一.方案介绍
密评改造方案针对密码应用安全性评估相关标准规范,基于物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全、密钥安全角度进行统一规划设计。方案以渔翁自有商密产品为基础,充分整合密码应用需求,帮助用户建立一套安全、合规、完整、有效的密码应用体系;方案符合GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》中对于不同等级信息系统的密码应用要求。
二.行业背景
1.密码作为网络安全的核心技术与基础支撑,是国家安全的重要战略资源;
2.近年来,国内外大规模数据泄露事件频发,对密码技术提出了更高要求;
3.当前国内密码存在应用不广泛、应用不规范、应用不安全等诸多的问题;
4.国家颁布实施一系列法律法规,大力推动商用密码应用标准化、常态化。
1)风险分析
1.物理和环境风险
——存在门禁卡被复制、身份被假冒、数据被篡改风险。
2.网络和通信风险
——存在用户身份被假冒、通信数据泄露、信息被篡改风险。
3.设备和计算风险
——存在管理员身份被假冒、系统镜像、关键配置文件被篡改风险。
4.应用和数据风险
——存在用户身份被假冒、访问控制权限扩散、敏感数据泄露、信息被篡改风险。
5.密码算法风险
——国际通用密码算法存在后门植入等不可控安全风险。
2)政策要求
《中华人民共和国密码法》
——明确关键信息基础设施必须依法使用商用密码进行保护。
《国家政务信息化项目建设管理办法》
——明确电子政务领域密码应用安全性评估工作常态化。
《金融和重要领域密码应用与创新发展工作规划(2018—2022)》
——明确重要领域信息系统密码应用试点方向。
3)密评中的改造难点
1.密评改造牵扯到的业务量大,加上产业人才短缺,开发门槛又不高,都不知道从哪开始改造。
2.密码算法产品和运用三者存在脱节,密码技术运用就运维管理就更加复杂了。
3.加上密码法颁布,国家对密评工作提出了明确要求,要想通过密评就要把公司应用系统中不符合要求的项目都处理一下,这里面都涉及了大量的开发工作,密评改造成本自然就高了。
4.由于基础密码服务厂商提供的是产品级服务,不同行业甚至不同用户的信息系统也各不相同,所使用的密码服务也可能存在差异。这导致用户需要花费更多时间和精力来协调基础密码服务厂商和信息系统开发商之间的合作,
5.甚至可能出现扯皮现象。在密码服务方面,定制化的需求是不可避免的。基础密码服务厂商应该意识到不同行业和用户的特殊需求,并根据实际情况进行灵活调整。这样一来,用户将能够更轻松地获得满足其特定需求的密码服务,减少协调的工作量。
4)密改解决方案应用场景
1.密评的主要对象包括关键基础设施、等保三级及以上系统、国家政务系统等重要信息系统,其运营者应当使用商用密码进行保护,开展商用密码应用安全性评估,通过商用密码应用安全性评估方可投入使用。
2.涉及国家安全和社会公共利益的重要领域网络和信息系统的建设、使用、管理单位应当健全密码保障体系,实施商用密码应用安全性评估。
3.重要领域网络和信息系统包括:基础信息网络、涉及国计民生和基础信息资源的重要信息系统、重要工业控制系统、面向社会服务的政务信息系统,以及关键信息基础设施、网络安全等级保护第三级及以上信息系统。
4.关键信息基础设施是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施。
三.方案特点
1.密码应用全覆盖
2.密码算法全替代
四.方案优势
1.密改解决方案优势是利用渔翁信息完善的商用密码产品体系,实现密码应用全覆盖,为客户提供一站式密码服务。
2.依托渔翁信息完善的商用密码生态体系,与多家CA机构、电子签章厂商、安全浏览器厂商等相关产品完成兼容性认证,有效降低项目实施风险。
3.全面适配国产化软、硬件平台,满足各类计算环境下的密码建设要求。
客户收益
合规性
全面采用经国家密码管理局商用密码检测中心认证通过,并取得商用密码产品认证证书的密码产品。
安全性
全面采用SM系列国产密码算法,实现关键技术安全可控。
五.方案架构
六.成功案例
1)政务
工信部政务云密码应用项目
上海市市场监督管理局密码应用信创项目
广东省中山市政务云密码应用项目
安徽省蚌埠市OA和电子公文系统密码应用项目
山东省滨州市人力资源社会保障RA系统升级项目
山东省潍坊市住房公积金管理中心身份认证系统升级改造项目
河南省生态环境厅办公系统密码应用建设项目
河南省郑州市国土资源局密码基础设施建设项目
河南省住建厅办公系统密码应用项目
2)大数据
上海市大数据资源平台密码应用项目
新疆曙光云平台密码基础设施运营项目
上海市普陀区大数据中心密码资源池建设项目
河南省许昌市大数据中心密码应用信创项目
吉林省祥云密码资源池应用项目
3)物联网
中国移动物联网密码支撑平台项目
4)公安
北京市公安局公务用车定位管理系统
5)邮政
中国邮政储蓄银行移动电子展业移动安全接入平台项目
6)教育
山东省招生考试信息平台密码应用项目
7)证券
银河证券网上交易系统国密改造项目