【商密小课堂】2021版《商用密码应用安全性评估FAQ》重点摘录(一)
发布时间:2022-04-29
答:密码应用等级一般由等保的级别确定。若未完成等保,则密码应用等级至少为第三级。
问:工在密评实施中,如何理解和把握“宜”的指标要求?
若未编制密码应用方案或在方案中未对“宜”指标要求做明确说明,则纳入测评指标范围。
若编制了通过评估的密码应用方案,方案中明确了不适用的“宜”指标项,且有对应的风险控制措施说明时,需要在测评时核实风险控制措施的实施情况,以此结果判定是否不适用。
问:经认证合格的密码产品,《信息系统密码应用测评要求》中“5.2密钥管理安全性”测评是否可以直接判定为“符合”?
答:不能直接判定为“符合”。还应当对以下内容进行核查:
该密码产品的安全级别是否满足GB/T 39786 相应等级的要求,如GB/T 39786第三级的信息系统应当采用满足GB/T 37092第二级及以上安全要求的密码产品;
由密码产品产生的密钥在该密码产品外部进行管理,是否进行了相应保护,如密钥在外部数据库中存储/备份/归档时是否进行了机密性和完整性保护;
该密码产品是否按照产品配套的安全策略文档进行部署和使用,信息系统的密钥管理制度是否能够保证该密码产品被正确地部署和使用等。
答:测评对象为被测系统所部署的物理机房,具体为物理机房的电子门禁系统和视频监控系统。
问:对于系统部署在非被测系统单位管辖范围之内的情况,如运营商机房、云服务提供商机房、其他单位或部门管辖的机房等,应如何判定该指标的适用性?
答:针对被测信息系统部署在被测系统单位管辖范围之外的情况,物理和环境安全层面仍然适用,即需要针对该安全层面进行测评。
问:对于系统部署在非被测系统单位管辖范围之内的情况,如运营商机房、云服务提供商机房、其他单位或部门管辖的机房等,应如何开展密评?
如果被测系统所在的IDC机房、运营商机房或云服务提供商机房等通过了密评,则可复用相关机房“物理和环境安全”层面的测评结论;
如果被测系统所在的IDC机房、运营商机房或云服务提供商机房等未通过或未开展密评,密评人员需现场取证,对于条件不允许的情况,可以要求相关机房的运维方提供相关说明文件和证据。
答:可以从通信主体和网络类型两个方面来确定网络和通信安全层面的测评对象:
网络类型:这里主要依据网络之间是否相对独立进行分类,如互联网、政务外网、企业专网等;
通信主体:指的是参与通信的各方,一般为客户端与服务端。例如,PC机上运行的浏览器与服务器上运行的web服务系统,移动智能终端上运行的APP与服务器上运行的应用系统;也可以是服务端与服务端。
在一个信息系统中,通常应用包括前台应用系统和后台管理系统;系统运行的网络环境通常包括互联网、政务外网和办公内网。其中,办公内网也属于政务外网。该信息系统网络通信情况描述如下。
用户可以从互联网、政务外网、办公内网,使用非国密浏览器或国密浏览器通过HTTPS协议访问前台应用系统;
管理员可以从办公内网或使用VPN客户端通过内网SSL VPN接入办公内网后,再使用国密浏览器通过HTTPS协议访问后台管理系统;
系统管理员可以从互联网先登录运维SSL VPN后,再通过堡垒机对服务器、密码产品等设备进行运维;
信息系统可以通过IPSec VPN调用外部的密码资源(例如政务外网的数据加密服务)。
针对此场景,根据通信主体,梳理出对应的网络类型,形成以下表格。
根据上述表格描述,即可确定此信息系统网络和通信安全层面的测评对象。
