[[328129]]

 隨著無線通信技術(shù)的發(fā)展，人們在享受無線通信帶來的便捷之時，也會受到一些問題的困擾。例如個人隱私被竊聽甚至外泄、攻擊者未經(jīng)授權(quán)就可以訪問用戶的信息等。針對無線通信系統(tǒng)在使用過程中存在的問題，美國國家安全系統(tǒng)委員會在2014年一月發(fā)布了《CNSSP No.17》，其主要目的是：指導政府機構(gòu)在使用無線技術(shù)時保障國家信息安全，其政策主要包括以下幾個方面：

• 美國國家安全系統(tǒng)(NSS)信息安全產(chǎn)品準入要求;
• 政府在使用無線技術(shù)進行信息傳輸、接收以及處理時的準則;
• 關(guān)于保障信息安全責任說明;

1、美國國家安全系統(tǒng)(NSS)信息安全產(chǎn)品準入要求

美國國家安全系統(tǒng)(National Security System,NSS)是美國政府處理涉密信息以及軍事、情報等敏感信息的信息系統(tǒng)1。應用于該系統(tǒng)的信息安全產(chǎn)品(包括信息安全保障產(chǎn)品和具有信息安全保障功能的技術(shù)信息產(chǎn)品)可分為政府開發(fā)(Government-off-the-Shelf,GOTS)產(chǎn)品和商業(yè)現(xiàn)貨(Commerical-off-the-Shelf,COTS)產(chǎn)品。為保障NSS安全，美國對于GOTS和COTS無線設備都有嚴格的準入準則，本政策主要討論的是商業(yè)無線設備、技術(shù)的安全接入準則，官方提供參考文獻為：“CNSSP No. 11, National Policy Governing the Acquisition of Information Assurance (IA) and IA-Enabled Information Technology (IT) Products2”。CNSSP No. 11發(fā)布于2013年，在這之前美國NSS一直沿用10年前(2003)的準入政策。

如圖1所示，隨著物聯(lián)網(wǎng)的發(fā)展以及許多新興無線技術(shù)(例如RFID技術(shù)、WiFi技術(shù)、藍牙技術(shù))的持續(xù)發(fā)展，基于物聯(lián)網(wǎng)技術(shù)應用的新無線設備越來越多，隨之而來的無線系統(tǒng)產(chǎn)品準入管理實踐問題也增多。具體而言，對于COTS無線產(chǎn)品，過去的檢測評估方式使得其結(jié)果并不能客觀公正反應產(chǎn)品實際安全保障水平，若按其聲稱的安全性級別進行選用，會影響到無線NSS的實際安全防護強度。因此，美國國家安全系統(tǒng)委員會于2013年頒布新的政策指令CNSSP No.11。

圖1 物聯(lián)網(wǎng)的廣泛應用

新政策針對COTS無線產(chǎn)品安全風險較為突出，因此美國國家安全系統(tǒng)委員會對COTS無線產(chǎn)品制定了更加嚴格的準入制度，包括：準入條件及運行機制、檢測評估依據(jù)和相關(guān)機構(gòu)職責。

1.1 準入條件及運行機制

COTS無線產(chǎn)品想要進入美國國家安全系統(tǒng)，必須首先通過國家信息保障聯(lián)盟(NIAP)檢測評估。NIAP由美國國家安全局(NSA)和國家標準技術(shù)研究院(NIST)聯(lián)合組建，所有COTS無線設備都需要通過“(Common Criteria Evalution and Validation System,CCEVS)”認證。主要流程如圖2所示：

圖2 無線產(chǎn)品準入審核流程

1.2檢測評估依據(jù)

產(chǎn)品檢測評估依據(jù)，其主要是國際標準《信息技術(shù)安全性通用評估準則》以及有關(guān)產(chǎn)品保護輪廓。其中，《信息技術(shù)安全性通用評估準則》規(guī)定了關(guān)于無線產(chǎn)品檢測的通用步驟、要求和規(guī)范;對于具體某類產(chǎn)品，其檢測依據(jù)則是該類產(chǎn)品的產(chǎn)品保護輪廓。

1.3 相關(guān)機構(gòu)職責

簡要而言，對于COTS無線產(chǎn)品的準入來說，NIAP是主要管理機構(gòu)，NSA負責相關(guān)指導工作，NIST提供相關(guān)技術(shù)支持，美國政府部門作為用戶發(fā)揮作用。

2、政府部門在使用無線技術(shù)進行信息傳輸、接收以及處理時的準則

2.1 TEMPEST防護

TEMPEST(Transient Electromagnetic Pulse Emanation Surveillance Technology)技術(shù)是電磁環(huán)境安全防護的一部分，是包括了對電磁泄漏信號中所攜帶的敏感信息進行分析、測試、接收、還原以及防護的一系列技術(shù)。本政策對于COTS無線產(chǎn)品針對TEMPEST技術(shù)對策的主要參考來源為：CNSS Policy No. 3003和CNSS Instruction No. 70004，通過以上政策來完成準入無線設備對于TEMPEST技術(shù)的防護。主要措施有以下四種：

a) 使用低輻射無線設備：低輻射設備即TEMPEST設備，是防輻射泄露的根本措施。這些設備在設計和生產(chǎn)時就采取了防輻射措施，把設備的電磁泄露抑制到最低限度。

b) 利用噪聲干擾源：電磁輻射干擾技術(shù)采用干擾器對準入無線設備輻射進行電磁干擾，使竊收方難以提取有效信息。

c) 電磁屏蔽：屏蔽技術(shù)是將設備置于屏蔽室中，達到防止電磁輻射的目的。該技術(shù)是所有防輻射技術(shù)手段中最為可靠的一種。

d) 濾波技術(shù)：濾波技術(shù)是對屏蔽技術(shù)的一種補充。被屏蔽的設備和元器件并不能完全密封在屏蔽體內(nèi)，仍有電源線、信號線和公共地線需要與外界連接。因此，電磁波還是可以通過傳導或輻射從外部傳到屏蔽體內(nèi)，或從屏蔽體內(nèi)傳到外部。采用濾波技術(shù)，只允許某些頻率的信號通過，而阻止其他頻率范圍的信號，從而起到濾波作用。

2.2 政府對于無線設備準入相關(guān)負責部門應采取的管制措施

當政府有部門需要集成無線設備、服務、技術(shù)時，需要遵守以下指導方針：CNSS Policy No. 22,Information Assurance Risk Management Policy for National Security Systems5和National Security Decision Directive 298, National Operations Security Program6 ，嚴格執(zhí)行其中規(guī)定的關(guān)于無線設備的風險管理程序。具體來說，有以下幾類管制措施：

• 對于采購的無線設備，需要支持硬件和/或固件完整性驗證和可信且能溯源的無線技術(shù)，設備需要符合NIST SP 800-147和NIST SP 800-164-《移動設備硬件安全指南》;
• 無線風險評估應從源頭解決無線設備NSS的保護問題;
• 應建立配置基線，定義接入無線設備、技術(shù)的政府部門需遵守本政策的相應要求;
• 相關(guān)部門應采取持續(xù)監(jiān)測，包括：信息系統(tǒng)和網(wǎng)絡的業(yè)務風險評估、網(wǎng)絡管理、網(wǎng)絡防御和入侵檢測;
• 需要保持在使用無線設備與所列清單列表數(shù)目、類型一致;
• 無線設備管理員可在發(fā)生緊急情況或存在安全漏洞時暫停無線設備運行;
• 每個用戶和系統(tǒng)管理員應簽署一份概述使用條款的協(xié)議(例如，設備丟失或被盜的報告要求)。

2.3 對于相關(guān)人員的培訓要求

在被授權(quán)操作無線NSS設備之前，應向所有無線設備管理人員、技術(shù)支持人員以及無線技術(shù)的用戶提供基礎(chǔ)教育、培訓(如IA培訓、設備或系統(tǒng)使用培訓、丟失或被盜設備的報告程序)和有關(guān)使用連接到NSS的無線技術(shù)的意識。本政策的內(nèi)容和實施程序應納入培訓和意識材料。

3、保障信息安全責任說明

對于管理無線NSS設備的政府部門負責人而言，他/她需要做到以下兩點：

對使用無線技術(shù)的NSS項目，保證足夠的擁有資格證書的操作人員和足夠的技術(shù)培訓;

確保政府根據(jù)適用的聯(lián)邦法律，特別是保護美國個人隱私權(quán)的法律，在本政策規(guī)定下合法利用準入無線設備進行諸如持續(xù)監(jiān)控等活動。

參考文獻：

[1] U.S. Federal Information Security Management Act.2002.

[2] CNSSP No. 11, National Policy Governing the Acquisition of Information Assurance (IA) and IA-Enabled Information Technology (IT) Products.2013.

[3] CNSSP No. 300, National Policy on Control of Compromising Emanations.2004.

[4] CNSS Instruction No. 7000, Tempest Countermeasures for Facilities.2004.

[5] CNSS Policy No. 22, Information Assurance Risk Management Policy for National Security Systems.2012.

[6] National Security Decision Directive 298, National Operations Security Program.1988.

【本文為51CTO專欄作者“中國保密協(xié)會科學技術(shù)分會”原創(chuàng)稿件，轉(zhuǎn)載請聯(lián)系原作者】

戳這里，看該作者更多好文