Image
全國(guó)統(tǒng)一服務(wù)熱線
0351-4073466

密評(píng)之技術(shù)要求(實(shí)戰(zhàn)篇)


編輯:2023-05-12 09:41:31

密評(píng)簡(jiǎn)介

  1. 密評(píng)定義:全稱商用密碼應(yīng)用安全評(píng)估, 是指對(duì)采用商用密碼技術(shù)、產(chǎn)品和服務(wù)集成建設(shè)的網(wǎng)絡(luò)和信息系統(tǒng)密碼應(yīng)用合規(guī)性、正確性、有效性進(jìn)行評(píng)估。
  2. 密評(píng)對(duì)象:重要信息系統(tǒng)、關(guān)鍵信息基礎(chǔ)設(shè)施、網(wǎng)絡(luò)安全等保三級(jí)及以上的系統(tǒng)。
  3. 評(píng)測(cè)依據(jù):GB/T 39786-2021《信息安全技術(shù) 信息系統(tǒng)密碼應(yīng)用基本要求》參考標(biāo)準(zhǔn)
    • 《信息系統(tǒng)密碼應(yīng)用測(cè)評(píng)要求》
    • 《信息系統(tǒng)密碼應(yīng)用測(cè)評(píng)過(guò)程指南》
    • 《信息系統(tǒng)密碼應(yīng)用高風(fēng)險(xiǎn)判定指引》
    • 《商用密碼應(yīng)用安全性評(píng)估量化評(píng)估規(guī)則》
  1. 基本要求
    密評(píng)基本要求主要包含兩部分:技術(shù)要求管理要求。
    • 基本要求框架

336763

    • 密評(píng)評(píng)分
        在密評(píng)中,采用技術(shù)要求70分+管理要求30分的模式。通過(guò)密評(píng) = 60分以上+無(wú)高風(fēng)險(xiǎn)項(xiàng)。在技術(shù)要求中:物理和環(huán)境安全(10分)、網(wǎng)絡(luò)和通信安全(20分)、設(shè)備和計(jì)算安全(10分)、應(yīng)用和數(shù)據(jù)安全(30分)
  1. 評(píng)測(cè)過(guò)程

212615

  1. 評(píng)測(cè)報(bào)告:評(píng)測(cè)最后階段由評(píng)測(cè)機(jī)構(gòu)編寫評(píng)測(cè)報(bào)告,評(píng)測(cè)報(bào)告一般一式4份,1份提交國(guó)家密碼管理局、1份提交被評(píng)測(cè)單位所屬省部密碼管理部門、1份提交委托單位、1份由評(píng)測(cè)機(jī)構(gòu)留存。

密評(píng)技術(shù)要求

密評(píng)主要針對(duì)涉及到商用密碼的網(wǎng)絡(luò)和信息系統(tǒng)。這里的商用密碼指對(duì)不涉及國(guó)家秘密內(nèi)容的信息進(jìn)行加密保護(hù)或者安全認(rèn)證所使用的密碼技術(shù)、密碼產(chǎn)品和密碼服務(wù)。

  • 密碼技術(shù):采用特定變換的方法對(duì)信息進(jìn)行加密保護(hù)、安全認(rèn)證的技術(shù)。如SM3哈希算法、SM4分組密碼算法、SM2公鑰密碼算法等。
  • 密碼產(chǎn)品:實(shí)現(xiàn)密碼功能、承載密碼技術(shù)的實(shí)體,包括密碼機(jī)、密碼芯片和模塊等。
  • 密碼服務(wù):基于密碼技術(shù)和產(chǎn)品,實(shí)現(xiàn)密碼功能,提供密碼保障的行為。

密改:又稱國(guó)密改造,是通過(guò)密評(píng)的重要一步,被評(píng)測(cè)信息系統(tǒng)需要經(jīng)過(guò)密改,從而支持國(guó)產(chǎn)商用密碼,并達(dá)到安全、合規(guī)、正確、有效的要求。從密評(píng)技術(shù)要求上分析,需要在物理和環(huán)境安全、網(wǎng)絡(luò)和通信安全、設(shè)備和計(jì)算安全應(yīng)用和數(shù)據(jù)安全四個(gè)方面上借助商用密碼技術(shù)、產(chǎn)品或服務(wù),實(shí)現(xiàn)密改。

業(yè)界主推的密改技術(shù)路徑主要有三條:“免”改造、“重”改造和“易”改造。

  • 免改造:信息系統(tǒng)無(wú)需進(jìn)行密改,只需簡(jiǎn)單配置
  • 重改造:信息系統(tǒng)調(diào)用復(fù)雜的基礎(chǔ)密碼產(chǎn)品接口完成密改,如對(duì)接服務(wù)器密碼機(jī)、簽名驗(yàn)證服務(wù)器
  • 易改造:信息系統(tǒng)使用針對(duì)密評(píng)研發(fā)的專業(yè)密碼服務(wù)產(chǎn)品,無(wú)改動(dòng)或較少改動(dòng)信息系統(tǒng)來(lái)實(shí)現(xiàn)密改。

密碼應(yīng)用技術(shù)架構(gòu)

443647

技術(shù)要求重點(diǎn)分析:根據(jù)密評(píng)技術(shù)要求中的評(píng)測(cè)指標(biāo),密評(píng)重點(diǎn)集中在以下兩點(diǎn):


  • 信息系統(tǒng)實(shí)體身份真實(shí)性/身份鑒別、重要數(shù)據(jù)機(jī)密性、重要數(shù)據(jù)完整性以及操作行為的不可否認(rèn)性。
  • 密鑰生命周期安全:密鑰生成、使用、存儲(chǔ)、備份、恢復(fù)、歸檔、導(dǎo)入導(dǎo)出以及銷毀等 其中,密鑰生命周期安全可以借助服務(wù)器密碼機(jī)或者密鑰管理系統(tǒng)來(lái)完成,因此信息系統(tǒng)密改工作集中在第一點(diǎn)。密碼應(yīng)用技術(shù)架構(gòu)整體也是圍繞技術(shù)要求的四個(gè)方面來(lái)規(guī)劃和落地。

物理和環(huán)境安全

物理和環(huán)境安全:對(duì)重要物理區(qū)域(如:機(jī)房)出入人員采用密碼技術(shù)進(jìn)行身份鑒別,并對(duì)門禁進(jìn)出記錄、視頻監(jiān)控?cái)?shù)據(jù)進(jìn)行完整性保護(hù)。

78739

  • 身份鑒別:機(jī)房需要部署國(guó)密門禁讀卡器,通過(guò)國(guó)密門禁IC卡和國(guó)密門禁讀卡器,基于國(guó)密算法,實(shí)現(xiàn)用戶身份鑒別。讀卡器和門禁卡必須具有國(guó)家密碼管理部門頒發(fā)的認(rèn)證證書。如:光電安辰國(guó)密門禁設(shè)備等
  • 重要數(shù)據(jù)完整性:門禁記錄數(shù)據(jù)、視頻監(jiān)控記錄數(shù)據(jù)存儲(chǔ)需要保證完整性。如:門禁記錄通過(guò)門禁管理系統(tǒng)進(jìn)行完整性保護(hù)、視頻監(jiān)控記錄通過(guò)視頻監(jiān)控管理系統(tǒng)進(jìn)行完整性保護(hù)。這類系統(tǒng)一般采用內(nèi)置密碼卡或者外接密碼機(jī)的方式,并通過(guò)SM3-HMAC對(duì)重要數(shù)據(jù)進(jìn)行完整性保護(hù)。注:密碼機(jī)、密碼卡和視頻監(jiān)控管理系統(tǒng)需要具有國(guó)家密碼管理部門頒發(fā)的認(rèn)證證書

網(wǎng)絡(luò)和通信安全

網(wǎng)絡(luò)和通信安全:對(duì)業(yè)務(wù)系統(tǒng)網(wǎng)絡(luò)通信實(shí)體,采用密碼技術(shù)進(jìn)行身份鑒別,并對(duì)傳輸數(shù)據(jù)進(jìn)行機(jī)密性和完整性保護(hù)。

194655

  • 身份鑒別:登錄業(yè)務(wù)系統(tǒng)采用國(guó)密瀏覽器,瀏覽器到安全網(wǎng)關(guān)等通信實(shí)體雙方通過(guò)國(guó)密SSL協(xié)議進(jìn)行身份鑒別,通過(guò)國(guó)密SSL證書使用SM2、SM3和SM4算法實(shí)現(xiàn)通信雙方真實(shí)性,后端需要采用具備商用密碼產(chǎn)品認(rèn)證證書的安全網(wǎng)關(guān)。
  • 通信數(shù)據(jù)完整性:瀏覽器與安全網(wǎng)關(guān)之間通信采用國(guó)密SSL,使用ECC_SM4_CBC_SM3實(shí)現(xiàn)數(shù)據(jù)傳輸?shù)耐暾?,后端需要采?strong style="outline: 0px; color: black;">具備商用密碼產(chǎn)品認(rèn)證證書的安全網(wǎng)關(guān)。
  • 通信數(shù)據(jù)的機(jī)密性:瀏覽器與安全網(wǎng)關(guān)之間通信采用國(guó)密SSL,使用ECC_SM4_CBC_SM3實(shí)現(xiàn)數(shù)據(jù)傳輸?shù)臋C(jī)密性,后端需要采用具備商用密碼產(chǎn)品認(rèn)證證書的安全網(wǎng)關(guān)。注:國(guó)密SSL需要支持國(guó)密雙證(簽名證書+加密證書)

設(shè)備和計(jì)算安全

設(shè)備和計(jì)算安全:運(yùn)維管理員在對(duì)業(yè)務(wù)系統(tǒng)進(jìn)行運(yùn)維時(shí),需要采用密碼技術(shù)進(jìn)行身份鑒別,并保障網(wǎng)絡(luò)環(huán)境中服務(wù)器、應(yīng)用程序、訪問(wèn)記錄等重要數(shù)據(jù)的完整性。

130905

  • 身份鑒別:對(duì)于遠(yuǎn)程運(yùn)維人員采用SSL VPN安全網(wǎng)關(guān)進(jìn)行身份鑒別;對(duì)于內(nèi)部運(yùn)維人員,采用基于密碼技術(shù)的身份認(rèn)證堡壘機(jī)進(jìn)行身份鑒別。
  • 重要數(shù)據(jù)完整性:堡壘機(jī)訪問(wèn)記錄完整性保護(hù),調(diào)用密碼產(chǎn)品基于SM3-HMAC密碼算法實(shí)現(xiàn)完整性保護(hù);業(yè)務(wù)系統(tǒng)等服務(wù)器訪問(wèn)記錄以及重要業(yè)務(wù)日志完整性保護(hù),采用專門的日志服務(wù)器,借助服務(wù)器密碼機(jī)采用HMAC-SM3密碼算法對(duì)訪問(wèn)記錄/日志進(jìn)行計(jì)算并定期進(jìn)行校驗(yàn)。

    日志服務(wù)完整性生成和校驗(yàn),功能流程如下:

271273

應(yīng)用和數(shù)據(jù)安全

應(yīng)用和數(shù)據(jù)安全:用戶和管理員在訪問(wèn)業(yè)務(wù)系統(tǒng)時(shí),需要采用密碼技術(shù)進(jìn)行身份鑒別,對(duì)重要業(yè)務(wù)數(shù)據(jù)傳輸?shù)臋C(jī)密性和完整性、重要業(yè)務(wù)數(shù)據(jù)存儲(chǔ)的機(jī)密性和完整性進(jìn)行保護(hù)。應(yīng)用和數(shù)據(jù)安全是密改的重要一環(huán)。

189573

  • 身份鑒別:業(yè)務(wù)系統(tǒng)登錄使用雙因子認(rèn)證,采用用戶名/口令Ukey進(jìn)行身份鑒別,業(yè)務(wù)人員私鑰和數(shù)字證書保存在Ukey中。后端通過(guò)SM4算法對(duì)口令進(jìn)行加密存儲(chǔ),通過(guò)SM2算法對(duì)UKey簽名進(jìn)行驗(yàn)證,密碼算法由密碼機(jī)提供。UKey和密碼機(jī)需要具有商用密碼產(chǎn)品認(rèn)證證書
  • 機(jī)密性:業(yè)務(wù)數(shù)據(jù)需要采用SM4進(jìn)行加密傳輸,后端需要對(duì)數(shù)據(jù)進(jìn)行SM4加密存儲(chǔ)。密碼算法由具有商用密碼產(chǎn)品認(rèn)證證書的密碼機(jī)或密碼卡提供。
  • 完整性:業(yè)務(wù)數(shù)據(jù)通過(guò)SM3-SM2進(jìn)行數(shù)字簽名后傳輸,后端通過(guò)調(diào)用基礎(chǔ)密碼產(chǎn)品進(jìn)行簽名驗(yàn)證。業(yè)務(wù)數(shù)據(jù)存儲(chǔ)完整性通過(guò)對(duì)存儲(chǔ)數(shù)據(jù)進(jìn)行SM3-SM2簽名或者SM3-HMAC哈希值進(jìn)行保存完成。密碼算法由具有商用密碼產(chǎn)品認(rèn)證證書的密碼機(jī)或密碼卡提供。

雙因子認(rèn)證UKey流程:

256406

結(jié)語(yǔ)

本文未對(duì)密評(píng)管理要求做深入介紹,只針對(duì)技術(shù)要求中需要進(jìn)行密改的地方進(jìn)行了詳細(xì)介紹。密評(píng)重點(diǎn)考察信息系統(tǒng)中商用密碼使用的合規(guī)性、正確性有效性。應(yīng)用和數(shù)據(jù)安全密改的重中之重,也是重改造的地方,其他方面可以通過(guò)采購(gòu)合規(guī)的密碼產(chǎn)品或服務(wù)達(dá)到易改造、免改造的效果。

?文章來(lái)源:密碼應(yīng)用技術(shù)實(shí)戰(zhàn)

Image
Image
版權(quán)所有:山西科信源信息科技有限公司??
咨詢熱線:0351-4073466?
地址:(北區(qū))山西省太原市迎澤區(qū)新建南路文源巷24號(hào)文源公務(wù)中心5層
? ? ? ? ? ?(南區(qū))太原市小店區(qū)南中環(huán)街529 號(hào)清控創(chuàng)新基地A座4層
Image
?2021 山西科信源信息科技有限公司 晉ICP備15000945號(hào) 技術(shù)支持 - 資??萍技瘓F(tuán)