碼技術應用要求”,標準中分為四個層面提出要求,每個層面都是先說總則,然后針對等保一級、等保二級、等保三級、等保四級信息系統分別提出要求。 由于該部分跟等保信息系統的系統結構和技術要求密切相關,因此,本篇先來做點儲備,把從安全視角看到的等保系統的技術結構做一個簡要介紹。 2008年開始的等保體系中,對于技術要求采用了層次結構;隨著云計算、移動互聯網、物聯網、工控系統、大數據等新技術的出現和應用,信息系統等級保護步入V2.0時代,雖然2.0標準尚未正式發布,但很多相關規范已經都采用了其中的成果。GM/T0054的密碼應用要求就是其中一個,主要借鑒了V2.0的體系架構來提出相應的密碼應用要求。
美國2000年左右演進提出的信息保障技術框架(Information Assurance Technical Framework,IATF),對于理解等保系統的各項要求很有幫助,因此,本篇也簡單做個介紹。IATF是美國國家安全局(NSA)制定的,為保護美國政府和工業界的信息與信息技術設施提供技術指南。IATF的代表理論為“深度防御(Defense-in-Depth)”。為了闡述安全防護措施,IATF中對網絡信息系統的架構做了如下分解
從上圖可以看出,IATF認為,一個信息系統的安全保障,需要重點考慮:本地計算環境、本地計算環境與其他計算環境的聯結、遠程訪問的保護、區域邊界、通信網絡基礎設施以及支撐性安全基礎設施(包括檢測響應措施和密鑰管理基礎設施)。 四
0054沿用了等級保護V2.0標準中的四層結構,也就是說是從信息系統的物理和環境安全、網絡和通信安全、設備和計算安全、應用和數據安全共四個層面來提出信息系統中應該如何用密碼的要求。
當然,并不是上述各層密碼類產品都需要在等保三級信息系統中去部署,具體方案需要根據實際情況進行設計,設計內容在各個信息系統的“密碼應用方案”中進行明確,根據《商用密碼應用安全性評估管理辦法(試行)》規定,審定后的密碼應用方案是各信息系統密碼應用建設和密碼應用安全性評估的重要依據。 五 一部分是密鑰管理,另一部分是安全管理。首先來看密鑰管理部分:
雖然GM/T 0054中也是按照總則和等保一級至四級的順序,對上圖所示的密鑰生成、存儲、分發、導入與導出、使用、備份與恢復、歸檔、銷毀等全生命周期分別都提出了具體的要求,但是,由于0054密鑰管理部分中的大部分要求是針對密碼產品而非密碼使用提出來的,在密鑰管理方面應該關注哪些事項。 首先,責任單位應要求建設單位對密碼保障系統的密鑰管理環節和操作規程進行清晰的設計。密鑰安全是密碼保障系統發揮作用的基礎,這一點密碼保障系統的建設單位非常清楚,但是,僅建設單位清楚是遠遠不夠的,信息系統的責任單位也應完全知悉,并要求建設單位設計出與責任單位業務管理環節及組織架構相適配的密鑰管理技術方案(一般可包含在《密碼應用方案》中),并提供完整的操作指導文檔,對系統初始化和運行維護過程中后應執行的密鑰管理環節和責任進行明確。 其次,責任單位應選用國家密碼主管部門核準的密碼產品。這些產品的密鑰管理功能均通過檢測,符合相關技術要求。這些產品既包括含密鑰管理功能的通用密碼產品(比如密碼卡/密碼機),也包括獨立的密鑰管理產品。 最后,責任單位應按照安全管理的要求,設置密碼管理相關崗位,配備相關人員,依照安全規程,執行密鑰管理操作。 另外,還需強調一點,無論是等保幾級的系統,對于責任單位來講,密鑰管理都至關重要。對密鑰管理的技術內容比較感興趣的,推薦閱讀GB/T 17901.1-1999《信息技術 安全技術 密鑰管理 第1部分:框架》 GM/T0054的最后一部分是安全管理:
安全管理從制度、人員、實施和應急幾個方面提出了要求。等保要求中也有安全管理的部分,責任單位可在原有安全管理體系的基礎上進行擴展,把密碼應用方案、密碼產品、密鑰等相關管理部分囊括進去即可。
