《商用密码应用安全性评估管理办法》
2023年11月1日正式施行
《中华人民共和国密码法》《商用密码管理条例》中均提到商用密码应用安全性评估,而《商用密码应用安全性评估管理办法》(以下简称《办法》)的出台就是细化商用密码应用安全性评估工作主体、方式程序、备案等方面要求,吸收继承商用密码应用安全性评估试点经验做法,结合工作实际,注重合法性、合理性和可操作性,力求做到内容完备、逻辑严密。
《办法》共21条,从总体要求、程序和内容要求、实施规范、监督检查及法律责任以及其他事项分别进行了阐述。《办法》中明确要求,重要网络与信息系统运行前,应当通过商用密码应用安全性评估,未通过评估的重要网络与信息系统应当进行商用密码改造,直至通过评估后才可投入运行。而运行后的重要网络与信息系统也应当每年至少开展一次商用密码应用安全性评估,未通过评估的系统应当进行改造,并在改造期间采取必要措施保证安全。
商用密码应用安全性评估工作从密码应用技术和密码安全管理两个方面考量。天融信在协助客户进行商用密码应用安全性评估的实践中,大部分重要网络与信息系统运营者已具备较强的商用密码应用能力,而部分运营者虽然已具备基础的商用密码应用能力,但在一些细节问题上仍存在一定不足,这也是进行密码改造的关键问题。
在此,天融信基于在各行业中开展商用密码应用安全性评估的实践积累,梳理了密评工作开展常见典型问题及建议,与业界同仁共同分享。
★密码应用技术的问题及建议★
1、物理和环境安全
存在问题:在项目实践中,机房管理通常已部署电子门禁系统,机房管理人员已具备非接触卡,实现门禁卡的“一卡一密”。但对于外来人员通常只需填写《机房出入登记表》,并没有给予同等的密码防护要求。
改造建议:建议根据gm/t 0036—2014 《采用非接触卡的门禁系统密码应用技术指南》规范,基于 sm4 算法对人员身份进行鉴别,对机房管理人员和访客防护措施并重。
2、网络和通信安全
存在问题:在项目实践过程中,许多客户的通信传输已采用流量加密、隧道加密等技术,但由于应用系统、浏览器沿革问题,一些系统并未采用国密证书、算法,不符合《中华人民共和国密码法》《商用密码管理条例》《商用密码应用安全性评估管理办法》等有关法律法规和政策文件要求。
改造建议:建议在网络接入区部署具有商密认证证书的ssl vpn安全网关,实现对通信实体的身份鉴别,保证通信过程中数据的完整性和机密性,保障网络边界访问控制信息的完整与安全。
3、设备和计算安全
存在问题:在项目实践过程中,所有客户均有堡垒机登录日志的留存意识,也将系统访问控制信息本地化存储。然而对于留存下的日志、涉及到的访问控制信息,并没有采用密码技术保证日志记录的完整性。
改造建议:建议调用服务器密码机使用 hmac-sm3 算法保证堡垒机、应用服务器和数据库服务器的日志记录完整性,调用签名验签服务器的 sm2 算法对重要可执行程序来源真实性和完整性进行验证。
4、应用和数据安全
存在问题:在项目实践过程中,应用和数据安全领域通常是与密评工作差距较大的部分,也是客户需要进行密评改造工作的重点。在应用和数据安全领域中,问题主要体现在登录系统用户的身份真实性验证环节未采用密码技术、信息系统应用的访问控制信息的完整性有所欠缺、重要数据传输和存储的完整性与机密性有待提升、业务数据操作的不可否认性难以保证等。
改造建议:建议为客户配备usbkey或协同签名系统,对登录用户展开身份鉴别,保证应用系统用户身份的真实性;调用密码设备或密码服务平台提供的加解密服务、签名验签服务实现重要数据的机密性和完整性保护;对关键数据操作进行数字签名,保障业务数据操作的不可否认性。
★密码安全管理的问题及建议★
1、管理制度
存在问题:在项目实践过程中,客户在实际环境中虽然具备部分密码应用管理相关制度,但是缺乏细化的规则、密码应用方案、操作流程、执行记录等。
改造建议:应依据客户实际环境进行管理体系的整体规划建设,制定密码应用安全管理制度和操作规程。在制定管理制度过程中,需把控多方的管理制度、设计密码应用方案、审计规划、操作规程及执行情况等。
2、人员管理
存在问题:在项目实践过程中,许多客户的密码应用岗是兼职人员负责,由于岗位人员的相关考核、培训不足,因而无法指导密评体系建设。
改造建议:应建立明确岗位职责的密码应用岗位管理制度,并加强安全意识培训、定期进行人员考核等。
3、应急处置
存在问题:在项目实践过程中,客户缺乏密码应用的应急策略,因而不具备事件处置的应急手段。
改造建议:应建立密码应用应急机制,包括制定应急策略、准备应急资源、完善应急处置流程以及事件处置上报流程等。
商用密码应用安全性评估是加强和规范商用密码应用的重要抓手。《办法》细化落实“三同步一评估”要求,体现商用密码应用安全性评估系统性原则,明确商用密码应用安全性评估实施依据,为未来密评工作的开展指出了更清晰的路径。
作为国内上市公司中成立最早的网络安全企业,天融信推出满足合规要求的密码产品、完善的商用密码应用安全wepoker官网的解决方案以及专业的全流程商用密码应用安全性评估咨询服务,为客户提供商用密码应用安全建设的同时,协助客户开展自评估等相关工作。目前天融信在政府、交通、运营商等行业均已具备项目落地成功案例,帮助客户成功通过商用密码应用安全性评估,获得客户的一致好评。
未来,天融信将充分发挥自身技术实力与服务优势,积极投身到商用密码应用安全建设中去,为各行业客户的商用密码应用安全保驾护航。
- 关键词标签:
- 天融信 商用密码应用安全性评估咨询服