[目的/意义]密码是网络信息安全的基础和核心,是国家网络信息建设的重要组成部分。高速联网收费系统作为我国关键信息基础设施重点应用之一,其信息系统数据敏感而且重要,系统运营者应当使用商用密码对系统信息加密保护。
[方法/过程]为了构建高速联网收费系统自主、安全、可控的信息技术体系,基于商用
密码应用的安全性评估以及国家的相关法律法规文件的要求,针对业务密码管理和密码改造应用,从密码动态管理、物理与环境安全、网络与通信安全、设备与计算安全、应用与数据安全等层面提出改进措施。
[结果/结论]分析了当前高速联网收费系统在密码应用过程中存在的问题和风险,通过商用密码技术确保数据安全、网络安全、隐私安全和密码安全,构建了以密码技术为核心的安全体系,建设以密码基础设施为支撑的安全环境,从而为业务系统提供了更加完善的安全服务。
随着信息技术的不断发展和信息化建设的不断进步,信息系统在管理和运营中全面应用,系统管理和运维压力越来越大,越权访问、误操作、滥用和恶意破坏等情况时有发生,严重地影响到了信息系统等业务系统的经济运行效能,并对社会造成重大影响。如何提高系统运维管理水平,跟踪业务系统上用户的操作行为,保障系统运行安全,密码应用是不可或缺的基础和核心,已成为国家网络信息安全建设的重要组成部分。
近年来,为确保国家信息安全、社会稳定、经济可持续发展,国家陆续出台了一系列安全法律法规。例如,《中华人民共和国电子签名法》《中
华人民共和国密码法》《中华人民共和国网络安全法》《中华人民共和国电子商务法》《中华人民共和国个人信息保护法》法规,以及《网络安全等级保护条例》《信息安全技术网络安全等级保护基本要求(等保2.0)》《信息安全技术 信息系统密码应用基本要求(GB/T 39786-2021)》《国家政务信息化项目建设管理办法》(国办发〔2019〕57号)等文件,对信息系统安全做出了规范和指引,目的就是要提高网络安全应用水平,通过密码技术确保数据安全、网络安全、隐私安全和密码安全[1-2]。
从高速联网收费系统应用安全以及数据上报、存储、共享等过程的安全问题考虑,需有效防止假冒身份、篡改信息、篡改时间、越权操作以及否定责任等问题,因此采用可靠的密码应用技术,实现身份认证、可靠电子签名和时间戳等功能,以保证数据在生成、传输、存储、利用的全生命周期过程的真实、完整、准确,这既是国家政策要求,亦是高速联网收费系统的安全需求。
1.1 系统密码管理应用需求
高速联网收费系统一般采用传统的“用户名+密码”的身份认证方法,密码设置简单,无法实现定期修改,认证的安全强度较低,无法满足系统较高的安全需求。另外,对于某些关键岗位或关键操作,没有进行多因子认证和二次验证,也为应用系统的安全带来一定风险。面临主要需求有4点:一是对收费系统、监控系统网络设备、安全设备的密码统一管理,对具备修改权限的用户实现密码录入,自动生成新的密码,定期自动更新;二是对收费计算机、服务器、工控机操作系统等软件的密码管理,密码自动生成,自动更新;三是对监控编码器、NVR、摄像机、车牌识别等设备密码的管理,密码自动生成,自动更新。对于不支持RADIUS、AD、OTP、SNMP等协议的设备,由业主负责协调厂商优化;四是对收费员、管理人员、维护人员等用户的密码管理。
1.2 商用密码应用安全性评估需求
为了响应国家和省密码局关于做好系统密评结果备案工作的要求,高速联网收费系统需进行密码应用安全性评估工作并进行备案,包括密码应咨询、密码应用方案设计、密钥管理评估、安全管理评估、测评服务和成果展示等,探索研究收费系统的密码应用建设规范。
高速联网收费系统由数据中心、密码管理子系统、密码安全管理子系统组成。数据中心:存储基本的用户信息、用户身份、密码凭证、密码策略等数据;密码管理子系统:提供密码策略管理、密码规则自定义、密码周期维护、弱密码管理、设备资源密码管理、密码凭证管理等密码管理功能[3];密码安全管理子系统:实现多因素安全认证、风险动态密码管理、密码安全隐私保护、密码数据安全传输、密码数据灾备服务等功能;认证管理与密码管理系统与各应用进行集成,通过接口与收费业务系统进行对接,实现内部员工、运维管理人员等用户的登录认证。高速联网收费系统架构图如图1所示。
2.1 密码动态管理
2.1.1 密码凭证管理
根据收费业务管理需求,在办理不同类型事项的安全要求不同,用户可以使用用户名/口令、动态口令等多种身份凭证进行身份认证和访问。满足收费员、运维人员、管理人员不同用户群体对系统的使用权限个性化需求,实现不同环境的身份密码凭证应用,支持多种不同凭证的应用和组合,支持对密码凭证的管理,适应移动终端和PC终端的多环境便携使用。因此,需要采取有效的技术和管理手段支持多凭证的签发和管理,支持用户的多凭证管理,如用户名密码口令凭证、数字证书凭证、动态令牌凭证等。
对用户的密码凭证进行统一管理,管理内容包括凭证类型管理、用户凭证管理和用户凭证分类功能等。凭证类型管理包括用户的静态密码、短信口令等凭证类型的管理,也包括对网络设备、操作系统等不同设备的凭证进行管理。用户凭证管理支持对用户凭证的添加、修改、删除、停用和启用等操作。
2.1.2 密码策略管理
用户名密码是用户的身份凭证,密码策略为用户密码应遵行的一个规则,包括密码长度、密码规则、密码锁定用户、密码修改等密码相关的规则。密码策略作为安全策略的一部分,可以为不同层次的用户确定不同的安全级别,体现了用户的层次管理和系统安全的重要性原则。因此,需要采取能够设置用户密码复杂的安全策略、密码错误次数策略、首次登录必须修改密码、周期性修改密码等安全措施,同时需要密码策略全局共享,相应权限的管理员能够维护密码策略,支持设置用户密码的安全策略,平台提供认证多次失败后自动锁定能力,超过锁定时间将自动解锁,也可支持系统管理员进行手动解锁,其中密码失败次数、密码失败后锁定时间、密码锁定后邮件通知安全措施可通过参数配置,支持设置首次登录必须重置密码、密码有效时间。
2.1.3 弱密码管理
弱密码即容易破解的密码,多为简单的数字组合、账号相同的数字组合易于被他人破解,因此需要实现对弱密码的专门管理,包括提供统一的弱密码库并进行维护管理,采用注册、认证双重防护机制实现对弱密码的屏蔽。
2.1.4 网络设备密码动态管理
基于Radius协议,提供设备的全生命周期管理,包括设备入库、调整等过程中的设备账号创建、设备变更、设备注销等功能,能够对临时设备管理,设备凭证可以创建有效期,实现对网络设备动态认证,包括用户名密码认证(静态)、OTP令牌认证(动态)等,对设备密码进行周期性维护,自定义维护提示周期和密码修改周期。
2.1.5 操作系统密码动态管理
针对Linux操作系统,通过与Linux服务器中的认证模块进行对接,基于Radius协议,在控制台中进行登录时包括用户名密码认证(静态)、OTP令牌认证(动态)等认证方式,对设备密码进行周期性维护,自定义维护提示周期和密码修改周期。
针对Windows操作系统,包括两种方式,一是为若用户自己本身有AD或LDAP,Windows系统将认证域设置为AD域,通过AD认证,实现对AD密码进行管理;二是为通过客户端软件支持Window认证进行多因子认证,其中的密码管理详见“密码策略管理”和“弱密码管理”。
2.2 密码安全管理
2.2.1 多因子安全认证
由于应用资源安全重要程度不同,访问应用资源的认证复杂度也不尽相同。针对访问安全要求比较低的应用资源,采用传统的用户名密码模式即可,但是对于安全要求比较高的应用资源,可提供更高安全的认证方式,包括数字证书、一次性口令、生物识别、动态令牌、第三方认证(支付宝、钉钉、微信等)等认证方式,支持身份认证源扩展。支持多因子认证,可自由组合两种或多种认证方式,形成双因子认证和多因子认证。
2.2.2 风险动态密码管理
当用户认证发生风险时,需要通过风险模型动态规避。当前的风险威胁,依据风险评估动态调整用户的认证方式,例如以用户在长时间不使用账号登录且忘记密码的情况下,可通过设定多因素认证策略,有选择地在静态密码认证的基础上开启二次认证。
2.2.3 密码安全隐私保护
对高速联网收费系统中关键信息进行安全加密防护,包括用户名密码等信息,确保可信用户库的安全,实现用户隐私信息的安全防护同时可支持数据存储采用基于国产算法格式不变隐私保护加密,动态选择加密。
2.2.4 密码数据安全传输
高速联网收费系统通过加密、签名和安全通道等方式,确保敏感信息在交互和存储过程中的安全性,同时还具备安全的防护机制,例如防止XSS和SQL注入漏洞、DDoS攻击和钓鱼重定向等,以确保系统本身和业务系统的安全性。
为了推进国家政务信息系统密码应用与安全建设工作,深入贯彻实施国家网络安全等级保护制度,强化落实网络安全技术措施“同步规划、同步建设、同步使用”的要求,确保重要系统和设施安全、有序运行。商用密码技术有效地保障了网络安全,是信息保护和网络信任体系建设的基础,是保障网络空间安全的关键技术。建立一套可控、安全、合规型的密码体系,从根本上保障高速联网收费系统的网络安全、密码应用安全合规有效。
4006-967-446
沃通数字证书商店
