安全合规密码应用解决方案
方案背景
数字时代呼唤安全创新,密码是国之重器,是数字技术发展的安全基因,是保障网络与数据安全的核心技术,也是推动我国数字经济高质量发展、构建网络强国的基础支撑。
根据《中华人民共和国密码法》第二十七条条规定:法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码进行保护,自行或者委托商用密码检测机构开展商用密码应用安全性评估。
国产化密码应用改造是信息系统安全建设的必然需求,是构筑信息安全防线、实现自主创新和安全可信的必然要求。以商用密码应用安全性评估为抓手落实《密码法》,并结合《网络安全法》、《数据安全法》、《个人信息保护法》、《商用密码管理条例》等法律法规,也在持续拉动密码应用新需求。
方案思路
密码作为直接作用于数据的安全技术,只有融入数据处理流程才能有效防范业务风险。从技术路线上,传统密码应用改造方案门槛高、周期长、风险大,用户面临“难用、难管”等挑战,很难将密码能力深入融合到信息系统,而业务应用改造也正是密码防护和密评整改的难点,与金融、交通、医 疗等行业应用场景紧密结合的密码需求也会更加细化。
因此,本方案的总体思路是以应用为抓手构建密码应用改造防护体系,将安全与业务在技术上解耦、但又在能力上融合交织,提供轻量级改造应用的实施模式,针对信息系统应用终端的身份认证、数据传输和数据存储,以及业务数据流转各个环节所需的应用系统加密、数据库加密、数据传输加密、身份认证、数字签名、密钥管理等密码需求,进行密码应用改造。同时遵循统一标准体系,建设统一密码平台,实施统一安全防护,落实统一运维监管,打造 一体化的密码支撑体系,有效实现密码对应用与数据的保护,让密码“好用、好管”。
解决方案
本方案以等保三级系统为例,按照以上思路,同时依据《GB/T 39786-2021 信息安全技术 信息系统密码应用基本要求》对应指标要求,综合考虑业务信息系统的物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全等层面,进行风险分析和密码应用需求分析,提出相应技术解决方案,通过采用正确、合规的密码技术措施和有效的安全管理措施,弥补业务信息系统在身份鉴别、安全传输、数据加密、完整性保护、不可否认等方面密码应用薄弱的环节,消除密码应用环节的不合规、不安全密码技术和密码算法,进一步提高业务信息系统的密码应用水平,提升业务信息系统的安全防护能力。
物理和环境安全技术方案
安全风险分析
机房设施遭受到人为破坏、盗窃等,会对系统造成不可逆转的破坏;
非法人员进入机房,对软硬件设备和数据进行直接破坏,会对机房内数据资产造成严重损失;
进出机房记录和视频记录遭到篡改,以掩盖非法人员进出情况。
密码应用需求
采用密码技术进行物理访问身份鉴别,保证重要区域进入人员身份的真实性;
采用密码技术保证电子门禁系统进出记录数据的存储完成性;
采用密码技术保证视频监控音像记录数据的存储完整性。
密码改造方案
身份鉴别:部署国密安全门禁系统,通过基于国密SM4算法进行密钥分散的CPU卡实现对人员身份进行鉴别,实现身份真实性。
电子门禁记录数据的完整性:在系统环境监控区部署密码数据安全模块和密钥管理与数据加密及认证平台,使用 HMAC-SM3 技术对电子门禁系统进出记录和视频监控系统视频记录等数据进行完整性保护。
视频记录数据的完整性:在系统环境监控区部署密码数据安全模块和密钥管理与数据加密及认证平台,使用 HMAC-SM3 技术对电子门禁系统进出记录和视频监控系统视频记录等数据进行完整性保护。
网络和通信安全技术方案
安全风险分析
链路可能会受到攻击,如 DDOS 攻击、流量攻击等,可能会导致业务系统瘫痪;
链路发生故障导致资源和应用不可访问;
非法设备从外部接入内部网络,或网络边界被破坏;
通信传输过程中数据被非授权的截取、篡改,导致通信数据发生泄漏;
关键节点存在恶意代码,导致对网络通信造成破坏等。
密码应用需求
采用密码技术对通信实体进行身份鉴别,保证通信实体身份的真实性;
采用密码技术保证通信过程中数据的完整性;
采用密码技术保证通信过程中重要数据的机密性;
采用密码技术保证网络边界访问控制信息的完整性;
采用密码技术对从外部连接到内部网路的设备进行接入认证,确保接入的设备身份真实性。
密码改造方案
身份鉴别:部署安全接入网关,利用智能密码钥匙作为设备管理员的身份凭证,在设备管理员进行设备登录时对其身份进行鉴别;通过密码机和安全管理平台生成分发密钥,实现基于国密SM2的身份鉴别。
通信数据完整性:通过安全接入网关,使用国密SM3算法的MAC消息鉴别码技术实现数据的完整性。
重要数据机密性:通过安全接入网关,使用国密SM4算法的对称加密实现机密性;采用国密SM4对数据报文做加密运算实现,加密密钥通过ECC_SM4_SM3算法套件协商实现,定期更新。
访问控制信息完整性:安全接入网关具有网络边界访问控制功能,其他设备的访问控制信息列表通过国密SM3算法的MAC消息鉴别码技术实现数据的完整性。
安全接入认证:远程接入内网通过安全认证网关实现,内网采用国密SM2实现身份鉴别。
设备和计算安全技术方案
安全风险分析
设备被非法人员登录;
用户口令遭到恶意破解,导致系统被入侵;
系统遭到入侵后,通过修改用户权限获取更高级别信息;
恶意调用系统资源,虚拟机逃逸;
设备日志记录被非法篡改,以掩盖非法操作;
远程登录设备时,身份鉴别数据被非法获取或非法使用;
设备内重要程序和文件的来源不可信。
密码应用需求
采用密码技术对登录设备的用户进行身份鉴别,保证用户身份的真实性;
远程管理设备时,采用密码技术建立安全的信息传输通道;
采用密码技术保证系统资源访问控制信息的完整性;
采用密码技术保证设备中的重要信息资源安全标记的完整性;
宜采用密码技术保证日志记录的完整性;
采用密码技术对重要可执行程序进行完整性保护,并对其来源进行真实性验证。
密码改造方案
身份鉴别:在PC端部署国密浏览器,并向系统管理员配发智能密码钥匙,对登录堡垒机用户进行身份鉴别和远程管理身份鉴别信息。
远程通道管理安全:采用智能密码钥匙、国密安全浏览器、SSLVPN 保障通信实体身份鉴别、接入通过 SSL/IPSEC VPN 网关安全认证、搭建的加密传输通道,对鉴别信息加密实现防窃听。
访问控制信息完整性:调用服务器密码机和密码安全管理平台,使用国密SM3算法的MAC消息鉴别码技术实现数据的完整性。管理员身份鉴别通过智能密码钥匙实现,使用数字签名技术对应用服务器、数据库服务器管理员用户访问权限控制列表进行完整性保护。
日志完整性:通过调用密码安全管理平台和服务器密码机,设置日志服务器安全策略,使用国密SM3算法的MAC消息鉴别码技术,使用HMAC-SM3对应用服务器、数据库服务器等设备日志进行完整性保护。
重要可执行程序来源真实性和完整性:在本系统应用服务区部署服务器密码机,智能密码钥匙,应用服务器中所有重要程序或文件在生成时通过调用服务器密码机使用国密SM2数字签名技术进行完整性保护,使用或读取这些程序和文件时,通过数字签名验证确认其完整性,公钥存储在只读安全介质中。
应用和数据安全技术方案
安全风险分析
设备被非法人员登录;
业务系统被非法人员登录,导致业务系统被入侵;
传输或存储的业务数据被其他应用获取、被外部攻击者非法获取;
应用系统资源访问控制信息、应用日志记录被非法篡改,掩盖非法操作;
应用程序、重要应用配置等重要信息被非法修改;
数据发送者或接收者不承认发送或接受到数据,或者否认所做的操作和交易。
密码应用需求
采用密码技术对登录用户进行身份鉴别,保证应用系统用户身份的真实性;
采用密码技术保证系统资源访问控制信息的完整性;
采用密码技术保证信息系统应用的重要信息资源安全标记的完整性;
采用密码技术保证信息系统应用的重要数据在传输、存储过程中的机密性;
采用密码技术保证信息系统应用的重要数据在传输、存储过程中的完整性;
在可能涉及法律责任认定的应用中,宜采用密码技术提供数据原发证据和数据接收证据,实现数据原发行为的不可否认性和数据接收行为的不可否认性。
密码改造方案
身份鉴别:部署数字证书系统、密码管理平台,服务器密码机、签名验签服务器,PC端通过智能密钥匙实现身份鉴别,移动端通过密码模块实现系统用户身份鉴别。
访问控制信息完整性:部署密钥管理与数据加密及认证平台或签名验签服务器,调用密码管理平台和服务器密码机,对业务应用系统访问控制策略、数据库表访问控制信息等使用国密SM3算法的MAC消息鉴别码技术实现数据的完整性。
数据存储机密性:通过密码安全管理平台和安全密码插件实现基于国密SM4算法对称加密。
数据存储完整性:调用密码安全管理平台和服务器密码机,使用SM3-HMAC或者 SM4-GCM实现存储数据的完整性保护。
数据传输机密性和完整性:数据传输机密性和完整,通过 SSL、IPSEC VPN 安全认证网关实现。
不可否认性:部署电子签章系统、时间戳服务器,通过密码安全管理平台和智能密钥匙或密码模块,采用国密SM2算法的数字签名技术,并加盖时间戳,实现操作行为的不可否认性。
方案价值
安全合规:全面消除密码应用安全风险,全方位实现密码合规、正确、有效,轻松过密评。
业务融合:将密码能力融入业务流程,打造面向业务应用的细粒度、实战化安全加密防护。
敏捷部署:轻量化应用系统开发改造,多业务多场景支持,实现密码应用快速、敏捷部署。
