De acuerdo con GB/T 39786 -2021 "Requisitos básicos para la aplicación de contraseñas en tecnología de seguridad de la información y sistemas de información", los requisitos para el sistema de seguridad de tercer nivel son los siguientes:
Nivel físico y ambiental:
a) La tecnología de contraseña debe usarse para la identificación de acceso físico para garantizar la autenticidad de la identidad del personal que ingresa a áreas importantes;
b) La tecnología de contraseña debe usarse para garantizar la integridad del almacenamiento de los datos de registro de entrada y salida del sistema de control de acceso electrónico;
c) Debería utilizarse tecnología de encriptación para garantizar la integridad del almacenamiento de los datos de grabación audiovisual de videovigilancia;
Identificación: (Alto Riesgo)
Indicadores de evaluación: utilizar tecnología criptográfica para identificación de acceso físico para asegurar la autenticidad de la identidad del personal que ingresa a áreas importantes (nivel 1 a nivel 4).
Objetos de evaluación: áreas importantes como la sala de cómputo donde se encuentra el sistema de información y su sistema de control de acceso electrónico.
Posibles medidas de mitigación: 1) Identificar a las personas que ingresan a áreas importantes en función de la tecnología biométrica (como las huellas dactilares);
2) Las entradas y salidas de áreas importantes están equipadas con personal especial de turno y registrado, y el sistema de videovigilancia se utiliza para el monitoreo en tiempo real.
Pasos de implementación de la evaluación:
①Entrevístese con la persona a cargo del sistema bajo prueba, investigue y aclare la ubicación de la sala de computadoras física donde se encuentra el sistema, que incluye, entre otros, la sala de computadoras de IDC, la sala de computadoras de respaldo de recuperación ante desastres, la sala de computadoras del proveedor de servicios en la nube, sala de computadoras del operador y otras unidades o departamentos bajo la jurisdicción de la sala de máquinas del sistema, etc.
②Investigue y descubra el nombre del producto y el modelo del equipo de seguridad en la sala física de computadoras donde se encuentra el sistema, principalmente equipos de control de acceso electrónico, sistema de control de acceso electrónico, etc.
③ Cabe señalar que el análisis de captura de paquetes puede estar involucrado: capturar los paquetes de tráfico de datos del personal que ingresa y sale de la sala de computadoras a través de la tarjeta de control de acceso electrónico y analizar sus instrucciones APDU, etc.
Materiales de recolección de evidencia:
① Foto del equipo de control de acceso electrónico, foto de la tarjeta de control de acceso electrónico (tarjeta IC inteligente), foto del certificado de certificación de producto con contraseña comercial de la tarjeta IC inteligente, certificado de certificación de producto con contraseña comercial del lector de tarjetas de control de acceso (equipo de control de acceso) (marcado con nivel del módulo de contraseña), fotos clave del inyector y del emisor de la tarjeta de control de acceso, capturas de pantalla de la interfaz de emisión de la tarjeta IC inteligente, capturas de pantalla de la implementación del código de inyección de la clave de la tarjeta IC inteligente, capturas de pantalla de la interfaz de emisión de la tarjeta de la tarjeta PSAM, capturas de pantalla del código de implementación de la inyección de la clave de la tarjeta PSAM, Verificación de prueba de tarjeta IC Capturas de pantalla, capturas de pantalla de tarjeta de control de acceso incorrecta y control de acceso no autorizado que no puede abrir verificación de control de acceso, fotos de formularios de registro de registro de entrada y salida de la sala de computadoras, fotos de pantallas de monitoreo físico del sistema en la sala de computadoras, etc. ( las dos últimas evidencias se utilizan principalmente como medidas de mitigación), etc.
Ejemplo:
Foto del equipo de control de acceso electrónico (lector de tarjetas de control de acceso)
Lector de tarjetas de control de acceso (equipo de control de acceso) certificación de producto de contraseña comercial (marcado con nivel de módulo de contraseña)
Foto de la tarjeta de control de acceso electrónico (tarjeta IC inteligente)
Foto del certificado de certificación de producto de cifrado comercial de tarjeta IC inteligente Fotos del inyector de llave y emisor de control de acceso Captura de pantalla de la interfaz de emisión de la tarjeta IC inteligente
Captura de pantalla de la implementación del código de inyección de clave de tarjeta IC inteligente Captura de pantalla de la interfaz de emisión de la tarjeta PSAM Captura de pantalla del código de implementación de inyección de clave de tarjeta PSAM Captura de pantalla de la prueba de tarjeta IC inteligente y pase de verificación La tarjeta de control de acceso incorrecta y el control de acceso no autorizado no pueden abrir la captura de pantalla de verificación de control de acceso / foto del formulario de registro de registro de entrada y salida de la sala de computadoras Imagen de monitoreo físico del sistema en la sala de computación ............... ................
②Descripción relacionada: El sistema de control de acceso electrónico que cumple con los requisitos generalmente realiza la autenticación de identidad a través de una tarjeta IC inteligente sin contacto basada en el algoritmo criptográfico simétrico secreto nacional SM4 y un lector de tarjetas para el control de acceso secreto nacional. Inyector de claves y emisor de tarjetas de control de acceso para realizar la distribución de claves de la tarjeta CPU y la tarjeta PSAM en el lector de tarjetas, realizando una encriptación de una tarjeta.(Nota: Para productos criptográficos con certificados de certificación recién emitidos, el "Catálogo de Certificación de Productos Criptográficos Comerciales" emitido por la Administración Estatal para la Regulación del Mercado y la Administración Estatal de Criptografía estipula claramente los tipos de productos criptográficos a los que se aplica el estándar del módulo criptográfico. Otros productos (como chips de seguridad, sistemas criptográficos, etc.) productos, etc.) no se prueban y certifican de acuerdo con los estándares de módulos criptográficos. Cabe señalar que, aunque los productos de sistemas criptográficos (como sistemas de control de acceso electrónico, sistemas CA/KM, sistemas de firma electrónica, etc.) no son aplicables a los estándares de módulos criptográficos, pero los productos criptográficos como componentes del sistema (como máquinas criptográficas, tarjetas criptográficas, etc.) son aplicables a los estándares de módulos criptográficos, y también deben juzgarse de acuerdo con el nivel de seguridad de los módulos criptográficos de estos productos criptográficos durante la evaluación secreta.
Integridad del almacenamiento de datos de registro de control de acceso electrónico:
Índice de evaluación: utilizar tecnología criptográfica para garantizar la integridad del almacenamiento de los datos de registro de entrada y salida del sistema de control de acceso electrónico (nivel 1 a nivel 4).
Objetos de evaluación: áreas importantes como la sala de cómputo donde se encuentra el sistema de información y su sistema de control de acceso electrónico.
Pasos de implementación de la evaluación: Comprobar si las tecnologías criptográficas, como el mecanismo de código de autenticación de mensajes (MAC) basado en un algoritmo criptográfico simétrico o un algoritmo hash criptográfico, y el mecanismo de firma digital basado en un algoritmo criptográfico de clave pública, se utilizan para proteger y verificar la integridad del almacenamiento de la entrada y datos de registro de salida del sistema de control de acceso electrónico Si el mecanismo de protección de integridad es correcto y efectivo, etc.
① Revisar los registros de entrada y salida del sistema de control de acceso electrónico en la sala de cómputo donde se encuentra el sistema.
②Trate de modificar los datos relevantes de los registros de entrada y salida del control de acceso electrónico y verifique si la integridad del almacenamiento está protegida por tecnología criptográfica.
③Analizar la tecnología criptográfica utilizada por el sistema de control de acceso electrónico en la sala de cómputo donde se encuentra el sistema probado y verificar si el DAK cumple con los requisitos.
Materiales de recolección de evidencia:
① Además de la evidencia relevante de autenticación de identidad, la protección de integridad de los datos de registro de control de acceso electrónico puede involucrar tarjetas de contraseña PCI-E, o puede implementarse implementando máquinas de cifrado de servidor u otros productos de contraseña para llamar a tecnologías y servicios criptográficos relacionados. lograr.
②Tomando como ejemplo la tarjeta de contraseña PCI-E: se requiere la certificación de producto de contraseña comercial de la tarjeta de contraseña PCI-E, capturas de pantalla del código de implementación de inyección de clave de la tarjeta de contraseña PCI-E, capturas de pantalla de implementación del código del algoritmo de contraseña y capturas de pantalla de datos de registro de control de acceso electrónico (Antes de la integridad protección), capturas de pantalla de datos de registro de control de acceso electrónico (después de la protección de integridad), capturas de pantalla de verificación de integridad antes y después de la modificación de datos, etc.
Ejemplo:
Certificación de producto de cifrado comercial de tarjeta de cifrado PCI-E Código de implementación de inyección de clave de tarjeta de contraseña PCI-E Captura de pantalla de implementación del código de integridad (estar determinado)
Valor resumen generado por el Registro de Acceso Electrónico .................. ................
Integridad del almacenamiento de datos de registros de videovigilancia:
Índice de evaluación: utilizar tecnología criptográfica para garantizar la integridad del almacenamiento de los datos de grabación audiovisual de videovigilancia (nivel 3 a nivel 4).
Objeto de evaluación: áreas importantes como la sala de cómputo donde se ubica el sistema de información y su sistema de videovigilancia.
Pasos de implementación de la evaluación: compruebe si las tecnologías criptográficas, como el mecanismo del código de autenticación de mensajes (MAC) basado en un algoritmo criptográfico simétrico o un algoritmo hash criptográfico, el mecanismo de firma digital basado en un algoritmo criptográfico de clave pública, se utilizan para proteger la integridad del almacenamiento de la grabación de audio y video de videovigilancia datos y verificar si el mecanismo de protección de integridad es correcto y efectivo.
① Consulte la captura de pantalla de la pantalla de videovigilancia de la sala de ordenadores donde se encuentra el sistema.
② Verifique los datos de videovigilancia, intente modificar los datos relevantes registrados por la videovigilancia y verifique si la integridad del almacenamiento está protegida por tecnología criptográfica.
③Analizar la tecnología criptográfica utilizada por el sistema de videovigilancia en la sala de cómputo donde se encuentra el sistema bajo prueba y verificar si el DAK cumple con los requisitos.
Materiales de recolección de evidencia: Tomemos como ejemplo la tarjeta de cifrado PCI-E: certificación de producto de cifrado comercial de tarjeta de cifrado PCI-E, código de implementación de inyección de clave de tarjeta de cifrado PCI-E, fotos de equipos de videovigilancia, capturas de pantalla de videovigilancia, equipo de videovigilancia, grabadora de video, equipo NVR Fotos, interfaz de carga de la interfaz de inicio de sesión del cliente del sistema de videovigilancia, certificado de certificación de producto de cifrado comercial del cliente del sistema de videovigilancia, certificado de certificación de producto de criptografía comercial del servidor del sistema de videovigilancia, capturas de pantalla de implementación del algoritmo de integridad de llamada del sistema de videovigilancia, archivos de datos de registro de videovigilancia y capturas de pantalla de generación de valor resumido , capturas de pantalla de verificación de integridad de almacenamiento de datos de registro de videovigilancia, etc.
Ejemplo:
Certificación de producto de cifrado comercial de tarjeta de cifrado PCI-E Código de implementación de inyección de clave de tarjeta de contraseña PCI-E Foto de equipo de video vigilancia.
Captura de pantalla de videovigilancia Equipo de videovigilancia Grabador de video Equipo NVR Fotos
Interfaz de carga de la interfaz de inicio de sesión del cliente del sistema de videovigilancia
Certificación de producto de cifrado comercial del cliente del sistema de videovigilancia
Certificado de certificación de producto de cifrado comercial de servidor de sistema de videovigilancia
Algoritmo de integridad de llamadas del sistema de videovigilancia para lograr capturas de pantalla
Capturas de pantalla de archivos de datos de grabación de videovigilancia y generación de valores de resumen Captura de pantalla de verificación de integridad de almacenamiento de datos de registro de videovigilancia
........... ...........
