三大场景化密码应用解决方案,助力用户应对密评大考
前言:
2019年10月26日,《中华人民共和国密码法》颁布(以下简称《密码法》),意味着我国密码制度奠基完成,从此我国商用密码应用安全相关标准规范进入体系化建设期。
《政务信息系统密码应用与安全性评估工作指南》(2020版),为政务信息系统密码应用与安全性评估实施过程、密码应用措施和质量保障三个方面提供了重要参照;《信息系统密码应用基本要求》从GM/T 0054-2018过渡到国标GB/T39786-2021,使得用户、测试机构和方案设备提供商三方回到了更为熟悉的合规安全建设方法论上来,为密评建设的易落地、易执行打下坚实的基础。本文通过对启明星辰轻、中、重三类密码应用方案做简要介绍,助力“用户用好商用密码,让商用密码好用”。
凭借二十余年的合规安全建设经验,依据我国商用密码相关法律法规、政策文件和标准规范,结合用户不同项目需求,启明星辰集团为用户提供了轻、中、重三类密评合规建设方案,帮助用户过密评的同时用好密码,并让密码好用。
启明星辰轻、中、重密码应用方案从用户密评对象业务场景、密评对象业务系统商用密码应用现状、用户规模三个维度出发,为政务系统(等保三级系统)用户设计三类不同的密码应用方案,方案简述如下。
轻量级密码应用方案针对密评对象业务系统功能单一,如某委办局级用户的综合网站系统(等保三级系统),为管理员提供在日常运行和管理过程中,需要使用密码技术实现身份鉴别、重要数据机密性和完整性保护、关键操作行为不可否认等安全功能。针对该业务场景,结合商用密码应用需求分析,依据GB/T-39786-2021《信息安全技术 信息系统密码应用基本要求》,轻量级密码应用技术架构图如图所示。
轻量级政务系统密码应用技术架构图
本方案中涉及关键密码产品有SSL VPN安全网关、IPsec VPN安全网关、服务器密码机系统、签名验签系统、国密UKEY(智能密码钥匙)等。
中量级
中量级密码应用方案的密评对象业务系统功能相对复杂,以某部厅局级用户OA系统为例,OA系统是用户日常办公的重要信息系统,为本地和远程各级领导及办公人员提供业务审批、公文签批、公文办理、公文管理等业务过程的信息化管理。\
该系统已经完成等保建设,根据GB/T-39786-2021《信息安全技术 信息系统密码应用基本要求》,中量级密码应用方案从物理和环境安全、网络与通信安全、设备和计算安全、应用和数据安全、安全管理等层面,进行密码应用需求分析和密码应用方案设计,中量级密码应用技术架构图如图所示。
中量级政务系统密码应用技术架构图
本方案涉及的关键密码产品有SSL VPN安全网关、IPsec VPN安全网关、服务器密码机系统、签名验签系统、协同签名系统、国密UKEY(智能密码钥匙)、电子签章系统、证书认证系统、密码服务平台等。
重量级
重量级密码应用方案密评对象所涉及的信息系统通常较为复杂,例如云计算、大数据、物联网、工业控制系统等复杂系统结构,业务系统功能呈平台化、服务化、终端多样化等特点,涉及的业务系统数量较多。
此类复杂信息系统的密码应用建设应重点关注三个方面内容:
- 一是信息系统支撑平台的密码应用,主要解决物理和环境安全、网络与通信安全、设备和计算安全层面的密码相关安全问题;
- 二是云计算平台须利用平台化、服务化的密码服务中间件为上层业务应用提供密码功能支撑;
- 三是上层业务系统的场景化密码应用,主要在云资源管理和云上各类业务的应用与数据安全层面,利用密码技术处理具体实际业务逻辑中存在的安全与合规问题,形成利用密码技术保护的具体业务处理机制和流程,也是整个密码安全应用保障工作的重中之重;
以某省级政务外网和政务云平台为例,该系统已经完成等保建设,根据GB/T-39786-2021《信息安全技术 信息系统密码应用基本要求》,从物理和环境安全、网络与通信安全、设备和计算安全、应用和数据安全、安全管理等层面,进行密码应用需求分析和密码应用方案设计,重量级密码应用技术架构图如图所示。
重量级政务系统密码应用技术架构图
本方案涉及的关键密码产品有 SSL VPN安全网关、IPsec VPN安全网关、密码服务平台、服务器密码机系统、签名验签系统、协同签名系统、时间戳系统、国密UKEY(智能密码钥匙)、证书认证系统、文件/数据库加密、电子签章系统、安全电子门禁、安全视频监控等。
目前我国密评、密改工作还在建设的起步期,密评、密改建设和等保建设不同,密码应用与用户的业务系统有着紧密的联系,密码应用方案设计必须服务于业务系统“用好商用密码、商用密码好用”这一目标,而非简单的通过密评。启明星辰集团采用轻、中、重这种依据不同业务场景,面向不同级别业务系统的场景化方案设计思路,助力“用户用好商用密码,让商用密码好用”,持续推进国家商密事业稳健前行。
