概述

多乐为将自身多年来在信息安全领域的实践经验融入到商用密码产品研发和建设之中,联合密评咨询、测评等合作伙伴,针对涉及国家安全和社会公共利益等重要领域网络和信息系统,参照商用密码应用安全性评估标准,来设计全流程国产密码改造合规解决方案,建设完整的密码支撑体系,从物理和环境安全、网络和通信安全、应用和数据安全、设备和计算安全、密钥管理等方面解决密码应用不广泛、不规范和不安全等问题,帮助政企客户高效有序地完成测评整改工作,确保网络和信息系统密码应用的合规性、正确性、有效性,切实构建起坚实可靠的网络安全密码应用保障体系。

什么是商用密码?

密码是指对不涉及国家秘密内容的信息进行加密保护或安全认证所使用的密码技术和密码产品。

什么是商用密码安全性评估?

商用密码应用安全性评估(简称“密评”),是指在采用商用密码技术、产品和服务集成建设的网络和信息系统中,对其密码应用的合规性、正确性和有效性进行评估。

密评标准是什么?

GB-T 39786-2021《信息安全技术 信息系统密码应用基本要求》

《信息系统密码测评要求(试行)》

《商用密码应用安全性评估测评过程指南(试行)》

《商用密码应用安全性评估管理办法(试行)》

《商用密码应用安全性评估作业指导书》

《商用密码应用安全性评估测评工具使用需求说明书》

信息系统在哪些阶段涉及到密评改造/建设?

在信息系统的规划、建设、运行三个阶段的密码应用过程都可能涉及到密评改造/建设。

密码应用基本要求

GB-T 39786-2021《信息安全技术 信息系统密码应用基本要求》

  • 物理和环境安全:密码技术实现物理访问控制、监控记录完整性保护等要求。

网络和通信安全:密码技术实现实现网络传输过程的通信双方真实性、数据机密性、完整性保护等要求。

设备和计算安全:密码技术实现设备用户身份真实性,远程鉴别信息机密性,重要文件的完整保护要求。

应用和数据安全:密码技术实现身份真实性、数据传输和存储的机密性、完整性、不可否认性等要求。

密钥管理安全:密钥全生命周期管理,包括密钥生成、存储、使用、分发、导入/导出、备份/恢复、归档、销毁。

安全管理安全:制度、人员、实施、应急要求。

密码应用改造内容

1.物理和环境安全要求:

采用基于密码技术的电子门禁系统和视频监控系统,对重要物理区域(如计算机集中办公区、设备机房等)出入人员的身份进行鉴别,并对电子门禁系统进出记录、视频监控音像记录等数据进行完整性保护。

评分情况

解决方案

①通过国密CPU卡实现人员身份鉴别,或者生物识别+专人值守+实时监控。

②采用国密算法来实现门禁记录和视频记录的不可篡改,保证记录完整性(高分通过)。

2.网络和通信安全:

要求:网络和通信安全指的是在业务系统网络和通信过程中,提供传输安全服务、身份鉴别服务和安全审计服务来保障网络通信的安全。

身份鉴别:应在通信前基于密码技术对通信双方进行验证或认证,实现防截获、防假冒、防重用

设备接入认证:对链接到内部网络的设备进行身份鉴别

访问控制信息:保证网络边界和系统资源访问控制信息的完整性

通信数据完整性:保证通信过程中数据的完整性

通信数据机密性:保证通信过程中敏感信息数据字段或整个报文的机密性

集中管理通道安全:应使用密码技术建立一条安全的信息传输通道,对网络中的安全设备或安全组件进行集中管理

密码模块实现:保证网络边界和系统资源访问控制信息的完整性

评分情况

解决方案

①通过国密SSL VPN确保人员身份的真实性。

②采用国密应用安全网关保障数据传输过程中的完整性、机密性。

③通过国密应用安全网关的控制策略对外部接入设备进行权限认证。

④对重要数据进行国密传输及存储。

3.设备和计算安全

要求:设备和计算安全是指平台管理员在对平台进行运维时,需要对运维管理员身份鉴别,保障网络环境中物理主机、服务器以及其应用程序等重要数据的机密性和完整性。

机密性:设备远程管理鉴别信息,远程管理时,实现鉴别信息的防窃听

完整性

1)访问控制信息

2)敏感标记:保证重要信息资源敏感标识的完整性

3)日志记录

4)设备重要文件:实现系统运行中重要程序或文件完整性保护

真实性身份鉴别

1)身份鉴别:使用密码技术对登陆的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂

不可否认性

1)身份鉴别:使用密码技术对登陆的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换。

应采用符合GM/T 0028或管理部门核准的硬件密码产品实现密码运算和密钥管理(三级推荐)

评分情况

解决方案

①通过U-Key+数字证书或者双因素、短信、生物识别来进行身份鉴别。

②通过SSL VPN或者堡垒机来确保远程管理通道安全性。

③通过加密卡签名对访问控制信息完整性保护。

④重要信息资源安全标记的完整性保护。

⑤通过加密卡签名对日志记录进行完整性保护。

⑥重要可执行程序完整性,确保来源真实性。

4.应用和数据安全

要求:应用和数据安全是指在业务系统应用中,对涉及到系统管理数据、身份鉴别数据、日志数据、业务数据等数据,保障其机密性和完整性。

评分情况

解决方案

云环境的身份鉴别:账户密码的国密强化、协同签名的身份强化、双因素&生物识别的认证

传输加密及完整性:国密HTTPS、SDK密码开发工具、服务器端的密码模块

存储加密及完整性:数据加密、大块数据加密、用户数据加密、隐私数据单向保护

软件供应链:客户端APP完整性终端SDK

数据共享:P2P 安全计算、一对多数据共享、“3、5"门限共享

5.密钥管理

①密钥管理系统支持集中的应用密钥管理功能,支持密钥全生命周期管理,从分发、存储、使用、更新、归档、撤销、备份、恢复、销毁等各个环节,平台会记录密钥全生命周期的操作管理日志,便于进行密钥管理审计。

②依托于合规的密码产品、密码服务以及密钥管理制度、规则,进行密钥全生存周期管理。

北京多乐为科技有限公司(以下简称:多乐为)致力于国产密码技术与信息技术应用的研究,为信息系统提供“合规易用的国产密码服务”,以实现及增强应用系统的安全合规。多乐为自主研发“国产密码服务平台”,支持SM2/SM3/SM4等国家商用密码算法,为信息系统开发人员提供符合国密规范的编程接口、SDK工具包,可以用于构建符合 GB/T 39786-2021《信息安全技术信息系统密码应用基本要求》标准三级的应用系统。国家密码管理局以《中华人民共和国密码行业标准》陆续公布了SM2/SM3/SM4/SM9等国家商用密码算法标准及其应用规范。其中“SM”代表“商密”,即用于商用的、不涉及国家秘密的密码技术。其中SM2为基于椭圆曲线密码的公钥密码算法标准,包含数字签名、密钥交换和公钥加密,用于替换RSA/Diffie-Hellman/ECDSA/ECDH等国际算法;SM3为密码哈希算法,用于替代MD5/SHA-1/SHA-256等国际算法;SM4为分组密码,用于替代DES/AES等国际算法;SM9为基于身份的密码算法,可以替代基于数字证书的PKI/CA体系。2019年10月26日,《中华人民共和国密码法》颁布、2021年信息系统密码应用建设及测评相关标准相继颁布,多乐为帮助云应用开发单位实现合规密钥生命周期管理,采用国产密码标准实现数据加解密、系统健全登录、身份签名验签等服务,最终实现密码测评高分通过。关注官微:多乐为科技

你要知道的密评改造方案相关推荐

  1. 【安全资讯】开展密评工作,用身份安全技术保障数据安全

    作者| CCIA数据安全工作委员会 来源|安全内参 发布时间|2021-12-07 通过密码技术确保网络信息系统中各用户的身份安全,则是确保网络信息系统安全和数据安全的重要抓手. 1 商用密码应用安全 ...

  2. Web应用国密改造方案

    国密改造的背景 一.网络安全形势不容乐观 1)网络安全事件日趋严重,HTTP网站存在被伪造.中间人劫持等安全风险 -美国白宫通过2015年<HTTPS-ONLY备忘录>达到政府类网站全覆盖 ...

  3. 商用密码应用安全性评估(密评)六大基础问题解答

    2021年3月9日,国家市场监管总局.国家标准化管理委员会发布公告,正式发布国家标准GB/T39786-2021<信息安全技术 信息系统密码应用基本要求>,该标准将于2021年10月1日起 ...

  4. 密评复习(选择+简答)

    1. 密评主要依据 GB/T39786信息安全技术 信息系统密码应用基本要求 GB/T39786分五个级别,从物理和环境安全.网络和通信安全.设备和计算安全.应用和数据安全四方面提出了密码应用技术要求 ...

  5. 如何避免常见的十个知识误区,成功通过“密评”

    "商用密码应用安全性评估",是对采用商用密码技术.产品和服务集成建设的网络和信息系统密码应用的合规性.正确性.有效性进行评估的活动.当前,全国范围内对重要信息系统的密评活动也正在有 ...

  6. 国密SSL证书正式上线,知道创宇云防御助力金融和重要领域完成国密升级改造...

    ★ 在网络社会化.社会网络化的今天,网络空间正在加速演变为各国国家安全的新战场,密码作为网络空间安全保障和信任机制构建的核心技术与基础支撑,直接关系国家政治安全.经济安全.国防安全和信息安全,也是国家 ...

  7. 密评|商用密码应用安全性评估

    前言 作为近些年刚刚进入人们视线的"密评",许多人均对其较为陌生,密码作为网络安全体系中基础支撑,是国家实现网络安全从被动防御走向主动免疫的重要战略转变. 商用密码应用安全性评估的 ...

  8. 国密SSL证书上线,沃通CA助力金融等领域完成国密升级改造

    在网络社会化.社会网络化的今天,网络空间正在加速演变为各国国家安全的新战场,密码作为网络空间安全保障和信任机制构建的核心技术与基础支撑,直接关系国家政治安全.经济安全.国防安全,也是国家实现安全可控体 ...

  9. 【密评简易算分器】密评工具之一

    密评简易算分器 在密评之中,很多客户或者建设单位都在咨询,系统能得多少分呢? 如何在简单了解客户得系统现状,在半小时之内算出一个粗略的分数出来呢? 为此我开发了这个小助手工具.它可以通过简单的点击鼠标 ...

最新文章

  1. SLAM十四讲笔记1
  2. jmeter 测试 api 接口方法
  3. python经典类新式类_Python新式类与经典类(旧式类)的区别
  4. Struts2面试问答
  5. 代码块是什么?该如何使用?
  6. 回溯法解0-1背包问题(王晓东算法例题)
  7. 491. 递增子序列
  8. springmvc入门程序
  9. VB.NET 教程_02_常见对象
  10. AutoJS实现微信自动聊天机器人
  11. linux发行版_看一看2020年最漂亮的Linux发行版
  12. 分析数学成绩,尽然我考了0分
  13. 印象笔记,幕布, Effie 哪个适合公众号主?
  14. 【多媒体封装格式详解】---MP4【1】
  15. 微信小程序 Notes | 常用开发事例(五)基于云平台导出 Excel
  16. html css分页特效,CSS样式表实现效果很好的分页效果源代码
  17. 水电站10kV厂用电保护装置改造
  18. 使用EasyExcel做自定义表头的excel文件导出
  19. mysql 插入数据中文乱码问题解决办法
  20. IT程序员的自我见解总结(程序员的发展)

热门文章

  1. XYMultipleSeriesRenderer 绘制K线图,点击弹出pop
  2. 不要只做个ACV工程师,SSH框架配置文件详解。知其然,也要知其所以然。
  3. 判断成绩级别if else if语句使用案例
  4. 魅族7.0系统手机最简单激活Xposed框架的流程
  5. 控股股东股权质押数据(2007-2020年)
  6. 用于Windows的控制台模拟器Cmder(类似gnome,xterm)
  7. VR制作中必须踩的坑365之045(oculus2、UE4、UE5、VR记录一年的踩坑之旅)iclone8来来来告诉你剁手坑
  8. Elasticsearch5.5.1 使用JEST客户端高亮显示
  9. android 拨打电话音量,手机音量键都按到最大了,通话声音还是很小?试试打开这个功能...
  10. Trucksim软件安装及找不到license问题的解决办法