- 安全政策解读
- 网络安全法
- 网络安全等级保护2.0
- APP个人信息保护与新等保合规要求
- 校园网络安全
- 网络安全建设和规范
- 商用密码应用安全性
安全政策解读
网络安全法
十二届全国人大常委会第24次会议通过《中华人民共和国网络安全法》,并且在2017.6.1正式实施,它是我网络邻域的基础性法律;
网络安全风险:
- 风险1:网络入侵/网络攻击
- 风险2:非法倒卖个人信息(进行诈骗)/侮辱诽谤他人/侵犯知识产权
- 风险3:恐怖主义/煽动颠覆国家政权/对社会主义制度产生影响的/传播色情和谣言的
网络安全法必要性:
- 落实党中央决策部署的重要措施
- 维护网络安全的客观需求
- 维护广大人民群众利用的必然要求
- 参与互联网国际竞争和国家治理得必然选择
调整范围:
- 1.网络:PC或者其他信息终端相关设备安装一定规则和程序对信息进行收集/存储/传输/交换/处理得系统
- 2.网络安全:采用应对措施进行防范对网络的攻击/侵入/干扰/破坏和非法使用以及意外的事故,使网络处于稳定可靠运行的状态,以保障网络数据的
完整性/保密性/可用性能力 - 3.网络运营者:网络的所有者/管理者和网络服务提供者
- 4.网络主权原则 : (第五条)
- 5.域外效力: (第七十五条)
网络产品和服务安全:
- 产品和服务提供者安全义务:不得设置恶意程序,向用户告知安全缺陷/漏洞/持续提供安全维护,保护用户信息
- 安全认证安全检测:现有检测认证制度上升为法律,避免重复认证检测;
- 网络安全服务:包括网络安全认证,检测/风险/评估等,通过原则规定为下位法提供依据
网络安全等级保护:
- 制定内部安全管理制度和操作流程,确定网络安全负责人,落实网络安全保护责任
- 采取防范计算机病毒和网络攻击,网络侵入等危害网络安全行为的技术措施
- 采用数据分类/重要数据备份和加密等措施
- 采用监控,记录网络安全事件的措施,根据规定留存的相关的日志不小于180天;
关键信息基础设施保护制度:
- 01.关键信息基础设施的范围:公共通信/信息服务/能源/交通/水利/金融/电子政务,实际范围不限于上述
- 02.与等级保护的关系:前者关键信息基础设施使一个整体常常是(3-5级),而后者强调了单体独立应用。
- 03.更严格的保护措施: 网安部门需要进行统一协调,关键信息基础设施的管理人员需要定期的自查,以及应急响应;
- 04.国家安全审查:审核所使用的网络产品是否存在恶意行为或者意图(需要安全认证/安全检测),其次可以作为对等反制一般情况下是不会启用
- 05.数据境内存储:需要向域外传输数据的时候需要向国家相关部门进行安全评估复合,需要符合我国的安全标准;隐私数据必须存放在中国境内;
网络信息安全:
- 确立网络实名制
- 确定网络运营者的义务
- 赋予执法部门必要手段
- 技术支持与协助:网络运营者提供技术支持和协助的义务,公安机关/国家安全机关行使此项权利必须严格按照规定的权限和程序;
监控预警和应急处置:
- 关键信息基础设施的监控预警和信息通报
- 网络通信临时管制
- 网络安全事件应急处置
- 建立国家统一的监测预警,信息通报和应急处置制度和体系
管理体制:统筹协调分工负责,体现实际中已经形成的以网信/工信/公安为主的管理体制
网络安全等级保护2.0
标准体系:基本要求(GB/T 22239)总体结构、安全通用要求、安全扩展要求
等保1.0主要工作:
- 监督检查:定级备案->建设整改->等级测评 (公通字[2007]43号文-等级保护动作规范)
- 主要标准:
- 等级划分准则、(信息系统安全)等保实施指南/等级定级指南、等保基本要求/安全设计要求/等保测评要求/等保测评指南
- 技术类、管理类、产品类来支撑信息系统安全等级保护基本要求
等保2.0主要工作:
- 一个中心、三重防护的思想,充分强化可信计算计算的使用需求
GB/T 22239标准特点
- 对象范围扩大:将云计算、移动互联、物联网、工业控制系统等标准范围,构成了“安全通用要求+新型应用安全扩展要求”
- 分类结构统一:新标准"基本要求、设计要求和测评要求" 分类框架统一,形成了 "安全通信网络"、"安全区域边界"、"安全计算环境"和"安全管理中心"的支持下的三重防护体系架构
- 强化可信计算:新标准强化了"可信计算技术的使用的要求",把可信验证列入各个级别并逐级提出各个环节的主要可信验证要求
GB/T 22239变化
- 名称变化:《信息系统安全等级保护基基本要求》-> 《信息安全等级保护基本要求》-> 《网络安全等级保护基本要求》(与网络安全法一致)
- 对象变化: 信息系统->等级保护对象(网络和信息系统),安全等级保护的对象包括网络基础设施(广电网、电信网/专用通信网络),云计算平台系统、大数据平台系统、网联网、工业控制系统、采用移动互联计算的系统等
- 安全要求变化: 安全要求 -> 安全通用要求和安全扩展要求;安全通用要求不管等级对象形态如何改变都必须满足的要求;针对
云计算、移动互联、物联网和工业控制系统提出了特殊要求、称为安全扩展要求; - 章节变化:安全通用要求、云计算、移动互联、物联网和工业控制系统等安全扩展要求
- 分类结构变化:
- 技术部分: 安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心
- 管理部分: 安全制度管理、安全管理机构、安全管理人员、安全建设管理、安全运维管理
- 新增云安全扩展要求:
针对于云计算特点提出特殊保护要求,对云计算环境主要增加的内容包括"基础设施位置",“虚拟化安全保护”,“镜像和快照保护0”,“云服务商的选择”和"云计算环境管理"等方面
增加了移动互联安全扩展要求:对移动互联环境主要增加的内容,"无线接入物理位置","移动终端管控","移动应用管控","移动应用软件采购","移动应用软件开发"等方面
增加物联网安全扩展要求:对物联网环境增加内容包括"感知节点的物理防护","感知节点设备安全","感知网关节点设备安全","感知节点的管理","数据融合处理"等方面
增加工业扩展安全扩展要求:内容包括"室外控制设备防护",“工业控制系统网络架构安全”,“拨号使用控制”,“无线使用控制”,"控制设备安全"等方面
附录H描述大数据应用场景(安全扩展要求)
安全防护效果
- 1.进不去(攻击者无法从外围进入内部)
- 2.拿不到(非授权者重要信息无法获取)
- 3.看不懂(窃取的保密信息看不懂)
- 4.改不了(系统参数和信息无法被修改)
- 5.摊不成(系统工作瘫痪不成)
- 6.赖不掉(攻击行为赖不掉)
科学的网络安全观:网络化基础设施、云计算、大数据、工业控制、物联网等新型信息化环境需要安全可信作为基础和发展的前提,必须是可信度量、识别和控制取保可信计算;
什么是可信计算?
- 操作行为可信,数据存储可信,策略管理可信,资源配置可信,体系架构可信;
可信安全管理中心支持下的主动免疫三重防护架构:
- 可信计算环境 <-> 可信边界 <-> 可信网络通信 <-> 用户终端
- 系统 - 安全 - 审计
- 安全管理中心
APP个人信息保护与新等保合规要求
描述:需要满足移动互联安全扩展要求,比如下面的控制点和要求项数量
什么定级主题符合移动互联的定义?
答:移动互联安全扩展要求主要针对三要求确认,即 移动终端,移动应用和无线网络 部分提出特殊安全要求;
两类定级主体:
- 第一类:通用终端+公共无线网络+移动APP
- 第二类:专用终端+专用无线网络+移动APP
无线互联扩展要求,一共14条要求扩展条例体现处理的防护思想;
- 准入+控制(防范非法接入,具备远程控制能力)
针对第一类通用场景解决方案:
- 在通用终端上,直接在信息系统层增加准入和远程控制能力
- 在应用上,根据要求强化数据保密性合格,通过加密,混淆和反编译等多种手段进行保护;
- 在管理制度上落实三同步要求,落实个人信息保护要求;
WLAN系统一般由AC(接入控制器)和AP(无线接入点)组成
- 无线AP,为Access Point简称,一般翻译为“无线访问节点”,它是用于无线网络的无线交换机,也是无线网络的核心。无线AP是移动计算机用户进入有线网络的接入点,主要用于宽带家庭、大楼内部以及园区内部,典型距离覆盖几十米至上百米,目前主要技术为802.11系列。大多数无线AP还带有接入点客户端模式(AP client),可以和其它AP进行无线连接,延展网络的覆盖范围。
- 无线 AC:为Access Control 简称 它是指无线接入控制服务器(AC), 接入控制器(AC) 无线局域网接入控制设备,负责把来自不同AP的数据进行汇聚并接入Internet,同时完成AP设备的配置管理、无线用户的认证、管理及宽带访问、安全等控制功能。
APP收集个人信息安全
描述:2019.1.25日中央网信办,工信部,公安部,市场监督局等四部门召开新闻发布会,联合发布<关于开展APP非法收集个人信息专项治理的公告>,在2018年5月1号《GB/T 35273 信息安全计算个人信息安全规范》正式实行,并且在2019年6月1号信安标委发布《网络安全事件指南-移动互联网应用业务功能个人信息收集必要性规范V1.0》,除了等级保护2.0中增加对个人信息保护条例外,4月19日公安第三研究所正式发布了《互联网个人信息安全保护指南》
个人信息是什么?
答:个人信息(Personal Informat)以电子或者其他方式记录能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息;
- 注1:个人信息包括姓名,出生日期,身份证号码,个人生物识别信息,住址,通信联系方式,通信记录和内容,账号密码,财产信息,增信信息,行踪轨迹,住宿信息,健康生活信息,交易信息等;
个人信息保护合规框架:
SDK成为APP营运者的痛楚,比如您不知道第三方的SDK自主收集的信息是什么?
国内常见的基线标准有中国信息安全等级保护、电信网和互联网安全防护基线配置要求及检测要求,不同的企业也可以根据自身企业业务制定符合自己企业的安全基线标准。
个人信息保护现状梳理:
- 【个人信息】明确个人数据:基于国家标准对于个人信息,个人敏感信息的定义,与企业的产品,研发等部门对APP当前所收集的个人数据类型进行确认;
- 【业务梳理】APP业务功能梳理:明确个人信息的定义后,对企业当前的各个功能,业务流程进行梳理,并明确各个业务功能和流程所收集的个人信息列表,形成企业个人信息盘点表;
- 【制度梳理】管理制度梳理:对企业当前针对个人信息保护相关的管理制度,规范进行全面了解和梳理,形成企业个人信息管理制度评估表;
- 【第三方】第三方交互梳理:对APP当前使用的第三方SDK,存储个人信息技术(Cookies)以及与第三方公司的交互现状进行梳理形成个人信息数据流转流程图;
个人信息保护管理制度指定:从个人信息保护合规工作出发,结合相关法律法规,为企业构建个人信息保护治理框架,包括但不限于目标与策略,范围与内容,组织架构,机制流程,应急预案等方面,协助企业完成相关制度,报告等文件起草,修订以及确认;
- 个人信息保护管理办法配置制度以及模板
- 个人信息保护设计指引相关设计要求及模板
- 个人信息主体权限请求事件管理制度以及模板
- 个人信息保护审计相关管理制度以及模板
- 个人信息泄露事件管理制度以及模板
个人信息保护技术合规整改:
- 01.用户权力的功能实现:如删除注销账户功能;
- 02.隐私政策整改:基于APP的业务功能,收集个人信息的情况以及企业的其他实际情况,新增或修修改隐私政策内容;
- 03.用户授权撤回功能实现:通过用户授权管理等功能来实现用户授权的管理工作;
- 04.隐私纠纷管理实现:对用户个人信息方面的投诉申诉方面的权力进行技术实现,满足合规要求;
- 05.隐私政策管理:对隐私政策版本/更新/通知机制等需求通过技术化措施来实现;
- 06.个人数据保护措施:采取多种手段对个人信息全生命周期进行保护;
- 07.信息泄露通知:通过技术手段实现在发生个人信息泄露事件时可以快速通知到监管机构以及用户;
- 08.个人数据脱敏:指导企业对个人信息数据脱敏来降低合规风险;
个人信息保护存在的问题:
- 个人信息保护与业务合规需求矛盾,从反洗钱法来说在客户交易结束后至少应当保存5年以上,但是根据
GB 35273来说个人信息主体注销后,应该删除其个人信息或者匿名化处理;
校园网络安全
描述:学校信息系统可分为重点建设类高校学校信息系统(I类),高等学校信息系统(II类),中小学校(含中职中专院校)信息系统(III类)
- 校务管理类(主要是二级)
- 办公与事务处理,公文与信息交换,人事/财务/资产/后勤/学生教育工作管理/学生体质健康数据管理/档案管理/党务管理
- 教学科研类 (科研管理和情报为第三级)
教学改革管理 / 学科,专业管理 / 教务教学管理 / 教学资源管理 / 教学质量评估与保障 / 科研管理 / 科研情报
招生就业类: 招生录取管理 / 学生就业管理
综合服务类:(三级为主)
门户网站 / 论坛社区类网站 / 数字图书馆 / 电子邮件 / 视频服务 / 安防监控 / 校园一卡通 / 内网门户和身份认证 / 公共数据库 / 运维管理
提升整体安全防护能力需要从多个层面进行分析IT系统(网络层/系统层/应用层/数据层/终端层/管理),这就是我们所说的木桶效应;
导致系统异常终端与信息泄露在企业中常见原因
- 恶意人员外部入侵和非恶意人员的工作失误,内部控制防护缺失等人为原因都可能导致系统异常中断和信息泄露;
- 异常断电和自然灾害等不可抗拒的环境因素也可能导致吸引异常中断;
- 设备老化,软硬件故障等设备原因也是导致系统异常中断的主要原因之一;
网络安全建设和规范
网络安全事件预防:事前预防 + 事中控制 + 事后稽查 -> 信息安全管理
业务安全保障能力几大模块
- 业务安全需求 (懂安全/懂业务)
- 业务安全建模
- 数据流分析
- 威胁面分析
- 威胁建模
- 信息安全责任
组织安全责任
管理层安全责任
安全责任边界
岗位安全职责 (业务岗 / 安全岗 / 审计岗 / 开发岗 / 建设岗 / 运维岗)
信息安全绩效
安全量化管理 (人员能力 / 安全事件)
安全绩效管理 (安全事件管理 [定指标 / 分奖cen ] / 安全隐患管理 [知识库 / 奖励式])
信息安全呈现 (攻击可视化 / 流量回溯)
安全基线体系建设
建设的紧迫性和复杂性:
- 法律标准 / 安全标准 / 安全检查 / 安全内需 / 社会责任
- 国家监控部门加大监管力度
- 新技术的挑战 / 新运营模式挑战 / 新业务挑战
- 自身业务发展,面临发展挑战
- 行业之间的竞争激烈,安全成为重要因素
- 外部竞争加剧,安全成为制约因素
企业内部网络安全问题(常见):
- 1.制度与管理问题
- 2.AB密匙管理存放问题
- 3.技术开发安全意识问题
- 4.将所有的安全责任放在某一个人身上,没有2个以上的专职人员;
- 5.内网上网行为审计问题
- 6.恶意数据流梳理分析问题
- 7.业务安全异常检测分析问题
- 8.业务安全日志分析和威胁建模问题
- 9.应急演练纸上谈兵等问题
为什么要有安全基线建设?
答:为了解决传统人工安全检查方式的问题(检查不全面,过程不规范,执行不及时,分析难度大),例如费时低效,标准不统一,不能定时检查,检查设备不全面,不能实现自导告警派单
安全基线建设注意点:
- 不要过度依赖基线配置设备的采购
- 要从业务保障出发进行,安全与稳定
- 按照区域化 / 系统差异化进行设计
- 设计条码要切合实际不要是不能落实的条码
- 纵深防御机制,从设备/网络/系统/业务层面进行出发逐渐完善
- 设计管理和流程性的基线指标,划清责任面
- 建议统一化的可视化的安全基线管理系统
安全基线建设分类:
- 0.基线体系工作流程步骤
- 业务安全需求分析
- 业务体系框架设计
- 基线体系指标设计
- 基线要求螺旋上升
- 1.安全基线运行体系分析
安全体系的建设
项目建设安全管理
安全风险管理
安全运行维护
2.安全管理与实现技术统一
领导层:指定安全管理规范
执行层(数据库/系统/网络管理员):落实安全管理规范(
网络安全法 / 单位信息系统安全等级保护要求 / Windows/linux操作系统安全配置规范 / 应用中间件的安全配置规范 / 防火墙安全设备配置规范)2.安全持续监测
纵深防御体现:检测防范已知威胁,检测阻止恶意行为,发现找到未知威胁,感知预测安全态势(三重检测/多维分析/行为追溯/专业安全专家);
3.安全基线体系目的
提升单位业务连续性 ,保障单位运营稳定性,强化单位服务高效性,保护单位资产;
4.业务异常与分析
资源异常日志 / 安全违规日志 / 完整性检测日志 / 安全响应日志 / 自身操作日志
6.基线体系生态
云API接口 / 采集 / 分析引擎 / 存储 / 硬件 / 可视化
7.安全基线管理系统
管理层: 问题整改 / 趋势比较类 / 横向对比类
执行层: 详细列表和安全知识库 【资产合规列表要求 / 安全配置风险 / 安全加固方法】
安全基线体系指标条目
- 1.整体安全规划 (规划阶段)
- 战略定位 / 需求分析 / 架构设计 / 整体方案
- 2.详细安全设计 (规划阶段)
详细设计 (身份鉴别 / 访问控制 /容错机制 / 日志管理 / 数据备份 / 数据加密)
3.安全建设要求 (建设阶段)
安全供应商能力评估 / 安全管理办法 / 代码规范 / 安全测试 / 变更管理
4.安全建设保障
项目管理 / 安全监督 / 过程安全检查 / 安全测试验证
5.安全运维
运维管理 / 变更管理 / 应急计划(每周/ 月度 / 季度) / 运维文档管理 / 安全通告
安全基线体系实现态势感知:
- 知己: 使命 / 业务资产及其依赖 / 网络拓扑图 / 已知漏洞 / 身份 / 合规策略
- 知彼: 攻击源头 / 目标 / 路径 / 手法 / 时间 / 攻击所处阶段
- 知环境: 外部 / 内部 威胁情报
- 知现在: 威胁所针对的业务及其重要性 / 威胁的置信度及严重性 / 已被攻陷的设备 / 当前损害评估
- 知未来: 攻击路径推测 / 时间序列预测 / 整体态势评估
网络安全保障体系建设规范编制参考模型
- 1.等保安全体系模型 (分级防护 / 分级监管 / 分级响应和处置 / 明确重点 / 突出重点 / 保护重点)
- 2.ISO27001安全体系模型:网络安全管理体系的建设/运行/维护和改进,重点关注从需求到开发运行维护整个IT系统生命周期的信息保密性,完整性和可用性
- 3.ISF安全体系模型:企业网络安全管理架构模型,描述企业安全管理架构组成元素,包括7大主要元素;
- 原则/政策/流程/架构/安全标准/作业指南/产品建议
保障体系一览
- 网络安全战略:打造国内一流的网络安全保障体系,构建安全支撑环境,为业务运营保驾护航;
- 阶段性建设目标:(部署安全防护措施 / 建立健全网络安全管理组织 / 建立完成网络安全策略体系 / 建立完善的网络安全运维流程 )
- 可信:全网联动,防控一体,集约高效
- 可控:主动防御,及时管控,及时响应,集中管控;
- 可管:有效识别/重点防御/责任明确
- 总体方针:
- 循序渐进
- 集中管控
- 分级防护
- 管理与技术并重
- 网络安全管理体系
- 运行体系 (风险管理 / 系统开发与建设 / 安全维护/ 安全监控 / 事件响应 / 安全检查)
- 策略标准 (方针和政策 -> 标准和规范 -> 指南和细则)
- 组织体系 (角色 -> [ 决策组织 / 管理组织 / 执行组织] -> 职责)
- 技术体系架构
- 管理体系建设
安全管理策略:
- IT安全组织策略:内部组织/外部组织及岗位设置管理;
- 入职安全管理策略:包括员工入职,在值,离职,人员教育以及外来人员安全管理
- IT资产安全管理策略:资产分类 / 分级 / 问责 / 资产清单管理
- 物理与环境安全策略:区域划分 / 访问控制 / 设备安全 / 及存储介质管理
- 访问控制管理策略:网络 / 系统访问管理
- IT系统建设管理策略:系统需求/设计/开发/测试/上线/运行及其下载管理
- IT系统运维管理策略:风险评估/运维流程/恶意代码/漏洞补丁/数据管理/日志以及安全事件管理
- 安全合规管理策略:安全法规 / 安全审计管理
商用密码应用安全性
什么是密评?
答:商用密码应用安全性评估(简称"密评")是指对采用商用密码技术/产品和服务集成建设的网络和信息系统密码应用的合规性/正确性/有效性进行评估;
商用密码三要性:
- 合规性:密码算法/协议/产品和服务的使用合规,密匙管理;
- 正确性:密码算法/协议/产品/密匙管理和服务的使用正确
- 有效性:信息系统中采用的密码协议/密匙管理系统/密码安全防护机制等在系统运行过程中能够发挥密码效用;
密评的对象是网络安全等级保护一到四级系统,重点面向关键信息基础设施和网络安全等级保护三级以上系统;
- 2014 国务院印发了《金融邻域密码应用指导意见》
- 2015 中共中央办公厅/国务院办公厅要求加强重要邻域密码应用
- 推荐基础信息网络密码应用
- 推荐重要信息系统密码应用
- 促进重要工业控制系统密码应用
- 加强面向社会服务的政务信息系统密码应用
- 提升密码基础支持能力
- 建立健全的密码应用安全性评估审查制度
为什么做密评?
- 核心技术受制于人
- 信息产品存在巨大安全隐患
- 安全信息参评存在巨大隐患
答:掌握密码相关核心技术,推广自主可控的密码应用,保障网络空间安全迫切需要,也是促进密码创新发展,发挥密码功能特性的必然选择;
商用密码:特指用于保护不属于国家秘密信息的密码,我国从无到有成果丰硕,但是商密应用形式不容乐观;
- 不用密码技术(数据传输/存储任然是明文状态)
- 乱用密码技术(未按照国家法律法规及密码相关国家标准和行业标准要求应用密码技术)
- 误用密码技术(依旧使用MD5,sha-1等被警示的风险密码)
密评架构
- 密评具体内容和指标:对物理和环境安全,网络和通信安全,设备和计算安全,应用和数据安全,密匙管理及安全管理六个方面进行测评 《信息系统密码应用基本要求》
- 密码应用合规性
- 密码算法/技术 符合法律法规的规定和密码相关国家标准/行业标准的有关要求;
- 密码产品/模块 通过国家密码管理部门核准
- 使用密码服务通过国家密码管理部门许可
- 密码应用正确性和有效性
对信息系统传输和存储的重要数据,敏感信息等进行机密性和完整性保护时的密码应用进行评估,对实现用户身份鉴别和行为不可否认时的密码应用进行评估;
密评规范
规定了测评机构,网络运营者,管理部门三类对象的权力义务
明确了评估流程,评估方法,监督管理等内容
有 <信息系统密码应用基本要求>,<信息系统密码测评要求> 等标准规范;指导网络运营者实施系统规划/系统建设和系统运行;指导测评机构规范化有序开展评估工作;
GM/T 0054-2018 <信息系统密码应用基础要求> , 密码相关的国家标准GB系列和行业标准
GM系列 , 系统所属行业标准中密码相关要求
<信息系统密码应用基础要求> GM/T 0054-2018 相关标准
- 总体要求:密码算法/技术/产品/和密码服务满足国家和相关行业标准
- 密码功能要求:机密性/完整性/真实性/不可否认性四个方面确认密码保护的对象;
- 密码技术应用要求: 从物理和环境安全/网络和通信设备/设备和计算安全/应用和数据安全等四个方面规定密码技术应用要求
- 密匙管理:密匙全生命周期
- 安全管理:制度/人员/实施/运行和应急 规定了四个不同等级信息系统中安全管理要求
- 附录A/B:不同安全保护等级
密评相关责任主体法定义务: 开展密评工作是国家网络安全和密码相关法律法规提出的明确要求是法定责任和义务
- 网络安全法
- 网络安全等级保护条例: 关键信息基础设施和网络安全等级三级以上系统,落实密码应用安全性评估和国家安全审查制度;
- 密码法 : 商用密码应用安全性评估;
密评开展阶段(生命周期):
- 规划: 根据 GM/T 0054 基本要求 ,委托测评机构对密码应用方案进行评估并且提交给密码管理部门
- 建设:通过评估对脆弱性系统进行建设升级
- 运行:对于等保三级以上系统每年一次测评
- 应急:系统发生重大安全事件,重大调整或者特殊紧急情况,应及时委托测评机构开展密评;
密评设施流程: 密评的开展流程和等保测评流程基本一致,但专注于信息系统的密码应用;
- 1.测评准备活动:主要掌握被测系统详细情况,准备测评工具为编写测评方案做准备
- 2.测评方案编制活动:确定被测系统的测评对象,测评指标及测评内容等,形成测评方案;
- 3.现场测评活动:了解系统真实保护情况,获取足够验证证据,发现系统存在的密码应用性安全问题;
- 4.分析与报告编制活动:通过结果判断,分析风险等找出密码防护现状与标准之间的差距,形成密评报告;
密码常见算法选用:
- 1.以国家或者行业标准形式公布的密码算法:祖冲之算法(ZUC) , 国密标准算法
SM 2 (公钥算法) / SM 3(杂凑算法) / SM 4(对称算法) / SM 9 ; - 2.为特定行业/特定需求设计的专用算法以及未公开的通用算法,使用前应向国家密码管理局;
- 3.由于国际互联互通等需要而兼容的国外算法,选用前应该同时咨询行业主管部门和国家密码管理部门意见,默认使用商用密码算法;
密码技术:实现密码的加密保护安全认证等功能的技术(密码算法 / 密码管理 和 密码协议),相关国家和行业标准规定了密码技术在密码系统中或不同的应用场景下的使用方法,信息系统应当根据相关要求实现所需的安全功能;
密码技术应用四个层面
- 物理和环境:机房电子门禁 / 动环系统 / 视频采集加密系统
- 网络和通信:网络和密码设备 / 网络边界部署SSL VPN 以及 IPsec VPN
- 设备和计算:操作系统 / 数据库 / 网络以及安全设备 / 服务器 (智能密匙 / TF密码卡实现终端用户身份鉴别和数据加密)
- 应用和数据:操作系统 / 数据库系统 / 业务系统 (智能密钥 / 智能IC卡等作为服务凭证,利用服务器密码机实现对数据加密,利用签名验签服务器,时间戳服务器实现抗抵赖)
网络安全等级保护商密相关(2018年版本)
检测型控制:检测型控制(Detective Controls),发现有害事件(Undesirable Events)的发生;
- 审计跟踪:Audit Trails 和 日志(Logs)
- 完整性校验 ( Integerity Check)
- 防病毒系统 ( Antivirus Systems)
- 系统性能监控( System Performance Monitor)
- 内部控制审计 ( Internal Control Audit)
- 安全检查列表(Security CheckList)
操作人员管理:
- 最小特权( Least Privilege)
- 职责分离 ( Separation of duties )
- 岗位轮换 ( Job rotation )
- 强制假期 (Mandatory Vacation )
配置管理任务:
- 识别(Identification):对于自动化数据处理(Automated Data Processing,ADP)系统任何更改都应该得到识别
- 控制(Control):由授权当局(Authorized Authority)通过对文档,硬件和软件的每一项更改进行审查(Review)和 批准(APPROVAL)
- 状态记录(Status Accounting):记录(Recording)和报告(Repining)更改过程中记录
- 审计(Audit):对于完成更改的功能正确性进行验证(Verity),需要对系统安全策略(Security Policy)的一致性进行审计;
