2020-09-26 10:38:00
來源:深信服科技
那么,商用密碼應(yīng)用有哪些要求?組織單位如何有效構(gòu)建商用密碼應(yīng)用安全體系?
商用密碼應(yīng)用要求
商用密碼應(yīng)用系統(tǒng)是指采用商用密碼產(chǎn)品或者含有密碼技術(shù)的產(chǎn)品集成建設(shè)的,實(shí)現(xiàn)相關(guān)信息的機(jī)密性、完整性、真實(shí)性、抗抵賴性等功能的應(yīng)用系統(tǒng)。國(guó)家密碼管理局于2018年2月8日正式發(fā)布實(shí)施了中華人民共和國(guó)密碼行業(yè)標(biāo)準(zhǔn)GM/T 0054-2018《信息系統(tǒng)密碼應(yīng)用基本要求》,該標(biāo)準(zhǔn)提出了總體要求、密碼功能要求、密碼技術(shù)應(yīng)用要求、密鑰管理和安全管理共五個(gè)部分的內(nèi)容。
信息系統(tǒng)密碼應(yīng)用基本要求
在總體要求中,提出了符合商用密碼管理的相關(guān)規(guī)定,滿足標(biāo)準(zhǔn)規(guī)范的相關(guān)要求,包括密碼算法、密碼技術(shù)、密碼產(chǎn)品、密碼服務(wù)。
在密碼功能要求中,規(guī)定了信息系統(tǒng)中需要使用密碼技術(shù)保護(hù)的對(duì)象,包括機(jī)密性、完整性、真實(shí)性、不可否認(rèn)性。
在密碼技術(shù)應(yīng)用要求中,規(guī)定了密碼技術(shù)的應(yīng)用要求,要求項(xiàng)依據(jù)等級(jí)增加和增強(qiáng),包括物理和環(huán)境安全、網(wǎng)絡(luò)和通信安全、設(shè)備和計(jì)算安全、應(yīng)用和數(shù)據(jù)安全。
在密鑰管理中,對(duì)密鑰的全生命周期提出了要求,包括密鑰生成、密鑰存儲(chǔ)、密鑰分發(fā)、密鑰導(dǎo)入與導(dǎo)出、密鑰使用、密鑰備份與恢復(fù)、密鑰歸檔、密鑰銷毀。
在安全管理中,規(guī)定了密碼安全管理要求,包括制度、人員、實(shí)施、應(yīng)急,其中實(shí)施分為規(guī)劃、建設(shè)、運(yùn)行。
商用密碼應(yīng)用安全解決方案
基于商用密碼應(yīng)用安全的發(fā)展方向,配合網(wǎng)絡(luò)運(yùn)營(yíng)者安全需求與安全建設(shè),深信服提出了商用密碼應(yīng)用安全解決方案,在《中華人民共和國(guó)密碼法》正式施行的新時(shí)代下為各行業(yè)信息化發(fā)展提供借鑒與參考。
構(gòu)建商用密碼應(yīng)用安全體系框架
商用密碼應(yīng)用安全體系框架由密碼安全能力支撐和密碼安全服務(wù)支撐兩部分組成。其中密碼安全能力包含了密碼資源、密碼支撐、密碼服務(wù)、密碼應(yīng)用以及密碼管理基礎(chǔ)設(shè)施。密碼安全服務(wù)包含了技術(shù)要求、管理要求和密鑰管理。
商用密碼應(yīng)用系統(tǒng)
密碼安全能力包含了密碼資源、密碼支撐、密碼服務(wù)、密碼應(yīng)用以及密碼管理基礎(chǔ)設(shè)施。其中密碼應(yīng)用層調(diào)用密碼服務(wù)層提供的密碼應(yīng)用接口,實(shí)現(xiàn)所需的數(shù)據(jù)加密和解密、數(shù)字簽名和驗(yàn)簽等功能,為信息系統(tǒng)提供安全功能應(yīng)用或服務(wù)。
密碼服務(wù)層提供密碼應(yīng)用接口,分為對(duì)稱密碼服務(wù)、公鑰密碼服務(wù)及其他密碼服務(wù)三大類,為上層應(yīng)用提供數(shù)據(jù)機(jī)密性保護(hù)、數(shù)據(jù)完整性保護(hù)、數(shù)據(jù)真實(shí)性保護(hù)、不可否認(rèn)性等功能。
密碼支撐層提供密碼資源調(diào)用,由安全芯片類、密碼模塊類、密碼整機(jī)類等各類密碼產(chǎn)品組成,如可信密碼模塊、智能IC卡、密碼卡、服務(wù)器密碼機(jī)等。
密碼資源層提供基礎(chǔ)性的密碼算法資源,底層提供序列、分組、公鑰、雜湊、隨機(jī)數(shù)生成等基礎(chǔ)密碼算法;上層以算法軟件、算法IP核、算法芯片等形態(tài)對(duì)底層的基礎(chǔ)密碼算法進(jìn)行封裝。
密碼安全服務(wù)包含了技術(shù)要求、管理要求和密鑰管理。技術(shù)要求提出四大安全層面,分別為物理和環(huán)境、網(wǎng)絡(luò)和通信、設(shè)備和計(jì)算、應(yīng)用和數(shù)據(jù),每個(gè)安全層面分別對(duì)密碼模塊進(jìn)行要求;管理要求包括管理制度、人員管理、建設(shè)運(yùn)行、應(yīng)急處置;密鑰管理對(duì)密鑰的全生命周期進(jìn)行控制,包括密鑰生成、密鑰存儲(chǔ)、密鑰分發(fā)、密鑰導(dǎo)入與導(dǎo)出、密鑰使用、密鑰備份與恢復(fù)、密鑰歸檔、密鑰銷毀。
推進(jìn)關(guān)鍵領(lǐng)域商用密碼應(yīng)用安全合規(guī)工作
商用密碼應(yīng)用安全性評(píng)估是指對(duì)采用商用密碼技術(shù)、產(chǎn)品和服務(wù)集成建設(shè)的網(wǎng)絡(luò)和信息系統(tǒng)密碼應(yīng)用的合規(guī)性、正確性、有效性進(jìn)行評(píng)估。該項(xiàng)評(píng)估工作主要依據(jù)GM/T 0054-2018《信息系統(tǒng)密碼應(yīng)用基本要求》,對(duì)信息系統(tǒng)的規(guī)劃、建設(shè)、運(yùn)行三個(gè)階段的密碼應(yīng)用情況安全性評(píng)估進(jìn)行了詳細(xì)的規(guī)定,評(píng)估的基本原則是要做到合規(guī)性、正確性和有效性。
商用密碼應(yīng)用安全性評(píng)估
在信息系統(tǒng)規(guī)劃階段,依據(jù)商用密碼技術(shù)相關(guān)標(biāo)準(zhǔn),為網(wǎng)絡(luò)運(yùn)營(yíng)者制定商用密碼應(yīng)用安全規(guī)劃建設(shè)方案,保障商用密碼應(yīng)用安全建設(shè)的有效落地與評(píng)估工作的順利開展。
在信息系統(tǒng)建設(shè)階段,委托具有相關(guān)資質(zhì)的測(cè)評(píng)機(jī)構(gòu)進(jìn)行商用密碼應(yīng)用安全性評(píng)估,評(píng)估結(jié)果作為項(xiàng)目建設(shè)驗(yàn)收的必備材料,評(píng)估通過后,方可投入運(yùn)行。
在信息系統(tǒng)運(yùn)行階段,積極配合具有相關(guān)資質(zhì)的測(cè)評(píng)機(jī)構(gòu)定期開展商用密碼應(yīng)用安全性評(píng)估,保障商用密碼應(yīng)用系統(tǒng)順利通過評(píng)估。其中,關(guān)鍵信息基礎(chǔ)設(shè)施、網(wǎng)絡(luò)安全等級(jí)保護(hù)第三級(jí)及以上信息系統(tǒng)、政務(wù)信息系統(tǒng)每年至少評(píng)估一次。
此外,在電子政務(wù)、教育、醫(yī)療、金融等關(guān)鍵領(lǐng)域,參照《政務(wù)信息系統(tǒng)密碼應(yīng)用與安全性評(píng)估工作指南》等指導(dǎo)文件,建立以基礎(chǔ)應(yīng)用平臺(tái)體系、密碼運(yùn)營(yíng)服務(wù)保障體系、密碼應(yīng)用標(biāo)準(zhǔn)規(guī)范體系為一體的商用密碼支撐體系。
探索商用密碼在新技術(shù)中的應(yīng)用
深信服以建立、健全網(wǎng)絡(luò)安全綜合防護(hù)體系為目標(biāo),持續(xù)提升系統(tǒng)整體網(wǎng)絡(luò)安全防護(hù)能力。為滿足商用密碼應(yīng)用安全的能力要求,應(yīng)用基于APDRO(智能/防御/檢測(cè)/響應(yīng)/運(yùn)營(yíng))能力模型的安全保護(hù)框架,使信息系統(tǒng)具備安全可視、持續(xù)檢測(cè)和協(xié)同防御等安全能力,提升網(wǎng)絡(luò)安全解決方案整體價(jià)值。整體技術(shù)體系完善網(wǎng)絡(luò)安全防護(hù)技術(shù)措施,加強(qiáng)系統(tǒng)網(wǎng)絡(luò)安全防護(hù)能力;管理體系建立網(wǎng)絡(luò)安全管理制度、人員管理、實(shí)施管理和應(yīng)急管理要求,加強(qiáng)系統(tǒng)網(wǎng)絡(luò)安全管理能力;運(yùn)營(yíng)體系打造網(wǎng)絡(luò)安全運(yùn)營(yíng)中心,提升系統(tǒng)全生命周期網(wǎng)絡(luò)安全保護(hù)能力。
在物理和環(huán)境安全層面,部署具有密碼模塊的電子門禁系統(tǒng)、視頻監(jiān)控系統(tǒng);通過服務(wù)器密碼機(jī)、加密存儲(chǔ)設(shè)備、視頻加密系統(tǒng)等實(shí)現(xiàn)音視頻數(shù)據(jù)完整性保護(hù)。
在網(wǎng)絡(luò)和通信安全層面,通過數(shù)字證書認(rèn)證系統(tǒng)確保設(shè)備及人員身份的真實(shí)性;通過商密IPSec/SSL VPN實(shí)現(xiàn)網(wǎng)絡(luò)邏輯邊界的管控,構(gòu)建內(nèi)部網(wǎng)絡(luò)的管理網(wǎng);通過內(nèi)部的網(wǎng)絡(luò)邊界控制機(jī)制,實(shí)現(xiàn)網(wǎng)絡(luò)邊界的完整性保護(hù);通過服務(wù)器密碼機(jī)對(duì)訪問控制信息計(jì)算MAC或簽名后保存,保證訪問控制信息的完整性。
在設(shè)備和計(jì)算安全層面,通過智能密碼鑰匙對(duì)設(shè)備管理員的登錄操作進(jìn)行身份鑒別;通過服務(wù)器密碼機(jī)對(duì)通用設(shè)備的重要審計(jì)信息、日志記錄、系統(tǒng)資源訪問控制信息等進(jìn)行數(shù)字簽名、MAC計(jì)算,保證信息的完整性;通過數(shù)字證書認(rèn)證系統(tǒng)為可信安全單元提供根CA證書,實(shí)現(xiàn)可信計(jì)算密碼模塊支撐平臺(tái)。采用硬件密碼產(chǎn)品實(shí)現(xiàn)密鑰管理、身份鑒別、數(shù)據(jù)加解密、MAC計(jì)算、數(shù)字簽名計(jì)算等功能。
在應(yīng)用和數(shù)據(jù)安全層面,通過動(dòng)態(tài)口令系統(tǒng)對(duì)設(shè)備管理員的登錄操作進(jìn)行身份鑒別;通過電子簽章系統(tǒng)對(duì)重要應(yīng)用程序的操作員身份進(jìn)行鑒別,確保僅具備權(quán)限的操作員才可以對(duì)重要應(yīng)用程序執(zhí)行加載和卸載操作。
在新技術(shù)安全領(lǐng)域,以云計(jì)算為技術(shù)框架模型的基礎(chǔ)上,構(gòu)建云密碼服務(wù)資源池,為實(shí)現(xiàn)服務(wù)統(tǒng)一調(diào)用,整合云計(jì)算平臺(tái)、云安全服務(wù)平臺(tái)、云密碼服務(wù)平臺(tái)為一體的深信服云計(jì)算統(tǒng)一平臺(tái),為云上業(yè)務(wù)系統(tǒng)提供網(wǎng)絡(luò)資源、計(jì)算資源、存儲(chǔ)資源、安全資源、密碼服務(wù)資源等綜合服務(wù)。
擬態(tài)分布式文件存儲(chǔ)設(shè)備云計(jì)算在軍隊(duì)信息化建設(shè)中的應(yīng)用在線學(xué)習(xí)室產(chǎn)品選型論:PC還是云桌面?---“軍事職業(yè)教育”在線學(xué)習(xí)室建設(shè)思考與分析【信服博士談存儲(chǔ)】海量非結(jié)構(gòu)化數(shù)據(jù)存儲(chǔ)中的小對(duì)象合并技術(shù)銀河麒麟云平臺(tái)軟件大數(shù)據(jù)技術(shù),發(fā)展趨勢(shì)如何?突破性能極限,阿里云神龍最新解讀弱電機(jī)房綜合布線如何設(shè)計(jì)與施工?數(shù)據(jù)中心可視化運(yùn)維管理系統(tǒng)大數(shù)據(jù)引發(fā)混合云井噴 四大場(chǎng)景與三大技術(shù)
