从入门到精通:密评科普系列
一、什么是商用密码
1、从理解“密码”开始
2、从“密码”到“商用密码”
3、密码算法的分类和性质
4、商用密码的四大特性
二、什么是密评
1、评估对象
2、评估内容
3、评估标准
4、评估流程
三、为什么必须做密评
1、密评发展史
2、商密市场现状
3、密评必做的六个原因
4、不做密评的后果
四、密评解决方案
1、密评方案设计及实施
2、新华三密评解决方案
3、方案价值体现
五、过密评之重点、难点、得分点
1、重点
2、难点
3、得分点
六、关于密评的常见问题
1、运营单位怎么判定是否需要开展密评?
2、不做密评或测评结果不合格有什么影响?
3、等保中的密码要求有哪些(以等保三级系统为例)
4、云计算、工控、移动互联网安全扩展要求
一、什么是商用密码
1、从理解“密码”开始
密码定义:《密码法》第二条:本法所称密码,是指采用特定变换的方法对信息等进行加密保护、安全认证的技术、产品和服务。
密码分类:核心密码、普通密码和商用密码。
密码组成:密码算法、密钥管理和密码协议。
■密码算法:实现密码对信息进行“明”“密”变换、产生认证“标签“的一种特定规则。不同的密码算法实现不同的变换规则。算法是密码的关键,算法的强度决定了破译的难度。
■密钥管理:根据安全策略,对密钥的产生、分发、存储、更新、归档、撤销、备份、恢复和销毁等密钥全生命周期的管理。算法是可以公开的,一切秘密寓于密钥之中,密钥的保密是重中之重。
■密码协议:两个或两个以上参与者使用密码算法,为达到加密保护或安全认证目的而约定的交互规则。密码应用遵循的交互规则,不安全的密码协议会导致系统存在从“旁路”或“后门”窃取信息的风险。
日常生活中的密码:password,pass“通行” word“暗号”,严格说来应该翻译成口令,是用来验证用户身份和权限的,比如我们解锁手机、登录微博账号。
计算机术语中的密码:Cryptography,通过各种数学方法和机制实现数据的明文和密文相互转化,达到加密保护、安全认证的目的,例如RSA。
2、从“密码”到“商用密码”
商用密码的定义:对不涉及国家秘密内容的信息进行加密保护或者安全认证,所使用的密码技术和密码产品。
商用密码的核心:商用密码技术,国家将其列为国家秘密,任何单位和个人都有责任和义务保护商用密码技术的秘密。
国外的密码算法:DES、3DES、AES、SHA1、SHA2、SHA3、DSA、RSA、RC4等
高危密码算法:MD5、DES、RSA1024以下、SSH1.0、SSL3.0以下、SHA1等
3、密码算法的三大类别
密码算法通常可分为三大类:对称密码算法、非对称密码算法、密码杂凑算法。
(1)对称密码算法:在加密与解密时使用相同的密钥,两个过程是“对称”的。
常见对称密码算法:SM1、SM4、SM7、ZUC、DES、3DES、AES、RC4
(2)非对称密码算法:加密和解密使用不同的密钥。其中加密的密钥可以公开,称为公钥;解密的密钥需要保密,称为私钥。公私钥成对出现,公钥推倒出私钥在理论上不可行。
常见非对称密码算法:SM2、SM9、RSA、ECDSA、 Elgamal
(3)密码杂凑算法:将任意长度的二进制值映射为较短的固定长度的二进制值。
常见:SM3、MD5、 SHA1、 SHA2 、SHA3、
密码杂凑算法具备三大特性:
■单向性:为一个给定的输出找出能映射到该输出的一个输入在计算上是困难
■弱抗碰撞性:为一个给定的输入找出能映射到同一个输出的另一个输入在计算上是困难的的
■强抗碰撞性:要发现不同的输入映射到同一输出在计算上是困难的
4、商用密码的四大特性
真实性:防假冒
已授权用户可以正常访问使用
未授权用户禁止访问
完整性:防篡改
保证信息不被未经允许的授权改动
机密性:防泄漏
已授权用户可以正常查看
未授权用户无法查看
不可否认性:抗抵赖
用户不可否认之前针对资源的任何操作,包括访问、修改、删除等
二、什么是密评?
密评全称:商用密码应用安全性评估
定义:对采用商用密码技术、产品和服务集成建设的网络和信息系统密码应用的合规性、正确性、有效性进行评估。
这句话精简一下,即:对网络和信息系统密码应用进行评估。在网络和信息系统中,密码几乎无处不在,用户登录、管理员操作、业务系统之间互相调用数据…全都跟密码息息相关,因此在做密评的时候,需要针对整个网络和信息系统进行测评。
1、评估对象:网络和信息系统
■ 电信网、广播电视网、互联网等基础信息网络;
■ 能源、教育、交通、卫生计生、金融等涉及国计民生和基础信息资源的重要信息系统;
■ 石油石化、电力系统、交通运输、水利枢纽、城市设施等重要工业控制系统电力系统、石油天然气、油气管道等重要信息系统和重要工业控系统;
■ 党政机关和使用财政资金的事业单位、团体组织使用的面向社会服务的信息系统;
■ 基础信息网络、涉及国计民生和基础信息资源的重要信息系统、重要工业控制系统。
国家网络的安全和密码相关法律法规明确要求非涉密的关键信息基础设施、等保三级及以上系统、国家政务等重要信息系统要开展密评工作。并且,密评管理办法也明确规定:关键信息基础设施、网络的安全等级保护第三级及以上信息系统,需要每年至少评估一次。
面向社会服务的政务信息系统,以及关键信息基础设施、网络的安全等级保护第三级及以上信息系统。
——商用密码应用安全性评估管理办法(试行)
2、评估内容:密码应用安全性
i
机密性技术要求
1)身份鉴别信息
2)密钥数据
3)传输的重要数据
4)信息系统应用中所有存储的重要数据
ii
真实性技术要求
1)进入重要物理区域人员的身份鉴别
2)通信双方的身份鉴别
3)网络设备接入时的身份鉴别
4)重要可执行程序的来源真实性保证
5)登录操作系统和数据库系统的用户身份鉴别
6)应用系统的用户身份鉴别
iii
完整性技术要求
1)身份鉴别信息
2)密钥数据
3)日志记录
4)访问控制信息
5)重要可执行程序
6)视频监控音像记录
7)电子门禁系统进出记录
8)传输的重要数据
9)信息系统应用中所有存储的重要数据
iv
不可否认性技术要求
使用基于公钥密码算法的数字签名机制等密码技术来保证数据原发行为的不可否认性和数据接收行为的不可否认性
3、评估标准:合规性、正确性、有效性
对采用商用密码技术、产品和服务集成建设的网络和信息系统密码应用,需要满足合规性、正确性、有效性的要求,具体内容如下:
合规性:信息系统使用的密码技术、产品和服务是否符合国密要求
正确性:受保护对象是否明确,密码功能是否实现准确,密码产品参数是否配置正确
有效性:检验或验证密码应用是否合规、正确,是否真正实现了受保护对象的安全防护需求
技术要求:
- 保障信息系统的实体身份真实性、重要数据的机密性和完整性/操作行为的不可否认性
- 密钥全生命周期的各个环节:密钥生成、存储、分发、导入、导出、使用、备份、恢复、归档与销毁的安全要求
管理要求:
- 密码应用安全管理相关流程制度的制定、发布、修订的规范性要求;
- 密码相关安全人员的密码安全意识以及关键密码安全岗位员工的密码安全能力的培养,人员工作流程要求等;
- 建设运行过程中密码应用安全要求及方案落地执行的一致性和有效性要求;
- 处理密码应用安全相关的应急突发事件的能力要求。
法规/政策依据:
GB/T39786-2021 信息安全技术 信息系统密码应用基本要求
信息系统密码应用测评要求
信息系统密码应用测评过程指南
信息系统密码应用高风险判定指引
商用密码应用安全性评估量化评估规则
GB/T 32907-2016 信息安全技术 SM4分组密码算法
GB/T 32918-2016 信息安全技术 SM2椭圆曲线公钥密码算法
GB/T 32905-2016 信息安全技术 SM3密码杂凑算法
4、评估流程:四个阶段
密评流程分为四个基本测评活动:测评准备活动、方案编制活动、现场测评活动、分析与报告编制活动;在整个密码应用安全性评估过程中,测评双方将会持续进行沟通和改造。
测评准备阶段:测评项目启动 / 信息收集与分析 / 工具和表单准备
方案编制阶段:测评对象和指标确定 / 测评工具切入点确定 / 测评方案编制
现场测评阶段:现场测评实施准备 / 现场测评和结果记录 /结果确认和资料归还
报告编制阶段:测评结果判定 / 结果风险分 / 报告编制
三、为什么要做密评
1、密评发展史
2011年:ZUC序列算法成为了4G移动通信密码算法国际标准2017年:非对称算法SM2和SM9的数字签名算法成为国际标准2018年:密码杂凑算法SM3成为国际标准2021年:2月,SM9标识加密算法成为国际标准6月,SM4分组密码算法成为国际标准10月,SM9密钥交换协议成为国际标准
我国自主研发的密码算法相继走出国门并受到国际上的认可,国密局也在大力推进国密算法,借着政策之风,排兵布阵,准备打一场密码应用攻坚战。
2、密评市场现状
密码应用不广泛:2017年以来,通过全国开展密评工作,90%甚至95%的信息系统不满足密码应用要求,大量数据没有使用密码技术保护,处于“裸奔”状态。
密码应用不规范:未使用合规密码产品软件实现的密码策略合规的密码产品但配置不合理
密码应用不安全:大量在使用MD5、SHA1、DES等已被警示有风险的密码算法解决商用密码应用中存在的突出问题,为重要网络和信息系统的安全提供科学评价方法,以评促建、以评促改、以评促用,逐步规范商用密码的使用和管理。
3、必做密评的六个原因
政策要求:《密码法》、国办发57号文等要求信息系统要开展密码应用安全性评估
行业监管:通过行业主管部门的监管,要求行业单位需要通过密评,提高系统安全防御能力,如金融、医疗等
等保延伸:等保可以解决网络监控、边界防护、集中安全管理、访问控制、安全审计等,密评可进一步有效解决数据传输和存储机密性及完整性、数据来源真实可信、操作行为不可否认
安全需求:保证数据机密性、完整性、来源真实性等
业务属性:情报板、网站等防篡改、电子合同、电子票据等防篡改及否认、网上交易、医疗健康等防泄漏
数据合规:《数据安全法》出台,加快我国数据安全合规的进程,通过密码可以为数据采集、存储、整合、呈现与使用、分析与应用、归档和销毁全生命周期保驾护航
4、不做密评的后果
密码法 第三十七条关键信息基础设施的运营者违反本法第二十七条第一款规定,未按照要求使用商用密码,或者未按照要求开展商用密码应用安全性评估的,由密码管理部门责令改正,给予警告;拒不改正或者导致危害网络的安全等后果的,处十万元以上一百万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款。
国办发57号文 第二十八条加强国家政务信息化项目建设投资和运行维护经费协同联动……对于不符合密码应用和网络的安全要求,或者存在重大安全隐患的政务信息系统,不安排运行维护经费,项目建设单位不得新建、改建、扩建政务信息系统。
数据安全法 第四十五条拒不改正或者造成大量数据泄露等严重后果的,处五十万元以上二百万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处五万元以上二十万元以下罚款。
四、密评解决方案
1、密评方案设计及实施
1)明确被测范围和系统
明确《密码法》及相关法律法规所要求的测评范围,以此确定企业需要做密评的系统和覆盖范围。
2)前期准备和测评方案编制
协助企业开展自我评估,出具密评差距分析报告,明确企业密码应用需求并编制密码应用建设方案,密码专家对方案进行审核。
3)密评方案建设实施
根据过审方案开展密码应用建设,从技术、管理双重维度,为企业提供合规密码技术、产品、应急保障服务等,确保方案顺利落地。
4)联系密评机构并开展密评工作
协助企业寻找并委托具备密评资质的单位开展密评工作,测评期间全程协助确保顺利完成测评。
5)现场测评及报告编制
跟进测评机构工作进度,协助测评机构完成现场测评工作,测评机构根据现场测评情况出具合规测评报告后,提交到运营单位。
6)密评报告上报
依据规定上报至上级主管单位及本地区密码管理部门,三级以上系统还需要报送监管单位。
2、新华三密评解决方案
新华三商用密码应用安全性评估解决方案针对密码应用相关标准规范,基于物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全、密钥管理安全及安全管理制度等维度进行统一规划设计。方案以新华三自研商密产品为基础,充分整合密码应用需求,帮助用户建立一套安全、合规、完整、有效的密码应用体系。
新华三密码应用技术架构图
基于政务云密码应用改造解决方案
安全管理域改造
密码应用改造重点关注网络与通信安全、应用和数据安全,通过新华三国密防火墙可实现国密SSL/IPSec VPN安全接入,保证运维管理通道的安全。
部署国密改造后的堡垒机和日志审计,保证身份鉴别信息的传输机密性和日志的完整性;部署国密浏览器和智能密码钥匙,保证接入人员的身份安全。
云管理域改造
借助服务器密码机实现云平台相关数据的传输和存储机密性和完整性保护,签名验签服务器实现云平台基于数字证书的身份鉴别及管理人员重要操作行为的不可否认性;应用层面借助云平台自身优势,提前与密码产品进行对接适配,提高云平台运行稳定性及缩短实施周期。
租户密码资源池域改造
充分利用新华三自主研发能力及安全生态体系,基于云平台搭建密码资源池,为云上租户业务应用提供密码服务能力支撑。
3、新华三密评方案价值体现
云-网-安全面融合
底座云平台、网络资源、计算资源、存储资源已与密码产品完成对接,具备国密能力,提供多种密码安全服务,形成“云网安”一体化的能力。
完整密码产品线
具备自主研发的密码产品家族,同时通过多样化的生态合作伙伴为客户提供全方面密评改造能力。
架构合规设计
基于GB/T 39786-2021标准设计,系统建设资源优化部署,可落地性强,满足用户一次性过密评的需求。
专业密评专家咨询服务
具备多位经验丰富的持证密评师和专业的密评方案交付团队,提供全流程的专业密评服务。
差距分析:基础信息调研、业务流程梳理、安全风险评估、密码应用基本要求差距分析,输出差距分析报告。
密评方案设计:结合网络的安全需求进行密码应用整改方案设计,包括密码安全技术体系、管理体系等框架和实现设计等。
密码建设及咨询服务:网络的安全架构优化、密码技术体系设计、密码产品部署、安全管理体系建设与咨询等。
五、过密评之重点、难点、得分点
60分以上+无高风险=通过商用密码应用安全性评估
✓
明确重点
紧抓整改重点,避免出现高风险:
- 身份鉴别
- 数据传输机密性
- 数据存储机密性
- 操作行为不可否认性
✓
聚焦难点
聚焦整改难点,攻坚克难,合理规划,让技术落地可行:应用及设备的定制化改造
✓
力争得分点
结合密评标准及量化分析,争取更多得分点:
- 远程管理通道安全
- 日志记录完整性
- 应用数据完整性
- 制度落地
1、密评“重点”解析
■ 重点改造内容——身份鉴别
应用系统的业务或管理人员通过https访问应用系统,身份鉴别通过数字证书方式实现,在应用侧通过应用系统调用签名验签服务器对身份证书进行认证,实现身份鉴别。
管理人员通过堡垒机访问网络的安全设备、服务器等,堡垒机的身份鉴别通过数字证书方式实现,堡垒机调用签名验签服务器对身份证书进行认证,实现身份鉴别。
■重点改造内容——机密性
1)应用系统通过基于国密的SSL协议建立https通道访问应用系统,在应用侧部署符合国密的SSL证书,实现业务或管理人员到应用的传输机密性;
2)跨网运维的管理人员通过符合国密的SSL VPN建立安全的传输通道,保证网络传输数据的机密性;
3)涉及数据备份的场景,通过在系统出口到备份区域部署IPSec VPN实现备份线路的传输机密性保护;
4)应用系统通过调用服务器密码机,实现对应用系统重要数据的传输和存储加密,或通过调用存储加密机,实现落盘存储。
■重点改造内容——操作行为不可否认性
操作行为不可否认性只能通过数字签名技术实现,业务或管理员通过国密浏览器及智能密码钥匙(含国密双证,签名证书+加密证书)访问业务应用系统,操作行为通过调用智能密码钥匙中的签名私钥进行签名,涉及责任认定场景,通过验证签名成功,可实现不可否认的效果。
2、密评“难点”解析--定制化改造
■日志审计定制化改造
调用密码产品实现日志记录完整性保护
■应用系统定制化改造
1)应用系统调用密码产品实现基于数字证书的身份鉴别
2)应用系统传输数据机密性及完整性保护调用密码产品的改造
3)应用系统存储数据机密性及完整性保护调用密码产品的改造
4)针对应用系统的关键操作行为通过调用密码产品进行数字签名实现不可否认性保护
■堡垒机定制化改造
1)调用密码产品实现基于数字证书的身份鉴别
2)调用密码产品实现堡垒机录屏记录、访问权限的完整性保护
3、密评“得分点”解析
1)应用系统调用服务器密码机或签名验签服务器实现重要数据存储和传输完整性保护;
2)网络传输采用的https和SSL/IPSec VPN均采用符合国密的产品,能够保证传输完整性;
4)机房整体的指标要求均不存在高风险点,其中身份鉴别通过部署符合GM/T0036电子门禁系统;5)数据记录通过调用服务器密码机或签名验签服务器实现完整性保护。
六、关于密评的常见问题
1、运营单位怎么判定是否需要开展密评?
《密码法》第二十七条
法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码进行保护,自行或者委托商用密码检测机构开展商用密码应用安全性评估。
《商用密码应用安全性评估管理办法(试行)》第三条、第二十条
涉及国家安全和社会公共利益的重要领域网络和信息系统的建设、使用、管理单位(以下检测责任单位)应当健全密码保障体系,实施商用密码应用安全性评估。
重要领域网络和信息系统包括:基础信息网络、涉及国计民生和基础信息资源的重要信息系统、重要工业控制系统、面向社会服务的政务信息系统,以及关键信息基础设施、网络的安全等级保护第三级及以上信息系统。
第三条规定范围之外的其他网络和信息系统,其责任单位可以参照本办法自愿开展商用密码应用安全性评估。
2、不做密评或测评结果不合规有什么影响?
《密码法》第三十七条第一款规定:关键信息基础设施的运营者违反本法第二十七条第一款规定,未按照要求使用商用密码,或者未按照要求开展商用密码应用安全性评估的,由密码管理部门责令改正,给予警告;拒不改正或者导致危害网络的安全等后果的,处十万元以上一百万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款。
《国家政务信息化项目建设管理办法》第二十八条第三款规定:对于不符合密码应用和网络的安全要求,或者存在总打安全隐患的政务信息系统,不安排运行维护经费,项目建设单位不能新建、改建、扩建政务信息系统。
《商用密码应用安全性评估管理办法(试行)》第二章第十条规定:关键信息基础设施、网络的安全等级保护第三级及以上信息系统,每年至少评估一次。
3、等保中的密码要求有哪些(以等保三级系统为例)
1)安全通信网络(8.1.2.2通信传输)
a)应采用校验技术或密码技术保证通信过程中数据的完整性。
b)应采用密码技术保证通信过程中数据的保密性。
2)安全计算环境
■8.1.4.1身份鉴别
c)当进行远程管理时,应采取必要的措施防止鉴别信息在网络传输过程中被窃听;
d)应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现。
■数据传输完整性、保密性(8.1.4.7 a和8.1.4.8 a)
■数据存储完整性、保密性(8.1.4.7 b和8.1.4.8 b)
3)安全管理中心(8.1.5.4 集中管控)
b)应能够建立一条安全的信息传输路径,对网络中的安全设备或安全组件进行管理。
4)安全建设管理
8.1.9.3产品采购和使用b)应确保密码产品与服务的采购和使用符合国家密码管理主管部门的要求;
8.1.9.7测试验收b)应进行上线前的安全性测试,并出具安全测试报告,安全测试报告应包含密码应用安全性测试相关内容。
5)安全运维管理(8.1.10.9密码管理)
a)应遵循密码相关国家标准和行业标准;
b)应使用国家密码管理部门认真核准的密码技术和产品。
4、云计算安全扩展要求
安全计算环境
8.2.4.4 镜像和快照保护:应采取密码技术或其他技术手段防止虚拟机镜像、快照中可能存在的敏感资源被非法访问。
8.2.4.5 数据完整性和保密性:
c) 应使用校验码或密码技术确保虚拟机迁移过程中重要数据的完整性,并在检测到完整性受到破坏时采取必要的恢复措施;
d) 应支持云服务客户部署密钥管理解决方案,保证云服务客户自行实现数据的加解密过程。
5、工业控制系统安全扩展要求
安全通信网络
8.5.2.2通信传输
在工业控制系统内使用广域网进行控制指令或相关数据交换的应采用加密认证技术手段实现身份认证、访问控制和数据加密传输。
安全区域边界
8.5.3.2拨号使用控制
b) 拨号服务器和客户端均应使用经安全加固的操作系统,并采取数字证书认证、传输加密和访问控制等措施。
8.5.3.3无线使用控制
c) 应对无线通信采取传输加密的安全措施,实现传输报文的机密性保护。
6、移动互联安全扩展要求
安全区域边界
无线接入设备应开启接入认证功能,并支持采用认证服务器认证或国家密码管理机构批准的密码模块进行认证。
安全计算环境(8.3.3.2移动应用管控)
b) 应只允许指定证书签名的应用软件安装和运行。
安全建设管理
8.3.4.1移动应用软件采购
a) 应保证移动终端安装、运行的应用软件来自可靠分发渠道或使用可靠证书签名;
8.3.4.2移动应用软件开发
b) 应保证开发移动业务应用软件的签名证书合法性。
■ 结语
密评科普系列,我们从商用密码是什么开始谈起,逐步由浅及深,覆盖了密评发展背景、市场监管要求、密评解决方案、密评常见问题等。希望对需要了解密评的朋友有所助益。