三大場景化密碼應用解決方案,助力用戶應對密評大考
前言:
2019年10月26日,《中華人民共和國密碼法》頒布(以下簡稱《密碼法》),意味著我國密碼制度奠基完成,從此我國商用密碼應用安全相關標準規范進入體系化建設期。
《政務信息系統密碼應用與安全性評估工作指南》(2020版),為政務信息系統密碼應用與安全性評估實施過程、密碼應用措施和質量保障三個方面提供了重要參照;《信息系統密碼應用基本要求》從GM/T 0054-2018過渡到國標GB/T39786-2021,使得用戶、測試機構和方案設備提供商三方回到了更為熟悉的合規安全建設方法論上來,為密評建設的易落地、易執行打下堅實的基礎。本文通過對啟明星辰輕、中、重三類密碼應用方案做簡要介紹,助力“用戶用好商用密碼,讓商用密碼好用”。
憑借二十余年的合規安全建設經驗,依據我國商用密碼相關法律法規、政策文件和標準規范,結合用戶不同項目需求,啟明星辰集團為用戶提供了輕、中、重三類密評合規建設方案,幫助用戶過密評的同時用好密碼,并讓密碼好用。
啟明星辰輕、中、重密碼應用方案從用戶密評對象業務場景、密評對象業務系統商用密碼應用現狀、用戶規模三個維度出發,為政務系統(等保三級系統)用戶設計三類不同的密碼應用方案,方案簡述如下。
輕量級密碼應用方案針對密評對象業務系統功能單一,如某委辦局級用戶的綜合網站系統(等保三級系統),為管理員提供在日常運行和管理過程中,需要使用密碼技術實現身份鑒別、重要數據機密性和完整性保護、關鍵操作行為不可否認等安全功能。針對該業務場景,結合商用密碼應用需求分析,依據GB/T-39786-2021《信息安全技術 信息系統密碼應用基本要求》,輕量級密碼應用技術架構圖如圖所示。
輕量級政務系統密碼應用技術架構圖
本方案中涉及關鍵密碼產品有SSL VPN安全網關、IPsec VPN安全網關、服務器密碼機系統、簽名驗簽系統、國密UKEY(智能密碼鑰匙)等。
中量級
中量級密碼應用方案的密評對象業務系統功能相對復雜,以某部廳局級用戶OA系統為例,OA系統是用戶日常辦公的重要信息系統,為本地和遠程各級領導及辦公人員提供業務審批、公文簽批、公文辦理、公文管理等業務過程的信息化管理。\
該系統已經完成等保建設,根據GB/T-39786-2021《信息安全技術 信息系統密碼應用基本要求》,中量級密碼應用方案從物理和環境安全、網絡與通信安全、設備和計算安全、應用和數據安全、安全管理等層面,進行密碼應用需求分析和密碼應用方案設計,中量級密碼應用技術架構圖如圖所示。
中量級政務系統密碼應用技術架構圖
本方案涉及的關鍵密碼產品有SSL VPN安全網關、IPsec VPN安全網關、服務器密碼機系統、簽名驗簽系統、協同簽名系統、國密UKEY(智能密碼鑰匙)、電子簽章系統、證書認證系統、密碼服務平臺等。
重量級
重量級密碼應用方案密評對象所涉及的信息系統通常較為復雜,例如云計算、大數據、物聯網、工業控制系統等復雜系統結構,業務系統功能呈平臺化、服務化、終端多樣化等特點,涉及的業務系統數量較多。
此類復雜信息系統的密碼應用建設應重點關注三個方面內容:
- 一是信息系統支撐平臺的密碼應用,主要解決物理和環境安全、網絡與通信安全、設備和計算安全層面的密碼相關安全問題;
- 二是云計算平臺須利用平臺化、服務化的密碼服務中間件為上層業務應用提供密碼功能支撐;
- 三是上層業務系統的場景化密碼應用,主要在云資源管理和云上各類業務的應用與數據安全層面,利用密碼技術處理具體實際業務邏輯中存在的安全與合規問題,形成利用密碼技術保護的具體業務處理機制和流程,也是整個密碼安全應用保障工作的重中之重;
以某省級政務外網和政務云平臺為例,該系統已經完成等保建設,根據GB/T-39786-2021《信息安全技術 信息系統密碼應用基本要求》,從物理和環境安全、網絡與通信安全、設備和計算安全、應用和數據安全、安全管理等層面,進行密碼應用需求分析和密碼應用方案設計,重量級密碼應用技術架構圖如圖所示。
重量級政務系統密碼應用技術架構圖
本方案涉及的關鍵密碼產品有 SSL VPN安全網關、IPsec VPN安全網關、密碼服務平臺、服務器密碼機系統、簽名驗簽系統、協同簽名系統、時間戳系統、國密UKEY(智能密碼鑰匙)、證書認證系統、文件/數據庫加密、電子簽章系統、安全電子門禁、安全視頻監控等。
目前我國密評、密改工作還在建設的起步期,密評、密改建設和等保建設不同,密碼應用與用戶的業務系統有著緊密的聯系,密碼應用方案設計必須服務于業務系統“用好商用密碼、商用密碼好用”這一目標,而非簡單的通過密評。啟明星辰集團采用輕、中、重這種依據不同業務場景,面向不同級別業務系統的場景化方案設計思路,助力“用戶用好商用密碼,讓商用密碼好用”,持續推進國家商密事業穩健前行。
