【商密小课堂】2021版《商用密码应用安全性评估FAQ》重点摘录(四)
发布时间:2022-05-17
问:如果被测系统使用了缓解措施,那么被测系统的风险等级、测评结论、分数是否发生改变?
如果被测系统使用了相应的缓解措施,并通过评估确认缓解措施有效,原则上可以酌情降低其风险等级,但还应结合被测系统的实际情况进行分析,确认缓解措施能够有效抵御相关威胁,否则仍然维持其风险等级不变。如果因缓解措施导致风险等级发生改变,将可能造成测评结论发生改变,但测评分数仍保持不变。
问:针对测评报告模板中高风险修正过程在哪个地方体现?
如果测评报告问题涉及高风险判例中的问题场景,则需要在报告附录A中,按照实际评估结果进行填写,针对该测评项判定为不符合,但是在风险分析时针对该安全风险进行缓解措施说明。
问:双活机房之间通信的通信链路,是否可作为网络和通信层面的一条通信信道?
如果双活机房之间通过运营商专线进行数据通信,需参照GM/T 0115《信息系统密码应用测评要求》进行测评。
如果双活机房之间通信的通信链路是纯物理传输的裸光纤(需要被测方提供证明材料进行裸光纤判定),在对光纤物理防护上有严格的安全保护措施,能够完全保证物理线路安全,不存在安全隐患,则该通道无需作为网络和通信安全层面的测评对象。
问:对运行在云平台上的云上应用进行密评时,特别是云平台和云上应用的运营者不同的情况下,如何界定两者的责任和范围?
对运行在云平台上的云上应用进行密评时原则上需要完成两部分测评工作:
对于新发认证证书的密码产品,市场监管总局和国家密码管理局发布的《商用密码产品认证目录》明确规定了密码模块标准适用的密码产品类型,其他产品(如安全芯片,密码系统类产品等)则不依据密码模块标准进行检测和认证。需要注意的是,虽然密码系统类产品(如电子门禁系统、CA/KM系统、电子签章系统等)不适用于密码模块标准,但作为系统组件的密码产品(如密码机、密码卡等)则适用于密码模块标准,也需要在密评时依据这些密码产品的密码模块安全等级进行判定。
针对云平台自身密码应用的测评(以下简称“云平台测评”),该部分测评的责任主体为云平台的运营者。
针对云上应用系统密码应用的测评(以下简称“云上应用测评”),该部分测评的责任主体为云上应用的运营者。
云上应用系统所处的云平台通过密评(即获得“符合”或“基本符合”的结论)后,云上应用系统才能通过密评;
云上应用系统所处的云平台的安全级别应不低于云上应用系统。
问:对运行在云平台上的云上应用进行密评时,如何分别对这两个系统进行分别测评,测评结论能够复用吗?
除了从物理和环境、网络和通信、设备和计算、应用和数据四个技术层面的密码应用进行测评外,还要兼顾云平台的服务模式,即要分别对云平台支持的每类服务模式(IaaS、PaaS、SaaS)进行密码应用测评,并关注对云租户提供的密码服务都有哪些,每台密码设备服务的边界。因此,在测评结论中还须包含“云平台密码支撑能力说明”,“云平台密码支撑能力说明”分为两类情况:
被完全评估的支撑能力:指的是云平台中的某些测评对象,这些测评对象同时用于支撑云平台和云上应用,将同时作为云平台和云上应用的测评对象。
被部分评估的支撑能力:指的是云平台提供的某些支撑服务,这些支撑服务仅用于云上应用而不用于云平台,或者将服务于云平台和云上应用的不同测评对象。因此无法在云平台测评时进行“完全评估”,只能进行“部分评估”,评估的内容包括:
(1)支撑能力相应的部分量化评估情况,包括《商用密码应用安全性量化评估规则》中定义的A和K的赋值和适用情况。
(2)支撑能力相应的风险评价和适用情况(即,在何种情况下可以取得相应风险评价结论)。
云上应用测评则与一般信息系统测评略有不同,其部分测评结论依赖于云平台测评的结果。测评过程中,需要根据云平台测评结论中的“云平台支撑能力说明”给定相应的测评结果。云上应用密评时,应重点关注应用本身在各个安全层面的密码应用情况。根据所使用支撑能力的不同,存在以下几种情况:
云上应用被完全评估的支撑能力所支撑:此时,云上应用测评对象的测评结论完全被云平台对应对象的测评结论覆盖;如果云平台已经通过密评(即获得“符合”或“基本符合”的结论)且安全等级不低于云上应用,则云上应用测评对象的测评结论可以为“不适用”。
云上应用被部分评估的支撑能力所支撑:此时,云上应用测评对象的测评结论需要结合“云平台支撑能力说明”对测评对象进行充分测评并给定结果。
云上应用系统调用了非云平台提供的支撑能力:此时,云上应用测评对象的测评方式与一般信息系统类似,需要进行单独测评;但是要重点关注该支撑能力与云平台、云上应用进行整合时是否安全,避免可能存在的安全风险。
需要说明的是,实际测评过程中,上述规则可能存在以下无法适用或不能适用的情况:
云平台通过密评(即获得“符合”或“基本符合”的结论),但是其安全级别低于云上应用;此时,在对云上应用测评时,云平台的“云平台支撑能力说明”不再有效,仍需要对云平台相关的密码应用进行重新测评。
云平台未通过密评(没有开展密评,或未获得“符合”或“基本符合”的结论);此时,在对云上应用测评时,仍需要对云平台相关的密码应用进行(重新)测评。
问:面向公众、信息可公开的信息系统,需要重点关注哪些内容?
首先,需要确定哪些人员可以访问该信息系统。除了面向公众用户之外,信息系统一般需要管理员对该系统进行管理,管理员的身份鉴别、传输通道安全等显然需要与一般信息系统一样,遵循相应的测评指标进行测评;
其次,对于公众用户而言,仍需要对网站进行身份鉴别(比如防止钓鱼网站),并对其内容的完整性进行保护;一般情况下还需要对用户访问网站产生的隐私数据(如访问情况、隐私行为等)进行保护,因此仍然需要测评公众用户相关的“网络和通信安全”层面“身份鉴别”“通信数据完整性”“通信过程中重要数据的机密性”等指标。
