加速“冬奧標桿”向行業推廣 奇安信發布商密改造方案
“密碼作為基礎設施,是北京冬奧第一個上線的安全專項,也先于所有的信息系統上線。”在不久前BCS2022冬奧網絡安全“零事故”宣講周中,奇安信數據安全相關負責人表示,由奇安信實施的冬奧密碼專項,是冬奧歷史上首次使用國密算法保護信息系統的核心數據,實現了高安全(等保三級),高復雜環境(國內外、云與本地),以及密碼與網絡安全密切配合的密碼服務能力,為密碼項目打造了可向各行業和客戶廣泛推廣的標桿案例。
圖 北京冬奧會涉及業務環境高度復雜
冬奧數據安全建設是一項高度復雜的工程,其目標是實現冬奧數據安全統一管控,確保數據安全和隱私保護工作合規。奇安信作為北京2022年冬奧會和冬殘奧會官方網絡安全服務和殺毒軟件贊助商,按照國家密碼應用安全性評估的要求,遵循“同步規劃、同步建設、同步使用”原則,進行了冬奧會密鑰管理與密碼服務的整體規劃和建設,為網絡通信、重要數據資產提供了密碼安全保護能力,對冬奧會和冬殘奧會網絡運行“零事故”的整體安全目標起到基礎支撐作用。
同時,奇安信也在各地防疫平臺涉疫數據的完整性保護方面做出了重要貢獻。截至目前,奇安信首批完成近20個省份平臺密碼能力的對接,其中采用了奇安信密鑰管理系統、國密密碼應用安全中間件、簽名驗簽服務器、時間戳服務器、服務器密碼機、國密IPsec\SSL VPN、天眼、滲透測試和代碼審計等安全保障產品及服務,確保了各平臺間疫情數據安全傳輸。
基于這些典型案例及長期客戶業務系統商密改造的經驗總結,奇安信從業務系統的復雜性出發,幫助客戶歸納了三類場景及對應的解決方案(如下以等保三級系統為例)。
單業務系統場景
如果客戶需要過密評的業務系統數量少且類型相對單一,只有一個主業務系統,且多以Web方式呈現,提供特定的信息化服務,用戶通過瀏覽器訪問該系統,比如企業協同辦公、公安某些系統,則可以考慮用如下方式進行密碼改造工作。
在密碼應用層,利用底層密碼基礎服務層提供的密碼計算能力及其他密碼服務,以實現終端安全、網絡和通信安全、應用和數據安全,以及設備和計算安全等安全能力,進而對業務系統進行全方位的防護。
在密碼服務層,利用基礎國密或國際密碼算法,以及其所支撐的密碼硬件設備,為上層提供必要的密碼服務。相應平臺應使用符合國家密碼法規和標準規定的商用密碼算法,使用經過國家密碼管理局核準的密碼產品,并遵循GB/T39786-2021《信息安全技術 信息系統密碼應用基本要求》。
單業務系統場景下的密碼應用技術框架圖
奇安信在該場景解決方案中提供的產品主要包括,服務器密碼機、簽名驗簽服務器、時間戳服務器、國密安全密碼應用中間件、智能密碼鑰匙、國密瀏覽器等,隨客戶所需還可以提供,證書認證系統、安全電子簽章系統、協同簽名系統、國密堡壘機等。02
多業務系統場景
相比單業務系統,如果客戶需要過密評的業務平臺較為復雜,可細分成多個子業務系統,業務系統之間可能有數據進行交互。業務平臺所支撐的服務用戶對象較多,用戶類型也比較多,特別是用戶終端PC管理是個難點,這種情況下,就需要全面提升業務系統防護能力。
在密碼應用層,密碼應用層利用底層密碼基礎服務層提供的密碼計算能力及其他密碼服務,實現終端安全、網絡和通信安全、應用和數據安全、以及設備和計算安全等安全能力,對業務系統進行全方位的防護。
在密碼服務層,密碼基礎服務層利用基礎國密或國際密碼算法,以及其所支撐的密碼硬件設備,為上層提供必要的密碼服務。
此外還需要構建密碼資源池,以便多個系統共用密碼資源池所提供的密碼服務,實現靈活的、彈性的安全防護能力。
多業務系統場景下的整體架構圖
奇安信在該場景解決方案中提供的產品主要包括,服務器密碼機、簽名驗簽服務器、時間戳服務器、國密安全密碼應用中間件、安全電子簽章系統、智能密碼鑰匙、SSL VPN安全網關、IPSec VPN安全網關等,隨客戶所需還可以提供,云服務器密碼機、密碼設備管理平臺、密鑰管理系統、證書認證系統、協同簽名系統、國密堡壘機等。
復雜網絡系統場景
正如其名,該場景是最為復雜的場景。如果客戶需要過密評的業務系統跨越多個網絡邊界,可能包括部署在互聯網上的部分,也包含部署在不同專有網絡中的設備,且有互聯互通需求;同時,業務系統機房分散,不同網絡的業務系統處在不用機房,分別進行管理,有些機房可能不具備改造能力;更有,終端設備類型眾多,甚至包含特制移動終端設備及各種物聯網采集設備。這種情況下,就需要實現對上層應用的密碼安全增強。
在密碼應用層,密碼應用層利用底層密碼基礎服務層提供的密碼計算能力及其他密碼服務,實現終端安全、網絡和通信安全、應用和數據安全,以及設備和計算安全等安全能力,對業務系統進行全方位的防護。
在密碼基礎服務層,密碼基礎服務層利用基礎國密或國際密碼算法,以及其所支撐的密碼硬件設備,為上層提供身份認證、數據加密、操作不可否認、數字證書管理等密碼應用所需基礎服務。
復雜網絡系統場景下的整體架構圖
奇安信在該場景解決方案中提供的產品主要包括,服務器密碼機、簽名驗簽服務器、時間戳服務器、智能密碼鑰匙、數字證書認證系統、密碼服務套件、國密瀏覽器、安全電子簽章系統、手機密碼服務平臺、國密堡壘機、密碼應用技術服務等,隨客戶所需還可以提供,IPSec VPN綜合安全網關、SSL VPN等。
冬奧標桿
交付高可用密碼服務
奇安信密改方案中的這些技術理念也應用于冬奧密碼建設工作,為其建設密鑰管理中心(KMC)提供了集中的密鑰管理能力。在資源層,以密碼應用中間件SDK、云密碼機(Cloud HSM)支撐了50+以上的信息系統,并提供字段級數據加密服務能力;在管理層,構建根密鑰、應用主密鑰和工作密鑰的三級密鑰層次結構,并充分考慮密鑰的備份容災等措施,實現了密鑰管理的高可用,在生產環境中生成信息系統主密鑰47個、工作密鑰621個, 共涉及24個信息系統密鑰及12臺密碼機的管理。
交付方案近200個
助力行業客戶應對密評大考
從2018年至今,奇安信持續參與相關標準編寫,熟知部標前后變化和變化背后的業務要求,持續幫助政務、醫療、公安、金融、保密、物流等眾多行業客戶,交付了近200個密碼應用方案,在各部省市客戶的密評及密碼改造工作過程中,積累了一套從規劃、設計、研發、交付到服務的商密改造最佳實踐,有效助力客戶改造后的業務系統符合部標,滿足地方特色需求,實現高效的部署運行,輕松應對密評“大考”。
專家認為,隨著《密碼法》、國標39786等相關法律法規的推出,以及國家對國產商用密碼普及與應用的高度重視,未來商用密碼將迎來極其廣闊的市場。奇安信推出了適用于不同應用場景的商用密碼解決方案及產品,并積極將冬奧密碼實踐成功經驗應用到關基、等保3級及以上信息系統的國密改造上,未來勢必將成為支持國家商用密碼建設的重要力量。
