密评改造红宝书(第一章)
2024/02/28
密评改造流程概述
在密评改造开展前,需要对被测信息系统的密码应用方案进行评估,通过评估的密码应用方案可以作为密评实施的依据。
密评改造过程主要包括三个阶段:密评改造准备阶段、密评改造实施阶段和密评改造测评阶段,密评改造流程如下图所示:
整个过程中,主要的参与者角色情况如下表所示:
1.1 密评改造准备阶段
本阶段是开展密评改造工作的前提和基础,主要任务是掌握被测信息系统的详细情况,准备密评改造所需的相关资料,为编制密评改造方案提供条件。材料包括信息收集和分析、表单准备以及密评改造方案的编制与评审,整个周期大约为1个月。
信息收集和分析
集成方使用调查表格、查阅被测信息系统资料等方式,了解被测信息系统的构成和密码应用情况,为编写密评改造方案和开展现场测评工作奠定基础,周期大约为1周。(详见第二章第2.1节)
——输入:待测系统的《业务信息调研表》。
——输出:完成的《业务信息调研表》,各种与被测信息系统相关的技术资料。
《业务信息调研表》一般由以下角色共同完成:
(1)机房管理人员/网络工程师:提供机房及网络情况调研信息
(2)业务系统管理员/操作员:提供业务系统相关使用人员信息
(3)业务系统开发人员:提供业务系统研发对接信息
表单准备
集成方在进行现场测评之前,应熟悉与被测信息系统相关的各种组件,准备各种表单等。
——输入:完成的《业务信息调研表》,各种与被测信息系统相关的技术资料。
——输出:各类表单,如《业务改造进度表》、《联系人与职责表》、《工作流程对接表》与《联调记录表》等。
以上表单由项目经理统一负责,其中,《联系人与职责表》至少包括产品厂商对接人、业务系统对接人、甲方对接人,及相关协调和实施人员。
信息收集和分析的输出文档及其内容如表2所示:
表2 信息收集和分析的输出文档及其内容
密评改造方案编制
方案编制活动的目标是整理及分析信息收集活动中获取的被测信息系统相关资料,为密评改造提供最基本的文档和指导方案,周期大约为1周。(详见第二章第2.2节)
——输入:完成的《业务信息调研表》,各种与被测信息系统相关的技术资料
——输出:待评审密评改造方案
密评改造方案评审
方案编制完成后将进行多轮评审修改,由测评机构给出修改建议后方案编写人员进行多次修改,定稿后,由被测方(可由密评机构协调)组织专家评审会对密评改造方案进行评审,或由测评机构直接评审。整个方案评审周期一般为2~4周,具体时长主要取决于方案编制质量与修改情况。
——输入:待评审的《密评改造方案》
——输出:通过评审的《密评改造方案》
1.2 密评改造实施阶段
本阶段是密评改造工作的关键阶段,主要任务是对被测信息系统的重要数据进行定义,根据密评改造方案来对被测方进行信息系统改造,现场安装部署,集成测试与验收,整个周期大约为1~2个月。
重要数据定义
集成方协调各方对需要加密和完整性校验的数据库字段进行定义,如业务系统开发人员和密码服务管理平台的技术人员,参考常见重要数据类型,整理出需要进行机密性保护的数据和需要完整性保护的数据,并由被测方和密评机构最终确定,周期大约一周。(详见第三章第3.2节)
——输入:待测系统的数据库表
——输出:需要保护的数据库字段
信息系统改造与对接
信息系统开发厂商集成SDK,进行系统改造,以满足密评的安全需求,周期约2~4周。需要保护的数据库字段、SDK、说明文档将由集成方提供(详见第三章第3.3节)
——输入:需要保护的数据库字段、SDK、说明文档
——输出:改造完毕的信息系统
现场上架与部署
现场实施人员在被测方的机房网络工程师和各厂商负责人的配合下,根据《业务信息调研表》、系统环境和网络拓扑进行密码设备上架,完成后现场实施人员或监理需提供联系人与职责表、工作流程调研表、物料准备、开工核验单、设备清单、现场进度日志、设备部署信息表等(详见第三章第3.4节)
——输入:《业务信息调研表》、系统环境、网络拓扑及描述
——输出:联系人与职责表(保密)、工作流程调研表、物料准备、开工核验单、设备清单、现场进度日志、设备部署信息表
集成测试与验收
被测方的信息系统改造完毕后,集成方按照《测试计划》进行密码资源调用的集成测试。集成测试的目的是确保各单元组合在一起后能够按既定意图协作运行,并确保增量的行为正确。它所测试的内容包括单元间的接口以及集成后的功能。使用黑盒测试方法测试,测试通过后再进行整体回归测试,周期约2~3周。测试完毕后集成方需提供《集成测试报告》(详见第三章第3.4.6节)
——输入:《测试计划》
——输出:《集成测试报告》
交流与赋能
集成测试和验收通过后,集成方需将过程文档整理并交付于甲方,并和甲方确认运维责任划分,并和各厂商同步;各厂商需要将产品使用和运维材料交付给接受培训人员
——集成方输出:联调-必要信息整理表、业务系统访问流程指导方案
——各厂商输出:产品部署及使用文档、产品常见故障及解决办法、紧急运维联系表
——甲方输出:项目交付证明
正式环境更新
被测方的业务系统需保证在测试环境和正式环境都能正常运行,各负责人和集成方互相配合,制定更新计划,将测试环境更新到生产环境,保证生产环境更新前后业务系统使用无任何影响,做好更新事项准备工作,包括但不限于确认是否存在业务系统相互调用问题、更新内容无区别问题、网络策略问题等。同时要在测试环境进行功能测试和性能测试,确保密评改造不会导致系统某功能不可用或者造成系统使用出现明显延时、卡顿现象。
——输入:更新流程事项确认表、更新方案、更新准备事项
——输出:更新结果事项检查表、《功能测试报告》、《性能测试报告》
1.3密评改造测评阶段
密评改造测评活动的目标是通过与被测单位进行沟通和协调,依据密评改造方案实施现场测评工作,获取分析与报告编制活动所需且足够的证据和资料。密评改造测评活动包括三项主要任务:现场测评准备、现场测评和结果记录、结果确认和资料归还,整个周期大约为17个工作日。
测评准备
本阶段是开展测评工作的前提,主要任务是掌握被测信息系统的详细情况,准备测评工具,为编制测评方案做好准备。测评准备活动包括项目启动、信息收集和分析、工具和表单准备三项主要任务。(详见第四章第4.2节)
1.3.1.1 项目启动
在项目启动任务中,测评方组建测评项目组,获取被测单位及被测信息系统的基本情况,从基本资料、人员、计划安排等方面为整个测评项目的实施做准备。
1.3.1.2 信息收集和分析
测评方使用调查表格、查阅被测信息系统资料等方式,了解被测信息系统的构成和密码应用情况,为编写测评方案和开展现场测评工作奠定基础。
1.3.1.3 工具和表单准备
测评项目组成员在进行现场测评之前,应熟悉与被测信息系统相关的各种组件、调试测评工具、准备各种表单等。
方案编制
本阶段是开展测评工作的基础,主要任务是确定测评对象,测评指标,测评检查点,测评内容,进行测评方案的编制。(详见第四章第4.3节)
1.3.2.1 测评对象确定
根据已经了解到的被测信息系统信息,分析整个被测信息系统及其涉及的业务应用系统,以及与此相关的密码应用情况,确定本次测评的测评对象。
——输入:完成的《业务信息调研表》
——输出:测评方案的测评对象部分
《业务信息调研表》一般由以下角色共同完成:
(1) 机房管理人员/网络工程师:提供机房及网络情况调研信息
(2) 业务系统管理员、操作员:提供业务系统相关使用人员信息
(3) 业务系统开发人员:提供业务系统研发对接信息
1.3.2.2 测评指标确定
根据已经了解到的被测信息系统定级结果,测评机构确定出本次测评的测评指标
——输入:完成的《业务信息调研表》
——输出:测评方案的测评指标部分
1.3.2.3 测评检查点确定
测评过程中,需要对一些关键安全点进行现场检查确认,以防止密码产品、密码服务虽然被正确配置,但是未接入被测信息系统之类的情况发生。可通过抓包测试、查看关键设备配置等方法,来确认密码算法、密码技术、密码产品和密码服务的合规性、正确性和有效性。方案负责人应在方案编制确定这些检查点,并且充分考虑到检查的可行性和风险,最大限度地避免对被测信息系统的影响,尤其应避免对在线运行信息系统造成影响。
——输入:被测信息系统详细网络结构,选用的密码算法、密码技术、密码产品、密码服务等详细信息
——输出:测评方案的测评检查点部分
1.3.2.4 测评内容确定
测评实施前,需确定现场测评的具体实施内容,即单元测评内容。
——输入:完成的《业务信息调研表》,密评方案的测评对象、测评指标及测评检查点部分
——输出:测评方案的单元测评实施部分
1.3.2.5 测评方案编制
测评方案是测评工作实施的基础,用于指导测评工作的现场实施活动。密评方案应包括但不限于以下内容:项目概述、测评对象、测评指标、测评检查点以及单元测评实施等。
——输入:完成的《业务信息调研表》,测评方案的测评对象、测评指标、测评检查点、测评内容等部分
——输出:待评审的测评方案文档
测评与报告
本阶段主要通过与被测单位进行沟通和协调,依据测评方案实施现场测评工作,综合单元测评结果和整体测评结果进行量化评估和风险分析,得出评估结论,并编制测评报告。
1.3.3.1 现场测评准备
本阶段启动现场测评,以保证测评方能够顺利实施测评。
——输入:现场测评授权书,经过评审和确认的测评方案,风险告知书等。
1.3.3.2 单元测评
本阶段主要是针对各测评指标中的各个测评对象,客观、准确地分析测评证据,对每个测评对象分别进行测评实施和结果判定。汇总各测评单元涉及的所有测评对象的测评实施结果,得出各测评单元的判定结果,并以表格的形式逐一列出。
——输入:经过被测单位确认的各类测评结果记录
——输出:测评报告的单元测评部分
1.3.3.3 整体测评
本阶段针对测评结果为部分符合和不符合的测评对象,采取逐条判定的方法,给出整体测评的具体结果。
——输入:测评报告的单元测评部分
——输出:测评报告的单元测评结果修正部分
1.3.3.4 量化评估
本阶段综合单元测评结果和整体测评结果,计算修正后的各测评指标的各个测评对象的测评结果得分、各测评单元得分、各安全层面得分和整体得分,并对被测信息系统的密码应用情况安全性进行总体评价。
——输入:测评报告的单元测评的结果汇总及整体测评部分
——输出:测评报告中整体测评结果和量化评估部分,以及总体评价部分
1.3.3.5 风险分析
本阶段依据相关规范和标准,采用风险分析的方法,分析测评结果中存在的安全问题以及可能对被测信息系统安全造成的影响。
——输入:完成的信息采集表,测评报告的整体测评结果和量化评估部分,相关风险评估标准
——输出:测评报告的风险分析部分
1.3.3.6 评估结论形成
本阶段在测评结果汇总、量化评估以及风险分析的基础上,形成评估结论。
——输入:测评报告中被测信息系统的综合得分和总体评价部分,风险分析部分
——输出:测评报告的评估结论部分
1.3.3.7 结果确认和资料归还
本阶段结束现场测评,交付甲方测评结果文档、设备使用文档、设备认证证书等文档。
——输入:测评结果记录、工具测试完成后的电子输出记录、设备商密产品认证证书。
1.3.3.8 测评报告编制
本阶段根据分析与报告编制活动的各项任务输出形成测评报告。测评报告应符合信息系统密码应用安全性评估报告模板要求,包括但不限于以下内容:概述、被测信息系统描述、测评对象说明、测评指标说明、测评内容和方法说明、单元测评、整体测评、量化评估、风险分析、评估结论、改进建议等。其中,概述部分描述被测信息系统的总体情况、测评目的和依据等。
——输入:完成的调查表格,测评方案,单元测评的结果汇总部分,整体测评部分,总体评价部分,风险分析部分,评估结论部分。
——输出:经过评审和确认的测评报告。