加速“冬奥标杆”向行业推广 奇安信发布商密改造方案

    “密码作为基础设施，是北京冬奥第一个上线的安全专项，也先于所有的信息系统上线。”在不久前BCS2022冬奥网络安全“零事故”宣讲周中，奇安信数据安全相关负责人表示，由奇安信实施的冬奥密码专项，是冬奥历史上首次使用国密算法保护信息系统的核心数据，实现了高安全（等保三级），高复杂环境（国内外、云与本地），以及密码与网络安全密切配合的密码服务能力，为密码项目打造了可向各行业和客户广泛推广的标杆案例。

图 北京冬奥会涉及业务环境高度复杂

冬奥数据安全建设是一项高度复杂的工程，其目标是实现冬奥数据安全统一管控，确保数据安全和隐私保护工作合规。奇安信作为北京2022年冬奥会和冬残奥会官方网络安全服务和杀毒软件赞助商，按照国家密码应用安全性评估的要求，遵循“同步规划、同步建设、同步使用”原则，进行了冬奥会密钥管理与密码服务的整体规划和建设，为网络通信、重要数据资产提供了密码安全保护能力，对冬奥会和冬残奥会网络运行“零事故”的整体安全目标起到基础支撑作用。

同时，奇安信也在各地防疫平台涉疫数据的完整性保护方面做出了重要贡献。截至目前，奇安信首批完成近20个省份平台密码能力的对接，其中采用了奇安信密钥管理系统、国密密码应用安全中间件、签名验签服务器、时间戳服务器、服务器密码机、国密IPsec\SSL VPN、天眼、渗透测试和代码审计等安全保障产品及服务，确保了各平台间疫情数据安全传输。

基于这些典型案例及长期客户业务系统商密改造的经验总结，奇安信从业务系统的复杂性出发，帮助客户归纳了三类场景及对应的解决方案（如下以等保三级系统为例）。

单业务系统场景

如果客户需要过密评的业务系统数量少且类型相对单一，只有一个主业务系统，且多以Web方式呈现，提供特定的信息化服务，用户通过浏览器访问该系统，比如企业协同办公、公安某些系统，则可以考虑用如下方式进行密码改造工作。

在密码应用层，利用底层密码基础服务层提供的密码计算能力及其他密码服务，以实现终端安全、网络和通信安全、应用和数据安全，以及设备和计算安全等安全能力，进而对业务系统进行全方位的防护。

在密码服务层，利用基础国密或国际密码算法，以及其所支撑的密码硬件设备，为上层提供必要的密码服务。相应平台应使用符合国家密码法规和标准规定的商用密码算法，使用经过国家密码管理局核准的密码产品，并遵循GB/T39786-2021《信息安全技术 信息系统密码应用基本要求》。

单业务系统场景下的密码应用技术框架图

奇安信在该场景解决方案中提供的产品主要包括，服务器密码机、签名验签服务器、时间戳服务器、国密安全密码应用中间件、智能密码钥匙、国密浏览器等，随客户所需还可以提供，证书认证系统、安全电子签章系统、协同签名系统、国密堡垒机等。02

多业务系统场景

相比单业务系统，如果客户需要过密评的业务平台较为复杂，可细分成多个子业务系统，业务系统之间可能有数据进行交互。业务平台所支撑的服务用户对象较多，用户类型也比较多，特别是用户终端PC管理是个难点，这种情况下，就需要全面提升业务系统防护能力。

在密码应用层，密码应用层利用底层密码基础服务层提供的密码计算能力及其他密码服务，实现终端安全、网络和通信安全、应用和数据安全、以及设备和计算安全等安全能力，对业务系统进行全方位的防护。

在密码服务层，密码基础服务层利用基础国密或国际密码算法，以及其所支撑的密码硬件设备，为上层提供必要的密码服务。

此外还需要构建密码资源池，以便多个系统共用密码资源池所提供的密码服务，实现灵活的、弹性的安全防护能力。

多业务系统场景下的整体架构图

奇安信在该场景解决方案中提供的产品主要包括，服务器密码机、签名验签服务器、时间戳服务器、国密安全密码应用中间件、安全电子签章系统、智能密码钥匙、SSL VPN安全网关、IPSec VPN安全网关等，随客户所需还可以提供，云服务器密码机、密码设备管理平台、密钥管理系统、证书认证系统、协同签名系统、国密堡垒机等。

复杂网络系统场景

正如其名，该场景是最为复杂的场景。如果客户需要过密评的业务系统跨越多个网络边界，可能包括部署在互联网上的部分，也包含部署在不同专有网络中的设备，且有互联互通需求；同时，业务系统机房分散，不同网络的业务系统处在不用机房，分别进行管理，有些机房可能不具备改造能力；更有，终端设备类型众多，甚至包含特制移动终端设备及各种物联网采集设备。这种情况下，就需要实现对上层应用的密码安全增强。

在密码应用层，密码应用层利用底层密码基础服务层提供的密码计算能力及其他密码服务，实现终端安全、网络和通信安全、应用和数据安全，以及设备和计算安全等安全能力，对业务系统进行全方位的防护。

在密码基础服务层，密码基础服务层利用基础国密或国际密码算法，以及其所支撑的密码硬件设备，为上层提供身份认证、数据加密、操作不可否认、数字证书管理等密码应用所需基础服务。

复杂网络系统场景下的整体架构图

奇安信在该场景解决方案中提供的产品主要包括，服务器密码机、签名验签服务器、时间戳服务器、智能密码钥匙、数字证书认证系统、密码服务套件、国密浏览器、安全电子签章系统、手机密码服务平台、国密堡垒机、密码应用技术服务等，随客户所需还可以提供，IPSec VPN综合安全网关、SSL VPN等。

冬奥标杆

交付高可用密码服务

奇安信密改方案中的这些技术理念也应用于冬奥密码建设工作，为其建设密钥管理中心（KMC）提供了集中的密钥管理能力。在资源层，以密码应用中间件SDK、云密码机（Cloud HSM）支撑了50+以上的信息系统，并提供字段级数据加密服务能力；在管理层，构建根密钥、应用主密钥和工作密钥的三级密钥层次结构，并充分考虑密钥的备份容灾等措施，实现了密钥管理的高可用，在生产环境中生成信息系统主密钥47个、工作密钥621个， 共涉及24个信息系统密钥及12台密码机的管理。

交付方案近200个

助力行业客户应对密评大考

从2018年至今，奇安信持续参与相关标准编写，熟知部标前后变化和变化背后的业务要求，持续帮助政务、医疗、公安、金融、保密、物流等众多行业客户，交付了近200个密码应用方案，在各部省市客户的密评及密码改造工作过程中，积累了一套从规划、设计、研发、交付到服务的商密改造最佳实践，有效助力客户改造后的业务系统符合部标，满足地方特色需求，实现高效的部署运行，轻松应对密评“大考”。

专家认为，随着《密码法》、国标39786等相关法律法规的推出，以及国家对国产商用密码普及与应用的高度重视，未来商用密码将迎来极其广阔的市场。奇安信推出了适用于不同应用场景的商用密码解决方案及产品，并积极将冬奥密码实践成功经验应用到关基、等保3级及以上信息系统的国密改造上，未来势必将成为支持国家商用密码建设的重要力量。