保险投保系统密码应用方案研究与设计

摘 要：

当前，信息化管理广泛应用到生活中的各个场景，线上投保已成为保险行业的一大主流趋势。由于线上投保系统常常涉及用户的账户信息、交易信息等敏感数据，因此在系统设计阶段就应考虑如何保障用户信息安全，而密码技术正是保护系统信息安全的重要手段。针对保险投保系统的密码应用方案进行研究，结合投保系统的特点，从投保系统的密码应用需求出发，分析现行系统的密码应用现状，并根据相关法规和标准对信息系统的密码应用技术要求提出了一个新的技术方案。

内容目录：

1　投保系统密码应用需求分析

1.1　物理和环境安全

1.2 网络和通信安全

1.3 设备和计算安全

1.4 应用和数据安全

1.5 密钥管理

２　现行投保系统密码应用现状

2.1 物理和环境安全密码应用现状

2.2 网络和通信安全密码应用现状

2.3 设备和计算安全密码应用现状

2.4 应用和数据安全密码应用现状

3 投保系统密码应用总体设计

3.1 设计目标

3.2 设计原则

3.3 总体框架设计

3.4 密码应用总体部署方案

3.4.1 物理和环境安全

3.4.2　网络和通信安全

3.4.3 设备和计算安全

3.4.4 应用和数据安全

3.5 改进建议

随着信息时代的到来，计算机在各行各业的运用已经得到了普及，原始的手工记录方式已经被社会淘汰，信息化管理应运而生。保险行业也不例外，在线投保有着超越时空限制性、便捷性、自由性等特点，每年的在线投保交易增长量几乎呈直线上升状态，这是因为网上投保的方便快捷以及规范安全使得人们对它信赖有加。投保系统实现了公共资源交易平台与电子保单业务的对接，它的核心功能上承保险公共资源交易平台，下接保险公司系统，实现了包括保单申请、信息确认、保单下载、发票申请 / 下载、退费、理赔等功能，然而此过程中所涉及的众多敏感数据吸引了网络攻击者的目光，投保系统的信息安全显得尤为重要。而在 2015 年，检测中发现约 20 家互联网保险机构存在信息泄露的安全隐患 。

中共中央办公厅和国务院办公厅印发的《金融和重要领域密码应用与创新发展工作规划（2018—2022 年）》的通知中明确说明，金融和基础信息网络、重要信息系统、重要工业控制系统及面向社会服务的政务信息系统等重要领域的网络安全，事关国家政治安全、经济安全、文化安全、社会安全和生态安全。近年来，网络与信息安全事故频发，网络安全已成为海、陆、空、天以外的第五主权空间。而密码技术正是保障网络安全的核心技术和基础支撑，习近平主席指出：“安全是发展的前提，发展是安全的保障，安全和发展要同步推进。”密码在数据加密、身份鉴别、访问控制等方面发挥着难以替代的重要作用。

同时，GB/T 22239—2019《信息安全技术网络安全等级保护基本要求》、GB/T 25070—2019《信息安全技术网络安全等级保护安全设计技术要求》、GB/T 39786—2021《信息安全技术信息系统密码应用基本要求》中也针对不同安全保护等级的信息系统，从物理和环境、网络和通信、应用和数据、安全管理制度等多个层面提出了相应的密码应用技术要求。

在信息安全管理标准 BS7799 中，信息安全管理采用“计划（Plan）—实施（Do）—检查（Check）—改进（Action）”循环，即 PDCA 管理循环保证管理体系持续改进 。同样，密码应用管理过程应遵循信息安全管理科学规律，采用“计划—实施—检查—改进”循环，以保证密码应用管理体系的持续改进。在计划（Plan）阶段，应详细梳理分析信息系统所包含的网络平台、应用系统和数据资源的信息保护需求，定义密码应用安全需求，设计密码应用总体架构和详细方案，也就是设计出具体的密码应用方案，包括拟使用的密码组件、密码产品、协议、服务等密码支撑资源。

根据《商用密码应用安全性评估管理办法》的要求，在信息系统规划阶段，信息系统责任方应当依据密码技术标准，制订密码应用方案，组织专家或委托具有相关资质的测评机构进行评估。对密码应用方案的评估是保证计划（Plan）阶段有效性（密码应用方案的合理性）的必要手段，密码应用方案经过评估或者整改通过后，可进入系统建设阶段，也就是信息安全管理的实施（Do）阶段。

本文对投保系统进行密码应用需求分析，设计并评审密码应用方案，健全了投保信息系统网络安全保障体系，完善了密码基础设施，提升了密码管理水平，推进了密码在投保系统的身份认证、安全隔离、信息加密、信息数据保护等方面的应用，保证信息系统的安全应用，解决数据存储、网络传输、身份认证、数据完整性等安全问题。

１

投保系统密码应用需求分析

1.1　物理和环境安全

为保障投保系统重要资产安全，投保系统需采用能够正确识别进入且记住重要区域人员的视频记录数据和电子门禁系统数据的密码技术。

1.2 网络和通信安全

网络和通信安全层主要关注网络通信信道，投保系统的重要数据可能在通信过程中泄露或被篡改，造成安全风险，应采用密码技术保障网络和通信安全层的通信数据完整性和机密性。

1.3 设备和计算安全

设备和计算安全层主要关注支撑投保系统运行的服务器、操作系统及数据库等基础设备，面临的安全威胁主要来自系统内部，如内部人员对上述设备的非授权管理或数据篡改。为防止以上威胁发生，应采用密码技术保障设备和计算安全层的远程管理通道安全、系统访问控制信息完整性和日记记录完整性。

1.4 应用和数据安全

应用和数据安全层主要关注投保系统传输和存储的应用数据安全，重要数据的安全保护主要也在该层面实现。由于涉及的应用数据中包含重要数据，易被窃听、篡改等，对数据的机密性、完整性、操作的不可否认性等都有很高的安全需求，故要求系统在应用和数据安全层应具备身份认证、数据加密、数据防篡改等安全机制，投保系统责任单位应采用密码技术实现这些安全机制。

1.5 密钥管理

密钥管理也是密码应用方案的组成部分。如果公钥被篡改，那么攻击者就可以伪造数字签名 [5]，从而产生风险。因此，需进行正确的密钥管理，确认是由合规的密码产品或密码模块实现所有关于密码管理的操作，然后理清密钥之间的关系，检查投保系统内密钥的安全性，根据生命周期查看密钥生成、存储、分发、导入与导出、使用、备份与恢复、归档、销毁的过程，并核实是否符合相应标准。

２

现行投保系统密码应用现状

图 1 列举了现行投保系统普遍的网络拓扑情况。如图 1 所示，网络环境可以划分为 4 个区域，包括运维管理区、边界防护区、应用服务区和安全管理区。投保系统部署在应用服务区，整个环境中未部署安全认证网关，服务器也未部署国密安全套接字协议（Secure socket layer，SSL）证书进行数据传输机密性、完整性保护，没有使用符合国家密码管理部门认证的密码产品或技术实现可靠的身份鉴别和安全的数据传输。

图 1 现行投保系统网络拓扑

2.1 物理和环境安全密码应用现状

物理和环境安全性的要求有两点：一是对于物理和环境的访问控制，二是对各类物理和环境的监控信息的完整性保护。

现行投保系统部署机房的方式有两种：一是自行部署机房，二是部署在云平台上。两种方式对于进出人员的身份鉴别都依赖于门禁系统，而采用密码技术的门禁系统较少，门禁卡可被复制的情况普遍存在。电子门禁记录数据和视频监控记录数据明文存储，无完整性校验字段，未采用密码算法进行完整性保护。

2.2 网络和通信安全密码应用现状

针对网络和通信安全层面，密码应用包括通信实体的身份鉴别，以及保障通信数据完整性、通信重要数据机密性、访问控制边界完整性和网络安全接入。

现行投保系统分布在互联网中，网络通信信道可分为普通用户和业务管理员访问应用系统的信道以及运维终端到堡垒机通信信道，主要采用安全传输 层 协 议（Transport Layer Security，TLS）、 互 联网 安 全 协 议（Internet Protocol Security，IPSec）、超 文 本 传 输 协 议（Hyper Text Transfer Protocol，HTTP）进行通信。TLS 协议采用基于公钥密码的数字签名技术对通信实体进行身份鉴别，主要使用RSA1024、RSA2048、SHA-256 等算法，IPsec 协议采用基于对称密码算法的预共享密钥的认证方式对通信实体进行身份鉴别，HTTP 协议不具有身份鉴别机制。TLS 协议和 IPsec 协议通常采用 AES128 等对称密钥算法实现通信数据传输过程的机密性，采用 HMAC-SHA-1、HMAC-SHA-256 等哈希算法来保护通信过程数据传输的完整性。身份鉴别、机密性、完整性的实现都未采用符合国家规定的 SM2、SM3、SM4 等商用密码算法来保障传输通道的安全性。信息系统网络边界访问控制信息的完整性未采用密码技术或者算法来进行保护。

2.3 设备和计算安全密码应用现状

设备和计算安全对登录设备的用户身份鉴别信息、访问控制信息、日志记录、重要程序或文件、重要信息资源敏感标记等提出了安全要求。

现行投保系统中，运维人员远程访问管理服务器，通过用户名和口令的方式对登录用户进行身份鉴别，未采用国产密码技术提供可靠的身份鉴别，用户身份真实性无法得到可靠认证。在远程管理服务器等资产的过程中，通道未使用经认证或满足安全等级要求的密码产品建立安全传输，存在通信数据在信息系统外部被非授权截取、非授权篡改的风险。系统资源访问未采用密码技术保护系统资源访问信息的完整性。系统日志信息通常由操作系统、数据库自身相关安全机制确保日志记录完整性，且仅有具备权限受控运维人员才能读取，日志记录被非授权用户篡改的风险较小。目前未采用密码技术对重要可执行程序进行真实性、完整性保护，只有受控用户才能进行可执行程序的安装、卸载，执行非法程序的风险较小。

2.4 应用和数据安全密码应用现状

应用和数据安全层主要关注的是投保系统交易软件传输和存储的应用数据，身份鉴别数据、账户信息、资金信息等敏感数据的安全保护主要在该层面实现，也是密码技术发挥网络安全保障作用的最终目标。

GB/T 39786—2021《信息系统密码应用基本要求》要求使用密码技术或产品来实现业务应用中登录用户身份鉴别、访问控制信息完整性、数据传输以及存储的完整性和机密性、日志记录完整性、不可否认性等安全需求。

目前，现行投保系统常存在以下问题：

（1）对于用户的身份鉴别主要采用用户名和静态口令的认证方式，认证安全级别较低，存在非法访问、用户名及密码被盗取、操作行为抗抵赖等风险；（2）用户访问控制信息未采用密码技术保证其完整性，存在应用资源被非授权用户获取、篡改的风险；（3）用户访问相关服务器传输过程中，重要数据包括线下支付确认、退费，执行重要数据内容在传输时通常为明文传输，未采用密码技术进行加密处理和完整性保护，无法保障其传输机密性和完整性，存在数据被非法窃取和篡改的风险；（4）重要数据包括身份鉴别信息、用户个人信息等在存储过程中未采用密码技术进行加密处理和完整性保护，无法保障其存储安全性，存在数据被非法窃取和篡改的风险。

３

投保系统密码应用总体设计

3.1 设计目标

为提高投保系统安全水平，建立健全完整的投保系统结构，满足基础安全要求 ，需要提出投保系统密码应用体系建设的设计目标：依据国家相关法律、法规及技术标准，按照国家密码局的要求，统一技术方案和管理规定，结合保险投保系统实际情况，制订实施方案，建立相关管理制度，为投保系统提供集中化、透明化的密码应用服务，解决网络通道传输机密性、数据完整性等安全问题。

通过密码技术的应用，减少或消除投保系统中存在的安全风险。对于未采用密码技术保护的，采用商用密码技术进行保护；对于已采用国外密码技术进行保护的，替换为自主可控的商用密码技术进行保护。应充分考虑国家法律法规、行业规范等政策需求，积极响应国家号召，促进投保系统建设与互联网融合发展。

3.2 设计原则

投保系统密码应用方案遵循的设计原则如下：

（1）统一设计原则：统筹规划和统一设计系统结构。（2）先进性原则：密码应用必须采用具有国内先进水平，并符合国际发展趋势的技术、软件产品和设备。（3）高可靠 / 高安全性原则：密码应用设计和数据架构设计中充分考虑投保系统的安全可靠，算法为自主可控的密码算法。（4）标准化原则：密码应用各项技术遵循国际标准、国家标准、行业标准和相关规范。（5）成熟性原则：密码应用要采用国际主流、成熟的体系架构来构建。（6）适用性原则：密码应用应结合投保系统的实际情况，充分利用投保系统现有的资源。（7）可扩展性原则：密码应用设计要考虑到业务未来发展的需要，尽可能设计简明，并充分考虑兼容性。

3.3 总体框架设计

投保系统密码应用架构整体设计结合了信息化发展趋势，兼顾了当前投保系统密码应用需求。本次的设计和建设部分包含密码服务体系的建设，以及终端密码应用、网络传输密码应用、运维体系密码安全应用的建设。总体框架如图 2 所示。

图 2 总体框架

3.4 密码应用总体部署方案

根据投保系统应用现状，结合上述密码应用需求分析，在满足统一设计、先进性、高可靠 / 高安全性、标准化、成熟性、适用性、可扩展性原则的基础上，提供如下密码服务，以满足投保系统的密码应用需求。总体部署方案如图 3 所示。

图 3 总体部署

密码保障系统（SSL /IPSEC VPN 网关、签名验签服务器、服务器密码机）均部署于托管区，为平台提供通道加密服务、身份认证服务、签名验签服务、服务器加密机服务、数字信封服务、密钥管理服务。

3.4.1 物理和环境安全

在机房中单独划分一个区域专门用于密码资源设备的部署，投保系统网络通过安全配置策略调用密码资源设备。密码资源的基础硬件设施部署在独立的物理机柜中，物理安全和网络安全隔离设施统一部署，遵循现行的相关功能、协议和安全要求。通过在机房部署服务器加密机、SSL 安全网关等设备，实现身份鉴别、传输机密性、完整性、日志存储完整性等保护功能。

3.4.2　网络和通信安全

访问托管区密码设备（IPSEC/SSLVPN 安全网关、签名验签服务器、服务器密码机）：均通过UKEY 配合第三方 CA 数字证书，基于国密数字签名技术，进行身份鉴别。通信数据完整性和机密性由 SSL VPN 安全网关、第三方站点证书在网络层面共同完成。若投保系统为 B/S 架构，则采用由第三方站点证书机构，网站服务器颁发国密 SSL 服务器证书，导入证书到 SSL VPN 中，然后通过 SSL VPN安全网关实现基于国密 TLS 的 VPN 安全通道，从而采用 SM4/CBC 算法和 SM4/CBC-HMAC 算法实现对传输数据进行保密性和完整性保护。

3.4.3 设备和计算安全

运维管理员使用用户名、口令和短信的方式访问，对登录堡垒机的用户进行身份鉴别，防止非授权人员非法登录、访问，降低身份鉴别安全风险。对新增的 IPSEC/SSLVPN 安全网关、签名验签服务器、服务器密码机等设备访问，管理员均采用UKEY 进行登录认证。先登录 IPSEC/SSLVPN 安全网关后，再访问签名验签服务器、服务器密码机。针对所有的密码设备，配备了设备数字证书，进行设备身份鉴别。运维管理员通过托管区的国密算法IPSEC/SSLVPN 安全网关和 SSL 服务器证书建立国密 SSL 加密管理通道，确保访问通道的安全性。

运维管理员访问托管区密码设备路径：互联网→边界防护区→托管区（网关）→签名验签服务器 / 服务器密码机。

3.4.4 应用和数据安全

在托管区部署签名验签服务器、服务器密码机等设备，为投保系统提供身份鉴别、传输和存储机密性、完整性保护。

为 业 务 系 统 管 理 员 颁 发 SM2 国 产 密 码 算 法UKEY 和数字证书，服务端部署签名验签服务器支撑 UKEY 证书的登录认证，实现可靠身份鉴别。通过投保系统与服务器密码机对接，采用服务器密码机提供的 HMAC-SM3 算法能力对系统业务管理员用户访问权限控制信息进行完整性保护，防止应用资源被非授权用户篡改。

在网络层面，采用 SSL 加密通报保证数据传输机密性、完整性；在应用和数据层面，通过投保系统与签名验签服务器对接，利用签名验签服务器和客户端 UKEY，基于数字信封机制，实现数据传输机密性。通过投保系统与服务器密码机对接，并通过支持国产密码算法的服务器密码机，采用 SM4 对称密钥算法对重要数据、隐私信息、敏感字段信息进行加密保护，确保数据存储机密性。服务器密码机采用 SM3 算法对数据进行国密运算，通过校验，确保数据的完整性。服务器密码机采用 HMAC-SM3算法对数据进行国密运算，哈希值存放在数据库中，通过校验，确保数据的完整性。

3.5 改进建议

在整个投保系统的设计过程中，针对密码应用方案中常见的实际问题和实际需求，密切结合信息化建设过程中所面临的实际问题，设计开发的最终产品既与目前的主流计算技术相兼容，又考虑了对用户已有投资的保护以及数据资源的充分利用，能为服务体系信息化建设提供有力的技术支持。

在机房部署具有商用密码产品认证证书的电子门禁系统、服务器密码机，门禁卡（一卡一密），并基于合规的密码算法对人员身份进行鉴别和对电子门禁系统记录和视频监控数据进行存储完整性保护。

业务终端与应用系统之间应使用合规的国密GMSSL 协议建立连接，采用基于公钥密码算法的数字签名机制等密码技术实现通信实体的身份鉴别，使用合规的密码算法保护通信过程中数据的完整性、机密性。还可以在用户终端部署国密浏览器。

在系统边界部署具有商用密码产品认证证书的SSL/IPSec VPN 设备，采用证书方式实现通信实体的身份鉴别；使用合规的密码算法保护通信过程中数据的完整性；使用合规的密码算法保护通信过程和存储过程中数据的完整性、机密性；使用符合法律、法规规定或经国家密码管理局核准的密码产品对网络边界访问控制信息、系统资源访问控制信息、日志记录、应用访问控制信息进行完整性保护。

为实现防篡改，应将服务器部署在局域网中，使整体局域网运行环境较安全，并安装相应程序，为运行管理提供保障，尤其是对网页源代码的处理以及更改，合理提高源文件的应用效率 。依托网页应用层防火墙技术对相应的信息进行筛查和处理，确保安全检测工作的全面升级，为后续应用效果的全过程优化奠定基础。在服务区部署具有商用密码产品认证证书的签名验签服务器，在用户进行重要操作时，终端和服务端分别调用合规的数字证书和签名验签服务器，进行签名验签实现操作行为的不可否认性。

４

结　语

随着《中华人民共和国密码法》的发布和施行，我国密码技术的应用进入了新阶段，而密码应用方案则是推进密码应用的起点，是保障信息系统的重要环节。因此对于信息系统的密码应用研究，需按照《信息系统密码应用基本要求》进行分析，结合信息系统的实际情况设计应用方案，并保证其具有总体性、科学性、完备性和可行性，从而有效解决身份认证、机密传输、数据完整性等安全问题。保险行业作为我国金融行业的重要组成部分，对社会和个人都有着重要作用，它发挥各系统、各部门、各环节的功能，从而实现社会关系和谐、整个社会良性运行和有效管理，帮助个人规避风险，在医疗、生活等方面填补费用，保证我国国民的平稳生活。因此，投保信息系统的安全性要求要比一般信息系统更高。无论是软件开发商、系统维护人员，还是行业机构、主管部门，都应该一起主动积极地推进密码技术在行业信息系统的应用，保障技术应用的广泛性、合规性、安全性，并推进技术的应用领域，提高金融行业投保系统的安全风险抵御能力，保障公民的金融信息安全。

编辑：陈十九

审核：商密君

征文启事

大家好，为了更好地促进同业间学术交流，商密君现开启征文活动，只要你对商用密码、网络安全、数据加密等有自己的独到见解和想法，都可以积极向商密君投稿，商密君一定将您的声音传递给更多的人。

点击购买《2020-2021中国商用密码产业发展报告》

来源： 信息安全与通信保密杂志社

注：内容均来源于互联网，版权归作者所有，如有侵权，请联系告知，我们将尽快处理。

点分享

点点赞

点在看