隨著無線通信技術(shù)的發(fā)展��,人們在享受無線通信帶來的便捷之時(shí)�,也會(huì)受到一些問題的困擾�。例如個(gè)人隱私被竊聽甚至外泄�����、攻擊者未經(jīng)授權(quán)就可以訪問用戶的信息等��。針對無線通信系統(tǒng)在使用過程中存在的問題,美國國家安全系統(tǒng)委員會(huì)在2014年一月發(fā)布了《CNSSP No.17》����,其主要目的是:指導(dǎo)政府機(jī)構(gòu)在使用無線技術(shù)時(shí)保障國家信息安全,其政策主要包括以下幾個(gè)方面:
- 美國國家安全系統(tǒng)(NSS)信息安全產(chǎn)品準(zhǔn)入要求;
- 政府在使用無線技術(shù)進(jìn)行信息傳輸��、接收以及處理時(shí)的準(zhǔn)則;
- 關(guān)于保障信息安全責(zé)任說明;
1����、美國國家安全系統(tǒng)(NSS)信息安全產(chǎn)品準(zhǔn)入要求
美國國家安全系統(tǒng)(National Security System,NSS)是美國政府處理涉密信息以及軍事、情報(bào)等敏感信息的信息系統(tǒng)1���。應(yīng)用于該系統(tǒng)的信息安全產(chǎn)品(包括信息安全保障產(chǎn)品和具有信息安全保障功能的技術(shù)信息產(chǎn)品)可分為政府開發(fā)(Government-off-the-Shelf,GOTS)產(chǎn)品和商業(yè)現(xiàn)貨(Commerical-off-the-Shelf,COTS)產(chǎn)品�����。為保障NSS安全����,美國對于GOTS和COTS無線設(shè)備都有嚴(yán)格的準(zhǔn)入準(zhǔn)則�,本政策主要討論的是商業(yè)無線設(shè)備、技術(shù)的安全接入準(zhǔn)則���,官方提供參考文獻(xiàn)為:“CNSSP No. 11, National Policy Governing the Acquisition of Information Assurance (IA) and IA-Enabled Information Technology (IT) Products2”�����。CNSSP No. 11發(fā)布于2013年����,在這之前美國NSS一直沿用10年前(2003)的準(zhǔn)入政策。
如圖1所示�,隨著物聯(lián)網(wǎng)的發(fā)展以及許多新興無線技術(shù)(例如RFID技術(shù)、WiFi技術(shù)����、藍(lán)牙技術(shù))的持續(xù)發(fā)展,基于物聯(lián)網(wǎng)技術(shù)應(yīng)用的新無線設(shè)備越來越多���,隨之而來的無線系統(tǒng)產(chǎn)品準(zhǔn)入管理實(shí)踐問題也增多�����。具體而言�,對于COTS無線產(chǎn)品���,過去的檢測評估方式使得其結(jié)果并不能客觀公正反應(yīng)產(chǎn)品實(shí)際安全保障水平,若按其聲稱的安全性級別進(jìn)行選用�����,會(huì)影響到無線NSS的實(shí)際安全防護(hù)強(qiáng)度。因此��,美國國家安全系統(tǒng)委員會(huì)于2013年頒布新的政策指令CNSSP No.11���。
圖1 物聯(lián)網(wǎng)的廣泛應(yīng)用
新政策針對COTS無線產(chǎn)品安全風(fēng)險(xiǎn)較為突出����,因此美國國家安全系統(tǒng)委員會(huì)對COTS無線產(chǎn)品制定了更加嚴(yán)格的準(zhǔn)入制度�,包括:準(zhǔn)入條件及運(yùn)行機(jī)制、檢測評估依據(jù)和相關(guān)機(jī)構(gòu)職責(zé)���。
1.1 準(zhǔn)入條件及運(yùn)行機(jī)制
COTS無線產(chǎn)品想要進(jìn)入美國國家安全系統(tǒng)�����,必須首先通過國家信息保障聯(lián)盟(NIAP)檢測評估�。NIAP由美國國家安全局(NSA)和國家標(biāo)準(zhǔn)技術(shù)研究院(NIST)聯(lián)合組建���,所有COTS無線設(shè)備都需要通過“(Common Criteria Evalution and Validation System,CCEVS)”認(rèn)證�����。主要流程如圖2所示:
圖2 無線產(chǎn)品準(zhǔn)入審核流程
1.2檢測評估依據(jù)
產(chǎn)品檢測評估依據(jù)�����,其主要是國際標(biāo)準(zhǔn)《信息技術(shù)安全性通用評估準(zhǔn)則》以及有關(guān)產(chǎn)品保護(hù)輪廓�。其中,《信息技術(shù)安全性通用評估準(zhǔn)則》規(guī)定了關(guān)于無線產(chǎn)品檢測的通用步驟���、要求和規(guī)范;對于具體某類產(chǎn)品�,其檢測依據(jù)則是該類產(chǎn)品的產(chǎn)品保護(hù)輪廓���。
1.3 相關(guān)機(jī)構(gòu)職責(zé)
簡要而言����,對于COTS無線產(chǎn)品的準(zhǔn)入來說�����,NIAP是主要管理機(jī)構(gòu)����,NSA負(fù)責(zé)相關(guān)指導(dǎo)工作,NIST提供相關(guān)技術(shù)支持,美國政府部門作為用戶發(fā)揮作用�。
2���、政府部門在使用無線技術(shù)進(jìn)行信息傳輸��、接收以及處理時(shí)的準(zhǔn)則
2.1 TEMPEST防護(hù)
TEMPEST(Transient Electromagnetic Pulse Emanation Surveillance Technology)技術(shù)是電磁環(huán)境安全防護(hù)的一部分�����,是包括了對電磁泄漏信號中所攜帶的敏感信息進(jìn)行分析���、測試、接收����、還原以及防護(hù)的一系列技術(shù)。本政策對于COTS無線產(chǎn)品針對TEMPEST技術(shù)對策的主要參考來源為:CNSS Policy No. 3003和CNSS Instruction No. 70004,通過以上政策來完成準(zhǔn)入無線設(shè)備對于TEMPEST技術(shù)的防護(hù)�。主要措施有以下四種:
a) 使用低輻射無線設(shè)備:低輻射設(shè)備即TEMPEST設(shè)備��,是防輻射泄露的根本措施。這些設(shè)備在設(shè)計(jì)和生產(chǎn)時(shí)就采取了防輻射措施�,把設(shè)備的電磁泄露抑制到最低限度。
b) 利用噪聲干擾源:電磁輻射干擾技術(shù)采用干擾器對準(zhǔn)入無線設(shè)備輻射進(jìn)行電磁干擾�����,使竊收方難以提取有效信息��。
c) 電磁屏蔽:屏蔽技術(shù)是將設(shè)備置于屏蔽室中��,達(dá)到防止電磁輻射的目的�����。該技術(shù)是所有防輻射技術(shù)手段中最為可靠的一種�。
d) 濾波技術(shù):濾波技術(shù)是對屏蔽技術(shù)的一種補(bǔ)充。被屏蔽的設(shè)備和元器件并不能完全密封在屏蔽體內(nèi)����,仍有電源線、信號線和公共地線需要與外界連接��。因此���,電磁波還是可以通過傳導(dǎo)或輻射從外部傳到屏蔽體內(nèi)�,或從屏蔽體內(nèi)傳到外部。采用濾波技術(shù)���,只允許某些頻率的信號通過�����,而阻止其他頻率范圍的信號���,從而起到濾波作用�����。
2.2 政府對于無線設(shè)備準(zhǔn)入相關(guān)負(fù)責(zé)部門應(yīng)采取的管制措施
當(dāng)政府有部門需要集成無線設(shè)備���、服務(wù)、技術(shù)時(shí)����,需要遵守以下指導(dǎo)方針:CNSS Policy No. 22,Information Assurance Risk Management Policy for National Security Systems5和National Security Decision Directive 298, National Operations Security Program6 ,嚴(yán)格執(zhí)行其中規(guī)定的關(guān)于無線設(shè)備的風(fēng)險(xiǎn)管理程序�。具體來說�����,有以下幾類管制措施:
- 對于采購的無線設(shè)備,需要支持硬件和/或固件完整性驗(yàn)證和可信且能溯源的無線技術(shù)���,設(shè)備需要符合NIST SP 800-147和NIST SP 800-164-《移動(dòng)設(shè)備硬件安全指南》;
- 無線風(fēng)險(xiǎn)評估應(yīng)從源頭解決無線設(shè)備NSS的保護(hù)問題;
- 應(yīng)建立配置基線���,定義接入無線設(shè)備���、技術(shù)的政府部門需遵守本政策的相應(yīng)要求;
- 相關(guān)部門應(yīng)采取持續(xù)監(jiān)測���,包括:信息系統(tǒng)和網(wǎng)絡(luò)的業(yè)務(wù)風(fēng)險(xiǎn)評估�、網(wǎng)絡(luò)管理、網(wǎng)絡(luò)防御和入侵檢測;
- 需要保持在使用無線設(shè)備與所列清單列表數(shù)目����、類型一致;
- 無線設(shè)備管理員可在發(fā)生緊急情況或存在安全漏洞時(shí)暫停無線設(shè)備運(yùn)行;
- 每個(gè)用戶和系統(tǒng)管理員應(yīng)簽署一份概述使用條款的協(xié)議(例如�����,設(shè)備丟失或被盜的報(bào)告要求)����。
2.3 對于相關(guān)人員的培訓(xùn)要求
在被授權(quán)操作無線NSS設(shè)備之前��,應(yīng)向所有無線設(shè)備管理人員��、技術(shù)支持人員以及無線技術(shù)的用戶提供基礎(chǔ)教育����、培訓(xùn)(如IA培訓(xùn)���、設(shè)備或系統(tǒng)使用培訓(xùn)���、丟失或被盜設(shè)備的報(bào)告程序)和有關(guān)使用連接到NSS的無線技術(shù)的意識。本政策的內(nèi)容和實(shí)施程序應(yīng)納入培訓(xùn)和意識材料�。
3、保障信息安全責(zé)任說明
對于管理無線NSS設(shè)備的政府部門負(fù)責(zé)人而言�����,他/她需要做到以下兩點(diǎn):
對使用無線技術(shù)的NSS項(xiàng)目,保證足夠的擁有資格證書的操作人員和足夠的技術(shù)培訓(xùn);
確保政府根據(jù)適用的聯(lián)邦法律���,特別是保護(hù)美國個(gè)人隱私權(quán)的法律�,在本政策規(guī)定下合法利用準(zhǔn)入無線設(shè)備進(jìn)行諸如持續(xù)監(jiān)控等活動(dòng)�����。
新聞標(biāo)題:看美國政府如何保障無線系統(tǒng)安全性
鏈接地址:
http://uogjgqi.cn/article/coopssh.html
