本文主要是介绍密评:物理和环境层面,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!
依据GB/T 39786 -2021《信息安全技术 信息系统密码应用基本要求》针对等保三级系统要求:
物理和环境层面:
a)宜采用密码技术进行物理访问身份鉴别,保证重要区域进入人员身份的真实性;
b)宜采用密码技术保证电子门禁系统进出记录数据的存储完整性;
c)宜采用密码技术保证视频监控音像记录数据的存储完整性;
身份鉴别:(高风险)
测评指标:采用密码技术进行物理访问身份鉴别,保证重要区域进入人员身份的真实性(第一级到第四级)。
测评对象:信息系统所在机房等重要区域及其电子门禁系统。
可能缓解的措施:1)基于生物识别技术(如指纹等)对重要区域进入人员进行身份鉴别;
2)重要区域出入口配备专人值守并进行登记,且采用视频监控系统进行实时监控等。
测评实施步骤:
①访谈被测系统的有关负责人,调研清楚系统所在的物理机房的位置,包括但不限于系统所在的IDC机房、容灾备份机房、云服务提供商机房、运营商机房、其他单位或部门管辖的机房等。
②调研清楚系统所在的物理机房的安防设备的产品名称和型号,主要是电子门禁设备、电子门禁系统等。
③需要注意可能会涉及到抓包分析:抓取人员通过电子门禁卡进出机房过程的数据流量包,分析其APDU指令等。
取证材料:
①电子门禁设备照片、电子门禁卡(智能IC卡)照片、智能IC卡的商用密码产品认证证书照片、门禁读卡器(门禁设备)商用密码产品认证证书(注有密码模块等级)、密钥注入器和门禁发卡器照片、智能IC卡的发卡界面截图、智能IC卡密钥注入代码实现的截图、PSAM卡发卡界面截图、PSAM卡密钥注入实现代码的截图、智能IC卡测试验证通过的截图、错误门禁卡和非授权门禁无法打开门禁验证截图、机房进出记录登记表照片、系统在机房的物理监控画面照片等(后两个证据主要用作缓解措施)等。
实例:
电子门禁设备照片(门禁读卡器)
门禁读卡器(门禁设备)商用密码产品认证证书(注有密码模块等级)
电子门禁卡(智能IC卡)照片
智能IC卡的商用密码产品认证证书照片 密钥注入器和门禁发卡器照片 智能IC卡的发卡界面截图
智能IC卡密钥注入代码实现的截图 PSAM卡发卡界面截图 PSAM卡密钥注入实现代码的截图 智能IC卡测试验证通过的截图 错误门禁卡和非授权门禁无法打开门禁验证截图 / 机房进出记录登记表照片 系统在机房的物理监控画面照片 ............... ................
②相关描述:符合要求的电子门禁系统一般是通过基于国密SM4对称密码算法的非接触式智能IC卡和国密门禁的读卡器实现身份鉴别的,其管理员发卡时,通过管理主机上部署的密钥管理系统,使用密钥注入器和门禁发卡器设备实现CPU卡和读卡器中PSAM卡的密钥分发,实现一卡一密。(注意:对于新发认证证书的密码产品,市场监管总局和国家密码管理局发布的《商用密码产品认证目录》明确规定了密码模块标准适用的密码产品类型,其他产品(如安全芯片,密码系统类产品等)则不依据密码模块标准进行检测和认证。需要注意的是,虽然密码系统类产品(如电子门禁系统、CA/KM系统、电子签章系统等)不适用于密码模块标准,但作为系统组件的密码产品(如密码机、密码卡等) 则适用于密码模块标准,也需要在密评时依据这些密码产品的密码模块安全等级进行判定。
电子门禁记录数据存储完整性:
测评指标:采用密码技术保证电子门禁系统进出记录数据的存储完整性(第一级到第四级)。
测评对象:信息系统所在机房等重要区域及其电子门禁系统。
测评实施步骤:核查是否采用基于对称密码算法或密码杂凑算法的消息鉴别码(MAC)机制、基于公钥密码算法的数字签名机制等密码技术对电子门禁系统进出记录数据进行存储完整性保护并验证完整性保护机制是否正确和有效等。
①查看系统所在机房的电子门禁系统的进出记录。
②尝试修改电子门禁进出记录的相关数据,查看是否使用密码技术进行了存储的完整性保护。
③对被测系统所处机房的电子门禁系统使用使用的密码技术技术进行分析,验证DAK是否均满足要求。
取证材料:
①除了身份鉴别的相关证据之外,对电子门禁记录数据进行完整性保护可能会涉及到PCI-E密码卡来实现,也或者是通过部署服务器密码机或者其他密码产品调用相关密码技术和服务来实现。
②以PCI-E密码卡为例:需要PCI-E密码卡商用密码产品认证证书、PCI-E密码卡密钥注入实现代码截图、采用的密码算法代码实现的截图、电子门禁记录数据的截图(完整性保护之前)、电子门禁记录数据的截图(完整性保护之后)、修改数据后完整性前后校验的截图等。
实例:
PCI-E密码卡商用密码产品认证证书 PCI-E密码卡密钥注入实现代码 完整性代码实现截图 (待定)
电子门禁记录生成的摘要值 ................. ................
视频监控记录数据存储完整性:
测评指标:采用密码技术保证视频监控音像记录数据的存储完整性(第三级到第四级)。
测评对象:信息系统所在机房等重要区域及其视频监控系统。
测评实施步骤:核查是否采用基于对称密码算法或密码杂凑算法的消息鉴别码(MAC)机制、基于公钥密码算法的数字签名机制等密码技术对视频监控音像记录数据进行存储完整性保护,并验证完整性保护机制是否正确有效。
①查看系统所在的机房的视频监控画面截图。
②查看视频监控数据,尝试修改视频监控记录的相关数据,查看是否使用密码技术进行了存储的完整性保护。
③对被测系统所处机房的视频监控系统使用使用的密码技术技术进行分析,验证DAK是否均满足要求。
取证材料:以PCI-E密码卡为例:PCI-E密码卡商用密码产品认证证书、PCI-E密码卡密钥注入实现代码、视频监控设备照片、视频监控画面截图、视频监控设备录像机NVR设备照片、视频监控系统客户端登录界面加载界面、视频监控系统客户端商用密码产品认证证书、视频监控系统服务端商用密码产品认证证书、视频监控系统调用完整性算法实现截图、视频监控记录数据文件及生成摘要值截图、视频监控记录数据存储完整性验证截图等。
实例:
PCI-E密码卡商用密码产品认证证书 PCI-E密码卡密钥注入实现代码 视频监控设备照片
视频监控画面截图 视频监控设备录像机NVR设备照片
视频监控系统客户端登录界面加载界面
视频监控系统客户端商用密码产品认证证书
视频监控系统服务端商用密码产品认证证书
视频监控系统调用完整性算法实现截图
视频监控记录数据文件及生成摘要值截图 视频监控记录数据存储完整性验证截图
........... ...........
这篇关于密评:物理和环境层面的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!
