《信息安全等级保护商用密码技术要求》使用指南.docx
《《信息安全等级保护商用密码技术要求》使用指南.docx》由会员分享,可在线阅读,更多相关《《信息安全等级保护商用密码技术要求》使用指南.docx(96页珍藏版)》请在冰豆网上搜索。
《信息安全等级保护商用密码技术要求》使用指南
《信息安全等级保护商用密码技术要求》使用指南
《<信息安全等级保护商用密码技术要求>使用指南》编写组
一、引言
信息安全等级保护制度是国家信息安全保障工作的基本制度。
为了切实推进信息安全等级保护工作,公安部、国家保密局、国家密码管理局和原国务院信息办联合会签并印发了《信息安全等级保护管理办法》(公通字[2007]43号),编制了信息系统安全建设和改造过程中使用的主要标准之一《信息系统安全等级保护基本要求》(以下简称《基本要求》),从管理和技术两个方面来规范和促进信息安全等级保护制度的全面落实。
《基本要求》根据现有技术的发展水平,提出和规定了不同安全保护等级信息系统的基本安全要求,包括基本技术要求和基本管理要求,用于指导不同安全等级信息系统的安全建设和监督管理。
基本要求的实现涉及到多种安全技术,密码技术作为信息安全的基础性技术,是信息保护和网络信任体系建设的基础,是实行等级保护不可或缺的技术,充分利用密码技术能够有效地保障信息安全等级保护制度的有效落实。
在信息系统的安全保障中,根据实际的安全需求,科学合理地采用密码技术及其产品,是解决信息系统安全问题以满足《基本要求》的最为有效、经济和便捷的手段。
在《基本要求》中,各级信息系统安全保护的基本技术要求分别从物理安全、网络安全、主机安全、应用安全和数据安全及备份恢复五个层面提出,并在每一层面给出了相应的安全控制点和安全要求项。
其中,一些要求项明确指出必须利用密码技术来实现,而另一些要求则需依靠密码技术的支撑来实现。
总之,对于涉及到身份的真实性、行为的抗抵赖、内容的机密性和完整性的要求项,密码技术都可以直接或间接地为这类要求项的实现提供支持。
常用的密码技术主要包括加密、校验字符系统、消息鉴别码、密码校验函数、散列函数、数字签名、动态口令、数字证书和可信时间戳等。
密码技术通过如下密码服务来为安全要求项的实现提供支持:
●机密性服务:
通过加密和解密数据,防止数据的未授权泄露。
数据包括存储数据、传输数据和流量信息。
●完整性服务:
通过检测、通知、记录和恢复数据修改,防止数据的未授权修改。
数据修改包括改值/替换、插入、删除/丢失、重复/复制、变序/错位等。
●真实性服务:
通过标识和鉴别活动主体的身份,防止身份的冒用和伪造。
●抗抵赖服务:
通过提供行为证据,防止活动主体否认其行为。
证据内容包括行为主体、行为方式、行为内容和行为时间等。
密码技术与其提供密码服务的关系如表1所示:
密码技术提供的密码服务
密码服务
机密性
完整性
真实性
抗抵赖
密码技术
加密
●
校验字符系统
●
消息鉴别码(MAC)
●
密码校验函数
●
散列函数(Hash)
●
数字签名
●
●
●
动态口令
●
数字证书
●
●
●
可信时间戳
●
表1密码技术与密码服务的关系
密码技术具有以下方面的优势:
●坚实的理论基础:
数学是密码技术的理论支撑,因而决定了其坚实的理论基础。
●长久的实践考验:
密码技术具有悠久的历史,是一门久经实践考验的技术。
●经济的实现途径:
擅长计算的计算机系统为密码技术提供了性价比最佳的实现平台。
●有效的运行机制:
严谨的密码运行和管理体系为密码技术作用的有效发挥提供了良好保证。
●便捷的使用方法:
简洁的密码使用接口为密码使用者提供了极大的方便。
在等级保护中使用密码技术时,应考虑以下因素:
●保护能力:
应达到给定信息安全保护等级的基本技术要求。
●运行环境:
应与所保护信息系统的运行环境相适应,包括基础设施、人员素质等方面。
●操作影响:
应最小化对信息系统既定操作的影响,包括流程、性能等方面。
●实施成本:
应平衡建设/运行/维护成本和所获得的效益。
●整体协调:
应从组织的信息安全系统的整体角度协调所集成的安全技术和产品,包括如果一个组织存在不同安全等级的信息系统,当较低级别的信息系统可以在不附加更多成本的情况下能够直接利用且不影响为较高级别的信息系统所提供的安全机制时,应选择共享较高级别的安全机制,而不必再另外建设较低级别的安全机制。
从上面的分析可见,对信息系统实施等级保护,需要大量采用密码技术,而且许多安全需求只有使用密码技术才能得到满足,因此如何科学合理地应用密码技术来满足对信息系统的安全保护需求成为实施等级保护的关键工作内容,直接影响作信息安全等级保护的全面推进。
密码技术作为一种特定的敏感技术,要求科学合理的密码系统设计和严谨规范的密码系统集成,正确的使用非常关键,为此,我们以《商用密码管理条例》和《信息安全等级保护商用密码管理办法》为指导,在《信息安全等级保护商用密码技术要求》的基础上,编制了这本《<等级保护商用密码技术要求>使用指南》,以指导商用密码用户科学使用商用密码技术来实施等级保护,并为密码管理部门开展等级保护密码管理工作提供帮助,同时为密码产品的生产商和密码系统集成商提供参考。
本指南后面部分按以下章节组织:
●第二章介绍信息系统密码保护的基本框架和技术体系
●第三章介绍在等级保护中使用商用密码技术的实施要求
●附录一介绍在第一级系统中利用商用密码技术来实现相关安全要求项。
包括密码技术应用需求分析、密码通用技术要求和典型示例。
●附录二介绍在第二级系统中利用商用密码技术来实现相关安全要求项。
包括密码技术应用需求分析、密码通用技术要求和典示案例。
●附录三介绍在第三级系统中利用商用密码技术来实现相关安全要求项。
包括密码技术应用需求分析、密码通用技术要求和典型示例。
●附录四介绍在第四级系统中利用商用密码技术来实现相关安全要求项。
包括密码技术应用需求分析、密码通用技术要求和典型示例。
●附录五为方便查阅,以对照表的方式列出了第一至四级基本技术要求中的密码技术应用需求汇总。
二、密码框架保护
1、信息系统密码保护框架
综合分析《信息系统安全等级保护基本要求》我们可以看到,对于一个信息系统的安全保护,包括了对信息系统的边界、自身的局域计算环境以及支撑它的网络通信环境的保护。
信息系统密码保护框架(以下简称“密码保护框架”)就是以密码技术为基础建立的安全服务体系。
它利用密码技术提供的真实性、机密性、完整性和抗抵赖等密码服务,形成相应的安全服务机制,以保护信息系统的边界、局域计算环境以及支撑它的网络通信环境,实现对信息系统的安全保护。
信息系统的密码保护框架由以下四个部分构成:
●密码基础设施;
●通信安全:
由密码技术支撑的保障通信安全的安全服务;
●局域计算环境安全:
由密码技术支撑的保障局域计算环境安全的安全服务;
●边界安全:
由密码技术支撑的保障信息系统边界安全的安全服务。
根据《信息安全等级保护商用密码技术要求》,信息系统密码保护框架如下图所示:
图表1信息系统密码保护框架
●密码基础设施是为各种密码服务提供支撑的共性设施。
在密码保护框架中,密码基础设施主要包括公钥基础设施/密钥管理基础设施(PKI/KMI)。
KMI/PKI作为一种基础设施,主要提供对称密钥的管理、非对称密钥及与其相关的证书管理、目录服务等三种服务。
KMI/PKI本身并不能直接为用户提供安全服务,但KMI/PKI是其它密码应用的基础。
KMI/PKI是安全服务所必需的组件,KMI/PKI的体系结构依赖于其支持的应用。
●通信安全以密码技术为核心提供传输安全服务、身份鉴别服务和安全审计服务来保障网络通信的安全。
●局域计算环境安全关注的局域网环境中客户机、服务器以及其上所承载的应用程序、数据等的可用性、机密性和完整性。
局域计算环境安全提供身份鉴别服务、存储安全服务、可信时间服务、可信印迹服务、访问控制服务、安全审计服务和责任认定服务。
●边界安全关注的重点是局域网相连边界和应用边界的安全,边界安全提供身份鉴别服务、访问控制服务和安全审计服务。
2、密码保护技术体系
在信息系统中采用密码技术建立密码保护框架来进行信息安全保护,需要综合考虑信息系统的安全需求和密码的配置需求,从而为信息系统提供安全高效的安全服务。
实现密码保护框架的密码保护技术体系分为多个层次,逐层提供支撑服务,最终为信息系统提供实现等级保护要求的安全防护服务。
信息系统的密码保护技术体系如下图所示:
图表2信息系统密码保护技术体系图
密码保护技术体系的构建基于安全可靠、层次分明、标准开放的原则,包括密码基础设施、密码设备、密码服务以及密码支撑的安全服务等四个组成部分。
密码保护技术体系构建的目标是基于密码技术为信息系统提供安全保护服务,从而为信息系统的物理安全、网络安全、主机安全、应用安全和数据安全及备份恢复提供基础保障。
按照《基本要求》的描述,本文中物理安全、网络安全、主机安全、应用安全和数据安全及备份恢复的内涵如下:
●物理安全是指包括支撑设施、硬件设备、存储介质等在内的信息系统相关支持环境的安全。
物理安全保护的目的主要是使存放计算机、网络设备的机房以及信息系统的设备和存储数据的介质等免受物理攻击、自然灾难以及人为操作失误和恶意操作等各种威胁所产生的攻击。
物理安全主要涉及的方面包括环境安全(防火、防水、防雷击等)设备和介质的防盗窃防破坏等方面。
具体包括:
物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应和电磁防护等十个控制点。
●网络安全是指包括路由器、交换机、通信线路等在内的信息系统网络环境的安全。
网络安全为信息系统在网络环境的安全运行提供支持。
一方面,确保网络设备的安全运行,提供有效的网络服务,另一方面,确保在网上传输数据的机密性、完整性和可用性等。
网络安全主要关注的方面包括:
网络结构、网络边界以及网络设备自身安全等,具体的控制点包括:
结构安全、访问控制、安全审计、边界完整性检查、入侵防范、恶意代码防范、网络设备防护等七个控制点。
●主机系统安全是指包括服务器、终端/工作站以及安全设备/系统在内的计算机设备在操作系统及数据库管理系统层面的安全。
主机系统安全涉及的控制点包括:
身份鉴别、安全标记、访问控制、可信路径、安全审计、剩余信息保护、入侵防范、恶意代码防范和资源控制等九个控制点。
●应用安全是指支持业务处理的业务应用系统的安全;应用安全是信息系统整体防御的最后一道防线。
在应用层面运行着信息系统的基于网络的应用以及特定业务应用。
各种基本应用最终是为业务应用服务的,因此对应用系统的安全保护最终就是如何保护系统的各种业务应用程序安全运行。
应用安全主要涉及的安全控制点包括:
身份鉴别、安全标记、访问控制、可信路径、安全审计、剩余信息保护、通信完整性、通信保密性、抗抵赖、软件容错、资源控制等十一个控制点。
●数据安全是指信息系统中数据的采集、传输、处理和存储过程中的安全。
数据安全及备份恢复在维持系统正常运行上起着至关重要的作用。
一旦数据遭到破坏(泄漏、修改、毁坏),都会在不同程度上造成影响,从而危害到系统的正常运行。
对数据的保护需要物理环境、网络、数据库和操作系统、应用程序等提供支持。
保证数据安全和备份恢复主要从:
数据完整性、数据保密性、备份和恢复等三个控制点考虑。
2.1、密码基础设施
密码基础设施包括PKI和KMI。
●PKI是通过使用公开密钥技术和数字证书来提供系统信息安全的一种信任体系。
PKI对信息系统供应数字证书,并提供数字证书管理、证书和证书吊销列表查询等服务。
基于数字证书,信息系统可以运用身份鉴别、数字信封、数字签名等技术,完成身份认证,完成对数据机密性、完整性和不可抵赖性的保护。
●KMI是对称密码体制必需的组件,KMI为密码设备提供密钥的生成、存储、分发、注入与导出、使用、备份、更新、归档、恢复和销毁等环节的策略定制和管理。
2.2、密码设备
密码设备包括密码卡、智能密码钥匙、服务器密码机、终端密码机、网络密码机、可信计算平台、其他密码设备等。
其中密码设备密码卡、智能密码钥匙、服务器密码机为密码系统和应用系统提供密码算法实现、密钥生成、密钥存储等密码服务。
密码卡应用在对终端加解密性能要求较高的情形;智能密码钥匙等应用在对终端加解密性能要求不高的情形,主要支持实现身份鉴别等功能;服务器密码机为所有终端和应用系统提供高性能的加解密服务。
网络密码机和终端密码机主要提供网络层和应用层的信息的传输加密和完整性保护。
2.3、密码服务
密码服务基于密码设备和密码基础设施对外提供的基础密码服务,包括机密性、完整性、抗抵赖和真实性等。
●机密性服务:
通过加密和解密数据,防止数据的未授权泄露。
数据包括存储数据、传输数据和流量信息。
●完整性服务:
通过检测、通知、记录和恢复数据修改,防止数据的未授权修改。
数据修改包括改值/替换、插入、删除/丢失、重复/复制、变序/错位等。
●真实性服务:
通过标识和鉴别活动主体的身份,防止身份的冒用和伪造。
●抗抵赖服务:
通过提供行为证据,防止活动主体否认其行为。
证据内容包括行为主体、行为方式、行为内容和行为时间等。
2.4、密码技术支撑的安全服务
身份鉴别服务
身份鉴别服务是对实体(用户、设备、系统等)在访问保护域及保护域的资源时,确认其实体的身份是否真实、合法和唯一的密码服务。
在《基本要求》中,身份鉴别服务主要针对用户进入保护办公区、用户进入网络系统、用户登录操作系统、用户访问应用系统、设备接入保护域、系统接入保护域、网络对话、访问控制、网络资源访问、关键数据交换等需求采用相应的身份鉴别技术进行身份确认。
传输安全服务
传输安全服务主要是采用加密、杂凑函数等密码技术实现数据传输过程中的机密性和完整性。
传输安全服务可以采用链路层加密、基于IPSecVPN技术的IP网络层加密、基于SSLVPN技术的传输层加密以及应用系统直接调用密码设备提供的密码服务等技术方式实现。
存储安全服务
存储安全服务采用加密、杂凑函数等密码技术对存储信息的机密性和完整性进行保护。
存储安全服务可以采用虚拟磁盘加密技术、安全数据库以及应用系统直接调用密码设备提供的密码服务等方式实现。
可信时间服务
可信时间服务的主要功能是提供可靠的时间信息证据,以证明某个信息在某个时间(或以前)的存在,或者证明某个操作发生的时间。
可信时间服务系统需要使用数字证书和数字签名技术的时间戳技术。
可信印迹服务
电子印迹是指电子形式的图章印记和手写笔迹。
可信电子印迹服务是指通过密码技术,对应用中使用的电子印迹的完整性和真实性提供保障,对应用提供安全可靠的电子印迹。
可信印迹服务需要采用符合标准的密码系统,使用数字证书和数字签名技术,向应用系统提供服务。
访问控制服务
访问控制服务是控制用户和系统与其他的系统或资源进行通信和交互的安全手段。
密码保护技术体系重点用于保障访问控制服务中访问凭证的可靠性和访问记录的完整性。
安全审计服务
安全审计服务是指通过对网络中的安全设备和网络设备、应用系统的动作和行为进行全面的记录、监测、分析、评估以便找到最佳途径在最大限度保障信息系统安全的一切行为和手段,并为责任认定服务提供基本保障。
密码保护技术体系重点用于保护审计记录的完整性和防止对审计记录的非法修改。
责任认定服务
系统通过责任认定服务,向用户提供电子证据,明确事件发生的时间、位置、过程操作者等。
密码保护技术体系基于数字签名、时间戳和安全审计提供责任认定服务。
三、密码保护实施要求
鉴于商用密码技术应用是实现信息系统安全等级保护的重要基础,同时密码保护的正确实施非常关键,要求科学合理的密码系统设计和严谨规范的密码系统集成,因此,使用商用密码技术来对信息系统进行密码保护应按照国家商用密码管理相关政策和标准进行严格管理。
为了充分兼顾管理的有效性、及时性和密码保护实施不同阶段的特殊性,我们针对不同安全等级信息系统密码保护要求的特点,从密码保护系统的规划设计、产品选型、集成实施、安全测评与检查等方面分别对密码保护的实施提出了相关要求。
1、集成单位选择
信息系统用户单位使用商用密码来对二级以上(含二级)信息系统进行密码保护应选择持有《商用密码产品销售许可证》(以下简称“《销售许可证》”),并具有商用密码产品集成销售能力的单位进行密码保护实施。
无《销售许可证》或具有《销售许可证》但不具有商用密码产品集成销售能力的单位,不得承担二级以上(含二级)信息系统的信息安全等级保护中相关的密码保护工作。
2、方案设计、产品选型与集成实施
商用密码产品集成单位应从实际出发,综合平衡安全成本与风险,设计符合安全保护要求的商用密码系统集成方案、选择合格产品并进行科学实施。
2.1商用密码系统建设方案的设计
使用商用密码来对二级以上(含二级)信息系统进行密码保护的承建单位应首先协助系统建设单位,依据本指南附件,对信息系统的进行安全需求分析,明确系统的商用密码需求;
建设方案的设计应依据设计目标、设计原则和安全策略,从通信安全、局域计算环境安全、边界安全等方面,明确商用密码系统功能,并形成系统保护模型。
商用密码系统设计方案应当包括但不限于下列内容:
●信息系统概述。
●安全需求分析。
●商用密码系统建设方案。
●商用密码设备清单(产品资质、功能及性能列表)。
●商用密码系统安全管理与安全保障策略。
●系统建设计划。
三级信息系统的密码系统建设方案,应于实施前由所在省市密码管理部门组织专家进行评审。
四级信息系统的密码系统建设方案,应于实施前由国家密码管理局组织专家进行评审。
方案评审通过后,方可进行密码系统建设。
2.2产品选用
使用商用密码来实施等级保护时,应按照《商用密码产品目录》,选用国家密码管理局准予销售的密码产品。
选用包含密码技术的信息产品时,应选用通过国家电子信息产品3C认证的产品。
对安全等级为三级以上(含三级)信息系统使用商用密码来实施等级保护时,应填写《信息安全等级保护商用密码产品备案表》,按照《信息安全等级保护商用密码管理办法》的要求,报备到相应密码管理部门。
2.3商用密码系统建设方案的实施
商用密码系统在实施时,必须严格按照经过评审的方案实施。
第三级以上(含三级)信息系统需变更密码保护方案的,须由相应密码管理部门组织专家评审通过后,方可实施。
3、系统安全测评
使用商用密码对安全等级为三级以上(含三级)信息系统实施保护的,系统在投入运行前,必须通过国家密码管理局授权的安全测评机构进行的密码系统安全性测评。
商用密码系统的密码系统安全性测评分为资料审查、现场考察、现场检测、出具检测报告、专家评估和给出测评结论并报密码管理部门备案6个阶段,如图2所示:
图2系统测评流程
4、日常维护与管理
商用密码使用单位,应当建立可行、完善的商用密码管理制度,通过日常的维护和管理,有效监控商用密码系统的运行状况。
对信息系统的规模、业务范围以及用户等要素进行变化跟踪,并及时调整商用密码系统的功能和策略。
三级以上(含三级)系统当发生重大变更时,应当上报相应国家密码管理部门,重新进行系统评估和审查。
商用密码系统使用单位如需外包日常维护与管理服务的,应选用持有《商用密码产品销售许可证》的服务提供者。
不具备《商用密码产品销售许可证》的单位不得承接商用密码系统的外包维护与管理服务。
5、安全监督检查
国家商用密码管理部门对其所辖的第三级以上信息系统中的商用密码系统进行定期检查工作,以及时发现问题、堵塞漏洞、消除隐患。
其中第三级信息系统每两年检查一次,第四级信息系统每年检查一次。
附录一:
第一级信息系统密码保护
1、第一级基本技术要求中的密码技术应用需求分析
1.1物理安全
第一级物理安全基本技术要求的实现通常用不到密码技术。
1.2网络安全
第一级网络安全基本技术要求在访问控制和身份鉴别方面可以用到密码技术。
在访问控制方面,《基本要求》中相关的基本技术要求项包括:
●应在网络边界部署访问控制设备,启用访问控制功能。
●应根据访问控制列表对源地址、目的地址、源端口、目的端口和协议等进行检查,以允许/拒绝数据包出入
●应通过访问控制列表对系统资源实现允许或拒绝用户访问,控制粒度至少为用户组。
在访问控制机制中,访问控制列表是关键信息,应防止被篡改。
密码技术的完整性服务可以实现访问控制列表的防篡改,从而保证访问控制列表的完整性。
在身份鉴别方面,《基本要求》中相关的基本技术要求项包括:
●应对登录网络设备的用户进行身份鉴别。
●当对网络设备进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听。
在身份鉴别机制中,鉴别信息是关键信息,应防止被假冒和在网络传输过程中被泄露。
密码技术的真实性服务可以实现鉴别信息的防假冒,从而保证用户身份的真实性。
密码技术的机密性服务可以实现鉴别信息的防泄露,从而保证鉴别信息的机密性。
综上所述,密码技术的应用需求点归纳如下:
●网络边界访问控制列表的完整性
●系统资源访问控制列表的完整性
●网络设备用户身份的真实性
●网络设备远程管理时鉴别信息远程传输过程中的机密性
1.3主机安全
第一级主机安全基本技术要求在身份鉴别和访问控制方面可以用到密码技术。
在身份鉴别方面,《基本要求》中相关的基本技术要求项包括:
●应对登录操作系统和数据库系统的用户进行身份标识和鉴别。
在身份鉴别机制中,鉴别信息是关键信息,应防止被假冒。
密码技术的真实性服务可以实现鉴别信息的防假冒,从而保证用户身份的真实性。
在访问控制方面,《基本要求》中相关的基本技术要求项包括:
●应启用访问控制功能,依据安全策略控制用户对资源的访问。
在访问控制机制中,访问控制信息是关键信息,应防止被篡改。
密码技术的完整性服务可以实现访问控制信息的防篡改,从而保证访问控制信息的完整性。
综上所述,密码技术的应用需求点归纳如下:
●操作系统和数据库系统用户身份的真实性
●系统资源访问控制信息的完整性
1.4应用安全
第一级应用安全基本技术要求在身份鉴别、访问控制和通信安全方面可以用到密码技术。
在身份鉴别方面,《基本要求》中相关的基本技术要求项包括:
●应提供专用的登录控制模块对登录用户进行身份标识和鉴别。
在身份鉴别机制中,鉴别信息是关键信息,应防止被假冒。
密码技术的真实性服务可以实现鉴别信息的防假冒,从而保证用户身份的真实性。
在访问控制方面,《基本要求》中相关的基本技术要求项包括:
●应提供访问控制功能控制用户组/用户对系统功能和用户数据的访问。
●应由授权主体配置访问控制策略,并严格限制默认用户的访问权限。
在访问控制机制中,访问控制信息是关键信息,应防止被篡改。
密码技术的完整性服务可以实现访问控制信息的防篡改,从而保证访问控制信息的完整性。
在通信安全方面,《基本要求》中相关的基本技术要求项包括:
●应采用约定通信会话方式的方法保证通信过程中数据的完整性。
密码技术的完整性服务可以实现对通信过程中数据完整性的保证。
综上所述,密码技术的应用需求点归纳如下:
●应用系统用户身份的真实性
●系统功能和用户数据访问控制信息的完整性
●通信过程中数据的完整性
1.5数据安全及备份恢复
第一级数据安全及备份恢复基本技术要求在数据传输安全方面可以用到密码技术。
在数据传输安全方面,《基本要求》中相关的基本技术要求项包括:
●应能够检测到重要用户数据在传输过程中完整性受到破坏。
密码技术的完整性服务可以实现对重要用户数据在传输过程中完整性的检测。
综上所述,密码技术的应用需求点归纳如下:
●传输过程中重要用户数据的完整性
1.6总结
综上所述,密码技术在第一级信息系统中的应用需求归纳如下:
机密性服务
●应用对象:
网络设备远程管理时的鉴别信息。
●密码技术:
散列函数(Hash)、加密。
完整性服务
●应
升级会员 