【商密小课堂】2021版《商用密码应用安全性评估FAQ》重点摘录(三)
发布时间:2022-05-12
应用和数据安全层面的测评对象应包含关键业务应用,具体参考通过专家评审后的密码应用方案设定的范围确定。如无密码应用方案,应根据网络安全等级保护定级报告描述的范围确定。
问:网络和通信安全、设备和计算安全、应用和数据安全等层面提出的访问控制信息指什么?
访问控制是在身份鉴别的基础上,控制主体对客体整体资源信息的访问控制管理。访问控制的实现机制包含但不限于以下方式:目录表、访问控制列表、能力表、访问控制矩阵(访问控制列表、能力表组成的矩阵)、访问控制安全标签列表和权限位。
在网络和通信安全层面,访问控制信息主要包括部署在网络边界的VPN中的访问控制列表、防火墙的访问控制列表、边界路由的访问控制列表等进行网络边界访问控制的信息。
在设备和计算安全中,访问控制信息主要包括设备操作系统的系统权限访问控制信息、系统文件目录的访问控制信息、数据库中的数据访问控制信息、堡垒机等第三方运维系统中的权限访问控制信息等。
在应用和数据安全中,访问控制信息主要包括应用系统的权限、标签等能够决定系统应用访问控制的措施等信息。
问:在依据GB/T 39786-2021 9.7a)条款密评时,密码应用方案该如何理解?
对于已建信息系统,其密码应用方案并不追溯到系统最初规划时的方案,该信息系统根据相关标准、密码应用需求以及前期密评的整改建议,制定的密码应用改造方案可视为该系统的密码应用方案。后续,即可依据GM/T 0115《信息系统密码应用测评要求》的相关要求进行判定。需要说明的是,对于新建信息系统,除依据GM/T 0115进行符合性判定外,还应按照《信息系统密码应用高风险判定指引》进行风险评价。
问:商用密码产品认证证书的有效期在密评时该如何把握?
如无特殊情况和安全风险,密码产品的采购时间在商用密码认证证书在有效期内,则可判定为产品合规。此外,如果密评人员发现密码产品依据的相关密码标准已经失效或更新,则有义务告知信息系统单位相关情况,并建议其选用依据最新标准的密码产品。
问:未标注密码模块安全等级的商用密码产品在测评时如何判定?
对有效期内的《商用密码产品型号证书》,持证单位可于2020年6月30日前,自愿申请转换国推商用密码产品认证证书,经认证机构审核符合认证要求后,直接换发认证证书,认证证书有效期与原《商用密码产品型号证书》有效期保持一致。
对于换证的密码产品,因为其换发的认证证书上一律没有标注密码模块安全等级,此时需要密码厂商进一步提供换证前的商用密码产品型号证书,如果商用密码产品型号证书中标注了其符合的密码模块等级,则按此等级进行判定;否则,依据《商用密码应用安全性评估量化评估规则》按“密码产品等级不符合”进行判定。
对于新发认证证书的密码产品,市场监管总局和国家密码管理局发布的《商用密码产品认证目录》明确规定了密码模块标准适用的密码产品类型,其他产品(如安全芯片,密码系统类产品等)则不依据密码模块标准进行检测和认证。需要注意的是,虽然密码系统类产品(如电子门禁系统、CA/KM系统、电子签章系统等)不适用于密码模块标准,但作为系统组件的密码产品(如密码机、密码卡等)则适用于密码模块标准,也需要在密评时依据这些密码产品的密码模块安全等级进行判定。
