密评改造准备阶段
2.2 密码应用方案编制
密评改造方案的目标是使得被测信息系统通过密评三级的检测,获得较高的安全性和可用性,并具有相对轻量化的改造难度和经费开销。
由于政府、央企、大型公司的电子行政办公系统具有共性,故以OA系统为例,表示一个待密评改造的被测信息系统的典型使用场景。在如下图所示的OA系统场景下,主要涉及两类操作,分别是:
(1)普通用户(包含PC端和移动端用户)从办公接入区访问OA系统,进行业务处理;
(2)运维人员从运维管理区通过堡垒机访问OA系统所在的服务器,进行设备管理。
图1 OA系统办公场景
根据密评第三级的安全要求,重点关注信息系统在用户身份真实性,数据传输和存储机密性方面的改造。因此,密评改造方案将主要从身份鉴别、安全通信、安全存储三个维度进行设计。通过在这三个维度设计,得到改造后OA系统应用场景如下图所示,图中红色的组件是新增的密码设备,由于OA系统需要进行改造,故标记为蓝色。
图2 进行改造后的OA系统应用场景
通过给每个用户增添绑定身份的密码硬件(如智能密码钥匙),OA系统或堡垒机增添身份鉴别功能(如改造OA系统或部署安全认证网关),实现对用户登录OA系统或堡垒机时的身份鉴别功能,具体改造方式如下:
普通用户登录OA系统
1.PC端用户传统改造
通过部署TNA VPN安全网关,以及在OA系统上部署密码服务SDK,在用户PC终端使用网关软件客户端及智能密码钥匙,OA系统对用户进行基于证书的身份鉴别。
改造完毕后,PC端用户访问OA系统的数据流程为:
图3 PC端用户传统改造访问流程
(1)PC端用户在办公接入区通过智能密码钥匙+网关软件客户端与TNA网关建立安全隧道。
(2)用户通过智能密码钥匙+网关软件客户端向OA系统发送登录请求,其中登录请求带有用户的签名;TNA网关将用户请求转发给OA系统,OA系统调用TNA网关的验签功能对带有用户签名的登录请求进行验签,验证通过则用户登录成功。
传统改造模式中,想要实现对用户的身份鉴别,需在OA系统上部署密码服务SDK,完成身份认证服务改造。但这种改造,尤其在OA系统难以改造的情况下,往往会费时费力,给客户增加额外的改造成本。在这种情况下,可通过有介质零改造方案,或无介质低改造方案实现系统的身份鉴别保护。改造方案如下:
2.PC端用户有介质零改造
通过部署TNA VPN安全网关,以及在用户处部署网关软件客户端及智能密码钥匙,用户登录OA系统时由网关客户端自动识别请求其中的身份认证数据,将用户名口令转为签名数据,再由安全网关主动对智能密码钥匙中的身份信息进行验签,实现对OA系统用户的身份鉴别。此过程实现了OA系统身份认证零改造。
改造完毕后,普通用户访问OA的典型数据流程为:
图4 PC端用户有介质零改造访问流程
(1)用户通过网关客户端与TNA网关建立国密SSL安全隧道;
(2)用户将OA系统登录信息输入到网关客户端后,网关客户端通过GB/T 15843《信息技术 安全技术 实体鉴别》的单向身份鉴别协议对用户的登录请求进行封装,并发送到安全网关;
(3)安全网关使用HTTPS协议反向代理并接收到请求后,调用身份认证服务验证签名;
(4)验签通过后安全网关将信息转发给OA系统,用户即可登录和访问业务系统。
此过程中,根据实际方案需求的不同,身份认证服务可通过TNA网关、密码服务管理平台或签名验签服务器等密码产品实现。
3.协同签名零介质低改造
适用于不便对用户下发智能密码钥匙的情况。通过部署协同签名服务器,及在用户终端(移动端或PC端)部署协同签名客户端(SDK)的方式,实现对用户进行基于证书或公私钥技术的身份鉴别,从而实现用户零介质访问OA系统。使用协同签名零介质低改造方案时,普通用户访问OA系统的数据流程为:
图5 协同签名零介质低改造访问流程
(1)用户通过网关客户端与TNA网关建立国密SSL安全隧道;
(2)OA客户端(移动端或PC端)通过协同签名服务器和协同签名客户端协同生成签名请求(支持PIN码和扫码),客户端将完整请求发送至OA系统;
(3)OA系统将签名请求转给身份认证服务,身份认证服务对身份信息进行验签;
(4)验签通过后身份认证服务将信息转发给OA系统,用户即可登录和访问业务系统。
运维人员登录OA系统
1.国密堡垒机
通过部署国密堡垒机和国密堡垒机客户端的方式,OA服务器纳管在国密堡垒机之后。运维人员通过含证书的堡垒机客户端登录,国密堡垒机对运维人员进行基于证书的身份鉴别,保证了运维人员身份的真实性。
运维人员登录国密堡垒机再访问OA系统的流程为:
图6 运维人员国密堡垒机访问流程
(1)运维人员在运维管理区通过国密堡垒机客户端与国密堡垒机建立安全隧道。
(2)运维人员通过堡垒机客户端向国密堡垒机发送登录请求,由国密堡垒机对运维人员进行身份鉴别,成功后运维人员通过国密堡垒机访问OA系统,执行远程管理。
2.普通堡垒机(利旧)+安全网关
通过部署TNA VPN安全网关和安全网关客户端的方式,OA系统纳管在堡垒机之后。TNA网关对运维人员进行基于证书的身份鉴别后,然后堡垒机进行基于用户名口令及证书/动态口令认证的双因素认证的身份鉴别,缓解运维人员身份的真实性风险。
运维人员通过TNA网关登录普通堡垒机再访问OA系统的流程为:
图7 运维人员普通堡垒机访问流程
(1)运维人员在运维管理区通过网关硬件客户端与TNA网关建立安全隧道。
(2)运维人员通过硬件客户端和TNA网关建立的安全隧道向堡垒机发送登录请求;由TNA网关对运维人员进行身份鉴别,并将通过鉴别的用户所发送的登录请求转发给堡垒机。
(3)堡垒机对运维人员进行多因素认证,成功后运维人员登录堡垒机并通过堡垒机访问OA系统,执行远程管理。
此改造方式实现了对OA系统已有堡垒机的利旧。若OA系统已有堡垒机不支持多因素认证,或系统中无已部署堡垒机时,为缓解密码应用安全性评估中的高风险项,可考虑通过部署国密堡垒机的方式完成改造。
安全通信涉及OA系统所有不同物理环境下终端和设备之间的网络通信链接安全。简单来说:
1.普通用户登录OA系统:OA系统前部署具有安全网络通信链接功能的网关,用户终端网关客户端以建立安全网络通信链接;
2.运维人员登录OA系统:堡垒机利旧时为运维人员部署具有建立安全网络通信链接功能的客户端,堡垒机前增添具有安全网络通信链接功能的网关,运维人员先登录网关再通过堡垒机访问OA系统服务器运维;或直接部署国密堡垒机及其具有建立安全网络通信链接功能的客户端,运维人员登录国密堡垒机后访问OA系统服务器运维;
3.跨机房/网络端到端传输:在跨机房或跨网络两端分别增添具有安全网络通信链接功能的网关,建立基于国密SSL协议的安全网络通信,完成数据传输的机密性和完整性保护。
改造方式如下:
普通用户登录OA系统
OA系统服务端部署TNA VPN安全网关;用户PC端、移动端部署网关客户端(或集成网关客户端SDK),使用国密SSL协议建立安全网络通信隧道,实现网络通信数据的机密性和完整性保护。在此基础上,由TNA网关进行合规HTTPS协议代理,对应用层重要数据传输的机密性和完整性风险进行缓解。其中,“合规HTTPS协议代理”可分为国际HTTPS协议代理和国密HTTPS协议代理,如使用国密HTTPS协议代理则需采购国密浏览器。
而对于密码应用安全性评估“应用和数据安全”层面的重要数据传输,除上述通过合规HTTPS协议代理缓解风险的方式以外,还可通过数字信封等手段进行改造,但此类改造方式实施难度大,实现成本高,且对业务系统的性能影响也不可忽略,因此在实际密码应用改造项目中采用较少。
运维人员登录OA系统
1.普通堡垒机(利旧)+安全网关
运维人员与安全网关建立国密SSL协议安全网络通信隧道后,再由TNA网关通过合规HTTPS协议代理访问堡垒机,堡垒机使用SSH(2.0)等无高风险协议访问业务服务器。
2.国密堡垒机
运维人员使用国密堡垒机客户端与堡垒机建立国密SSL协议安全网络通信隧道后(国密堡垒机通过合规HTTPS协议页面访问),国密堡垒机使用SSH(2.0)等无高风险协议访问业务服务器。
跨机房/网络端到端数据传输
不同机房、网络两侧分别部署IPSec VPN网关,或分别部署采用端到端的国密SSL协议的安全网关,使用国密SSL协议建立安全网络通信隧道,实现网络通信数据的机密性和完整性保护。
1.传统安全存储
在OA系统后端部署密码服务管理平台,将所有需要进行机密性和完整性保护的数据都通过密码服务管理平台接口发送给密码服务管理平台,由密码服务管理平台调用在线的服务器密码机、签名验签服务器等密码资源设备完成数据的加解密、HMAC计算和校验功能,完成对重要数据的安全存储。由于OA系统需要调用密码服务管理平台,并且需要对所存储的数据进行加解密、HMAC计算等操作,故需要对OA系统进行改造,具体改造工作量由实际情况决定。
OA系统对重要数据进行安全存储的流程为:
图8 安全存储流程
(1)OA系统将待保护的重要数据和需要执行的保护操作(包括加密、完整性保护等)请求发送给密码服务管理平台。
(2)密码服务管理平台读取OA系统请求后,调用OA系统相应保护操作的密钥,以及待保护的重要数据和需要执行的保护操作,发送给服务器密码机。
(3)服务器密码机读取密码服务管理平台请求后,执行相应保护操作,并将保护后的重要数据反馈给密码服务管理平台。
(4)密码服务管理平台将接收到的保护后的重要数据发送给OA系统。
(5)OA系统将保护后的重要数据存入数据库。
OA系统对已安全存储的重要数据进行读取的流程为:
图9 安全存储的读取流程
(1)OA系统从数据库中读取保护后的重要数据,将保护后的重要数据和需要执行的保护操作(包括解密、完整性验证等)请求发送给密码服务管理平台。
(2)密码服务管理平台读取OA系统请求后,调用OA系统相应保护操作的密钥,以及保护后的重要数据和需要执行的保护操作,发送给服务器密码机。
(3)服务器密码机读取密码服务管理平台请求后,执行相应保护操作,并将处理后的数据反馈给密码服务管理平台。
(4)密码服务管理平台将接收到的数据发送给OA系统。
(5)OA系统接收并使用处理后的数据。
2.零改造安全存储
由于部署密码服务管理平台调用密码设备的改造方式需要对OA系统进行改造,客观上存在一定改造难度,针对系统后端存储难改、无法改的情况,可采用“零改造安全存储”方案,通过部署基于透明代理技术的数据库或文件加密系统(无需系统进行额外开发,仅需进行IP配置等少量操作),实现业务系统的存储保护“零改造”。
注:由于技术限制,不同测评机构的评分判定上可能存在分歧
2.2.2 密码应用产品
全门禁系统满足GM/T 0036-2014《采用非接触卡的门禁系统密码应用指南》标准要求,使用SM4算法进行密钥分散,实现门禁卡的“一卡一密”,并基于SM2算法对人员身份进行身份鉴别,并采用HMAC-SM3算法保障门禁数据完整性。
视频监控系统采用SM4算法,实现了从摄像头端到监控显示屏传输数据的加密,可以有效保障摄像头拍摄的内容不被未经授权的人查看,同时也保证拍摄的画面不会被篡改,采用HMAC-SM3算法对视频监控数据进行存储完整性保护。
安全网关采用本公司自研用于保护网络边界的高保障可信接入安全网关(又称“TNA VPN安全网关”)。它集防火墙、安全加密VPN(SSL VPN)、用户身份鉴别、应用授权访问等核心能力于一体,可为用户提供便捷、安全、可信的通信环境,为各类核心信息系统提供周密的安全认证和细粒度访问控制机制。
安全网关通过对原有具备VPN、防火墙等安全产品的系统进行安全加固,或直接替换原有VPN、防火墙设备,达到有效地防止非法用户、非法设备访问受保护的核心数据资产,保障业务数字化转型战略的顺利开展。支持更广泛的终端设备替代方案,例如硬件客户端(TNA-BOX,接用户电脑或打印机等硬件设备)、软件客户端(电脑端、Android/鸿蒙手机端、IOS手机端、通用Linux电脑端、国产系统电脑端)、节点模式TNA安全网关(大流量硬件服务器),可以为企业提供具有差异化的、基于身份认证的接入方式,充分满足来自互联网上不同层次的通信需求。
安全网关的产品特色如下:
(1)身份认证:基于硬件的终端身份鉴别,支持多种身份认证,拒绝非法用户登录,保证用户访问合规;
(2)安全认证:建立安全隧道,自适应的访问策略,用户鉴别及最小授权;
(3)动态授权:不同用户享受不同的数据库使用权限,访问控制和风险检查;
(4)行为审计:对每一个用户的访问进行监控,对异常行为进行告警机制;
(5)部署运维:全图形引导说明,部署升级方便,运维管理简单。
安全网关客户端是在终端设备上与安全网关配套使用的组件,包括软件客户端和硬件客户端两类。
软件客户端,其功能是与安全网关建立基于国密算法的SSL VPN安全信道。软件客户端由于与安全网关配套使用,并且属于软件,故软件客户端与安全网关共用一个商密检测合格证书。
硬件客户端即TNA-BOX,包含两大功能,首先是与安全网关建立基于国密算法的SSL VPN安全信道,然后是内置了智能密码钥匙功能(在安全网关硬件客户端内部部署了合规的智能密码钥匙产品),即能够绑定用户身份,通过安全网关硬件客户端完成应用层身份鉴别(具体到本方案中,能够支持对设备管理员和普通用户的身份鉴别)。硬件客户端虽然也与安全网关配套使用,但由于是硬件,并且所包含的功能不仅仅是建立SSL VPN安全信道,故需要单独送检,目前已有商密认证证书。
从功能的角度看,安全网关硬件客户端等价于智能密码钥匙+安全网关客户端助手。因此,选用安全网关硬件客户端或者智能密码钥匙+安全网关客户端助手,均能为用户提供便捷,安全、可信的通信环境,为各类核心信息系统提供周密的安全认证和访问控制机制。具体如何选用,主要依据应用环境的安全性要求,以及部署的可用性和便捷程度。
密码服务平台主要用来承接业务服务以及对密码基础设施进行统一密码资源调度、密码设备管理、密钥共享和备份管理、密码服务集成管理,提供面向业务系统所需的密码计算资源和密钥互联互通。密码资源管理系统包含功能有:密码服务、密码接入、密码管理。其功能架构图下图所示:
图10 密码服务平台功能架构图
(1)密码服务:主要包含两个组成——API接入网关与密码服务支撑模块。API接入网关提供适用于主流操作系统和CPU架构的密码服务接口,提供密码应用调用标准流程,功能包括身份认证、流量监控、健康检查、限流限速、IP白名单、集群管理、负载均衡、路由配置、本地日志等;密码服务支撑模块提供各类密码服务调用支撑,包括数据加解密服务、完整性验证服务、统一身份认证服务、签名验签服务、时间戳服务、电子签章服务、证书管理服务、随机数服务等,同时密钥管理功能可对上述服务进行统一密钥分发、更新、删除等管理。通过简化调用流程,屏蔽密码复杂逻辑,提供高可靠、易复用的一整套服务接口,实现对云加解密服务、完整性服务、签名验签服务调用,对业务系统数据存储、传输的机密性和完整性保护。
(2)密码接入:主要包括密码资源调度与密码资源适配功能,是连接上层密码服务与下层密码基础设施的重要服务。密码资源调度提供负载均衡模块、动态调试模块、连接模块,对密码资源进行调度策略管理;密码资源适配主要负责与服务器密码机通用接口、电子签章系统通用接口、时间戳服务器通用接口、数字证书认证系统通用接口、签名验签服务器通用接口等进行适配对接。密码接入模块会直接与密码基础设施进行数据交互。
(3)密码管理:对整体密码资源系统进行统一管理,提供平台管理、态势感知、数据中心三大功能模块。其中平台管理提供租户管理、角色管理、业务管理、密码资源管理与平台升级管理等功能;态势感知提供数据统计、报表中心、告警管理、可视化统计展示等功能;数据中心提供日志中心、监控中心、密码服务数据收集、密码服务数据分析、健康状态检查等功能。
(手机盾/协同签名服务器)
通过服务端与客户端分割密钥的方式,基于证书或公私钥技术共同实现协同签名的作用,主要用于移动端用户身份鉴别时进行身份签名。也可用于PC端用户的身份鉴别。
服务器密码机主要提供数据加解密、签名验签、杂凑等密码运算服务,实现信息的机密性、完整性、真实性保护。
签名验签服务器,适用于各类应用系统进行高速、多任务、并行密码运算,可以满足数字证书认证系统及各类应用系统数据的签名/验证、加密/解密的要求,同时提供安全、完善的密钥管理机制。
服务器部署的电子签章系统是电子签名的一种表现形式,利用图像处理技术将电子签名操作转化为与纸质文件盖章操作相同的可视效果,同时利用数字签名技术保障数字信息的真实性和完整性以及签名人的不可否认性。
时间戳能够唯一地标识某一时刻(通常为一段字符序列),从而可用于应用系统用户证明某些数据的产生时间,支撑公钥基础设施的“不可否认”服务。
服务器部署的数字证书认证系统可为设备/用户提供数字证书的申请、更新、注销、发布等功能。可签发的证书类型包括用户数字证书、设备证书/国密SSL证书、站点证书。
声明:本文来自笛卡尔盾,版权归作者所有。文章内容仅代表作者独立观点,不代表沃通CA立场,转载目的在于传递更多信息。如有侵权,请联系删除。