商密测评 物理和环境安全(基本要求、测评要求、测评对象、注意事项、推荐应用、密评改造、测评指导、典型产品、证据截图)
1.基本要求
GB/T 39786—2021 《信息安全技术 信息系统密码应用基本要求》 8.1 物理和环境安全
JR/T 0255—2022 《金融行业信息系统商用密码应用基本要求》 7.1 物理和环境安全
2.测评要求
GB/T 43206—2023 《信息安全技术 信息系统密码应用测评要求》 6.1 物理和环境安全
身份鉴别
测评指标:
测评对象:
测评实施:
结果判定:
电子门禁记录数据存储完整性
测评指标:
测评对象:
测评实施:
结果判定:
视频监控记录数据存储完整性
测评指标:
测评对象:
测评实施:
结果判定:
JR/T 0256—2022 《金融行业信息系统商用密码应用测评要求》 7.1 物理和环境安全
身份鉴别
电子门禁记录数据存储完整性
视频监控记录数据存储完整性
3.测评对象
物理和环境安全层面的测评对象识别和确定
背景:
GB/T 39786-2021 《信息安全技术 信息系统密码应用基本要求》在8.1节中要求“
a) 宜采用密码技术进行物理访问身份鉴别,保证重要区域进入人员身份的真实性;
b) 宜采用密码技术保证电子门禁系统进出记录数据的存储完整性;
c) 宜采用密码技术保证视频监控音像记录数据的存储完整性
”。相应的,GB/T 43206-2023 《信息安全技术 信息系统密码应用测评要求》在“6.1 物理和环境安全”中规定该安全层面的测评对象包括信息系统所在机房等重要区域及其电子门禁系统和视频监控系统。
问题:
如何确定该层面的测评对象?
对于系统部署在非被测系统单位管辖范围之内的情况,如运营商机房、云服务提供商机房、其他单位或部门管辖的机房等,在物理和环境层面该如何判定该指标的适用性?如何开展测评?
解答:
物理和环境安全层面的测评对象为被测信息系统所在的
物理机房
,具体为
物理机房的电子门禁系统和视频监控系统
。
如果被测信息系统所在的物理机房采用多区域部署或被测信息系统重要资产分布在不同的物理机房内,那么针对该信息系统设计的
所有物理机房
应作为测评对象进行测评,密评人员需现场取证。
针对被测信息系统部署在被测系统单位管辖范围之外的情况,物理和环境安全层面仍然适用,即需要针对该安全层面进行测评。
1) 如果被测信息系统所在的IDC机房、运营商机房或云服务提供商机房等经历过商用密码应用安全性评估且相应系统评估结果为“符合”或“基本符合”,则可以复用商用密码应用安全性评估报告中“物理和环境安全”层面的相关测评结论。特别地,如果云平台通过了商用密码应用安全性评估,并且级别不低于云上应用系统的网络安全保护等级时,则云上应用系统(与云平台处于同一物理机房)的物理和环境安全层面可以复用云平台相应的测评结论。
2) 如果被测信息系统所在的IDC机房、运营商机房或云服务提供商机房等未经历过商用密码应用安全性评估或经历过的相应系统评估结果为“不符合”,则密评人员需要
现场取证
;对于条件不允许的情况,可以通过系统建设方或租赁方要求IDC机房或云服务提供商机房等运维方提供相关
说明文件和证据
以支撑测评结论。
问题:
当被测信息系统的机房采用多层门禁措施,且不同门禁采用的物理访问身份鉴别机制不一致时,例如外层门禁采用非密码技术,而内层门禁采用经检测认证合格的安全门禁系统实现,则物理和环境安全层面的“身份鉴别”指标该如何选择测评检查点?
解答:
针对此情况需要考虑多层电子门禁系统的保护范围。
如果信息系统所在的受保护对象都在多层门禁的保护范围之内,则可在多层门禁系统中选择密码应用最合规、正确、有效的进行测评,但要注意多层门禁之间的物理区域存在非授权人员访问的情形。
如果存在某个受保护对象只在最外层电子门禁系统的保护下,那么应该以最外层的电子门禁作为测评对象。
如果受保护对象在多个电子门禁的保护下,那么所有提供保护的电子门禁都需要测评。
几种情况示例如下:
在上述示例中:
图9-1中,可选择一个密码应用最合规、正确、有效的门禁进行测评,测评过程中两个门禁中有一个满足测评要求即可。但是同时要注意,如果门禁1与门禁2之间物理区域还有未授权人员可以访问的话,则必须对门禁2进行测评;而外层门禁可能会起到安全加固和安全风险缓解作用,密评机构需根据实际情况进行确认。
图9-2中,应选择门禁1测评。
图9-3中,门禁1和门禁2都需要测评。
4.注意事项
高风险判定
电子门禁记录数据存储完整性测评时的注意事项
背景:
一些信息系统所在机房已经部署合规的电子门禁系统,厂商也声称机房进出记录受到完整性保护。
问题:
对于符合GM/T 0036-2014 《采用非接触卡的门禁系统密码应用技术指南》标准的电子门禁系统,其门禁系统内置的进出记录数据存储的完整性保护是否可以直接采信产品检测结果,如不可直接采信,是否需要门禁系统厂商提供其他证据?
解答:
由于GM/T 0036-2014 《采用非接触卡的门禁系统密码应用技术指南》中规定的相关要求,主要针对的是采用基于非接触式的门禁系统对机房进出人员身份鉴别这一场景,因此,对门禁系统进行密评实施时,按照密评相关标准,需要相关密码厂商提供门禁系统进出记录数据完整性保护的相关证据,并提供实现该密码应用的密码产品检测认证合规性的证明。
5.推荐应用
商用密码应用证书检测结果查询
注意:需要用国密浏览器打开
https://service.scctc.org.cn/xxfb/jcyw/jczscx/jcjgcx/
https://service.scctc.org.cn/xxfb/rzyw/rzzscx/jzcxjg/
国密浏览器推荐
零密浏览器
5.总体评价
6.密评改造
7.测评指导
测评对象
信息系统所在机房等重要区域,测评对象包括但不限于信息系统所在的责任单位机房、 IDC机房、云服务提供商机房等。
可能涉及到的访谈人员、文档和测评工具
人员:
系统负责人、安全主管、机房管理员、密码应用岗位人员(如密码操作员、 密钥管理员)、密码产品厂商研发人员等;
文档:
电子门禁系统相关技术文档,如通过评估的密码应用方案、机房建设方案、 机房检测报告等;密钥管理制度及策略类文档;商用密码产品认证证书、国家密码 管理部门同意在特定行业使用的密码算法证明文件等;
测评工具:
协议分析工具、算法校验工具。
测评实施操作说明
身份鉴别
推荐测评方式
第二类:配置检查、代码审查
取证过程
密码产品中,发卡过程对门禁卡中身份鉴别算法及其密钥的配置信息。
身份鉴别机制有效性证据,例如, 密码调用代码,或者条件允许情况下, 获取门禁卡与读卡器之间鉴别过程的报文(包括如鉴别过程和算法)。
门禁卡试错测试结果,例如使用其他权限门禁卡、是否可以复制门禁卡的测试 情况记录。
注:若非合规密码产品实现情形,需获取相关证据 以表明采用了有效的替代性风险控制措施,例如, 基于生物特征识别技术(如指纹、人脸等)、重要 区域出入口专人值守+机房访问登记记录 +视频监 控系统进行实时监控等检查证据。
电子门禁系统
产品类型:
电子门禁系统
测评实施要点:
1) 尝试制作一些错误的电子门禁卡,验证这些卡无法打开门禁;
2) 利用发卡系统分发不通权限的电子门禁卡,验证非授权的卡无法打开门禁;
3) 尝试复制电子门禁卡,验证无法进行有效复制
预期结果:
1) 错误的电子门禁卡无法打开门禁;
2) 不同权限的电子门禁卡仅能打开授权的门禁,非授权的电子门禁卡无法打开门禁;
3) 电子门禁卡无法被复制使用。
电子门禁记录数据存储完整性
推荐测评方式:
第二类:配置检查、代码审查;
第三类:基于密码机制的主动分析(条件允许情况下,尝试篡改)
取证过程
门禁记录及其签名值或 MAC 值等,以及如签名结果有效性验证、数据格式分析等结果。
密码产品中,门禁记录存储完整性保护算法及其密钥的配置信息。
完整性校验机制及校验结果,例如,密码调用代码,或者条件允许情况下,篡改门禁记录的测试情况记录。
视频监控记录数据存储完整性
推荐测评方式:
第二类:配置检查、代码审查;
第三类:基于密码机制的主动分析(条件允许情况下,尝试篡改)
取证过程
视频监控记录及其签名值或 MAC 值等,以及如签名结果有效性验证、数据格式分析等结果。
密码产品中,视频监控记录存储完整性保护算法及其密钥的配置信息。
完整性校验机制及校验结果,例如,密码调用代码,或者条件允许情况下,篡改视频监控记录的测试情况记录。
8.典型产品
场景一:机房部署安全门禁系统和服务器密码机
机房部署安全门禁系统,涉及智能IC卡、门禁读卡器、门禁发卡器和门禁控制器等组件,采用基于SM4-ECB算法的对称加解密技术,实现读卡器对机房访问人员的身份鉴别,相关密码运算和密钥管理由门禁卡、读卡器完成;同时部署服务器密码机,通过安全门禁系统调用服务器密码机,采用HMAC-SM3技术,实现对电子门禁记录的存储完整性保护,相关密码运算和密钥管理由服务器密码机完成。其中,安全门禁系统、服务器密码机等密码产品具有商用密码产品认证证书且安全等级满足要求。
检查点A:检查安全门禁系统的发卡过程及密码算法相关配置信息,确认物理访问身份鉴别采用的密码算法、密码技术是否符合预期;通过分发错误或不同权限的门禁卡,验证能否打开门禁。
检查点B:检查电子门禁系统存储的进出记录数据完整性校验值长度是否符合预期;条件允许时,尝试进行数据篡改操作,验证电子门禁记录数据存储完整性保护机制的有效性。
检查点C:检查服务器密码机上的配置信息,确认门禁记录数据存储完整性保护算法及其密钥信息是否符合预期。
场景二:机房部署安全视频监控系统
机房部署安全视频监控系统并通过相关密码设备或密码模块对提供安全保护,采用HMAC-SM3技术实现视频监控记录数据的存储完整性保护。其中,安全视频监控系统中的PCI-E密码卡,以及摄像机、NVR中的加密芯片等密码产品具有商用密码产品认证证书且安全等级满足要求。
