龙摄天下摄影团
长岛的雪密码安全合规组织单位如何构建商⽤密码应⽤安全体系?近⽇,《政务信息系统密码应⽤与安全性评估⼯作指南》公开发布,⽤于引导⾮涉密国家政务信息系统建设单位和使⽤单位规范开展商⽤密码应⽤与安全性评估⼯作。
那么,商⽤密码应⽤有哪些要求?组织单位如何有效构建商⽤密码应⽤安全体系? 多媒体技术的发展
商⽤密码应⽤要求
商⽤密码应⽤系统是指采⽤商⽤密码产品或者含有密码技术的产品集成建设的,实现相关信息的机密性、完整性、真实性、抗抵赖性等功能的应⽤系统。国家密码管理局于2018年2⽉8⽇正式发布实施了中华⼈民共和国密码⾏业标准GM/T 0054-2018《信息系统密码应⽤基本要求》,该标准提出了总体要求、密码功能要求、密码技术应⽤要求、密钥管理和安全管理共五个部分的内容。 信息系统密码应⽤基本要求
在总体要求中,提出了符合商⽤密码管理的相关规定,满⾜标准规范的相关要求,包括密码算法、密码技术、密码产品、密码服务。
在密码功能要求中,规定了信息系统中需要使⽤密码技术保护的对象,包括机密性、完整性、真实性、不可否认性。
在密码技术应⽤要求中,规定了密码技术的应⽤要求,要求项依据等级增加和增强,包括物理和环境安全、⽹络和通信安全、设备和计算安全、应⽤和数据安全。
在密钥管理中,对密钥的全⽣命周期提出了要求,包括密钥⽣成、密钥存储、密钥分发、密钥导⼊与导出、密钥使⽤、密钥备份与恢复、密钥归档、密钥销毁。
在安全管理中,规定了密码安全管理要求,包括制度、⼈员、实施、应急,其中实施分为规划、建设、运⾏。
商⽤密码应⽤安全解决⽅案
基于商⽤密码应⽤安全的发展⽅向,配合⽹络运营者安全需求与安全建设,深信服提出了商⽤密码应⽤安全解决⽅案,在《中华⼈民共和国密码法》正式施⾏的新时代下为各⾏业信息化发展提供借鉴与参考。
构建商⽤密码应⽤安全体系框架
商⽤密码应⽤安全体系框架由密码安全能⼒⽀撑和密码安全服务⽀撑两部分组成。其中密码安全能⼒包含了密码资源、密码⽀撑、密码服务、密码应⽤以及密码管理基础设施。密码安全服务包含了技术要求、管理要求和密钥管理。
lancet
商⽤密码应⽤系统
密码安全能⼒包含了密码资源、密码⽀撑、密码服务、密码应⽤以及密码管理基础设施。其中密码应⽤层调⽤密码服务层提供的密码应⽤接⼝,实现所需的数据加密和解密、数字签名和验签等功能,为信息系统提供安全功能应⽤或服务。
密码服务层提供密码应⽤接⼝,分为对称密码服务、公钥密码服务及其他密码服务三⼤类,为上层应⽤提供数据机密性保护、数据完整性保护、数据真实性保护、不可否认性等功能。
密码⽀撑层提供密码资源调⽤,由安全芯⽚类、密码模块类、密码整机类等各类密码产品组成,如可信密码模块、智能IC卡、密码卡、服务器密码机等。
密码资源层提供基础性的密码算法资源,底层提供序列、分组、公钥、杂凑、随机数⽣成等基础密码算法;上层以算法软件、算法IP核、算法芯⽚等形态对底层的基础密码算法进⾏封装。
密码安全服务包含了技术要求、管理要求和密钥管理。技术要求提出四⼤安全层⾯,分别为物理和环境、⽹络和通信、设备和计算、应⽤和数据,每个安全层⾯分别对密码模块进⾏要求;管理要求包括管理制度、⼈员管理、建设运⾏、应
设备和计算、应⽤和数据,每个安全层⾯分别对密码模块进⾏要求;管理要求包括管理制度、⼈员管
理、建设运⾏、应急处置;密钥管理对密钥的全⽣命周期进⾏控制,包括密钥⽣成、密钥存储、密钥分发、密钥导⼊与导出、密钥使⽤、密钥备份与恢复、密钥归档、密钥销毁。
推进关键领域商⽤密码应⽤安全合规⼯作
商⽤密码应⽤安全性评估是指对采⽤商⽤密码技术、产品和服务集成建设的⽹络和信息系统密码应⽤的合规性、正确性、有效性进⾏评估。该项评估⼯作主要依据GM/T 0054-2018《信息系统密码应⽤基本要求》,对信息系统的规划、建设、运⾏三个阶段的密码应⽤情况安全性评估进⾏了详细的规定,评估的基本原则是要做到合规性、正确性和有效性。
商⽤密码应⽤安全性评估
坠入魔法世界在信息系统规划阶段,依据商⽤密码技术相关标准,为⽹络运营者制定商⽤密码应⽤安全规划建设⽅案,保障商⽤密码应⽤安全建设的有效落地与评估⼯作的顺利开展。
在信息系统建设阶段,委托具有相关资质的测评机构进⾏商⽤密码应⽤安全性评估,评估结果作为项⽬建设验收的必备材料,评估通过后,⽅可投⼊运⾏。
在信息系统运⾏阶段,积极配合具有相关资质的测评机构定期开展商⽤密码应⽤安全性评估,保障商⽤密码应⽤系统顺利通过评估。其中,关键信息基础设施、⽹络安全等级保护第三级及以上信息系统
、政务信息系统每年⾄少评估⼀次。
此外,在电⼦政务、教育、医疗、⾦融等关键领域,参照《政务信息系统密码应⽤与安全性评估⼯作指南》等指导⽂件,建⽴以基础应⽤平台体系、密码运营服务保障体系、密码应⽤标准规范体系为⼀体的商⽤密码⽀撑体系。
探索商⽤密码在新技术中的应⽤
深信服以建⽴、健全⽹络安全综合防护体系为⽬标,持续提升系统整体⽹络安全防护能⼒。为满⾜商⽤密码应⽤安全的能⼒要求,应⽤基于APDRO(智能/防御/检测/响应/运营)能⼒模型的安全保护框架,使信息系统具备安全可视、持续检测和协同防御等安全能⼒,提升⽹络安全解决⽅案整体价值。整体技术体系完善⽹络安全防护技术措施,加强系统⽹络安全防护能⼒;管理体系建⽴⽹络安全管理制度、⼈员管理、实施管理和应急管理要求,加强系统⽹络安全管理能⼒;运营体系打造⽹络安全运营中⼼,提升系统全⽣命周期⽹络安全保护能⼒。
在物理和环境安全层⾯,部署具有密码模块的电⼦门禁系统、视频监控系统;通过服务器密码机、加密存储设备、视频加密系统等实现⾳视频数据完整性保护。
在⽹络和通信安全层⾯,通过数字证书认证系统确保设备及⼈员⾝份的真实性;通过商密IPSec/SSL
VPN实现⽹络逻辑边界的管控,构建内部⽹络的管理⽹;通过内部的⽹络边界控制机制,实现⽹络边界的完整性保护;通过服务器密码机对访问控制信息计算MAC或签名后保存,保证访问控制信息的完整性。
矛盾农村三部曲在设备和计算安全层⾯,通过智能密码钥匙对设备管理员的登录操作进⾏⾝份鉴别;通过服务器密码机对通⽤设备的重要审计信息、⽇志记录、系统资源访问控制信息等进⾏数字签名、MAC计算,保证信息的完整性;通过数字证书认证系统为可信安全单元提供根CA证书,实现可信计算密码模块⽀撑平台。采⽤硬件密码产品实现密钥管理、⾝份鉴别、数据加解密、MAC计算、数字签名计算等功能。
在应⽤和数据安全层⾯,通过动态⼝令系统对设备管理员的登录操作进⾏⾝份鉴别;通过电⼦签章系统对重要应⽤程序的操作员⾝份进⾏鉴别,确保仅具备权限的操作员才可以对重要应⽤程序执⾏加载和卸载操作。
在新技术安全领域,以云计算为技术框架模型的基础上,构建云密码服务资源池,为实现服务统⼀调⽤,整合云计算平台、云安全服务平台、云密码服务平台为⼀体的深信服云计算统⼀平台,为云上业务系统提供⽹络资源、计算资源、存储资源、安全资源、密码服务资源等综合服务。
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议