工控網(wǎng)首頁(yè)
>

應(yīng)用設(shè)計(jì)

>

密碼服務(wù)平臺(tái),助力云上應(yīng)用系統(tǒng)密評(píng)合規(guī)

密碼服務(wù)平臺(tái),助力云上應(yīng)用系統(tǒng)密評(píng)合規(guī)

密碼技術(shù)是數(shù)字時(shí)代的基礎(chǔ)性核心技術(shù)之一,是信息安全保護(hù)和網(wǎng)絡(luò)信任體系建設(shè)的基礎(chǔ),也是保護(hù)數(shù)據(jù)安全最經(jīng)濟(jì)、最可靠、最有效的手段,在維護(hù)國(guó)家安全、促進(jìn)經(jīng)濟(jì)社會(huì)發(fā)展、保護(hù)人民群眾利益等方面發(fā)揮著不可替代的重要作用。

1.國(guó)家高度重視商用密碼應(yīng)用

近年來(lái),我國(guó)陸續(xù)出臺(tái)《中華人民共和國(guó)密碼法》、《商用密碼管理?xiàng)l例(修訂草案征求意見稿)》、《信息安全技術(shù) 信息系統(tǒng)密碼應(yīng)用基本要求》等一系列法律法規(guī)和標(biāo)準(zhǔn)規(guī)范,不斷完善密碼法治體系框架,規(guī)范密碼應(yīng)用和管理,推進(jìn)網(wǎng)絡(luò)安全和密碼應(yīng)用工作,促進(jìn)密碼事業(yè)發(fā)展,保障網(wǎng)絡(luò)與信息安全,提升密碼管理科學(xué)化、規(guī)范化、法治化水平。

《國(guó)家政務(wù)信息化項(xiàng)目建設(shè)管理辦法》、《政務(wù)信息系統(tǒng)密碼應(yīng)用與安全性評(píng)估工作指南》、《政務(wù)信息系統(tǒng)基本要求(征求意見稿)》等一系列政務(wù)信息系統(tǒng)政策文件,也對(duì)商用密碼應(yīng)用提出了相關(guān)要求,特別是《國(guó)家政務(wù)信息化項(xiàng)目建設(shè)管理辦法》第三十條明確要求:“按要求采用密碼技術(shù),并定期開展密碼應(yīng)用安全性評(píng)估,確保政務(wù)信息系統(tǒng)運(yùn)行安全和政務(wù)信息資源共享交換的數(shù)據(jù)安全”。

商用密碼應(yīng)用安全性評(píng)估(以下簡(jiǎn)稱“密評(píng)”)是指在采用商用密碼技術(shù)、產(chǎn)品和服務(wù)集成建設(shè)的網(wǎng)絡(luò)和信息系統(tǒng)中,對(duì)其密碼應(yīng)用的合規(guī)性、正確性和有效性進(jìn)行評(píng)估的活動(dòng)。

按照國(guó)家對(duì)于商用密碼的管理要求,針對(duì)重要領(lǐng)域網(wǎng)絡(luò)和信息系統(tǒng)開展密評(píng),是網(wǎng)絡(luò)運(yùn)營(yíng)者和主管部門的法定責(zé)任,是規(guī)范商用密碼應(yīng)用、發(fā)揮商用密碼作用的必要手段。它可以從根本上改變密碼應(yīng)用不規(guī)范、不安全的現(xiàn)狀,確保密碼在網(wǎng)絡(luò)和信息系統(tǒng)中得到有效應(yīng)用,切實(shí)構(gòu)建起堅(jiān)實(shí)可靠的網(wǎng)絡(luò)安全密碼保障,支撐網(wǎng)絡(luò)和數(shù)據(jù)安全發(fā)展、護(hù)航數(shù)字經(jīng)濟(jì)安全。

2.信息系統(tǒng)密碼應(yīng)用技術(shù)合規(guī)性分析

由于各行業(yè)信息化發(fā)展程度不同,一些重要領(lǐng)域的網(wǎng)絡(luò)和信息系統(tǒng)仍存在密碼應(yīng)用不規(guī)范、不安全的現(xiàn)象,總結(jié)下來(lái)主要有以下幾方面:

(1)用戶、設(shè)備身份認(rèn)證強(qiáng)度較低

用戶進(jìn)入重要區(qū)域未采用密碼技術(shù)或者生物識(shí)別技術(shù)進(jìn)行身份鑒別。

應(yīng)用系統(tǒng)采用低安全的“用戶名+口令”身份鑒別機(jī)制。

外部設(shè)備連接到內(nèi)部網(wǎng)絡(luò)時(shí)未進(jìn)行接入認(rèn)證。

設(shè)備實(shí)體進(jìn)行網(wǎng)絡(luò)通信時(shí)未進(jìn)行身份鑒別,或鑒別機(jī)制不安全。

(2)重要數(shù)據(jù)、程序安全防護(hù)不足

缺少對(duì)電子門禁數(shù)據(jù)、視頻監(jiān)控?cái)?shù)據(jù)、通信數(shù)據(jù)、網(wǎng)絡(luò)邊界訪問(wèn)控制信息、系統(tǒng)資源訪問(wèn)控制信息和重要信息資源安全標(biāo)記的完整性保護(hù)。

以明文形式傳輸和存儲(chǔ)重要用戶信息、重要業(yè)務(wù)數(shù)據(jù),未采用密碼技術(shù)對(duì)這些數(shù)據(jù)進(jìn)行機(jī)密性保護(hù)。

未采用密碼技術(shù)對(duì)重要可執(zhí)行程序進(jìn)行完整性保護(hù)并實(shí)現(xiàn)其來(lái)源的真實(shí)性保護(hù)。

采用了密碼技術(shù)進(jìn)行機(jī)密性和完整性保護(hù),但是使用的是存在安全問(wèn)題和安全強(qiáng)度不足的密碼算法(如DES),或者使用存在缺陷或者有安全問(wèn)題警示的密碼技術(shù)(如SSH1.0、SSL2.0、TLS1.0)。

(3)日志記錄保護(hù)措施缺失

應(yīng)用系統(tǒng)的認(rèn)證登錄日志、配置操作日志等記錄以明文存儲(chǔ)在設(shè)備中,未采用密碼技術(shù)對(duì)日志記錄進(jìn)行完整性保護(hù),存在日志記錄被非授權(quán)篡改的風(fēng)險(xiǎn)。

針對(duì)可能涉及法律責(zé)任認(rèn)定的關(guān)鍵操作日志,未采用密碼技術(shù)對(duì)這些行為日志進(jìn)行不可否認(rèn)性保護(hù),出現(xiàn)安全事件時(shí)無(wú)法追蹤溯源。

(4)遠(yuǎn)程管理通道不安全

遠(yuǎn)程管理應(yīng)用系統(tǒng)設(shè)備時(shí),未采用密碼技術(shù)建立安全的信息傳輸通道。

通過(guò)不可控網(wǎng)絡(luò)環(huán)境進(jìn)行遠(yuǎn)程管理,且鑒別數(shù)據(jù)以明文形式傳輸。

(5)密鑰管理存在安全隱患

密鑰管理對(duì)于應(yīng)用和數(shù)據(jù)安全是至關(guān)重要的。在應(yīng)用系統(tǒng)的密鑰實(shí)際管理過(guò)程中,存在很多安全隱患:

密鑰生成時(shí)采用軟隨機(jī)源;隨機(jī)數(shù)熵值達(dá)不到密碼安全要求;

密鑰分發(fā)時(shí),密碼設(shè)備的主密鑰通過(guò)在線方式分發(fā),容易造成主密鑰泄露;

密鑰存儲(chǔ)、備份和歸檔時(shí),密鑰以明文形式存儲(chǔ)/備份/歸檔在不可控的環(huán)境中,存在被非授權(quán)的訪問(wèn)、使用、泄露和修改的風(fēng)險(xiǎn);

密鑰使用和更新時(shí),未建立安全的密鑰使用控制機(jī)制和更新機(jī)制;

密鑰銷毀和撤銷時(shí),未按照設(shè)定的機(jī)制進(jìn)行密鑰銷毀/撤銷等。

3.密評(píng)利器—安盟華御密碼服務(wù)平臺(tái)

安盟信息按照密評(píng)要求,對(duì)應(yīng)用系統(tǒng)的密碼應(yīng)用技術(shù)合規(guī)性進(jìn)行深度分析,打造了安盟華御密碼服務(wù)平臺(tái)。平臺(tái)通過(guò)集成各類通過(guò)商密檢測(cè)的產(chǎn)品和技術(shù),把密碼能力以服務(wù)的形式輸出,面向云上各類用戶的不同應(yīng)用,按需提供身份認(rèn)證服務(wù)、簽名驗(yàn)簽服務(wù)、密碼計(jì)算服務(wù)、傳輸加密服務(wù)和密鑰管理服務(wù)等,為用戶和設(shè)備的身份鑒別、日志完整性和不可否認(rèn)性保護(hù)、數(shù)據(jù)傳輸機(jī)密性和完整性保護(hù)、數(shù)據(jù)存儲(chǔ)機(jī)密性和完整性保護(hù)、密鑰安全管理等提供基礎(chǔ)支撐,幫助用戶快速解決應(yīng)用系統(tǒng)的密評(píng)合規(guī)問(wèn)題。

助力云應(yīng)用.png

安盟華御密碼服務(wù)平臺(tái),助力應(yīng)用系統(tǒng)密評(píng)合規(guī)

(1)身份認(rèn)證服務(wù)

平臺(tái)采用云原生技術(shù)架構(gòu),支持云上多租戶環(huán)境的基于證書的身份認(rèn)證,為應(yīng)用系統(tǒng)提供統(tǒng)一的單點(diǎn)登錄身份認(rèn)證機(jī)制,基于組織機(jī)構(gòu)(GBAC)、基于角色(RBAC)的身份認(rèn)證策略管理,幫助用戶滿足多場(chǎng)景下的身份鑒別需求,解決用戶身份信息真實(shí)性問(wèn)題。

(2)簽名驗(yàn)簽服務(wù)

平臺(tái)可基于簽名驗(yàn)簽服務(wù)器、數(shù)字證書管理系統(tǒng)為用戶提供國(guó)密算法的簽名驗(yàn)簽服務(wù),遵循國(guó)家密碼管理局發(fā)布的GM/T 0019規(guī)范,包括簽名驗(yàn)簽、證書驗(yàn)證、數(shù)字信封封裝等功能。為各類電子信息數(shù)據(jù)、電子文檔等提供基于數(shù)字證書的數(shù)字簽名服務(wù),并可驗(yàn)證簽名數(shù)據(jù)的真實(shí)性和有效性,滿足用戶在網(wǎng)絡(luò)行為中真實(shí)性、不可否認(rèn)性、完整性、機(jī)密性需求,以及部分場(chǎng)景下的用戶身份鑒別需求。

(3)密碼計(jì)算服務(wù)

平臺(tái)可為用戶提供適用于各類應(yīng)用系統(tǒng)的高速的、多任務(wù)并行處理的密碼計(jì)算服務(wù), 遵循國(guó)家密碼管理局發(fā)布的GM/T 0018規(guī)范,提供數(shù)據(jù)加解密功能、文件加解密功能、雜湊運(yùn)算功能,保證應(yīng)用系統(tǒng)的重要數(shù)據(jù)和文件在存儲(chǔ)過(guò)程中的機(jī)密性和完整性。密碼計(jì)算服務(wù)支持國(guó)密SM1、SM2、SM3、SM4算法。

(4)傳輸加密服務(wù)

平臺(tái)可幫助應(yīng)用系統(tǒng)在客戶端和服務(wù)器之間采用SSL VPN安全網(wǎng)關(guān)建立國(guó)密算法傳輸加密通道,實(shí)現(xiàn)客戶端與服務(wù)器之間傳輸數(shù)據(jù)的機(jī)密性和完整性保護(hù)。同時(shí),傳輸加密服務(wù)還可提供授權(quán)訪問(wèn)控制功能,對(duì)用戶訪問(wèn)應(yīng)用的行為進(jìn)行管控,防止非授權(quán)訪問(wèn)行為。

(5)密鑰管理服務(wù)

平臺(tái)可為用戶提供集中統(tǒng)一的密鑰管理服務(wù),幫助用戶輕松創(chuàng)建和管理密鑰,實(shí)現(xiàn)對(duì)密鑰的全生命周期安全管控。采用通過(guò)商用密碼檢測(cè)中心認(rèn)證的硬件密碼設(shè)備,按照國(guó)家主管部門認(rèn)可的密鑰生成方法生成高質(zhì)量隨機(jī)數(shù)、對(duì)稱密鑰和非對(duì)稱密鑰,提供密鑰存儲(chǔ)保護(hù)機(jī)制,保證密鑰生成及存儲(chǔ)的安全合規(guī)性。

4.典型案例—某市政務(wù)云密碼應(yīng)用項(xiàng)目

助力云應(yīng)用1.png

某市政務(wù)云密碼應(yīng)用項(xiàng)目部署示意圖

某市政務(wù)云密碼應(yīng)用項(xiàng)目,在密碼服務(wù)區(qū)部署密碼服務(wù)平臺(tái)、云服務(wù)器密碼機(jī)等各類密碼設(shè)備,在互聯(lián)網(wǎng)接入?yún)^(qū)部署多臺(tái)SSL VPN安全網(wǎng)關(guān),在運(yùn)維接入?yún)^(qū)部署堡壘機(jī)和運(yùn)維使用的SSL VPN安全網(wǎng)關(guān),在租戶單位終端側(cè)和運(yùn)維側(cè)發(fā)放USBKey。密碼服務(wù)平臺(tái)可集成云服務(wù)器密碼機(jī)、密鑰管理系統(tǒng)和身份認(rèn)證系統(tǒng)等設(shè)備的能力,通過(guò)調(diào)用基礎(chǔ)密碼設(shè)備及軟件的功能接口,為部署在業(yè)務(wù)應(yīng)用區(qū)的各租戶單位應(yīng)用系統(tǒng)提供身份認(rèn)證服務(wù)、簽名驗(yàn)簽服務(wù)、密碼計(jì)算服務(wù)、傳輸加密服務(wù)和密鑰管理服務(wù),實(shí)現(xiàn)政務(wù)云平臺(tái)與各租戶單位之間的業(yè)務(wù)傳輸通道保護(hù)和運(yùn)維通道保護(hù),實(shí)現(xiàn)各租戶單位用戶登錄系統(tǒng)時(shí)的身份認(rèn)證,和應(yīng)用系統(tǒng)重要數(shù)據(jù)的存儲(chǔ)機(jī)密性和完整性保護(hù)。幫助各租戶單位的應(yīng)用系統(tǒng)通過(guò)密評(píng)機(jī)構(gòu)開展的商用密碼應(yīng)用安全性評(píng)估測(cè)試,滿足國(guó)家對(duì)于商用密碼應(yīng)用的合規(guī)要求。

 助力云應(yīng)用2.png

助力云應(yīng)用3.png

安盟華御密碼服務(wù)平臺(tái)產(chǎn)品功能圖

5.安盟華御密碼服務(wù)平臺(tái),助力云上應(yīng)用系統(tǒng)密評(píng)合規(guī)

安盟信息基于密碼基因打造安全合規(guī)、統(tǒng)一管理、部署靈活、服務(wù)彈性可計(jì)量的密碼服務(wù)平臺(tái),采用多模式資源集成技術(shù),通過(guò)整合各種密碼設(shè)備和系統(tǒng)、數(shù)據(jù)安全防護(hù)產(chǎn)品,打造服務(wù)化、場(chǎng)景化,易于行業(yè)快速對(duì)接集成的服務(wù)能力,對(duì)外向應(yīng)用系統(tǒng)提供各類密碼服務(wù)和數(shù)據(jù)安全服務(wù),提高用戶業(yè)務(wù)應(yīng)用系統(tǒng)的安全防護(hù)水平,幫助應(yīng)用系統(tǒng)快速滿足等保和密評(píng)要求,推動(dòng)商用密碼技術(shù)在政務(wù)云上的應(yīng)用,助力網(wǎng)絡(luò)安全事業(yè)發(fā)展,筑牢數(shù)字安全屏障體系,為數(shù)字經(jīng)濟(jì)發(fā)展保駕護(hù)航。

審核編輯(
王靜
)
投訴建議

提交

查看更多評(píng)論
其他資訊

查看更多

一站式全覆蓋|安盟信息助力建設(shè)云密碼服務(wù)運(yùn)營(yíng)體系

商用密碼產(chǎn)品|服務(wù)器密碼機(jī)的前世今生

創(chuàng)新商用密碼應(yīng)用|火力發(fā)電廠信息系統(tǒng)密碼應(yīng)用方案

攜手共赴未來(lái) 護(hù)航數(shù)智發(fā)展 新奧集團(tuán)與安盟信息簽署戰(zhàn)略合作

智慧礦山無(wú)人礦車密碼應(yīng)用解決方案