如何构建“密评”基础方案?

新闻 业界
2年前
密码是什么?
仅仅是一串符号?
它可不单单是咱们平时电脑、手机上用的密码
 
法律上的密码
说的是采用特定变换的方法
对信息等进行加密保护、安全认证的
技术、产品和服务
 
也就是说
密码法所说的密码
具有加密保护安全认证两类功能
而密码应用的合规性、有效性、正确性评估
成为网络安全保卫战中举足轻重的防护措施


“没有网络安全就没有国家安全”,密码是国家重要战略资源,是保障网络与信息安全的核心技术和基础支持,是保护国家安全的战略性资源。密码技术在身份认证、数据传输、数据完整性保护和抗抵赖等方面都起到关键作用。


《中华人民共和国密码法》第二十七条:法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码进行保护,自行或者委托商用密码检测机构开展商用密码应用安全性评估。商用密码应用安全性评估应当与关键信息基础设施安全检测评估、网络安全等级测评制度相衔接,避免重复评估、测评。


《商用密码应用安全性评估管理办法(试行)》中指出,“密评”的面向对象包括基础信息网络、涉及国计民生和基础信息资源的重要信息系统、重要工业控制系统、面向社会服务的政务信息系统,以及关键信息基础设施、网络安全等级保护第三级及以上的信息系统。在《网络安全等级保护条例(征求意见稿)》中也明确,第三级以上网络运营者应在网络规划、建设和运行阶段,按照密码应用安全性评估管理办法和相关标准,委托密码应用安全性测评机构开展密码应用安全性评估,并定期开展商用密码应用安全性评估工作。


作为国内首家网络安全企业,天融信始终以捍卫国家网络空间安全为使命。2000年5月,天融信研制并发布了SJW11网络加密机,以高标准通过国家主管部门的技术鉴定,成为国内首批商用密码产品。多年来,天融信在商用密码领域不断开拓,在商用密码产品领域积极布局,响应国密局推广密码应用的工作,获得包含省部级科技进步一等奖在内的多个密码类荣誉奖项。并陆续推出服务器密码机、VPN网络加密机、身份认证网关、签名验签服务器、文档加密系统等一系列商用密码产品和配套方案,持续推进信息系统安全建设工作。


综合考虑建设成本、易用性、安全性等设计原则,天融信结合密评工作规划、建设等阶段的工作重点,推出密评基础方案。方案采用VPN网络加密机、服务器密码机、签名验签服务器三款密评核心产品,解决了GB/T39786《信息安全技术 信息系统密码应用基本要求》中网络和通信安全、设备和计算安全、应用和数据安全等重要问题,满足密评测评通过的基础要求。


640.jpg

网络和通信

通过部署VPN网络加密机建立安全传输通道,对机房中所有应用均通过安全传输通道来访问,同时通过国密SSL和IPSec协议建立安全传输通道,对系统所有跨网传输数据实现网络传输的机密性、完整性和身份鉴别。


设备和计算安全

1、身份鉴别:运维管理员在登录堡垒机时通过采用数字证书进行强身份认证,签名验签服务器解析数字证书、验证签名和证书有效性,保证人员身份的唯一性。

2、数据传输保密性和完整性保护:运维管理员通过安全浏览器与密码服务层VPN网络加密机为堡垒机建立安全通道,SSL协议中使用密码算法套件为:ECC_SM4_SM3,通过SSL技术实现通道数据的完整性与保密性。

3、日志记录完整性保护:通过调用服务器密码机的SM3/HMAC算法,采用SM3杂凑算法计算其HMAC值,对运维管理应用相关产品的日志记录进行完整性保护。


应用和数据安全

1、身份鉴别:用户登录业务系统时将采用“用户名+数字证书”,进行身份验证,实现双因素身份鉴别,满足国密算法要求。


2、数据传输机密性和完整性:系统通过VPN网络加密机建立安全传输通道,对机房中所有应用均通过安全传输通道来访问,确保通信双方数据的机密性、完整性及身份的真实性。前置服务器调用服务器密码机的SM4算法和SM3算法实现机密性、完整性保护。


3、数据存储机密性及完整性:业务系统在对重要数据进行存储时,对系统业务数据的相关关键信息进行SM3/HMAC运算来保证数据的完整性,同时调用服务器密码机SM4保证数据存储的机密性。在业务系统中重要数据包括各业务系统的关键数据、用户信息数据、审计数据、应用配置数据等。


天融信对密码应用安全性评估建设的建议

● 天融信建议客户分期规划,集约建设,不断优化和提升,根据信息系统实际出发, 采用三同步原则,满足等保安全要求。


● 建议客户密评建设时要选取合规的密码产品,天融信商用密码产品均符合国家密码管理局标准,具有《商用密码产品认证证书》。


● 建议客户在密评建设过程中要从管理制度与技术要求全面考虑,天融信可为客户提供有针对性的建设方案、配套实施、应急响应、管理制度和运维管理服务等整套体系。


日前,在第五届关键信息基础设施自主安全创新论坛上,天融信凭借26年来在网信领域持续创新与优异实践,荣获商用密码领域具有突出创新能力、取得显著创新成果、能够代表创新水平的“网信自主创新尖锋企业”奖项。此外,天融信还连续六年主办全国高校密码数学挑战赛,持续挖掘和培养密码人才,充分展现了天融信在商用密码领域的专业优势和创新能力。