看美國政府如何保障無線系統(tǒng)安全性
隨著無線通信技術(shù)的發(fā)展,人們在享受無線通信帶來的便捷之時,也會受到一些問題的困擾。例如個人隱私被竊聽甚至外泄、攻擊者未經(jīng)授權(quán)就可以訪問用戶的信息等。針對無線通信系統(tǒng)在使用過程中存在的問題,美國國家安全系統(tǒng)委員會在2014年一月發(fā)布了《CNSSP No.17》,其主要目的是:指導(dǎo)政府機構(gòu)在使用無線技術(shù)時保障國家信息安全,其政策主要包括以下幾個方面:
- 美國國家安全系統(tǒng)(NSS)信息安全產(chǎn)品準入要求;
- 政府在使用無線技術(shù)進行信息傳輸、接收以及處理時的準則;
- 關(guān)于保障信息安全責(zé)任說明;
1、美國國家安全系統(tǒng)(NSS)信息安全產(chǎn)品準入要求
美國國家安全系統(tǒng)(National Security System,NSS)是美國政府處理涉密信息以及軍事、情報等敏感信息的信息系統(tǒng)1。應(yīng)用于該系統(tǒng)的信息安全產(chǎn)品(包括信息安全保障產(chǎn)品和具有信息安全保障功能的技術(shù)信息產(chǎn)品)可分為政府開發(fā)(Government-off-the-Shelf,GOTS)產(chǎn)品和商業(yè)現(xiàn)貨(Commerical-off-the-Shelf,COTS)產(chǎn)品。為保障NSS安全,美國對于GOTS和COTS無線設(shè)備都有嚴格的準入準則,本政策主要討論的是商業(yè)無線設(shè)備、技術(shù)的安全接入準則,官方提供參考文獻為:“CNSSP No. 11, National Policy Governing the Acquisition of Information Assurance (IA) and IA-Enabled Information Technology (IT) Products2”。CNSSP No. 11發(fā)布于2013年,在這之前美國NSS一直沿用10年前(2003)的準入政策。
如圖1所示,隨著物聯(lián)網(wǎng)的發(fā)展以及許多新興無線技術(shù)(例如RFID技術(shù)、WiFi技術(shù)、藍牙技術(shù))的持續(xù)發(fā)展,基于物聯(lián)網(wǎng)技術(shù)應(yīng)用的新無線設(shè)備越來越多,隨之而來的無線系統(tǒng)產(chǎn)品準入管理實踐問題也增多。具體而言,對于COTS無線產(chǎn)品,過去的檢測評估方式使得其結(jié)果并不能客觀公正反應(yīng)產(chǎn)品實際安全保障水平,若按其聲稱的安全性級別進行選用,會影響到無線NSS的實際安全防護強度。因此,美國國家安全系統(tǒng)委員會于2013年頒布新的政策指令CNSSP No.11。
圖1 物聯(lián)網(wǎng)的廣泛應(yīng)用
新政策針對COTS無線產(chǎn)品安全風(fēng)險較為突出,因此美國國家安全系統(tǒng)委員會對COTS無線產(chǎn)品制定了更加嚴格的準入制度,包括:準入條件及運行機制、檢測評估依據(jù)和相關(guān)機構(gòu)職責(zé)。
1.1 準入條件及運行機制
COTS無線產(chǎn)品想要進入美國國家安全系統(tǒng),必須首先通過國家信息保障聯(lián)盟(NIAP)檢測評估。NIAP由美國國家安全局(NSA)和國家標準技術(shù)研究院(NIST)聯(lián)合組建,所有COTS無線設(shè)備都需要通過“(Common Criteria Evalution and Validation System,CCEVS)”認證。主要流程如圖2所示:
圖2 無線產(chǎn)品準入審核流程
1.2檢測評估依據(jù)
產(chǎn)品檢測評估依據(jù),其主要是國際標準《信息技術(shù)安全性通用評估準則》以及有關(guān)產(chǎn)品保護輪廓。其中,《信息技術(shù)安全性通用評估準則》規(guī)定了關(guān)于無線產(chǎn)品檢測的通用步驟、要求和規(guī)范;對于具體某類產(chǎn)品,其檢測依據(jù)則是該類產(chǎn)品的產(chǎn)品保護輪廓。
1.3 相關(guān)機構(gòu)職責(zé)
簡要而言,對于COTS無線產(chǎn)品的準入來說,NIAP是主要管理機構(gòu),NSA負責(zé)相關(guān)指導(dǎo)工作,NIST提供相關(guān)技術(shù)支持,美國政府部門作為用戶發(fā)揮作用。
2、政府部門在使用無線技術(shù)進行信息傳輸、接收以及處理時的準則
2.1 TEMPEST防護
TEMPEST(Transient Electromagnetic Pulse Emanation Surveillance Technology)技術(shù)是電磁環(huán)境安全防護的一部分,是包括了對電磁泄漏信號中所攜帶的敏感信息進行分析、測試、接收、還原以及防護的一系列技術(shù)。本政策對于COTS無線產(chǎn)品針對TEMPEST技術(shù)對策的主要參考來源為:CNSS Policy No. 3003和CNSS Instruction No. 70004,通過以上政策來完成準入無線設(shè)備對于TEMPEST技術(shù)的防護。主要措施有以下四種:
a) 使用低輻射無線設(shè)備:低輻射設(shè)備即TEMPEST設(shè)備,是防輻射泄露的根本措施。這些設(shè)備在設(shè)計和生產(chǎn)時就采取了防輻射措施,把設(shè)備的電磁泄露抑制到最低限度。
b) 利用噪聲干擾源:電磁輻射干擾技術(shù)采用干擾器對準入無線設(shè)備輻射進行電磁干擾,使竊收方難以提取有效信息。
c) 電磁屏蔽:屏蔽技術(shù)是將設(shè)備置于屏蔽室中,達到防止電磁輻射的目的。該技術(shù)是所有防輻射技術(shù)手段中最為可靠的一種。
d) 濾波技術(shù):濾波技術(shù)是對屏蔽技術(shù)的一種補充。被屏蔽的設(shè)備和元器件并不能完全密封在屏蔽體內(nèi),仍有電源線、信號線和公共地線需要與外界連接。因此,電磁波還是可以通過傳導(dǎo)或輻射從外部傳到屏蔽體內(nèi),或從屏蔽體內(nèi)傳到外部。采用濾波技術(shù),只允許某些頻率的信號通過,而阻止其他頻率范圍的信號,從而起到濾波作用。
2.2 政府對于無線設(shè)備準入相關(guān)負責(zé)部門應(yīng)采取的管制措施
當政府有部門需要集成無線設(shè)備、服務(wù)、技術(shù)時,需要遵守以下指導(dǎo)方針:CNSS Policy No. 22,Information Assurance Risk Management Policy for National Security Systems5和National Security Decision Directive 298, National Operations Security Program6 ,嚴格執(zhí)行其中規(guī)定的關(guān)于無線設(shè)備的風(fēng)險管理程序。具體來說,有以下幾類管制措施:
- 對于采購的無線設(shè)備,需要支持硬件和/或固件完整性驗證和可信且能溯源的無線技術(shù),設(shè)備需要符合NIST SP 800-147和NIST SP 800-164-《移動設(shè)備硬件安全指南》;
- 無線風(fēng)險評估應(yīng)從源頭解決無線設(shè)備NSS的保護問題;
- 應(yīng)建立配置基線,定義接入無線設(shè)備、技術(shù)的政府部門需遵守本政策的相應(yīng)要求;
- 相關(guān)部門應(yīng)采取持續(xù)監(jiān)測,包括:信息系統(tǒng)和網(wǎng)絡(luò)的業(yè)務(wù)風(fēng)險評估、網(wǎng)絡(luò)管理、網(wǎng)絡(luò)防御和入侵檢測;
- 需要保持在使用無線設(shè)備與所列清單列表數(shù)目、類型一致;
- 無線設(shè)備管理員可在發(fā)生緊急情況或存在安全漏洞時暫停無線設(shè)備運行;
- 每個用戶和系統(tǒng)管理員應(yīng)簽署一份概述使用條款的協(xié)議(例如,設(shè)備丟失或被盜的報告要求)。
2.3 對于相關(guān)人員的培訓(xùn)要求
在被授權(quán)操作無線NSS設(shè)備之前,應(yīng)向所有無線設(shè)備管理人員、技術(shù)支持人員以及無線技術(shù)的用戶提供基礎(chǔ)教育、培訓(xùn)(如IA培訓(xùn)、設(shè)備或系統(tǒng)使用培訓(xùn)、丟失或被盜設(shè)備的報告程序)和有關(guān)使用連接到NSS的無線技術(shù)的意識。本政策的內(nèi)容和實施程序應(yīng)納入培訓(xùn)和意識材料。
3、保障信息安全責(zé)任說明
對于管理無線NSS設(shè)備的政府部門負責(zé)人而言,他/她需要做到以下兩點:
對使用無線技術(shù)的NSS項目,保證足夠的擁有資格證書的操作人員和足夠的技術(shù)培訓(xùn);
確保政府根據(jù)適用的聯(lián)邦法律,特別是保護美國個人隱私權(quán)的法律,在本政策規(guī)定下合法利用準入無線設(shè)備進行諸如持續(xù)監(jiān)控等活動。
參考文獻:
[1] U.S. Federal Information Security Management Act.2002.
[2] CNSSP No. 11, National Policy Governing the Acquisition of Information Assurance (IA) and IA-Enabled Information Technology (IT) Products.2013.
[3] CNSSP No. 300, National Policy on Control of Compromising Emanations.2004.
[4] CNSS Instruction No. 7000, Tempest Countermeasures for Facilities.2004.
[5] CNSS Policy No. 22, Information Assurance Risk Management Policy for National Security Systems.2012.
[6] National Security Decision Directive 298, National Operations Security Program.1988.
【本文為51CTO專欄作者“中國保密協(xié)會科學(xué)技術(shù)分會”原創(chuàng)稿件,轉(zhuǎn)載請聯(lián)系原作者】
