密码是网络信息安全的基础和核心,是国家网络信息建设的重要组成部分。然而长期以来,我国网络信息系统的密码算法和密码设备等大部分被国外产品垄断,一些国际算法诸如RSA预留后门、RSA1024算法风险、MD5被破解等事件让我国信息化建设面临极大的安全挑战。
采用国产密码产品和技术或对现有信息系统进行国密改造,满足《密码法》、GM/T 0054-2018 等国家发布的密码行业政策标准等,以实现密码自主可控、安全可靠是保障网络安全的终极举措。
目前不少信息系统存在国产密码算法应用不合规、未使用、或者使用不规范等问题,而密码是保障网络安全的核心技术和基础支撑,在保证信息的机密、保证信息的真实性、保证数据的完整性、保证行为等方面有着不可替代的重要作用,可以说,各类信息系统的密码改造工作迫在眉睫。
渔翁信息作为中国国产密码产品及方案领航者,积极响应国家自主可控战略。凭借自身技术优势,以国家等级保护相关政策和标准为依据,以信创密码产品为基础,助力用户完成密码算法及密码应用方式的改造工作。
渔翁国密改造方案是将密码应用建设统筹至整体安全建设中,通过健全网络和信息系统网络安全保障体系,完善密码基础设施,提升密码适用管理水平,推进密码在应用系统身份认证、安全隔离、信息加密、信息数据保护等方面的应用。项目建成后,应用系统平台应符合GM/T0054-2018《信息系统密码应用基本要求》中,以及等保三级信息系统密码应用安全性评估的标准。
1.总体性原则
通过从整体层面,对应用系统的密码应用开展顶层设计,明确密码应用需求和预期目标,并与应用系统网络安全保护等级相结合,通过成体系的设计形成涵盖技术、管理、实施保障的整体改造方案,为在应用系统中落实密码应用相关要求奠定基础。
2.完备性原则
围绕应用系统实际业务应用与安全保护等级,站在整体角度,通过自上而下的体系化设计,综合考虑物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全等多个层面密码应用需求,设计本系统改造方案。
3.经济性原则
结合应用系统规模,在合理、够用的前提下设计满足《基本要求》的国产密码应用改造方案,确保应用系统密码应用改造投资合理,规模适度,避免资金浪费和过度保护。
4.产品一致性原则
所选国密产品优先选用经市场检验、技术成熟的产品或设备。为保证国密设备的兼容性与工作稳定性,结合国密产品的实际组成架构,优先选择国密产品本身与其内置密码模块为同一品牌的产品。
1.全面应用信创密码技术,符合合规性要求。
落实等级保护和GMT 0054密码测评要求,构建符合网络安全标准的密码服务体系,满足应用系统密码应用的安全性、合规性要求。
2.构建信创密码资源池,提供统一高效的密码服务。
实现密码资源的高效利用,为应用系统提供统一的密码管理服务,解决传统密码设备应用的接口不统一、扩展性差、管理维护难等问题。
3.全方位应用国产密码技术,保障数据安全交换共享。
实现应用系统数据的安全采集、传输、交换和共享,构建数据全生命周期安全保障体系。
4.可视化密码服务平台,实时掌握密码应用态势。
通过对密码服务调用情况、密码设备运行情况、密码算法应用情况等进行可视化分析与展示,降低运维管理难度。
根据GM/T 0054-2018《信息系统密码应用基本要求》的第三级别标准,结合密码应用测评结果,此次国密改造方案从总体要求(密码算法、密码技术、密码产品、密码服务)、物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全、密钥管理、安全管理等方面进行密码应用需求与安全风险分析,按照“整体规划、安全合规、集约高效、按需服务”的原则,通过部署渔翁密码产品,并正确部署配置,保障应用系统平台数据在传输、存储、使用过程中的身份认证、数据保密性、完整性和不可否认性。
围绕用户信息化建设和发展对网络与信息安全的实际要求,以安全需求为导向,建设信息系统密码应用整体改造方案的工作,应参照以下重要文件、方案和规范:
1.信息系统密码应用建设依据
《国务院办公厅关于印发国家政务信息化项目建设管理办法的通知》国办发【2019】57号
《国务院办公厅转发密码局等部门关于-金融领域密码应用指导意见的通知》
《基于云计算的电子政务电子认证服务应用指南(征求意见稿)》
《移动电子政务电子认证服务应用指南(征求意见稿)》
《关于进一步做好信息安全等级保护工作的意见》
《国务院关于印发促进大数据发展行动纲要的通知》
《政务服务中心网上服务规范》
《中华人民共和国电子签名法》
《电子认证服务密码管理办法》
《电子认证服务管理办法》
《信息安全等级保护商用密码技术要求》
《网络安全等级保护条例(征求意见稿)》
《网络安全等级保护基本要求》
《密码服务接入指南》(业务接入)
《监管信息外推要求》(接口由监管系统的定义)
《典型密码服务镜像格式要求》
《可控身份管理统一接入规范》
2.密码产品与密码技术标准规范
GM/T 0002-2012《SM4分组密码算法》
GM/T 0003-2012《SM2椭圆曲线公钥密码算法》
GM/T 0004-2012《SM3密码杂凑算法》
GM/T 0006-2012《密码应用标识规范》
GM/T 0009-2012《SM2密码算法使用规范》
GM/T 0015-2012《基于SM2密码算法的数字证书格式规范》
GM/T 0017-2012《智能密码钥匙密码应用接口规范》
GM/T 0018-2012《密码设备应用接口规范》
GM/T 0019-2012《通用密码服务接口规范》
GM/T 0024-2014《SSL VPN技术规范》
GM/T 0025-2014《SSL VPN网关产品规范》
GM/T 0027-2014《智能密码钥匙技术规范》
GM/T 0028-2014《密码模块安全技术要求》
GM/T 0029-2014《签名验签服务器技术规范》
GM/T 0030-2014《服务器密码机技术规范》
GM/T 0033-2014《时间戳接口规范》
GM/T 0034-2014《基于SM2密码算法的证书认证系统密码及其相关安全技术规范》
GM/T 0035-2014《射频识别系统密码应用技术要求》
GM/T 0036-2014《采用非接触卡的门禁系统密码应用技术指南》