信息系統一般通過網絡技術來實現與外界的互聯互通,GB/T 39786-2021《信息安全技術信息系統密碼應用基本要求》規定了信息系統在網絡和通信安全層面的密碼應用技術要求,這些要求涉及到通信的主體(通信雙方)、信息系統與網絡邊界外建立的網絡通信信道,以及提供通信保護功能的設備、組件和產品。
網絡和通信安全層面的測評對象主要是針對跨網絡訪問的通信信道,這裏的跨網絡訪問指的是從不受保護的網絡區域訪問被測系統。可以從通信主體和網絡類型兩個方面來確定網絡和通信安全層面的測評對象:
(1)網絡類型:這裏主要依據網絡之間是否相對獨立進行分類,如互聯網、政務外網、企業專網等;
(2)通信主體:指的是參與通信的各方,典型的如客戶端與服務端,例如,PC機上運行的瀏覽器與服務器上運行的web服務系統之間;移動智能終端上運行的APP與服務器上運行的應用系統之間。也可以是服務端與服務端,例如,IPSec VPN與IPSec VPN之間。
【場景示例】
下面以一個具體場景來描述測評對象的確定過程。在一個信息系統中,通常應用包括前臺應用系統和後臺管理系統;系統運行的網絡環境通常包括互聯網、政務外網和辦公內網,其中,辦公內網也屬於政務外網。該信息系統網絡通信情況描述如下。
(1) 用戶可以從互聯網、政務外網、辦公內網,使用非國密瀏覽器或國密瀏覽器通過HTTPS協議訪問前臺應用系統;
(2) 管理員可以從辦公內網或使用VPN客戶端通過內網SSLVPN接入辦公內網後,再使用國密瀏覽器通過HTTPS協議訪問後臺管理系統;
(3) 系統管理員可以從互聯網先登錄運維SSLVPN後,再通過堡壘機對服務器、密碼產品等設備進行運維;
(4) 信息系統可以通過IPSecVPN調用外部的密碼資源(例如政務外網的數據加密服務)。 針對此場景,根據通信主體,梳理出對應的網絡類型,形成以下表格。
根據上述表格描述,即可確定此信息系統網絡和通信安全層面的測評對象。表中的每個元素表示通信主體可在某種網絡類型下進行通信,例如表格第二行第二列表示:用戶可在互聯網和政務外網環境使用國密瀏覽器訪問前臺應用系統。由此可確定的兩個測評對象爲:互聯網國密瀏覽器與前臺應用系統之間的通信信道、政務外網國密瀏覽器與前臺應用系統之間的通信信道。
根據以上的方法,此信息系統網絡和通信安全層面的測評對象確定如下:
瞭解更多內容可下載:《商用密碼應安全性評估FAQ(第二版)》
聲明:內容來源中國密碼學會密評聯委會《商用密碼應用安全性評估FAQ(第二版)》,版權歸作者所有,轉載目的在於傳遞更多信息。如有侵權,請聯繫本站處理。