随着无线通信技术的发展,人们在享受无线通信带来的便利的同时,也会被一些问题所困扰。例如,个人隐私被窃听甚至泄露,攻击者可以在未经授权的情况下访问用户信息。针对无线通信系统在使用中存在的问题,美国国家安全系统委员会于2014年1月发布《CNSSP No.17》,其主要目的是指导政府机构在使用无线技术时确保国家信息安全。其政策主要包括以下几个方面:美国国家安全系统(NSS)信息安全产品准入要求;政府关于使用无线技术进行信息传输、接收和处理的指南;确保信息安全责任的说明;一、美国国家安全系统(NSS))信息安全产品接入要求美国国家安全系统(NSS)是美国政府处理机密信息和军事、情报等敏感信息的信息系统1。应用于系统的信息安全产品(包括信息安全保障产品和具有信息安全保障功能的技术信息产品)可分为政府现货(GOTS)产品和商用现货(Commercial-off-the-shelf)-现成的)产品。货架上,COTS)产品。为了保证NSS的安全,美国对GOTS和COTS无线设备有严格的准入指南。本政策主要讨论商用无线设备和技术的安全接入指南。官方参考文献是:“CNSSP第11号,关于获取信息保障(IA)和支持IA的信息技术(IT)产品的国家政策2”。CNSSPNo.11于2013年发布。在此之前,美国NSS一直沿用10年前(2003年)的准入政策。如图1所示,随着物联网的发展和许多新兴无线技术(如RFID技术、WiFi技术、蓝牙技术)的不断发展,基于互联网应用的新型无线设备越来越多物联网技术,以及随之而来的无线系统产品访问管理实践问题也有所增加。具体来说,对于COTS无线产品,以往的测试评估方式使得结果无法客观公正地反映产品的实际安全水平。如果按照其宣称的安全等级来选择产品,会影响到无线NSS的实际安全防护强度。因此,美国国家安全系统委员会在2013年发布了新的政策指令CNSSPNo.11。图1物联网广泛应用的新政策对于COTS无线产品的安全风险更加突出。因此,美国国家安全系统委员会对COTS无线产品制定了更为严格的准入制度,包括:准入条件和运行机制、测试和评估依据以及相??关机构的职责。1.1准入条件和运行机制COTS无线产品要想进入美国国家安全体系,必须首先通过国家信息保障联盟(NIAP)的测试和评估。NIAP由美国国家安全局(NSA)和美国国家标准技术研究院(NIST)共同建立,所有COTS无线设备都需要通过“(CommonCriteriaEvaluationandValidationSystem,CCEVS)”认证。主要流程如图2所示:图2无线产品准入审核流程1.2测试评价依据产品测试评价依据,主要包括国际标准《信息技术安全性通用评估准则》和相关的产品保护配置文件。其中,《信息技术安全性通用评估准则》规定了无线产品测试的一般程序、要求和规范;对于特定类型的产品,测试依据是该类型产品的产品保护配置文件。1.3相关机构职责简单来说,对于COTS无线产品的接入,NIAP是主要管理机构,NSA负责相关指导工作,NIST提供相关技术支持,美国政府部门作为用户发挥作用。2.政府部门使用无线技术进行信息传输、接收和处理的指南2.1TEMPEST防护TEMPEST(瞬态电磁脉冲发射监测技术)技术是电磁环境安全防护的一部分,包括电磁泄漏信号的防护一系列技术用于分析、测试、接收、恢复和保护敏感信息。本政策针对COTS无线产品针对TEMPEST技术的主要参考来源为:CNSSPolicyNo.3003和CNSSInstructionNo.70004,通过以上政策完成对入驻无线设备的TEMPEST技术保护。主要有四项措施:a)使用低辐射无线设备:低辐射设备,即TEMPEST设备,是防止辐射泄漏的根本措施。这些设备在设计和生产过程中都采取了辐射防护措施,以最大限度地减少设备的电磁泄漏。b)利用噪声干扰源:电磁辐射干扰技术利用干扰器对传入的无线设备辐射进行电磁干扰,使窃贼难以提取有效信息。c)电磁屏蔽:屏蔽技术是将设备置于屏蔽室内,防止电磁辐射。该技术是所有辐射防护技术手段中最可靠的。d)滤波技术:滤波技术是屏蔽技术的补充。被屏蔽的设备和元器件不能完全密封在屏蔽体内,仍然有电源线、信号线和公共地线需要与外界相连。因此,电磁波仍然可以通过传导或辐射从外部传到屏蔽体,或从屏蔽体传到外部。采用滤波技术,只允许某些频率范围内的信号通过,而阻断其他频率范围内的信号,从而起到滤波作用。2.2政府对负责无线设备接入的部门应采取的控制措施。当政府部门需要集成无线设备、服务和技术时,他们需要遵守以下准则:CNSS政策第22号、国家安全系统信息保障风险管理政策5和国家安全决策指令298、国家运营安全计划6、严格执行其中规定的无线设备风险管理程序。具体有以下几类控制措施:对于购买的无线设备,需要支持硬件和/或固件完整性验证和可信可追溯无线技术,设备需要符合NISTSP800-147和NISTSP800-164-《移动设备硬件安全指南》;无线风险评估应从源头解决无线设备的NSS防护问题;应建立配置基线,定义无线设备和技术访问权限的政府部门必须遵守本政策的相应要求;有关部门应采取持续监控措施,包括:信息系统和网络的业务风险评估、网络管理、网络防御和入侵检测;需要使使用中的无线设备的数量和类型与列表中所列的保持一致;无线设备管理员可以在紧急情况或安全漏洞的情况下暂停设备无线运行;每个用户和系统管理员都应签署一份概述使用条款的协议(例如,丢失或被盗设备的报告要求)。2.3对相关人员的培训要求在被授权操作无线NSS设备之前,基础教育和培训(如IA培训、设备或系统使用培训、丢失或被盗设备报告程序)以及对使用连接到NSS的无线技术的认识.本政策的内容和实施程序应纳入培训和意识材料。3.确保信息安全的责任声明对于管理无线NSS设备的政府部门负责人,他/她需要做以下两件事:对于使用无线技术的NSS项目,确保有足够的具有资质的运营商证书和足够的技术培训;确保政府根据适用的联邦法律,特别是保护美国个人隐私权的法律,使用本政策下认可的无线设备进行持续监视等活动。参考文献:[1]美国联邦信息安全管理法案.2002.[2]CNSSP第11号,关于获取信息保障(IA)和支持IA的信息技术(IT)产品的国家政策。2013.[3]CNSSP第300号,控制危害排放的国家政策。2004年。[4]CNSSInstructionNo.7000,设施的暴风雨对策.2004.[5]CNSS政策第22号,国家安全系统信息保障风险管理政策。2012.[6]国家安全决策指令298,国家运营安全计划。1988。【本文为《中国保密协会科学技术分会》专栏作者原创稿件,转载请联系原作者】点此查看该作者更多好文
