商用密码应用安全性测评(以下简称“密评”)是指对采用商用密码技术、产品和服务集成建设的网络和信息系统密码应用的合规性、正确性、有效性进行评估。根据我国颁布的《密码法》及《商用密码管理条例》相关要求,各类信息系统中涉及密码应用的部分应按照国家密码管理局相关标准要求,采用国家商用密码算法,采用国密标准的密码应用模式,并对信息系统进行相应的合规性改造,实现信息平台满足《网络安全法》、《密码法》、信息系统等保三级要求以及信息系统密码应用合规性相关法规、政策、标准要求。
渔翁信息凭借20余年网络安全及密码领域工作经验,基于信息系统密码应用现状,为用户量身打造一套符合国家密码管理局相关要求的密码应用体系,并积累了丰富的密评整改经验和项目案例,通过对用户密码应用现状进行详细调研和评估,充分调研当前密码算法、密码资产和密码应用情况,明确整改环节和整改方法,形成完善的密码测评整改方案,帮助用户完成密码算法及密码应用方式的改造。
依据《中华人民共和国密码法》规定,关键信息基础设施的运营者应当使用商用密码进行保护,委托商用密码检测机构开展商用密码应用安全性评估。信息系统密码测评工作遵循GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》。
1).密码算法方面测评要求
信息系统中使用的密码算法应当符合法律、法规的规定和密码相关国家标准、行业标准的要求。常用的国产密码算法有SM1、SM2、SM3、SM4、SM9等密码算法。
业务系统、服务器、网络设备、安全设备、密码设备所使用的密码算法应进行全面细致梳理,按照《密码法》及相关政策标准要求,将信息系统中所使用的密码算法全部替换成国家密码行政主管部门认可的密码算法,或在保留原算法基础上,进行国密算法加固。
2).密码设备方面测评要求
信息系统中使用的密码产品与密码模块应通过国家密码管理部门核准。产品必须取得商用密码产品型号证书或者信息安全产品密码检测证书。典型的密码产品有数字证书认证系统(CA)、密钥管理系统(KM)、服务器密码机、IPSec/SSL VPN安全网关、签名验签服务器、时间戳服务器、智能密码钥匙。
现有系统中已有的密码产品,通过国家密码管理部门核准,且符合对于密码算法要求并正常使用的,继续保留。对于未通过国家密码管理部门核准,或采用的密码算法不符合要求,根据设备使用情况逐步进行更换。
3).物理和环境安全方面测评要求
应使用密码技术的真实性功能来保护物理访问控制身份鉴别信息,保证重要区域进入人员身份的真实性;
应使用密码技术的完整性功能来保证电子门禁系统进出记录的完整性;
应使用密码技术的完整性功能来保证视频监控音像记录的完整性。
4).网络和通信安全方面测评要求
应在通信前基于密码技术对通信双方进行身份认证,使用密码技术的机密性和真实性功能来实现防截获、防假冒、和防重用,保证传输过程中鉴别信息的机密性和网络设备实体身份的真实性;
应使用密码技术的完整性功能来保证网络边界和系统资源访问控制信息的完整性;
应采用密码技术保证通信过程中数据的完整性。
应采用密码技术保证通信过程中敏感信息数据字段或整个报文的机密性;
应采用密码技术建立一条安全的信息传输通道,对网络中的安全设备或安全组件进行集中管理。
5).设备和计算安全方面测评要求
应使用密码技术对登录的用户进行身份标识的鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换;
在远程管理时,应使用密码技术的机密性功能来实现鉴别信息的防窃听;
应使用密码技术的完整性功能来保证系统资源访问控制信息的完整性;
应使用密码技术的完整性功能来保证重要信息资源敏感标记的完整性;
应采用可信计算技术建立从系统到应用的信任链,实现系统运行过程中重要程序或完整性保护;
应能采用密码技术的完整性功能来对日志记录进行完整性保护。
6).应用和数据安全方面密评要求
应使用密码技术对登录的用户进行身份标识和鉴别,实现身份鉴别信息的防截获、防假冒和防重用,保证信息系统用户身份的真实性;
应采用密码技术的完整性功能来保证业务信息系统访问控制策略、数据库表访问控制信息和重要信息资源敏感标记等信息的完整性;
应采用密码技术保证重要数据在传输、存储过程中的机密性,包括但不限与鉴别数据、重要业务数据和重要用户信息等;
应采用密码技术保证重要数据在传输过程中的完整性,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要用户信息、重要可执行程序等;
应使用密码技术的完整性功能来实现对日志记录完整性的保护;
应采用密码技术对重要应用程序的加载和卸载进行安全控制。
7).密钥安全管理方面测评要求
第三级信息系统密钥管理应包括对密钥的生成、存储、分发、导入、导出、使用、备份、恢复、归档、销毁等环节进行管理和策略制定的全过程,并满足:
密钥生成
密钥生成使用的随机数应符合GM/T 0005要求,密钥应在符合GM/T 0028的密码模块中产生;密钥应在密码模块内部产生,不得以明文方式出现在密码模块之外;应具备检查和剔除弱密钥的能力。
密钥存储
密钥应加密存储,并采取严格的安全防护措施,防止密钥被非法获取;密钥加密密钥应存储在符合GM/T 0028的二级及以上密码模块中。
密钥分发
密钥分发应采取身份鉴别、数据完整性、数据机密性等安全措施,应能够抗截取、假冒、篡改、重放等攻击,保证密钥的安全性。
密钥导入与导出
应采取安全措施,防止密钥导入导出时被非法获取或篡改,并保证密钥的正确性。
密钥使用
密钥应明确用途,并按用途正确使用;对于公钥密码体制,在使用公钥之前应对其进行验证;应有安全措施防止密钥的泄露和替换;密钥泄露时,应停止使用,并启动相应的应急处理和响应措施。应按照密钥更换周期要求更换密钥;应采取有效的安全措施,保证密钥更换时的安全性。
密钥备份与恢复
应制定明确的密钥备份策略,采用安全可靠的密钥备份恢复机制,对密钥进行备份或恢复;密钥备份或恢复应进行记录,并生成审计信息;审计信息包括备份或恢复的主体、备份或恢复的时间等。
密钥归档
应采取有效的安全措施,保证归档密钥的安全性和正确性;归档密钥只能用于解密该密钥加密的历史信息或验证该密钥签名的历史信息;密钥归档应进行记录,并生成审计信息;审计信息包括归档的密钥、归档的时间等;归档密钥应进行数据备份,并采用有效的安全保护措施。
密钥销毁
应具有在紧急情况下销毁密钥的措施。
8).密码安全管理制度测评要求
应制定密码安全管理制度及操作规范、安全操作规范。密码安全管理制度在包括密码建设、运维、人员、设备、密钥等密码管理相关内容;
应定期对密码安全管理制度的合理性和适用性进行论证和审定,对存在不足或需要改进的安全管理制度进行修订;
应明确相关管理制度发布流程。
根据信息系统的部署方式和实现业务功能,在满足总体性、完备性、经济性原则的基础上,通过部署渔翁(智能密码钥匙、服务器密码机、签名验签服务器、SSL VPN安全网关、安全认证网关、IPSec VPN安全网关、浏览器密码模块(二级)、TF加密卡、电子签章系统、数字证书认证系统、安全门禁系统、时间戳服务器)密码产品,并正确部署配置,以满足信息系统的密码应用需求。
1.物理和环境安全
在信息系统所在机房部署符合GM/T 0036-2014《采用非接触卡的门禁系统密码应用指南》的电子门禁系统,使用SM4 算法进行密钥分散, 实现门禁卡的“ 一卡一密”,并基于SM4算法对人员身份进行鉴别。
在系统环境监控区部署渔翁服务器密码机,实现对电子门禁系统进出记录和视频监控系统视频记录等数据进行完整性保护,密钥存储在服务器密码机中,不涉及密钥分发、导入与导出,密钥的备份与恢复、归档和销毁由密码设备管理员负责。
2.网络和通信安全
在信息系统网络接入区和数据灾备区分别部署渔翁信息IPSec VPN安全网关,对进行数据备份的设备在通信前进行身份鉴别;并建立安全的数据备份传输通道。
在信息系统统一管理区部署符合渔翁SSL VPN 安全网关,建立安全的集中管理通道。
3.设备和计算安全
在信息系统业务办公区PC 端部署安全浏览器,并向系统管理员配发渔翁智能密码钥匙,对登录堡垒机用户进行身份鉴别和远程管理身份鉴别信息传输机密性保护,防止非授权人员登录、管理员远程登录身份鉴别信息被非授权窃取。
在信息系统应用服务区部署渔翁服务器密码机,并在应用服务器外挂渔翁智能密码钥匙,应用服务器中所有重要程序或文件在生成时通过调用服务器密码机使用SM2 数字签名技术进行完整性保护;使用或读取这些程序和文件时,通过智能密码钥匙进行验签以确认其完整性,公钥存放在智能密码钥匙中。
调用部署在应用服务区中的服务器密码机,对应用服务器、数据库服务器等设备日志进行完整性保护。
4.应用和数据安全
在信息系统移动端部署符合渔翁TF加密卡,在网络接入区边界部署渔翁安全认证网关,在系统基础设施区部署渔翁ca数字证书认证系统,通过证书认证系统分别向TF加密卡、安全认证网关配置数字证书,实现移动端登录应用用户的安全身份鉴别,防止非授权人员登录;
在信息系统业务办公区PC 端部署安全浏览器,在业务服务区部署渔翁SSL VPN安全网关,并向相关用户配发智能密码钥匙,实现对PC 端登录应用用户的安全身份鉴别,防止非授权人员登录。
在网络接入区部署渔翁签名验签服务器,使用数字签名技术对统一身份认证系统应用用户访问权限控制列表进行完整性保护,防止应用资源被非授权用户获取。
在业务服务区分别部署渔翁服务器密码机和SSL VPN 安全网关,应用通过调用服务器密码机,对移动端登录用户身份鉴别数据、PC 端登录用户身份鉴别数据、系统中流转的电子公文数据进行传输、存储机密性、完整性保护,实现身份鉴别数据、电子公文数据防窃取和防篡改保护;PC 端安全浏览器与SSL VPN 安全网关之间使用合规的SSL 协议,建立安全的数据传输通道,实现数据传输机密性、完整性保护。
应用通过调用部署在业务服务区的服务器密码机,实现对应用日志记录进行完整性保护,防止应用日志记录被非授权篡改。
在基础设施区部署渔翁电子签章系统、时间戳服务器,使用密码技术对在系统中流转的电子公文数据进行数字签名,并加盖时间戳,实现操作行为的不可否认性。
5.密钥管理安全方面
信息系统选用渔翁智能密码钥匙、SSL VPN 安全网关、IPSec VPN安全网关、签名验签服务器、服务器密码机、时间戳服务器、安全门禁系统、安全电子签章系统、数字证书认证系统、TF加密卡等商用密码产品,根据商用密码产品提供的安全策略,制定密钥管理方案,并严格遵照该方案进行使用和实施。