2021商用密码应用论坛-《商用密码安全性评估标准与应用》,PPT可下载
发布日期:2021-08-11【作者简介】
杨元原-公安部第三研究所检测中心等级保护与密评实验室副主任,副研究员,密码学博士。
作者从事网络和密码应用安全领域的产品及系统测评,对各类密码算法、协议、产品及标准有深入了解,熟悉密码应用安全性评估体系框架,负责公安、金融、卫生、政务等多个领域信息系统的密码应用安全性评估工作,多次作为授课专家参与国家密码管理局和公安部组织的密码应用安全性评估培训。主持和参与了网络用户身份鉴别、智能卡开放平台、网络安全产品可信计算等国家和行业标准十余项,发表密码安全相关SCI、EI等论文十余篇。
密码作为保障网络和信息安全的核心技术和基础支撑,关系到国家安全、国计民生和社会公共利益。随着我国密码事业的高速发展和《密码法》的颁布,网络安全自主可控的目标越来越清晰。我国商密技术应用逐渐普及,加强相关安全标准认真体系的建设和管理是重中之重。而商用密码应用安全性评估(简称“密评”)则是有效提升我国密码算法和密码产品的安全隐患的发现能力,对保障我国密码算法和密码产品的安全性、先进性的重要操作途径。
上月举行的ISC 2021互联网安全大会期间,由沃通承办的商用密码应用论坛就请到了公安部第三研究所检测中心等级保护与密评实验室副主任杨元原博士担任演讲嘉宾,针对《商用密码安全性评估标准与应用》的议题展开了精彩的演讲,主要内容有商用密码应用安全性评估标准体系框架讲解、密评涉及的关键技术、测评的基本流程、测评结论的判定以及根据以往测评的经验,阐述密码应用过程中所面临的问题和挑战。
以下是杨元原博士的精彩演讲内容。
01、密评标准体系出台的背景和目标
随着近几十年来信息化的快速发展,数据安全问题越来越突出,数据安全也越来越重要。2018年以后,国家先后出台了一系列的法律法规,包括密码法,政府信息化管理办法等来推动商用密码在信息系统中的应用,其实密码技术是保护数据安全最直接最有效的方式之一。
如何判断信息系统的密码应用情况,比如商用密码应用的方法对不对、部署情况好不好,密评就是支撑的手段之一。运用密码安全评估能够及时了解我们信息系统中的密码应用情况,及时发现问题,采取必要的管理措施。所以我们在讲密评的时候,经常会说,“以评促建,以评促用”。密评只是一个手段,最终的目的是通过在信息系统物理网络主机应用的层面部署合规的密码产品,配置合规的密码算法,最终来保证我们信息系统的安全。
02、信息系统密码应用的核心
当我们做信息系统密码应用的时候,会提到三个词:合规、正确、有效。“合规”是指在信息系统的物理和网络、数据和通信、设备和计算、应用和数据等层面,使用的密码算法、密码协议、密钥管理是否符合法律法规以及行业标准的要求;“正确”是指是否部署认证的产品、相关的算法密码协议是否进行正确的配置和使用;“有效”则是指相关应用部署之后能否起到有效作用,最终保护信息系统的安全。
·使用合规的密码产品
在整个商用密码应用中,最基础的是密码产品。首先密码产品要满足合规性的要求,这个产品必须具备商用密码产品的认证证书,整体上分为五类:算法类、加解密类、认证鉴别类、证书管理类以及密钥管理类。我们见的最多的像服务器和CA系统等等这些产品。
· 使用自主可控的密码算法
除了在信息系统中部署合规的密码产品之外,这些产品还要配置合规的商用密码算法,SM系列的SM1、SM2、SM3、SM4、SM7、SM9和ZUC等密码算法,最常用的是SM2、SM3和SM4,涵盖了对称、非对称和杂凑算法,基本上满足我们信息系统中密码应用的需求。
03、密评标准体系框架
下面汇报一下目前我们已经发布的一些标准。(上图)最左边的信息系统密码应用基本要求,是我们做密评最基本、最重要、最核心的标准,也是今年最新发布的GB/T 39786文件。这个标准是在2018年的国密标准0054行业标准的基础上,经过几年密评的实践和安全性评估报告而得来的。同时发布了几个定向标准,包括测评要求、测评过程指南、高风险判定指引、量化评估规则、安全评估报告。这几个文件里面,尤其对于建设单位来说,比较重要而且需要特别关注的有两个标准:第一个是高风险判定指引,它规定了我们信息中密码应用的风险,如果里面的相关要求没有做,就可能会造成一票否决,系统密评过不了;第二个是量化评估规则,主要是一个打分规则,规定了如何给参与测评的系统根据密码应用情况进行打分,从哪些维度进行打分。目前要求密评分数60分以上,没有高风险问题,才能拿到基本符合标准的密评报告,二者缺一不可。
· 基本要求框架
信息系统密码应用评估标准是所有密码标准中最重要的,我稍微展开讲一讲大概内容。这个标准的目的是用来指导规范信息系统中如何使用商用密码和在什么地方应该用商用密码,它的适用范围是所有单位,包括用户单位、建设单位、测评单位及管理单位。
密评标准整体框架是两个部分,第一个是技术要求,第二个是管理要求。技术要求分为四个层面,物理和环境、网络和通信、设备和计算、应用和数据。如果大家都熟悉等保2.0中间版本,看到这个其实是和等保2.0中间版本安全层面划分一致,管理相对来说要比等保简单很多,主要包括制度、人员、建设和应急等几个方面。在我们具体做密码应用设计和测评的时候,主要关注以下对象,包括机房和重要研发生产环境、网络和通信数据、网络设备、终端设备、密码设备、数据库、应用系统,还有相关管理制度和文件,因为密码其实最核心的功能就是保证我们传输的数据和存储的数据的安全,所以在密评的设计和测评的时候,需要特别关注我们网络和通信数据的安全,以及应用系统中密码的应用,这两个安全层面其实无论是在测评的分数上,还是在测评的风险度上,需要关注和注意的点是最多的。
· 技术要求
信息系统密码应用基本要求中技术层面的整体内容看起来会比较多,其实整体上像上面所说的技术要求四个层面包括物理和环境、网络和通信等都主要围绕着机密性、完整性、真实性和不可否认性这四个特性来展开的,比如身份鉴别则对应真实性来进行评定,只是它们应用的对象不一样。再比如物理和环境,主要的应用对象是机房视频监控系统,针对这些对象我们要用哪些密码技术进行设计。再举个例子,比如数据安全,提了身份鉴别的要求,要求我们在应用系统对用户进行身份鉴别的时候用商用密码技术来鉴别,机密性、完整性等等都是类似的操作,这里面还有一些标红的内容(如上图所示),就是高风险判定里面罗列的一些高风险,我们在做相关的密码设计的时候,这些高风险点,一定要用密码技术来做,商用密码技术部署合规的产品,符合标准要求的算法、协议等来进行实现。
· 管理制度
密评的管理制度相对来说简单一些,也是四个层面,分为管理制度、人员管理、建设运行、应急处置。我觉得在这些管理制度具体实施的时候,可以结合等保的管理体系,把密码相关的管理制度纳入到等保的标准体系架构下,稍微有一点不同的是密钥管理制度,等保里面不一定会有。
· 不同级别系统要求项的差异
上图表示的是GB/T 39786里面不同级别的不同要求项,大家可以看到,二级跟三级之间的要求项差别比较大,三级跟四级要求项一样,但是他们要求的尺度是不一样的。大家如果看过GB/T 39786的标准就知道我们的标准会分为“应、宜、可”为三个不同尺度的要求,根据系统的实际情况来判断要不要做,但是对于责任单位可以自己来决定这一条要不要用密码技术来做。
· 系统建设运维要求
对于系统建设运维的整个生命周期,基本上可以划分为四个阶段,比较重要的而且跟等保不太一样的是在规划阶段,特别强调要制定商用密码方案,并且这个方案要进行专家评审,或者提交给专业的测评机构进行评估,这是为什么呢?因为从目前情况来看,很多建设单位或者集成单位,其实对密码的认知不是特别深入,如果直接开始建,有可能造成成品并不符合要求的严重后果,所以在前期设计的时候,需要严谨的把关,因此需要先对方案进行评审,评审过后再去建,这样可以保证后期不需要整改,或者整改的内容少很多。到了运维阶段,目前要求三级以上的系统每年测评一次,最后到密码管理部门进行备案。
04、《政府信息系统密码应用与安全性评估工作指南》
为了配合政府信息化管理办法,国密局2020年发布了《政府信息系统密码应用与安全性评估工作指南》,这个指南里有一个特别重要的示范,就是针对现在一个普遍的问题,像大部分建设单位不知道怎么去写这个方案,这部指南则给出了一些很好的例子。
· 应用案例
在附录里面,有一个针对做密码应用方案的整体的框架,包括如何做需求分析,如何做密码应用的设计,如何部署密码设备,各个层面用哪些设备,如何进行部署,用哪些密码算法来进行实现,这个示例里面给了很好的参考,而且现在做密码方案都要求按照这个框架写。下面我简单列了一下方案的内容,包括系统基本概况、网络情况、系统与其它网络互联互通情况、系统的级别等等。
这个方案(上图所示)是一个在应用和数据安全层面的例子,在应用安全层面,怎么做密码的设计,比如说改造前,系统的大概情况是怎么样的,改造后的目标是身份鉴别的例子。因此第一步,我要部署什么样的设备,是一个移动端的身份鉴别,在移动端部署一个移动端的密码模块,再接入区部署一个安全认证网关,在基础设施区有一个CA系统发证,通过这几个设备实现移动端登录用户的身份鉴别,这就是一个整体思路。
虽然这个写法从具体实施上比较简练,离具体指导到实施有一定的差距,但是从之前的测评经验来讲,对于很多单位来说,能写到这个程度,已经就非常好了,
这个也是一个方案里面的例子(上图所示),基本上就一个套路,我部署什么设备,实现什么功能,以及让我这个功能对标到GB/T 39786的标准条款。
05、测评工作的开展
接着我们了解一下测评机构如何展开测评工作。我们测评的时候,如上图这个例子,比如说针对应用和数据安全的真实性,对应身份鉴别,怎么来进行测评呢?第一步先要了解身份鉴别方案的设计,如何来做身份鉴别。对于这个系统来说,在客户端会部署智能密码钥匙,在服务端有应用服务器,它的鉴别方式是基于数字证书的身份鉴别。接着我们会继续看,你用身份鉴别的技术标准是不是符合国密的相关标准,与《GB/T 15843 信息技术 安全技术 实体鉴别》这个标准框架是不是一致的。
到了最后一步审查,首先是针对产品的合规性,涉及到哪些密码产品,这些产品有没有商用密码的认证书,用到什么密码算法和密码协议,然后我在具体应用的时候密码运算是不是调用密码设备,具体再验证的时候,我们会进行抓包验证,具体抓包的时候会查看数字证书里面的公钥算法和签名数据是不是应用SM2算法,服务端也会对签名的合规性进行验证。
06、存在的问题
1、经费问题。以前有许多系统不满足要求,因此如果涉及到整改,数量将非常大,整改的经费是一个比较大的问题。
2、在技术上,密码本身的专业性比较强,很多集成单位并不了解密码,有些厂商对密码应用接触也并不多。凡是应用层改造会涉及到代码、数据加解密和身份认证等相关专业技术知识,因此第二个问题是存在技术门槛。
3、随着技术的发展,新兴领域对密码提出了更高的要求,比如虚拟化高性能低成本等,这些解决方案需要不断地探索和实践。
07、目前密码应用推进的效果
1、政府层面,相关政策不断出台,除了国密局出台的相关推进的政策之外,密码主管部门在协调各个部委,包括人民银行和公安部,出台各个部委的密码应用政策。
2、研发层面,无论是科技部还是发改委都发布了一系列的密码应用指南,推进一些密码新技术的开发。
3、产品层面,近几年,密码产品送检越来越多,包括云产品,加密中间件的产品形态越来越丰富,需求越来越多样化。
4、应用层面,越来越多的用户单位开始关注商用密码的应用,会做相关密码合规的咨询。通过最上层的政策,通过产品和技术的研发,通过最终用户的落地实施,虽然可能会面临一些困难,但是最终密码应用的前景是非常广阔的。
商用密码应用论坛还开启了云直播服务,共吸引了近两万人观看。嘉宾演讲视频后续也会在本公众号和视频号上更新。
本文未经授权任何平台不得转载。关注本公众号并回复“PPT下载”可获得嘉宾演讲PPT,更多嘉宾的演讲将会陆续更新,敬请期待。
最新资讯
Poloniex加密货币交换泄露数据,建议数据安全从SSL证书做起
标签推荐:数字证书申请 | 域名ssl证书 | https证书申请| 数字证书过期| 网站证书安装| 可靠的ssl证书| 小程序证书| ca认证电子签名| 微软代码签名| android数字签名| java代码签名| ssl证书部署| 时间戳技术| 电子签名技术| https证书配置| 谷歌浏览器证书| tomcat数字证书| openssl漏洞| ECC加密算法| 服务器SSL证书| 链路层劫持| 物联网安全技术| 火狐插件签名证书