【原创】四项密码指导性文件更新之解读（二）||《商用密码应用安全性评估FAQ》解读

2021年12月17日，中国密码学会更新发布了《信息系统密码应用高风险判定指引》《商用密码应用安全性评估量化评估规则》《商用密码应用安全性评估报告模板（2021版）》《商用密码应用安全性评估FAQ》等 4项密码应用与安全性评估指导性文件。本期继续对《商用密码应用安全性评估FAQ》进行解读。

测评对象主要包括通用服务器、数据库管理系统、整机类和系统类的密码产品、堡垒机等。不包括交换机、网闸、防火墙、WAF等未使用密码功能的网络设备、安全设备。

建议分类：密码产品/设备、具有密码功能的网络及安全设备、采用密码技术的其他产品、通用设备、不具有密码功能的网络及安全设备、虚拟设备和系统。

重点关注的测评对象为：数据库、服务器、密码软硬件产品、堡垒机等。

针对通用服务器和堡垒机，以“具有相同硬件、软件配置的设备”为粒度确定测评对象。

针对密码软硬件产品，以“具有相同商用密码产品认证证书编号的密码产品”为粒度确定测评对象。

测评对象分类测评，以同一类别中的最低分值赋分。

设备和计算安全层面“远程管理通道安全”如何进行测评？

以堡垒机为例分三种情况：

1）通过互联网先接入内网，然后再访问堡垒机

互联网接入内网为网络和通讯安全层面的测评对象，内网中访问堡垒机为设备和计算安全层面“远程管理通道安全”的测评对象。

2）内网直接访问堡垒机

只是设备和计算安全层面“远程管理通道安全”的测评对象。

3）通过互联网直接访问堡垒机

均为网络和通讯安全层面、设备和计算安全层面“远程管理通道安全”的测评对象。

堡垒机的远程通道有两种：HTTPS和SSH，如果是HTTPS那就使用国密浏览器+SSL VPN，如果是SSH就需要SSH客户端和堡垒机进行国密改造。

首先确认具有商用密码产品认证证书，且与实际部署产品一致。

合规密码产品的“系统资源访问控制信息完整性”“日志记录完整性”“重要可执行程序完整性、重要可执行程序来源真实性”这三个指标，可判定为符合。

合规密码产品的“身份鉴别”指标需要实地查看是否采用了密码技术进行身份鉴别。

针对测评对象是仅进行本地运维的设备：

首先核实设备确实仅进行本地运行，关闭了对外运维的接口。

“远程管理通道安全”测评指标可作为不适用项，“身份鉴别”测评指标为适用项。

“身份鉴别”测评指标不符合时，如果采用了《信息系统密码应用高风险判定指引》中描述的必要缓解手段，或是将设备单独安置在具有良好安防措施的密闭区域（如机柜）内且仅有设备运维人员才有该区域的访问权限，可酌情降低风险等级。

关键业务应用、关键业务应用中的关键数据。

关键业务应用：

如有通过专家评审的密码应用方案，参考方案设定的范围确定。

如无密码应用方案，根据等保定级报告描述的范围确定。

关键业务应用中的关键数据：

一般包含但不限于以下数据：鉴别数据、重要业务数据、重要审计数据、个人敏感信息以及法律法规规定的其他重要数据类型。

网络和通信安全：

采用密码技术保证网络边界访问控制信息的完整性。

访问控制信息主要包括部署在网络边界的VPN中的访问控制列表、防火墙的访问控制列表、边界路由的访问控制列表等。

设备和计算安全：

采用密码技术保证系统资源访问控制信息的完整性。

访问控制信息主要包括设备操作系统的系统权限访问控制信息、系统文件目录的访问控制信息、数据库中的数据访问控制信息、堡垒机等第三方运维系统中的权限访问控制信息等。

应用和数据安全：

采用密码技术保证信息系统应用的访问控制信息的完整性。

访问控制信息主要包括应用系统的权限、标签等能够决定系统应用访问控制的措施等信息。

对于已建信息系统，制定的密码应用改造方案可视为该系统的密码应用方案，然后进行符合性判定。

对于新建信息系统，除进行符合性判定外，还应进行风险评价。

依据密码产品的采购时间（而不是密评时间）是否在证书的有效期内，来判定产品是否合规。

一种是证书直接标注模块等级，一种是证书未标注模块等级。

对于证书未标注模块等级在测评时如何判定？

对于换证的密码产品，需要提供换证前的商用密码产品型号证书，然后以此标注的密码模块等级进行判定，没有标注则判定不符合。

对于新发认证证书的密码产品，不适用于密码模块标准的，以系统密码组件的密码产品（如密码机）的密码模块安全等级进行判定。

总结就是，尽量采用标注模块等级的密码产品。