Table of Contents

豪密科技第 16 期密评实操能力验证培训 - 2025/02/23 上午

2025-02-23
2025-02-23
31 min read
GB
mp
Hits

  有幸参加了公司安排的豪密科技第 16 期密评实操能力验证培训,本文是第十一课《密评 FAQ 学习与实践》和《系统密评取证与报告编制》的培训内容。

概述

FAQ 含义

FAQ,全称为 Frequently Asked Questions,是英文中“常见问题”或“常见问题解答”的缩写。《商用密码应用安全性评估 FAQ(第三版 2023)》(以下简称“密评 FAQ”)即“密评常见问题”或“密评常见问题解答”,旨在解答密评人员在测评及报告编制过程中遇到的各种常见技术问题。

编制密评 FAQ 必要性

  密评人员依法、依规、依据标准或者指导性技术文件实施密评,这个过程面对的是各种各样的密码网络和信息系统,各种各样的密码应用场景。各类技术标准更多的是提供了原则性的要求和规范,或者指引性的实施办法。密码应用的鲜活性……

适用范围

  密评 FAQ 依据密评有关的法律、法规和国家或行业技术标准、指导性技术文件,结合商用密码技术应用实际情况和密评实践,对密评人员面对的新问题给出解答或解决办法,这种作为指导性的解答或解决办法,适用于所有密评机构,用于密评人员测评及密评报告编制。目前,密评 FAQ 已经发布了第三版……

编制依据

法律法规

  1. 《密码法》
  2. 《商用密码管理条例》
  3. 《商用密码应用安全性评估管理办法》
  4. 《商用密码检测机构管理办法》

国标/行标

  1. GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》
  2. GB/T 43206-2023《信息安全技术 信息系统……》

技术指导性文件

  1. 《商用密码应用安全性评估量化评估规则》(2023 版)
  2. 《信息系统密码应用高风险判定指引》(2021 版)
  3. 《商用密码应用安全性评估测评实施指引》
  4. 《商用密码应用安全性评估测评工具指引》
  5. 《商用密码应用安全性评估报告模板》(2023 版)——系统密评报告
  6. 《商用密码应用安全性评估报告模板》(2023 版)……

编制特点

目录

  1. 通用类
  2. 密码应用技术类
    1. 物理和环境安全
    2. 网络和通信安全
    3. 设备和计算安全
    4. 应用和数据安全
  3. 密码应用管理类
  4. 量化评估类
  5. 风险判定类
  6. 特殊场景类

  说明如下:

  通用类、密码应用技术类、密码应用管理类与密评测评实施要求表述顺序一致,按照密评人员使用习惯,便于查阅学习。

  量化评估和风险判定是密评的核心技术,这两类问题及解答单列凸显其重要性……

问题及解答格式

  类别标题

  1. 背景:问题提出的背景
  2. 问题:问题的描述
  3. 解答:问题的解答

典型问题

  典型问题集中在密评实施、密码应用安全性评估及密评报告编制的重点及难点。如概念易混淆处、测评对象确定界限、测评技术实施难点、密码应用管理难点、报告编制新增内容及规范性编制方面。

  概念易混淆的问题

  例子 1:网络和通信层面身份鉴别、应用和数据安全层面身份鉴别。区别:通信实体(客户端、服务端)身份鉴别;应用系统用户身份鉴别

  例子 2:网络和通信层面重要数据传输机密性、完整性。区别:通信信道传输的数据机密性、完整性;信源的机密性、完整性

  测评对象不清晰的问题:网络和通信信道测评对象与设备和计算层面测评对象区别。区别:网络和通信信道测评对象主要是针对跨网络访问的通信信道;设备和计算安全层面的“远程管理通道安全”测评单元,仅测评与测评对象直接相连的信息传输通道。

  测评技术难点:云平台和云上应用的测评方式和测评结论服用方式判定

  报告编制新增内容:云平台和密码服务平台(特指已单独完成等保定级的系统)在各自密评报告中,除给出系统密评结论外,还需提供“被完全评估的支撑能力说明”、“被部分评估的支撑能力说明”。编制报告,除使用系统密评报告模板(2023 版)外,还须按云平台支撑能力说明……

主要知识点

测试类问题——测评准备与测评方案编制

确定被测信息系统密码应用等级

  GB/T 39786-2021 中的密码应用等级一般由网络安全等级保护的级别确定。信息系统根据 GB/T 22240-2020《信息安全技术网络安全等级保护定级指南》确定等级保护级别时,同步对应确定密码应用等级。

  对于未完成网络安全等级保护定级的重要信息系统,优先以被测单位拟定等级开展密评。但应尽量保证拟定等级与后期备案等级……

  针对被测单位以高安全标准规划、建设信息系统的密码应用,并希望能够按照 GB/T 39786-2021 中更高密码应用等级进行密评的情形,密评机构在测评前,应在确认该做法符合被测信息系统……

在密评实施中,正确理解和把握“宜”的指标要求

  据信息系统的密码应用方案和方案评估报告/评审意见,决定是否将“宜”的指标要求纳入标准符合性测评范围,具体如下:

  若信息系统未编制密码应用方案或在方案中未对“宜”的指标要求做明确……

  若信息系统编制了密码应用方案,且方案通过评估,方案中明确了不适用的“宜”的指标要求项,且有对应的风险控制措施说明的情况下。密评人员在测评时,应根据信息系统的密码应用方案……

未标准密码模块安全等级的商用密码产品在测评时判定密码模块安全等级

  对于换证的密码产品,因为其换发的认证证书上一律没有标注密码模块安全等级,此时需要密码厂商进一步提供换证前的商用密码产品型号证书,如果商用密码产品型号证书中标注了其符合的密码模块等级,则按此等级进行判定;否则,依据《商用密码应用安全性评估量化评估规则(2023 版)》按“密码产品符合一级密码模块”进行判定。

  对于新发认证证书的密码产品,市场监管总局和国家密码管理局发布的《商用密码产品认证目录》明确规定了密码模块标准适用的密码产品类型,其他产品(如安全芯片,密码系统类产品等)则不依据密码模块标准进行检测和认证。需要注意的是,虽然密码系统类产品(如电子门禁系统、CA/KM 系统、电子签章系统等)不适用于密码模块标准,但作为……

测评对象

物理和环境层面——物理机房测评

  测评对象为被测信息系统所在的物理机房,具体为物理机房的电子门禁系统和视频监控系统。(单一机房测评对象)

  测评对象为信息系统涉及的所有物理机房:物理机房采用多区域不说或被测信息系统重要资产分布在不同的物理机房中……

  测评对象为信息系统设计的所有物理机房:被测信息系统部署在被测系统单位管辖范围之外(如运营商机房、云服务提供商机房、其他单位或部门管辖的机房)。(机房作为测评对象与被测系统单位是否直接管辖无关)

  被测信息系统机房采用多个门禁措施

  如果信息系统所有的受保护对象都在多层门禁的保护范围之内,则可在多层门禁系统中选择密码应用最合规、正确、有效的进行册额鲆。(多层实质性保护层测评)

  如果存在某个受保护对象只在最外层电子门系统的保护下,那么应该以最外层的……

  如果受保护对象在多个电子门禁系统的保护下,那么所有提供保护的电子门系统都需要测评。(独立承担保护作用均需测评)

网络和通信层面

  测评对象主要是针对跨网络访问的通信信道(这里的跨网络访问指的是从不受保护的网络区域访问被测系统)

  从通信主体和网络类型两个方面来确定网络和通信安全层面的测评对象:

  网络类型:……

  通信主体:指的是参与通信的各方,典型的如客户端与服务端。例如,PC 机上运行的浏览器与服务器上运行的 web 服务系统,移动智能终端上运行的 APP 与服务器上运行的应用系统;也可以是服务端与服务端,例如,IPSec VPN 与 IPSec VPN 之间。

  如果被测系统与第三方电子认证服务相关系统之间的通信信道经过了不可控的网络环境(比如互联网等),该条通信信道应该纳入“网络和通信安全”层面的测评对象进行测评。

  双活机房之间的通信链路无论是通过运营商专线还是采用物理裸光纤进行数据通信,均应将该通信信道作为测评对象并参照 GM/T 0115《信息系统密码应用测评要求》进行测评。

  跨网络边界的系统之间的交互所搭建的通信信道,无论通信主体是否属于被测系统,该通信信道都应纳入“网络和通信安全”层面的测评对象进行测评。

  对于网络和通信安全层面,只有当远程管理通道跨越网络边界时才将其作为该层面测评对象。如果只是在网络内部对设备进行管理,则不必将远程管理通道列为网络和通信安全层面的测评对象。

设备和计算层面

  设备和计算层面的测评对象主要包括通用服务器(如应用服务器、数据库服务器)、数据库管理系统、整机类和系统类的密码产品、堡垒机(当系统使用堡垒机用于对设备进行集中管理时,不涉及应用和数据安全层面)等。

  交换机、网闸、防火墙、WAF 等未使用密码功能的网络设备、安全设备一般不作为设备和计算安全层面的测评对象。

  针对通用服务器和堡垒机,以“具有相同硬件、软件配置的设备”为粒度确定测评对象,即具有相同硬件配置(如生产厂商、型号等)和软件配置(如操作系统版本、中间件等)的服务器/堡垒机作为一个测评对象。

  针对整机类密码产品(如 IPSec VPN 网关、SSL VPN 网关、安全认证网关、金融数据密码机、服务器密码机、签名验签服务器、时间戳服务器、云服务器密码机等)、系统类密码产品(如动态令牌认证系统、证书认证系统、证书认证密钥管理系统等),以“具有相同商用密码产品认证证书编号的密码产品”为粒度确定测评对象,即具有同一商用密码产品认证证书的密码产品作为一个测评对象。

  对于设备和计算安全层面的“远程管理通道安全”测评单元,仅测评与测评对象直接相连的信息传输通道。

应用和数据层面

  测评对象应包含关键业务应用,具体参考通过评估的密码应用方案设定的范围确定。如无密码应用方案,应根据网络安全等级保护定级报告描述的范围确定。

  关键业务应用一般情况下应包含被测系统的所有业务应用。

  在云应用/平台测评中,密码资源池的密码管理平台应作为应用和数据安全层面的测评对象

测评实施

物理和环境层面——机房测评

  可复用测评结论:如果被测信息系统所在的 IDC 机房、运营商机房或云服务提供商机房等经历过商用密码应用安全性评估且相应系统评估结果为“符合”或“基本符合”,则可以复用商用密码应用安全性评估报告中“物理和环境安全”层面的相关测评结论。特别地,如果云平台通过了商用密码应用安全性评估,并且级别不低于云上应用系统的网络安全保护等级时,则云上应用系统(与云平台处于统一物理机房)的物理和环境安全层面可以复用云平台相应的测评结论。

  须现场取证:如果被测信息系统所在的 IDC 机房、运营商机房或云服务提供商机房等未经历过商用密码应用安全性评估或经历过的相应系统评估结果为“不符合”,则密评人员需现场取证;

  运维方须提供相关说明文件和证据:对于条件不允许的情况,可以通过系统建设方或租赁方要求 IDC 机房或云服务提供商机房等的运维方提供相关说明文件和证据以支撑测评结论。

  机房进出记录完整性保护测评

  对于符合 GM/T 0036-2014《采用非接触卡的门禁系统密码应用技术指南》标准的电子门系统,其门禁系统内置的进出记录数据存储的完整性保护进行密评实施时,按照密评相关标准,需要相关密码厂商提供门禁系统……

网络和通信层面

  网络层安全接入认证和身份鉴别指标的差别

  “身份鉴别”指标适用于两个实体通过不可控的网络(比如互联网)进行通信之前进行的身份鉴别……

  “安全接入认证”指标适用于设备“物理地”从外部接入信息系统的内部网络之前对设备的身份鉴别,接入后,该设备将成为信息系统内部网络的一部分。比如智能手持移动终端设备接入信息系统网络的场景,对于移动智能终端设备接入的认证属于“安全接入认证”指标的测评范围……

设备和计算层面

  仅进行本地运维的设备,针对设备和计算安全层面的“身份鉴别”和“远程管理通道安全”进行测评和结果判定

  测评机构需要首先核实设备确实仅进行本地运行,关闭了对外运维的接口。核实后,该测评对象的“远程管理通道安全”测评指标可作为不适用项,“身份鉴别”测评指标为适用项。

  在对“身份鉴别”测评指标进行测评时,若本地运维均未采用密码技术对登录设备的用户进行身份鉴别,或用户身份真实性的密码技术实现机制不正确或无效,则该测评对象的测评结果为不符合。进一步地,对于不符合的情况,如果信息系统采用了必要的缓解手段(如《信息系统密码应用高风险判定指引》文件中所描述的采用基于特定设备或生物识别技术保证用户身份的真实性),又或是将仅支持本地管理的被运维设备单独安置在具有良好安防措施的密闭区域(如机柜)内切仅有设备运维人员才有该区域的访问权限……

  设备和计算安全层面,如果信息系统通过堡垒机统一运维管理设备,堡垒机及其被运维设备的身份鉴别指标判定

  在合规性判定方面,各设备的身份鉴别应分开判定,例如,堡垒机采用动态令牌系统登录,使用用户名 + 口令登录应用服务器等被运维的设备,则堡垒机的身份鉴别可判定为符合,但……

应用和数据层面

  应用系统的身份鉴别使用第三方提供的身份认证服务(此处特指第三方身份认证服务为已单独等保定级的系统)

  对于已通过密评(“符合”或“基本符合”)的第三方身份认证服务系统,应用和数据安全层面“身份鉴别”指标经过了完整的密码测评,对业务应用系统进行该指标核查时,在确认……

  对于未通过密评或未做密评的第三方身份认证服务系统,在测评业务应用系统时,测评人员应对第三方系统所提供的身份鉴别机制及其鉴别机制工作过程中涉及到的重要数据的传输……

密码应用安全管理

  在进行信息系统密评时发现,被测信息系统有通过评估的密码应用方案,且方案中明确了该系统是分期做密码改造。在信息系统按密码应用方案完成一期建设后开展密评时,确定测评范围。

  对于密码应用方案中涉及分期密码改造的情况,在实际测评时,应根据系统定级范围和密码应用需求选取所有适用的测评指标和测评对象开展系统密评并给出评估结论,即测评指标和测评对象的选取范围于该系统是否进行……

  针对密码应用方案已经通过评估的信息系统,在密评时发现实际情况不一致时处理办法

  在实际开展系统密评工作时,参考通过评估的密码应用方案等文件了解系统业务和密码应用情况。如果在测评时发现实际建设情况于密码应用方案不一致,则需要系统运营者提供密码应用方案修订或优化的证明材料,无法提供更新的方案及其评审证明时,应以实际测评时掌握的信息为准,并以实际情况得出测评结果

  对于已建新系统,其密码应用方案并不追溯到系统最初规划时的方案,该信息系统根据相关标准、密码应用需求以及前期密评的整改建议,制定的密码应用改造方案可视为该系统的密码应用方案。

评估类问题

定性评估

  经认证合格的密码产品的产品合规性、密钥安全符合性的判定

  如无特殊情况和安全风险,密码产品的采购时间在商用密码认证证书在有效期内,则可判定为产品合规。

  VPN 等密码产品存在客户端……

  分以下三步依次执行测评实施,综合判定产品的合规性:

  确认商用密码产品认证证书中的内容是否包括客户端和服务端。通过查看认证证书确定密码产品中是否包括客户端和服务端,还是仅为其一。……

  确认被测系统中部署的密码产品与送检产品密码边界的一致性(注:这一步主要考虑的情形是认证证书或送检文档中标明了密码产品包含客户端和服务端。若客户端和服务端本身……)

  如果不一致,则可考虑根据实际密码应用需求及密码适用情况等因素,对产品合规性进行分析判定。例如,送检产品包含安全浏览器和 SSL VPN 网关……

  确认被测系统中部署的密码产品实现的密码功能与送检产品密码功能的一致性。需结合认证证书和送检文档,确认密码应用方案中所描述的拟使用的产品密码功能或实际使用时所调用的产品密码功能……

  经认证合格的密码产品,《信息系统密码应用测评要求》中“5.2 密钥管理安全性”测评判定

  不能直接判定为“符合”。信息系统采用经认证合格的密码产品仅仅是密钥管理安全性判定为“符合”的必要条件,还应当对以下内容进行核查:

  该密码产品的安全级别是否满足 GB/T 39786 相应等级的要求……

  如果被测系统有密码应用方案,应核查系统密钥管理机制是否与方案一致;如果被测系统无密码应用方案,应分析其密钥体系设计是否合理、实现是否正确;

  由密码产品产生的密钥在该密码产品外部进行管理,是否进行了相应保护,如密钥在外部数据库中存储/备份/归档时是否进行了机密性和完整性保护;

  该密码产品是否按照产品配套的安全策略文档进行部署和使用,信息系统的密钥管理制度是否能够保证该密码产品被正确地部署和使用等。

  未使用密码产品,通过开源或自行开发的代码以软件实现密码算法的方式进行数据机密性、完整性保护,结果判定。

  

  对于自研软件实现数据机密性和完整性保护且无法提供任何安全性证明的情况,由于无法判断其密码模块安全等级,而且其采用的密码算法或技术实现安全性以及软实现带来的密钥管理安全性均无法保证,因此判定为“不符合”;对于使用第三方开源密码库……

量化评估

  《商用密码应用安全性评估量化评估规则(2023 版)》中,D、A、K 判定时密码使用有效性 D 项的含义及判定密码使用有效性 D 项与采用高危算法造成信息系统形成被利用漏洞,漏洞被利用后密码应用失效不是一个概念。

  前者只关注密码技术为满足信息系统安全需求提供了机密性、完整性、真实性和/或不可否认性的保护时被正确、有效使用,即有没有使用密码技术,密码技术是否完成了其自身的功能性实现;后者关注这种密码技术在完成功能性实现时,密码技术本身是否存在可被利用的漏洞。

  例如,使用了合规产品中存在安全问题或安全强度不足的密码算法(如 DES、MD5 等),使用 DES 对存储数据做加密,这时“密码使用有效性 D”是符合的。因为对需要存储加密的数据提供了机密性保护,与直接……

  密评 FAQ 给出的算法安全强度分类表经常使用,须熟记:

  1. 安全强度大于等于 112 比特的密码算法,如 3DES(使用 3 个不同)……

  当加密算法组合使用时,对同一数据做多层加密,量化评估结果依据安全强度较高的算法而定。

  例如,使用 DES 算法对数据变换后,再使用 SM4 算法对 DES 加密后的密文进行变换,即 SM4(DES(data)),此时,DAK 判定依据 SM4 算法及其密钥管理判定 DAK

  采用合规的 SSL VPN 安全网关,但安全通道使用安全强度足够高的国外密码算法套件,且客户端采用通用浏览器。对身份鉴别做量化评估,给出 DAK 判定。

  三级系统针对网络和通信安全层面的“单向身份鉴别”,由于考虑到客户端不需要对私钥进行密钥管理(无私钥参与密码运算的需求),因此量化评估中 D、A、K 最高可为 D(√)、A(×)、K(√)。

  四级系统针对网络和通信安全层面的“双向身份鉴别”……

风险判定

  如果被测系统使用了相应的缓解措施,并通过评估确认缓解措施有效,原则上可以酌情降低其风险等级,但还应结合被测系统的实际情况进行分析,确认缓解措施能够有效抵御相关威胁,否则仍然维持其风险等级不变。

  如果因缓解措施导致风险等级发生改变,将可能造成测评结论发生改变,但测评分数仍保持不变。

  《信息系统密码……》

  如果测评报告问题涉及高风险判例中的问题场景,则需要在报告附录 A 中,按照实际评估结果进行填写,针对该测评项判定为不符合,但是在风险分析时针对该安全风险进行缓解措施说明。

  “网络和通信安全”……

  比如,“网络和通信安全”……

  《信息系统密码应用高风险判定指引(2021)》文件中的”适用时“,是指针对相应……

  直接通过堡垒机统一运维,如果堡垒机的身份鉴别指标的测评结论为“符合”或“部分符合”,并且没有高风险,则通过堡垒机进行统一管理的……

  

报告编制类问题——云平台评估报告编制

  云平台和密码服务平台(特指已单独完成等保定级的系统)在各自密评报告中,除给出系统密评结论外,还需提供“被完全评估的支撑能力说明”、“被部分评估的支撑能力说明”。

  例如,云上应用业务运转在云平台上,云上引用……

  另外,在云上应用密评时,可考虑在密评报告的附录中体现所涉及云平台和密码服务平台的密评结论,被完全评估的支撑能力说明、被部分评估的支撑能力说明。

  被完全评估的支撑能力:指的是云平台中的某些……

  被部分……

  编写密评报告中应用……

学习与思考

  密评 FAQ 是密评原则性与灵活性结合,具体问题具体分析的产物。测评时既要考虑依据政策规定、依据标准,同时又要客观面对密码应用现实改造技术与标准要求的差距,以对信息系统构成的高风险项为红线,在对密评指标量化评估基本符合情况下,循序渐进,逐步推进商用密码应用的自主可控改造广度和深度。

  密评 FAQ 处在不断与时俱进,不断完善过程中,随着密评实践的深入,版本会不断更新。

  回答解决密评问题的同时,给出了处理测试及报告编制的示例。密评人员可以结合实际应用场景测评时适用。

概述

系统测评与报告编制

  密评人员对网络和信息系统实施密评,首先需要对系统实施测评,然后在测评的基础上编制密评报告。系统测评和报告编制,实施时两者各有侧重,……

  

  系统测评是一项“测”+“评”的工作。

  系统测评技术集中体现在动手“测”+动脑“评”。首先是“测”,即“测试取证”。这是通过“测试”……

  密评报告编制是按密评行业监管部门要求,依据密评行业制定的模板编制专业性文档的活动。

  密评报告须按模板编制,给出评估结论。同时,根据发现的安全问题给出改进建议……

  密评报告里,每一个密码应用安全防护措施,每一步评估结论均须给出确切无误的证据。

  密码应用场景现状表述还需要有据可依,没有给测评对象符合性判定需要明确的关键证据。

测试取证

  测试取证是密评最基础的工作:系统密评“始”于测试取证,“止”于密评报告编制提交。测试取证目标是获取关键证据。针对测评对象……

  测试取证存在客观的物质条件:如果网络和信息系统中密码应用功能性通过商密产品实现,那么在实际工作场景中一定要部署对应的商密产品;商密产品采用了密码算法/协议,那么在这些商密产品中一定会给出相应的配置;配置的密码算法/协议随着商密产品使用,这些算法/协议一定会在作用的数据上有所体现,要么在通信协商数据、通信……

  由此一来,系统中商密产品部署现场、源代码审核的关键代码片段、商密产品配置现状、网络中传输的通信数据,应用系统的认证数据……

  测试取证要求密评人员掌握更多的技能:系统密评重点在评估,难点在取证。要获取高可靠性的证据往往需要复杂的测试技术。在系统测试取证工作中,……

测评证据提取与使用

  在正确测评方式基础上准确采集提取密评证据,正确合理地使用证据是系统密评的重要一环。此项工作直接影响……

密评取证

依据

测评取证目标

  测评方式:《商用密码应用安全性评估测评实施指引》给出三类测评方式如下:

  1. 第一类:访谈、文档审查、实地查看等
  2. 第二类:工具测试、配置检查、代码审查、试错测试等
  3. 第三类:跟踪测试、基于密码机制的主动分析等

  取证目标:对应三类测评方式,测评取证目标如下:

  1. 第一类:获取线索或辅佐证据
    1. 访谈:访谈什么、怎样访谈、提取怎样的访谈线索证据?
    2. 文档审查:审查什么、怎样审查、提取怎样的文档审查证据?
    3. 现场查看:查看什么、怎样查看、提取怎样的现场查看证据?
  2. 第二类:获取实际业务中关键证据
    1. 配置检查
      1. 如何正确地从商密产品中找到并确认实际使用的密码应用配置信息?
      2. 如何正确地从商密产品中找到并确认实际的日志记录?
      3. 如何准确提取配置检查关键证据?
    3. 代码审查
      1. 如何选择需要分析的代码片段?
      2. 如何分析判定代码与密码应用机制的一致性?
      3. 如何识别判定代码工程化实现时存在的缺失与漏洞?
      4. 如何验证在代码段中发现的漏洞存在性?
      5. 如何……
  3. 第三类:……
    1. 跟踪测试
      1. 密码保护的完整过程包括哪些环节?
      2. 如何跟踪分析调用方式和频次?
      3. 安全机制有效性如何确认?
    2. 主动分析
      1. 依据是什么?
      2. 须具备哪些验证条件,如何判定?
      3. 如何实施测试验证?
    3. 篡改测试(完整性保护)
      1. 测试对象是什么?
      2. 测试条件是否具备?
      3. 如何实施篡改测试?
      4. 如何判定测试结果?

测评实施

  《商用密码应用安全性评估测评实施指引》表 B.1 给出推荐测评方式。按技术要求、管理要求不同层面的测评指标分别汇总给出。

测评证据

  证据形式:密码应用部署现场照片,证书、方案或评估报告文档原件扫描件,设备或应用系统登录界面截屏,配置检查界面截屏,数据分析关键步骤证据截屏,量化评估中间计算结果等均可作为证据出现在密评报告中,作为评估依据。

  常见的测评证据

  1. 核查现场证据(拍照)
    1. 网络和信息系统密码应用场景照片(门禁系统、视频监控系统)
    2. 现场部署商密产品照片(机柜里带连线运行的商密产品)
    3. 密评人员现场测评工作照
    4. 电脑终端、控制台终端或手机盾屏幕显示工作现场画面的照片
    5. 动态令牌使用动态口令屏幕画面工作现场的照片
  2. 原始文档证据(扫描复制)
    1. 证书类:原始文档包括商密产品认证证书、电子认证服务机构的资质证书。
    2. 材料类:密码应用方案、密码应用方案评估报告、网络和信息系统密评报告(如云平台密评报告)。
    3. 制度文本类:密码应用安全管理制度、人员管理制度、应急……
    4. 记录表单类:人员进入机房登记表单、项目启动会与会人员签到表、密评人员借阅文档归回表、密评测评记录结果确认表等。
    5. 程序代码类:原始代码片段。
    6. 其他
  3. 配置检查证据(拍照或截屏) 1.
  4. 终端登录、数据分析电脑实时处理证据(截屏)
    1. 应用系统工作现场登录界面电脑截屏
    2. 运维设备(如堡垒机)工作现场登录界面电脑截屏
    3. VPN 终端设备工作现场登录界面电脑截屏
    4. 网络和通信信道传输协议、算法套件数据分析现场电脑截屏
    5. 商密……
    6. 数据分析提取的数字证书电脑截屏
    7. 数据分析公钥验证数字证书有效性结果截屏
    8. 工作现场查询数据库数据终端电脑现场截屏
    9. 云平台密码功能服务端口调用电脑现场截屏

测评证据的采集

采集要求

  1. 真实性:须采集系统现场原始、真实数据,或直接来自原始数据处理提取出的证据;须采用……
  4. 完备性:拍摄的照片、扫描的文档证据完整;数据没有缺失,能得到完整的测评数据,提取出的证据没有缺失。
  5. 一致性:采集的证据真实反映系统……

采集方式

  第一类测评方式测评证据的采集

  例子 1:

  例子 2:终端设备人员登陆界面身份鉴别证据的采集

  第二类测评方式测评证据的采集

  例子 1:

  例子 2:密码应用有关的程序代码……

  例子 3:通信传输和存储数据……

  使用密评工具可以在通信信道中采集所需的数据(如传输的身份鉴别数据、明文数据、加密后的密文数据等),经电脑分析……

  第三类测评方式测评证据的采集

  例子 1:网络和信息系统安全漏洞验证过程证据采集与分析提取:采用……

测评证据提取使用

  密评证据的分析研判

  密评证据采集完成后,有一个去粗取精,去伪存真的过程,有的须经分析研判,提取出直接证据,作为判断指标符合性的关键依据。

  一般来说,对采集数据的提炼,在密评数据分析中是必不可少的。特别是当采用工具测试方式从网络和信息系统中采集大量通信传输数据或存储数据时,面对大量数据,需要去粗取精,找到并提取出供分析研究的数据,其实施的……

  密评证据的使用:从不同渠道独立提取的证据能相互佐证时,使用时可靠性才最高。例如:通过访谈系统管理员得知,应用系统管理员登录应用系统采用基于国密数字签名的密码技术作身份鉴别,但是现场查看并未发现能实现数字签名验证的……

  注意不同方式获得的证据的可用性、有效性。

  访谈获取的证据……

  文档审核提取的证据作为辅佐证据使用

  系统在新建、运行、特别密改阶段均会保留各类……

  实地查看获取的商密产品部署证据作为必须具备的辅佐证据使用:实地查看可以直接研判是否部署、使用商用密码产品,这些结论可以用来研判是否具备采用密码保护措施……

  代码审查提取的证据作为重要辅佐证据使用:对源代码片段审核,证据可用性首先由代码来源的真实性决定。要保证的是审核人员能拿到系统正在使用的源代码版本片段。另外,由于一般采用静态审核方式,外加可能无法审核全部源代码……

  配置检查获取的证据作为关键的证据使用:商用密码产品是否能通过部署发挥密码应用的功能,首先要……

  工具测试从通信和存储数据中提取的证据作为核心证据使用:通信和存储数据的形态是部署商密产品是否有效发挥作用的集中反映,当商密产品配置不完备时(如某些加密端口未开启,……)

  基于密码机制主动分析提取的证据作为……

  证据使用前,须保证证据采集、提取的方法正确完整,尤其不能因从系统中采集通信传输和存储数据的工作因方法错误,导致不能提取得到客观存在……

密评报告编制

基本要求

  客观:证据真实,如实反映信息系统密码应用实际情况;证据可靠性高,评估结论可重复、可再现。

  规范:测评指标、测评对象选择正确,符合国标、行标要求。测评实施遵循测评实施指引……

  科学:证据完备、充分且使用正确,论证合理,论据支撑判定结论。测评对象的测评指标符合性判断无关键证据缺失。

  正确:高风险项判定正确:无漏判、误判高风险项;量化评估赋值准确:无 60 分及格线量化评估值错评估。评估结论无误。报告前后内容具备逻辑一致性。

  合规:密评符合职能部门监管要求。密评活动有效性证明记录真实、完备、规范。

编制依据

  密评依法、依规、依据技术标准实施,密评报告的编制均需有所表现,但更多的是呈现依据技术标准评估的过程和结论。……

报告模板

  报告模板目录,如下所示。

  1. 被测信息系统基本信息表

  倒序:密评针对信息系统密评指标符合性测评。测评选取高可靠性证据,据此给出评估结果,实施密码应用安全性评估。报告反映测评内在逻辑,编写顺序与测评过程不完全一致,而是倒过来,先给出评估结论,总体评价,安全问题及改进建议,再给出测评逐步实施的测评证据及定性、定量评估结论。方便责任单位使用

  格式化:表格形式明显:测评指标,测评实施的单元测评、整体测评、测评结果记录,风险分析,评估结论均按格式表格填写。保证密评报告内容清晰、完整,格式统一、规范。

  逻辑性:利用预先编制的系统测评方案,结合现场检查……

  依据测评方法、测评指标对测评对象实施测评,测评结果记录作为附录以表格形式给出。

  实施指标符合性测评。先定性分析……

  内容来源——四部分组成:

  责任单位提供:《被测信息系统基本情况表》涉及“被测单位”、“被测信息系统”由责任单位提供,密评人员核对后填入密评报告。

  从责任单位提供的文档提炼 + 现场审核后确认:“被测系统……”

  密评人员预先编制的《系统测评方案》:测评项目概述、测评范围与方法可取自密评人员测评准备阶段编制的《系统测评方案》。

  密评人员现场取证及活动记录、定性及定量分析过程及结果记录、评估结论、改进建议:这部分内容是密评报告的核心……

  

编制要点

被测信息系统基本情况表

  主要内容来源:责任单位编制:

  “被测单位”、“被测信息系统”各项由密评人员与责任单位……

  注意事项:

  检查确认《密评报告被测信息系统基本情况表》所有填写内容,无缺漏项,单选内容不重复选择。

  现场检查确认信息系统与“被测信息系统”填写内容一致性。核实后填入报告表格。

  网络安全等级保护定级和备案情况:如果选择“已定级备案”,此时责任单位须提供“等级保护定级备案证明”,密评人员据此核对“备案证明编号”。

  系统是否依赖不在本系统范围内的云平台运行:如果首先选择“是”,接着又选择“云平台已评估”,责任单位须提供相应云平台密评报告,密评人员据此核对“密评机构名称”、“评估时间”……

  系统是否具有密码应用方案:如果选择“有密码应用方案,且通过密评”。责任单位须提供相应信息系统的密码应用方案评估报告……

  系统使用的密码产品情况:如果选择填写“取得认证证书的产品数量”,给出“台/套”数量,责任单位须提供所有取得认证证书的产品认证证书(或型号证书),密评人员比对通过评估的密码应用方案评估报告……

测评项目概述

  主要内容来源:密评人员预先编制的《系统测评方案》

  编制:将《系统测评方案》相关内容,结合测评实际情况按模板要求编写报告……

  

  新发布施行的技术标准和指导性技术文件。

  例如:GB/T 43206-2023《信息安全技术 信息系统密码应用测评要求》《商用密码应用安全性评估测评实施指引》《……》

  

  商密算法、技术、产品等技术标准、规范,例如

  1. GM/T 0009-2023《SM2 密码算法使用规范》
  2. GM/T 0028-2014《密码模块安全技术要求》
  3. GM/T 0029-2014《签名验签服务器技术规范》
  4. GM/T 0104-2021《云服务器密码机技术规范》

  四个基本测评活动(测评准备活动、方案编制活动、现场测评活动、分析与报告编制活动)起止时间段,按实际情况填写。

  注意,这里的基本活动时间与“……”

被测系统情况

  主要内容来源:责任单位

  编制:文档审查信息系统等级保护……

  注意事项:

  1. 从文档审查获取相关资料,须结合现场查看核实后,再提炼关键要素编入报告。
  2. 系统资产须采用现场查看方式逐一核查厂商、型号、版本等与实际使用的一致性。
  3. 取得认证证书的密码产品……

测评范围与方法

  主要内容来源:密评人员预先编制的《系统测评方案》

  编制:将《系统测评方案》相关内容,结合文档审查、现场查看系统实际情况确认,按模板要求编写报告。

  注意事项:

  依据 GB/T 43206-2023《信息安全技术 信息系统密码应用测评要求》……

  参照《商用密码应用安全性评估测评实施指引》《商用密码应用安全性评估测评工具指引》确定测评方法、工具;测评对象及对应……

  

附录 A 测评结果记录

  主要内容来源:密评人员现场取证及活动记录、定性及定量分析过程及结果记录。

  编制:依据 GB/T 43206-2023《信息安全技术 信息系统密码应用测评要求》、GM/T 0115-2021……

  注意事项:

  各层面测评对象测评结果记录表述清晰、简洁明了。使用多种测评方式时,依据第一类、第二类、第三类测评方式顺序描述。

  每类测评方式分别按测评方式、获取证据、测评结论依次描述。证据材料依次在测评记录结果表后面给出。

  测评证据采用照片、电脑截屏、文档扫描件形式附上,清晰、完备,可用性强,注释说明及引用规范。

  测评对象量化评估得分是整个量化评估的基础。单个量化评估值错误会影响单元分值、测评层面分值、直至最后综合得分分值。测评对象 DAK 判定是关键,正确给出测评记录的同时须仔细检查测评对象量化评估值赋值。

  使用文档审查获取的证据注意给出的证据正式、规范、完整。

  例如“系统有密码应用方案,且通过密评”。在“表 A-7 建设运行测评结果记录”后面须附上系统密码应用方案评估报告封面页()

  现场查看获取的证据作为重要辅佐性证据的必须给出。

  例子 1:密评人员现场查看有认证证书的商密产品,将认证证书与实际部署的商密产品作一致性检查无误后,将现场部署的商密产品照片与认证证书清晰完整扫描件一同作为证据在“表 A-3 设备和计算安全……”

  配置检查获取的证据采用电脑截屏或照片形式,须清晰显示设备使用的算法、协议名称等。日志记录检查须给出日志记录原始关键证据截屏图像。附在相应的测评结果记录表后。

  工具测试获取的证据须给出数据分析获取的关键证据清晰、正确、完整的电脑截屏图像。附在相应的测评结果记录表后。

  主动分析测评获取的证据须给出各环节测评结果截屏图像或照片,且能与最后测评结果构成完整的证据链。附在相应的测评结果记录表后。

单元测评

  主要内容来源:密评人员现场取证及活动记录、测评指标符合性定性分析的测评过程及结果记录。

  编制:依据 GB/T 43206-2023《信息安全技术 信息系统密码应用……》

  注意事项:

  

  对不同测评方式获取的证据使用前须作一致性研判。如果出现不一致的情况,以高可靠性证据为准。如采用第一类测评方式获取的证据与采用第二类测评方式获取的证据有矛盾,核对后者无误后……

整体测评

  主要内容来源:密评人员现场取证及活动记录、测评指标符合性定性分析、定量分析测评过程及结果记录。

  编制:依据 GB/T 43206-2023《信息安全技术 信息系统密码应用测评要求》……

  注意事项:

  

  从单元测评开始,评估值除实施修正的测评值须人工判定外,量化评估单元评估值、各层面评估值、综合评估值最好通过程序计算给出。

  “整体测评结果表”是测评结果的汇总,检查无误后,报告全文所有涉及测评指标符合情况,量化评估值以此汇总表为准。

  报告编制完成,如果发现测评时个别符合性判定或量化评估值有误,首先对“整体测评结果表”……

风险分析

  主要内容来源:密评人员现场取证测评指标符合性定性分析测评,对“不符合”、“部分符合”指标风险分析。

  编制:依据 GB/T 43206-2023《信息安全技术 信息系统密码应用测评要求》、……

  注意事项:

  1. 不遗漏、不误判高风险项。
  2. 现场核查高风险缓解措施是否符合《信息系统密码应用高风险判定指引》(2021 版)标准要求,该缓解措施能否满足使用条件。
  3. 不遗漏核查“不适用”指标风险缓解措施。
  4. 风险分析与量化评估独立实施。如果测评报告问题涉及高风险判例中的问题场景,则需要在报告附录 A 中,按照实际评估结果进行填写,针对该测评项判定为不符合,但是在风险分析时针对该安全风险进行缓解措施……

评估结论

  主要内容来源:密评人员测评与风险分析结果,根据符合性判定测评依据给出商用密码应用安全性评估结论

  编制:依据 GM/T 0115-2021《信息系统密码应用测评要求》……

  注意事项:

  当系统密评量化评估综合得分接近 60 分时,从测评对象量化评估得分开始,核查测评单元得分、测评层面得分,直至最后综合得分,避免量化评估误判分导致实际量化评估值不到阈值……

附录 B 密评活动有效性证明记录

  主要内容来源:密评人员实施密评活动记录

  编制:按模板要求编写报告

  注意事项:

  1. 附录 B 是提供给密评职能管理部门检查使用的,证据的真实性是放在第一位的。
  2. 给出的证据须具备完整性、可用性、规范性。
  3. 文档扫描件证据须清晰……

商用密码应用安全性评估结论

  主要内容来源:密评人员对系统基本情况提炼、密评国恒简单回顾,测评主要结论……

  注意事项:

  1. 本小姐描述须与报告后续内容保持一致性。
  2. 本小节作为整个密评的概述汇总,具体由后续内容提供支撑,当报告后续有关内容修改时,注意检查本小节内容,需要的话,作相应修改。

总体评价

  主要内容拉远:密评人员测评实施确定的测评指标情况(指标总数、不适用指标、特殊指标)、各安全层面测评指标符合性定性测评判定情况。

  编制:密评人员依据模板要求,按照安全层面以统计数的形式……

  注意事项:

安全问题及改进建议

  主要内容来源:密评人员测评实施确定的测评指标不符合、部分符合对应的测评对象采用的安全防护措施不足,分析提炼出安全问题,给出的改进建议。

  编制:密评人员按照模板要求分析提炼测评发现的安全问题,针对……

检查提交

  报告编制完整,提交前,编制人员注意做好自审自查。

  1. 完整性:按模板要求编制,无缺项。
  2. 一致性:报告内容前后一致,密评活动与记录一致。给出的证据和结论一致。
  3. 正确性:测评对象指标符合性判定无误……

结束语

  密评报告是系统密评的最终成果,以模板文本的形式呈现,核心内容包括被测系统的基本情况、测评实施结果记录、评估证据、评估结论、发现问题及改进建议等。密评报告的质量直接关系测评质量,特别是评估结论的正确性、可用性。

  除了在测评……

#豪密 #密评实操 #能力验证

Safé.Café

Next 豪密科技第 16 期密评实操能力验证培训 - 2025/02/22 下午