0x01 依据
GB/T 39786 -2021《 信息安全技术 信息系统密码应用基本要求》针对等保三级系统要求:
网络和通信层面:
a)应采用密码技术对通信实体进行身份鉴别,保证通信实体身份的真实性;
b)宜采用密码技术保证通信过程中数据的完整性;
c)应采用密码技术保证通信过程中重要数据的机密性;
d)宜采用密码技术保证网络边界访问控制信息的完整性;
e)可采用密码技术对从外部连接到内部网络的设备进行接入认证,确保接入的设备身份真实性;(第四级)
0x02 测评实施
a)应采用密码技术对通信实体进行身份鉴别,保证通信实体身份的真实性;
1、根据网络拓扑分析信道个数:用户内网访问信道,用户互联网访问信道,管理员运维内网信道,管理员互联网访问信道等。
2、需要询问管理员用户和普通用户在网络通信层面使用的信道是否一样? 特别是跨网络访问的情况,比如互联网访问信道。
3、VPN建立信道的,要查看VPN配置数字证书的情况,算法配置的情况,截图留存,要现场抓取VPN信道建立时的流量,根据报文,导出数字证书,查看证书签发机构,有效期、使用方法等信息。
4、如果采用国密浏览器,则提供国密浏览器产品认证证书电子版。
5、如果采用USBkey的方式建立信道,则需要提取用户数字证书,查看证书签发机构,有效期、使用方法等信息,还要提供USBKey的产品认证证书。
b)宜采用密码技术保证通信过程中数据的完整性;
1、此过程重要的是抓取报文,如果客户端直接访问web服务器,可以在客户端启动密评专用抓包工具,分析报文流量。
2、如果客户采用先拨VPN再访问应用系统的方式,则可以通过netsh 命令进行抓包,生成net.etl 再进行分析。
netsh trace start capture=YES report=YES persistent=YES tracefile=c:\net.etl maxSize=100M
netsh trace stop
3、如果在VPN之内访问应用,可以先通过openssl s_client -connect %addr%:%port% -showcerts -build_chain >>%datestr%.log 命令尝试提取密码套件和证书。
4、可以直接通过浏览器下载证书和观察密码套件,需截图留存。
c)应采用密码技术保证通信过程中重要数据的机密性;
1、此过程重要的是抓取报文,如果客户端直接访问web服务器,可以在客户端启动密评专用抓包工具,分析报文流量。
2、如果客户采用先拨VPN再访问应用系统的方式,则可以通过netsh 命令进行抓包,生成net.etl 再进行分析。
netsh trace start capture=YES report=YES persistent=YES tracefile=c:\net.etl maxSize=100M
netsh trace stop
3、如果在VPN之内访问应用,可以先通过openssl s_client -connect %addr%:%port% -showcerts -build_chain >>%datestr%.log 命令尝试提取密码套件和证书。
4、可以直接通过浏览器下载证书和观察密码套件,需截图留存。
d)宜采用密码技术保证网络边界访问控制信息的完整性;
1、目前阶段通过防火墙,路由器,交换机,网闸等做边界访问控制设备时,该项为不符合,业界如有设备对ACL做到了完整性保护,记录产品厂商型号。
2、VPN设备做边界访问控制设备时,有商密认证证书时,该项默认为符合。
e)可采用密码技术对从外部连接到内部网络的设备进行接入认证,确保接入的设备身份真实性;(第四级)
1、常用的方法是 对接入设备进行指纹提取和匹配,保证设备的合法性。
2、VPN的远程接入只是网络层面的身份鉴别,不能保证设备的真实性,所以不能缓解。
0x03 预期结果
a)身份鉴别
经核查,【XX信道】:1)【XX用户】使用【XXX国密浏览器与SSL VPN 安全网关建立访问信道,SSL VPN 安全网关密码套件配置为【X】;2)经抓取访问信道流量分析,传输信道使用商密TLCP协议进行保护,协商使用的密码套件为【X】;3)使用的身份鉴别算法为X,通信建立时客户端对服务端证书进行了单向身份鉴别,双证书机制,签名证书和加密证书签名算法为【SM2_with_SM3】;4)证书处于有效期内;5)SSL VPN 安全网关商密型号为【X】,商密产品认证证书编号为【GMXXXXXXX】,模块安全等级合规;【XXX国密浏览器】商密型号为【WS-KXLLQ-GM-FL-V1.0】,商密产品认证证书编号为【GMX】,模块安全等级合规。
b)通信数据的完整性
经核查,【XX信道】:1)【用户】使用【XXX国密浏览器】与SSL VPN 安全网关建立访问信道;2)经抓取网络访问信道流量分析,传输信道使用商密TLCP协议进行保护,协商使用的密码套件为【ECC_SM4_SM3(0xe013)】;3)SSL VPN 安全网关商密型号为【SJJ1929-G】,商密产品认证证书编号为【GM003719920201315】,模块安全等级合规;【XXX国密浏览器】商密型号为【WS-KXLLQ-GM-FL-V1.0】,商密产品认证证书编号为【GM001112220202035】,模块安全等级合规;4)建立SSL的数字证书为有资质的CA颁发机构生成,公私钥的生成和管理有保障。
c)通信过程中重要数据的机密性
经核查,【XX信道】:1)【用户】使用【XXX国密浏览器】与SSL VPN 安全网关建立访问信道;2)经抓取网络访问信道流量分析,传输信道使用商密TLCP协议进行保护,协商使用的密码套件为【ECC_SM4_SM3(0xe013)】;3)SSL VPN 安全网关商密型号为【SJJ1929-G】,商密产品认证证书编号为【GM003719920201315】,模块安全等级合规;【XXX国密浏览器】商密型号为【WS-KXLLQ-GM-FL-V1.0】,商密产品认证证书编号为【GM001112220202035】,模块安全等级合规;4)建立SSL的数字证书为有资质的CA颁发机构生成,公私钥的生成和管理有保障。
d)网络边界访问控制信息的完整性
经核查,【XX信道】:1)客户端和服务端通信时,使用了SSL VPN安网关设备作为的安全接入网关, 该产品已获得商用密码产品认证证书,能够保证网络边界访问控制信息的完整性;2)SSL VPN 安全网关商密型号为【SJJ1929-G】,商密产品认证证书编号为【GM003719920201315】,模块安全等级合规,访问控制信息完整性检测的通过设备自身实现,密钥保存在设备自身的密码模块内。
e)安全接入认证
经核查,【XX信道】1)从外部网络连接到内部网络采用了密码技术对设备进行认证,确保设备身份的真实性;2)采用的密码技术为【提取设备指纹通过电子签名或MAC等方式对设备指纹进行验证】。
0x04 取证材料
a)身份鉴别
1、VPN设备商用密码产品认证证书
2、VPN设备支持算法套件截图
SSL VPN
IPSec VPN
3、VPN设备实物图
4、VPN设备配置数字签名证书(有效期内)截图
5、VPN客户端与网关抓包,检查使用证书、实际采用算法
6、VPN设备访问控制信息
b)通信数据的完整性
1、VPN设备支持算法套件截图
2、VPN客户端与网关建立连接的截图
3、抓包确认HTTPS协议(部分密评厂商要看解密后数据)
c)通信过程中重要数据的完整性
1、VPN设备支持算法套件截图
2、VPN客户端与网关建立连接的截图
3、抓包确认HTTPS协议(部分密评厂商要看解密后数据)
d)网络边界访问控制信息的完整性
原有设备不符合+商用密码认证证书(部分符合)
e)安全接入认证 ( 一般不适用)
“安全接入认证”指标适用于设备“物理地”从外部接入信息系统的内部网络之前对设备的身份鉴别,接入后,该设备将成为信息系统内部网络的一部分。比如智能手持移动终端设备接入信息系统网络的场景,对于移动智能终端设备接入的认证属于“安全接入认证”指标的测评范围,该类终端设备经认证接入信息系统网络后则成为网络内的一部分。
