冬训营丨商用密码应用建设解决方案

时间 :  2022年01月28日  来源:  安天


随着数字化、网络化、智能化的深入发展,大数据、云计算、区块链、AI等技术的变革,不断催生出各行业的新业态,但同时也导致网络安全隐患不断提高。网络安全日益强调全域安全,强信任、强安全、强可控、强防护成为必然要求,必须以规范使用国家认可的密码技术为基础,以系统性、整体性和协同性为原则,构建以密码为基石的网络空间新安全。本方案在密码法、GB/T 39786等密码标准上,构建了以商用密码为核心的信息系统安全防护体系,并在物联网、工业、移动办公等场景进行密码方案设计,解决了密码应用不正确、不规范、不安全等问题。

从2019年年底正式颁布密码法,到去年10月正式实施密码GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》,密码应用和测评标准逐步形成规范,从而促进相关行业开始逐步建设并使用密码。今天从密评概述、密码应用合规方案设计、特殊场景密码建设方案和密码相关产品简介四个方向来给大家进行简单的密码建设介绍。

1.密评概述

1.1 密评定义

目前,商用密码应用形式并不乐观,普遍存在密码应用不广泛、不规范和不安全等问题。为了解决商用密码应用中存在的突出问题,通过“密评”的方式,以评促建、以评促改和以评促用,来逐步规范商用密码的使用和管理。

“密评”全称是:商用密码应用安全性评估,是指对采用商用密码技术、产品和服务集成建设的网络与信息系统密码应用的合规性、正确性、有效性进行评估。所以,开展“密评”是为了解决商用密码应用中存在的突出问题,为网络和信息系统的安全提供科学评价方法,逐步规范商用密码的使用和管理。从根本上改变商用密码应用不广泛、不规范、不安全的现状,确保商用密码在网络和信息系统中有效使用,切实构建起坚实可靠的网络安全密码屏障。

1.2 密评对象

图1 密评对象

1.3 密评相关角色及工作

密评角色包含系统责任单位(密码使用单位)、密码服务提供商和测评机构,系统责任单位负责系统规划、建设实施、运行验收和应急预案。密码服务提供商负责密码产品供给、解决方案编制、系统集成和密码服务提供。测评机构负责密码技术基本测评和密码技术应用测评。三方角色在工作中都包含三个阶段:规划阶段、建设阶段和运行阶段。责任单位应当在系统规划、建设和运行阶段,组织开展商用密码应用安全性评估工作,然后协同密码服务提供商进行密码建设,建设完成后委托由国家密码管理部门认定的密码测评机构开展测评。

规划阶段的密评主要是对密码应用方案进行审查;建设和运行阶段的密评主要是对照密码应用方案对系统的安全性开展评估。在系统发生密码相关重大安全事件、重大调整或特殊紧急情况,应及时组织测评机构开展商用密码应用安全性评估。测评机构完成密评工作后,应在30个工作日内将评估结果报国家密码管理部门备案。责任单位完成规划、建设、运行和应急评估后,应在30个工作日内将评估结果报主管部门及所在地区(部门)密码管理部门备案。其中等保3级及以上的信息系统,评估结果应同时报所在地区公安部门备案。

1.4 密评标准

· GB/T 39786-2021《信息系统密码应用基本要求》

· 《信息系统密码测评要求》(试行)

· 《信息系统密码测评过程指南》

· 《商用密码应用安全性评估管理办法》(试行)

· 《商用密码应用安全性评估作业指导书》

· 《商用密码应用安全性评估测评工具使用需求说明》

2.密码应用合规方案设计

2.1 密码应用建设需求

图2 密码应用建设需求图

2.2 密码应用合规方案架构

图3 密码应用合规方案架构图

2.3 密码技术建设

物理和环境安全密码建设:门禁系统改造。

建设方法:更换符合GM/T 0036-2014《采用非接触卡的门禁系统密码应用指南》标准要求,并取得商用密码产品型号证书的门禁系统,使用国密算法进行密钥分散,实现门禁卡的“一卡一密”,并基于国密算法对人员身份进行鉴别,通过门禁系统厂家配合整改完成人员出入记录的完整性保护。

网络和通信安全密码建设:包含站到站的密码建设和端到站的密码建设。

建设方法:1、在分支机构网络出口处和企业内网网络出口处成对部署IPSEC VPN,通过IPSEC VPN建立IPSEC加密信道,进行站到站的网络链路安全防护,完成传输链路的数据机密性和完整性以及身份真实性校验。2、在网络边界部署符合国密标准的SSL VPN设备,在客户端部署国密浏览器,通过国密浏览器和SSL VPN设备建立SSL加密信道,保障通信过程中数据的机密性和完整性以及身份真实性校验。

设备和计算安全密码建设:包含设备管理员及远程运维人员的身份鉴别和设备日志的完整性校验。

建设方法:1、关闭设备的本地登录,远程运维人员通过具有密码功能的堡垒机,使用堡垒机的人员身份鉴别功能,实现设备的远程安全管理及登录用户身份鉴别。2、设备厂家对设备进行升级改造,添加密码模块和设备数字证书,在日志生成时进行数字签名。后续查看调用日志时进行签名验签,完成设备日志的完整性校验。

应用和数据安全密码建设:包含管理员登陆身份鉴别、重要数据传输加密和数据存储加密。

建设方法:1、数据中心部署服务器密码机,通过应用系统配合整改,在系统管理员登录时,安全中间件调用服务器密码机生成签名挑战,与管理员交换挑战值后签名验签,完成身份鉴别。2、安全中间件调用密码机接口,提交原始数据及密钥,通过服务器密码机加密后传输至管理员客户端,客户端通过调用USBKey进行解密,完成数据传输加密。3、应用系统通过密钥管理系统进行加密密钥查询,安全中间件调用密码机接口,提交原始数据及密钥,通过服务器密码机加密后写入到存储系统,完成数据存储加密。

2.4 密码管理建设

证书认证体系:证书认证体系是密码应用系统建立的核心环节,身份认证、完整性校验、抗抵赖等机制均需要数字证书进行支撑。证书认证体系包含根CA、工作CA、KMC、OCSP、注册中心RA等。证书体系可以采用证书租用的方式实现,并且证书系统可以全面支撑非对称密钥的全生命周期管理。

密钥管理体系:目前以密钥管理系统为主,通过密钥管理系统完成对称密钥的全生命周期管理。密钥管理系统需要配合服务器密码机,并且该服务器密码机不能同业务系统共用。

统一密码服务平台:针对密码基础设施的统一管理,统一运维平台。同时它也是一个密码基础设施,整合密码资源,向上交付一套密码微服务。包含身份认证、密钥管理、证书管理、密码计算等功能。

2.5 密码部署方案

图4 密码应用合规方案整体部署图

3.特殊场景密码建设方案

3.1 物联网场景

物联网一般为“云-管-端”三层架构,所以物联网安全风险主要集中在应用层和感知层,应用层风险包含来自网络的攻击、伪装的感知终端攻击和数据窃取;感知层风险包含来自网络的控制指令和异常指令攻击、伪装云端应用控制指令和异常指令攻击和本地数据窃取。

根据物联网安全风险,制定物联网安全防护技术路线,主要包含网络隔离技术、协议白名单技术、基于PKI/CA体系的身份认证技术、基于VPN和应用层的数据加密技术。

图5 物联网安全密码防护思路图

3.2 工业控制场景

工业控制系统属于比较特殊的场景,工业控制系统以“可用性”为第一安全需求,而传统信息系统以“机密性”为第一安全需求。在信息安全的三个属性“机密性、完整性、可用性”中,传统安全的优先顺序是机密性、完整性、可用性,而工业控制系统则是可用性、完整性、机密性。结合工控系统的可用性、实时性、连续性和稳定性四大特点,建立工业控制系统与密码的技术融合机制,包括密码组件的形态选择、工业协议和工控设备的适配改造、密码应用机制选择等。通过建立基于密码技术的信任边界和数据与指令的可信任交互,使密码技术成为工业控制系统的内生安全基因。

图6 工业控制安全密码防护思路图

3.3 移动办公场景

移动办公场景主要针对移动办公系统网络层、设备层和应用层安的全防护。使用基于PKI/CA的身份认证技术、VPN和应用层数据加密技术以及APP数字签名技术,通过移动端SDK、安全认证网关、证书认证系统和统一密码服务平台等密码产品来实现。移动终端侧密码模块一般以SDK形式嵌入在移动端APP中。

图7 移动办公场景密码防护思路图

3.4 视频监控场景

视频监控的密码建设主要视频监控场景主要包含新建视频监控系统解决方案和已有视频监控系统改造方案。方案依据GB/T 35114-2017《公共安全视频监控联网信息安全技术要求》进行整体规划建设。

新建系统通过提供一整套包含安全功能在内的完整的视频监控系统的方式(包含集成密码模块的摄像头、视频监控密码机、密钥管理系统、数字证书认证系统和USBKey),实现视频监控系统安全合规。

图8 新建视频监控系统密码部署图

已建系统在原有的视频监控系统的基础上,通过额外部署视频安全转换器、视频安全服务系统、视频安全密码服务支撑平台等密码设备,重点保障摄像头与视频监控业务系统之间的身份认证及视频通信传输加密,满足部分GB/T 35114标准要求,其他部分还需视频监控系统应用自身进行改造。

图9 已建视频监控系统密码部署图

4.密码相关产品简介

4.1 重点密码产品:统一密码服务平台

图10 统一密码服务平台产品架构图

4.2 重点密码产品:定制化密码板卡/模组

图11 定制化密码板卡/模组

4.3 其他密码产品简介

图12 密码建设应用产品清单