密碼安全合規 | 組織單位如何構建商用密碼應用安全體系?

近日,《政務信息系統密碼應用與安全性評估工作指南》公開發布,用於引導非涉密國家政務信息系統建設單位和使用單位規範開展商用密碼應用與安全性評估工作。

那麼,商用密碼應用有哪些要求?組織單位如何有效構建商用密碼應用安全體系?

商用密碼應用要求

商用密碼應用系統是指採用商用密碼產品或者含有密碼技術的產品集成建設的,實現相關信息的機密性、完整性、真實性、抗抵賴性等功能的應用系統。國家密碼管理局於2018年2月8日正式發佈實施了中華人民共和國密碼行業標準GM/T 0054-2018《信息系統密碼應用基本要求》,該標準提出了總體要求、密碼功能要求、密碼技術應用要求、密鑰管理和安全管理共五個部分的內容。

密碼安全合規 | 組織單位如何構建商用密碼應用安全體系?

信息系統密碼應用基本要求

在總體要求中,提出了符合商用密碼管理的相關規定,滿足標準規範的相關要求,包括密碼算法、密碼技術、密碼產品、密碼服務。

在密碼功能要求中,規定了信息系統中需要使用密碼技術保護的對象,包括機密性、完整性、真實性、不可否認性。

在密碼技術應用要求中,規定了密碼技術的應用要求,要求項依據等級增加和增強,包括物理和環境安全、網絡和通信安全、設備和計算安全、應用和數據安全。

在密鑰管理中,對密鑰的全生命週期提出了要求,包括密鑰生成、密鑰存儲、密鑰分發、密鑰導入與導出、密鑰使用、密鑰備份與恢復、密鑰歸檔、密鑰銷燬。

在安全管理中,規定了密碼安全管理要求,包括制度、人員、實施、應急,其中實施分為規劃、建設、運行。

商用密碼應用安全解決方案

基於商用密碼應用安全的發展方向,配合網絡運營者安全需求與安全建設,深信服提出了商用密碼應用安全解決方案,在《中華人民共和國密碼法》正式施行的新時代下為各行業信息化發展提供借鑑與參考。

構建商用密碼應用安全體系框架

商用密碼應用安全體系框架由密碼安全能力支撐密碼安全服務支撐兩部分組成。其中密碼安全能力包含了密碼資源、密碼支撐、密碼服務、密碼應用以及密碼管理基礎設施。密碼安全服務包含了技術要求、管理要求和密鑰管理。


密碼安全合規 | 組織單位如何構建商用密碼應用安全體系?

商用密碼應用系統

密碼安全能力包含了密碼資源、密碼支撐、密碼服務、密碼應用以及密碼管理基礎設施。其中密碼應用層調用密碼服務層提供的密碼應用接口,實現所需的數據加密和解密、數字簽名和驗籤等功能,為信息系統提供安全功能應用或服務。

密碼服務層提供密碼應用接口,分為對稱密碼服務、公鑰密碼服務及其他密碼服務三大類,為上層應用提供數據機密性保護、數據完整性保護、數據真實性保護、不可否認性等功能。

密碼支撐層提供密碼資源調用,由安全芯片類、密碼模塊類、密碼整機類等各類密碼產品組成,如可信密碼模塊、智能IC卡、密碼卡、服務器密碼機等。

密碼資源層提供基礎性的密碼算法資源,底層提供序列、分組、公鑰、雜湊、隨機數生成等基礎密碼算法;上層以算法軟件、算法IP核、算法芯片等形態對底層的基礎密碼算法進行封裝。

密碼安全服務包含了技術要求、管理要求和密鑰管理。技術要求提出四大安全層面

,分別為物理和環境、網絡和通信、設備和計算、應用和數據,每個安全層面分別對密碼模塊進行要求;管理要求包括管理制度、人員管理、建設運行、應急處置;密鑰管理對密鑰的全生命週期進行控制,包括密鑰生成、密鑰存儲、密鑰分發、密鑰導入與導出、密鑰使用、密鑰備份與恢復、密鑰歸檔、密鑰銷燬。

推進關鍵領域商用密碼應用安全合規工作

商用密碼應用安全性評估是指對採用商用密碼技術、產品和服務集成建設的網絡和信息系統密碼應用的合規性、正確性、有效性進行評估。該項評估工作主要依據GM/T 0054-2018《信息系統密碼應用基本要求》,對信息系統的規劃、建設、運行三個階段的密碼應用情況安全性評估進行了詳細的規定,評估的基本原則是要做到合規性、正確性和有效性。

密碼安全合規 | 組織單位如何構建商用密碼應用安全體系?

商用密碼應用安全性評估

在信息系統規劃階段,依據商用密碼技術相關標準,為網絡運營者制定商用密碼應用安全規劃建設方案,保障商用密碼應用安全建設的有效落地與評估工作的順利開展。

在信息系統建設階段,委託具有相關資質的測評機構進行商用密碼應用安全性評估,評估結果作為項目建設驗收的必備材料,評估通過後,方可投入運行。

在信息系統運行階段,積極配合具有相關資質的測評機構定期開展商用密碼應用安全性評估,保障商用密碼應用系統順利通過評估。其中,關鍵信息基礎設施、網絡安全等級保護第三級及以上信息系統、政務信息系統每年至少評估一次。

此外,在電子政務、教育、醫療、金融等關鍵領域,參照《政務信息系統密碼應用與安全性評估工作指南》等指導文件,建立以基礎應用平臺體系、密碼運營服務保障體系、密碼應用標準規範體系為一體的商用密碼支撐體系。

探索商用密碼在新技術中的應用

深信服以建立、健全網絡安全綜合防護體系為目標,持續提升系統整體網絡安全防護能力。為滿足商用密碼應用安全的能力要求,應用基於APDRO(智能/防禦/檢測/響應/運營)能力模型的安全保護框架,使信息系統具備安全可視、持續檢測和協同防禦等安全能力,提升網絡安全解決方案整體價值。整體技術體系完善網絡安全防護技術措施,加強系統網絡安全防護能力;管理體系建立網絡安全管理制度、人員管理、實施管理和應急管理要求,加強系統網絡安全管理能力;運營體系打造網絡安全運營中心,提升系統全生命週期網絡安全保護能力。

在物理和環境安全層面,部署具有密碼模塊的電子門禁系統、視頻監控系統;通過服務器密碼機、加密存儲設備、視頻加密系統等實現音視頻數據完整性保護。

在網絡和通信安全層面,通過數字證書認證系統確保設備及人員身份的真實性;通過商密IPSec/SSL VPN實現網絡邏輯邊界的管控,構建內部網絡的管理網;通過內部的網絡邊界控制機制,實現網絡邊界的完整性保護;通過服務器密碼機對訪問控制信息計算MAC或簽名後保存,保證訪問控制信息的完整性。

在設備和計算安全層面,通過智能密碼鑰匙對設備管理員的登錄操作進行身份鑑別;通過服務器密碼機對通用設備的重要審計信息、日誌記錄、系統資源訪問控制信息等進行數字簽名、MAC計算,保證信息的完整性;通過數字證書認證系統為可信安全單元提供根CA證書,實現可信計算密碼模塊支撐平臺。採用硬件密碼產品實現密鑰管理、身份鑑別、數據加解密、MAC計算、數字簽名計算等功能。

在應用和數據安全層面,通過動態口令系統對設備管理員的登錄操作進行身份鑑別;通過電子簽章系統對重要應用程序的操作員身份進行鑑別,確保僅具備權限的操作員才可以對重要應用程序執行加載和卸載操作。

在新技術安全領域,以雲計算為技術框架模型的基礎上,構建雲密碼服務資源池,為實現服務統一調用,整合雲計算平臺、雲安全服務平臺、雲密碼服務平臺為一體的深信服雲計算統一平臺,為雲上業務系統提供網絡資源、計算資源、存儲資源、安全資源、密碼服務資源等綜合服務。


分享到:


相關文章: