详解商用密码领域

1、商用密码介绍0102等保标准目录产品介绍场景介绍0203商用密码介绍01PART1核密核密指国家党政领导人及绝密单位的安全级别，此领域不存在任何商务行为普密普密是指国家党政军机关的信息安全级别，此领域安全设备由国家指定的五家研究机构负责研制工作，具有市场实力的只有三家：中电科 30 研究所、数据所、总参 56 所。另外两家是空三所，中船 722 所商密商密用于保护企业级的商业秘密，技术上不一定比普密低，但商密产品的管理程度不如普密，应用产品多，应用面广（如 VPN）。国家规定商密禁止操作任何国家秘密以 上的安全信息。23我们国家将信息安全划分为三个等级：核密、普密和商密。商用密码介绍商用密码产

2、业规模随着商用密码技术不断创新，我国商用密码产业蓬勃发展。根据统计，2017年我国商用密码产业规模达到239.41亿，较2016年增 长57.9%。近三年产业规模的平均增长率为35%。按照这个增长规模，预计到2020年商密行业规模可突破400亿2012年，商用密码产品销售单位为611家，商用密码产品生产单位为427家。2017年，商用密码产品销售单位和生产单位已经分 别达到976家和737家。从商用密码企业的地域分布来看，北京、广东、浙江、上海的企业数量之和占整合行业半数以上，北京和广东的商用密码企业最多。商用密码政策商用密码重要企业产品介绍02PART密码应用产品不断丰富密码应用产品不断丰富

3、，产业支撑能力不断增强。截至目前，取得品种和型号证书的密码应用产品已达 2200 余款， 累计销售金 额近千亿元，形成了以密码芯片、密码板卡、密码整机、密码系统等传统产品为主，多种产品形态和应用模式并现的产品体系，自主核心 技术整体达到国外同类产品水平，部分产品在性能指标、安全防护能力等方面达到国际先进水平。商用密码产品目录商用密码产业链等保标准03PART密级 类型商密指引安全要求密码应用等保三级要求涉及产品g) 应对商业秘密的知悉范围和访问权限进 行细粒度的控制身份鉴别：应使用密码技术对登录的用户进行身份标识和鉴别，实现身份鉴别信息的防截获、防假冒和防重用，保证普通商密h) 应对商密数据在

4、形成阶段的操作行为进 行安全审计，并形成安全审计统计分析报 告应用系统用户身份的真实性。访问控制：应使用密码技术的完整性功 能来保证业务应用系统访问控制策略、 数据库表访问控制信息和重要信息资源 敏感标记等信息的完整性。USB Key、TF密码卡、服务器密 码机、签名验签服务器、 统一 身份认证系统、日志安全审计 系统日志完整性： 应使用密码技术的完整性功能来实现对日志记录完整性的保护。形成阶段数据安全密级 类型商密指引安全要求密码应用等保三级要求涉及产品应用 过程 控制普通 商密a) 应根据企业自身实际情况对不同类别的商密数 据设费相应权限。如:财务数据，只允许财务部具 有编辑权限；董事长、

5、总经理和相关人员具有阅 读权限；其他人员没有阅读或编辑的权限身份鉴别：应使用密码技术对登录的用户进 行身份标识和鉴别，实现身份鉴别信息的防 截获、防假冒和防重用，保证应用系统用户 身份的真实性。访问控制：应使用密码技术的完整性功能来 保证业务应用系统访问控制策略、数据库表USB Key、TF密码卡、统一身份认证产品、b) 应对商密数据的应用操作行为进行审计，对违规操作行为进行报警，审计的记录至少保存半年a) 应对商密数据的外发行为进行审批、授权等控制访问控制信息和重要信息资源敏感标记等信息的完整性。日志完整性： 应使用密码技术的完整性功能日志审计系统、IPSEC/SSL VPN、服务器密码机外

6、发 过程 控制普通 商密c) 应使用商用密码加密等安全技术，对外发的商密数据内容进行安全保护来实现对日志记录完整性的保护。数据传输安全：应采用密码技术保证重要数 据在传输过程中的完整性，包括但不限于鉴 别数据、重要业务数据、重要审计数据、重 要配置数据、重要视频数据和重要用户信息 等。应用阶段数据安全密级 类型商密指引安全要求密码应用等保三级要求涉及产品终端 存储 保护普通商密a) 应采用商用密码加密等技术措施，对终端上的商密数据进行 保护，并对加密数据做读写访问控制，避免保留在终端上的商 密数据被窃取访问控制：应使用密码技术的 完整性功能来保证业务应用系 统访问控制策略、数据库表访 问控制信

7、息和重要信息资源敏 感标记等信息的完整性。数据存储安全：应采用密码技 术保证重要数据在存储过程中 的完整性，包括但不限于鉴别 数据、重要业务数据、重要审 计数据、重要配置数据、重要 视频数据和重要用户信息、重 要可执行程序等；USB Key、TF密码卡、加 密U盘、数据库加密产 品、PCI-E高速密码卡、 服务器密码机、签名验 签服务器、FC存储加密 机b) 应启动访问控制措施，保护终端上的商密数据不被非授权访问e) 存放有商密数据的终端使用移动存储介质时应进行严格的授权访问控制f) 对下载到移动终端设备存储区域的商密数据，应采取商用密码加密等技术措施进行安全保护，防止存储的信息被窃取核心商密

8、g) 终端上禁止大量存放核心商密数据，对核心商密数据应实现 集中加密存储，实现细粒度的使用权限控制，对使用情况进行 统计分析，实现对企图非法访问的主动屏蔽和及时告警服务 器存 储保 护普通商密a) 商密数据在服务器中存储应采取商用密码加密等技术措施进行机密性保护,防止存储的商密数据被窃取b) 商密数据在存储过程中应采取完整性监测措施，防止存储的 信息被篡改、被破坏，并采取必要的恢复措施存储阶段数据安全密级 类型商密指引安全要求密码应用等保三级要求涉及内容普通商密a) 商密数据的脱密须经审批后执行解密， 审批过程遵循严格的审批流程和制度，通 过相关技术对审批行为以及脱密的商密数 据进行审计，并对

9、审计记录进行集中管理安全管理制度：应制定密码安全管理制度及操作规范。 安全管理人员：应根据相关密码管理政策、数据安全保密政策，结合组织实际情况，设置密钥管理人员、安全审计人员、密码操作人员等关键岗位；建立相应密码安全管理制度岗位责任制度，明确相关人员在安全系统中的职责和权限，对关键岗位建立多人共管机制。c) 应对超过使用权限的外发商密数据，执行自动销毁以防超出知悉范围人员越权查阅商密数据脱敏阶段数据安全密级 类型商密指引安全要求密码应用等保三级要求涉及产品普通 商密f) 应用系统与数据库中商业秘密的导出，应采取商用密 码加密等技术进行保护，对数据库的直接访问应能防止 通过拷贝、截屏、录屏等方式

10、造成的泄密访问控制：应使用密码技术的完整性功能 来保证业务应用系统访问控制策略、数据 库表访问控制信息和重要信息资源敏感标 记等信息的完整性。数据传输安全：应采用密码技术保证重要 数据在传输过程中的完整性，包括但不限 于鉴别数据、重要业务数据、重要审计数 据、重要配置数据、重要视频数据和重要 用户信息等。数据存储安全：应采用密码技术保证重要 数据在存储过程中的完整性，包括但不限 于鉴别数据、重要业务数据、重要审计数 据、重要配置数据、重要视频数据和重要 用户信息、重要可执行程序等。USB Key、TF密码卡、统一身 份认证系统、数据库加密产品 服务器密码机、高速加密交换 机、IPSEC/SSL

11、 VPN、FC存储 加密机核心商密g) 应能够检测到结构化核心商密数据在存储过程中完整 性受到破坏，并在检测到完整性错误时采取必要的恢复 措施h) 应通过商用密码加密等技术保证结构化商密数据传输过程中的完整性和机密性i) 应通过商用密码加密等技术保证结构化核心商密数据 的存储安全j) 应通过商用密码加密等技术保证结构化核心商密数据 的使用安全密码应用等保要求场景应用04PART加密 算法车联网安全Mini 加密卡移动终端安全无线安全加密算法嵌入主板物联网安全6硬件主板安全：目前，大多数计算机主 板都没有加密，因此有些不法分子就趁 机仿制、盗用他人计算机主板及其嵌入 式应用系统，从而给产品开发权

12、益人造 成严重损失物联网安全：物联网设备可以产生的数据5量惊人。互联世界中的隐私与安全的报告 发现，只有不到1万户家庭能够生成1.5亿 个离散数据点每天。这为黑客创造了 更多的切入点，并使敏感信息变得脆弱4车联网安全：预计2020年，中国智能网联汽车新车占比将达到50%。届时每年将有 上千万辆智能汽车投放市场，中国也将进 而成为智能网联汽车第一大国。3无线安全：手机网民的增长，一方面推1动了移动支付、网上购物、网上外卖、 网约车、在线教育等线上消费场景的丰 富发展，也对于中国公共WiFi的普及率 和安全性提出了更高的要求2区块链安全：区块链是分布式数据存储、点对点传输、共识机制、加密算法等计算

13、技术的新应用模式Mini加密卡：根据现有PCI-E加密卡制 作Mini PCI-E加密卡加密算法场景无线安全企业用户政策方向个人用户广域网络个人用户安全 所有无线网络提供某些 形式的加密，开启后即 使网络上传输的数据都 是加密状态政策方向SM2/3/9算法是我国自主 设计、具有独特优势的安全 高效密码算法,相继纳入国 际标准并发布。企业用户安全无线网络安全提供数据保护， 对企业部署无线网络进行数 据传输和通讯至关重要。城区网络可作为有线网络的备用网络， 其使用技术有多路点分布、 和本地多点分布服务。无线安全伴随移动应用的极大丰富，越来越多用户使用WiFi作为接入移动互联网的主要方式，尤其是在使

14、用视频、直播、在线游戏等 富媒体应用时，手机网民中通过WiFi无线网络接入互联网的比例已经超过91.8%。WiFi成为网民上网的首选方式。AYTM MarketResearch的调查发现在美国智能手机用户中，超过四分之三的人担心智能手机隐私问题，但是这并没阻碍大部分美 国消费者购买和使用智能手机。其中我国手机网民规模达7.53亿，网民中使用手机上网的比例由2016年底的95.1%提升至97.5%，手机上网比例提升97.5%。发展趋势根据Market Research Future(MRFR)市场报告指出，受物联网的普及 影响，无线技术快速发展，导致全球无线安全系统市场在2023年将突破 140

15、亿美元，复合增长率达11%现有问题政策扶持调查结果显示，仅有不到半数的美国人坚信自己的家庭网络是安全的；与此同时，有16%的受访者表示他们曾经成为了黑客们的牺牲品。2018年11月30日公安机关组织北京市网络行业协会、北京邮电大学和公 安部第三研究所相关专家，研究起草了互联网个人信息安全保护指引（ 征求意见稿）科技进步无线通信未来的发展趋势表现为：各种无线技术互补发展，各尽所长，向 接入多元化、网络一体化、应用综合化的宽带化、IP化、多媒体化无线网 络发展。4无线安全360360从2013年开始就一直在推广自家的无线路 由器，把无线路由器与360的安全防御技术相 结合，在市场上表现还不错。无线

16、安全产业联盟无线安全支付产业联盟成员包括全球芯片巨 头高通、MTK；手机巨头诺基亚、三星、摩 托罗拉等手机系统及硬件商；以及UCWEB、 创新工场、掌上明珠等主流手机应用提供商 等60余家厂商趋势科技趋势科技则选择与华硕这种知名厂商合作， 将自己的安全模块置入到华硕路由器的系 统中，达到增强安全防御的目的。诺顿科技诺顿正式推出了这款主打智能家居安全防 护功能的无线路由器，售价为279美元。 这款无线路由器内置诺顿安全防护软件， 可以保护家中的智能手机、平板电脑、摄 像头等被黑客控制，保护家庭上网安全问及不安全的无线网路可能引来的风险，IT决策者有48%认为机密企业和(或)客户资料的外泄是最大的

17、风险，比例最高的为亚太区的56%， 美洲和EMEA则分别为45%和42%。次高的风险为工业间谍的渗透，但仅有22%的IT决策者如此表示；其他风险则为未符合产业规范(13%)，服 务中断和企业商誉受损则同样为9%从目前市场上分析，较多企业都推出无线安全路由器等设备，但都注重于认证安全（2018年6月26日，WiFi联盟宣布WPA3协议已最终完 成），功能安全（IPS、防病毒等），没有一家是属于链路安全，不管公共Wifi，还是私人用户，在连接中所有数据传输均为明文传输， 危 险系数极高。无线安全终端市场移动终端一截至2017年12月，据CNNIC数据，中 国网民规模持续发展，中国网民规模超过7.7

18、2亿， 互联网普及率为55.8%。高端市场航空无线一航空WiFi领域也取得突破进展，2017 年，民航总局放宽了对机上便携式电子设备的管理规定，国内多家航空公司先后推出机上W iFi服务，空地互联将逐步实现。网络市场企业安全一无线环节正成为全球企业安全最薄弱 的一环。将近一半（49%）的受访者将无线网络列为最易受攻击的环节，92%的CIO担忧无线网 络将受到攻击，而最大的担忧来自中国，71%的CIO表示对无线安全十分担心。全球市场全球增长率一随着无线网络普及，预计到2019年， 这一数据将达到155.5亿美元（约合人民币969.3亿 元），年复合增长率约12.94%。周边市场公共热点一 一二线

19、城市明显多于三四线城市，其中， 成都、深圳、北京、广州、上海位列中国城市WiFi热点数量top 5；从风险WiFi比例上看，风险WiFi的比例却远远低于三线以下城市。因此，不管是在数 量上还是安全性上，一二线城市优势明显市 场 分 析无线安全市场分析区块链安全时间戳哈希算法数据区非对称加密数据区区块头封装了当前版本号、 前一区块地址、当前区块的 目标哈希值、当前区块POW 等共识过程的解随机数、 Merkle根以及时间戳等信息哈希算法区块链通常并不直接保存原始 数据或交易记录，而是保存其 哈希函数值，将原始数据编码 为特定长度的由数字和字母组 成的字符串后计入区块链时间戳将需要加时间戳的文件用

20、 加密形成摘要，然后将该 摘要发送到DTS。非对称加密非对称加密是为满足安全性 需求和所有权验证需求而集 成到区块链中的加密技术， 其加密解密密钥不同。区块链安全加密数字货币一经诞生，安全性就是人们关注的焦点，遗憾的是各类重大安全事件层出不穷。尤其是总市值不 断增大，数字货币种类逐渐繁多，区块链生态进一步丰富，给了攻击者越来越多的突破口，每年的涉案金额也在不 断增多。总的趋势是，随着数字虚拟货币参与者的增加，各种原因导致的安全事件也显著增加。发展趋势2018 年1 月7 日，整个加密数字货币总市值达到历史最高的8000 亿美元 的市值。现有问题基于区块链行业仍处于一个早期阶段，很多安全漏洞尚未

21、被发现以及部分 技术人员的安全防护工作并不是很成熟政策扶持2018年10月，网信办：规范区块链信息服务活动，鼓励区块链行业组织 加强行业自律，填报区块链信息服务备案登记表科技进步区块链发展大致经历了三个阶段，从1.0时代的数字货币，到2.0时代的智 能合约，再到3.0时代对区块链技术全面应用的畅想。9区块链安全综合性公司-知道创宇知道创宇作为一家综合性安全服务公司，区块 链业务只是知道创宇业务中的一环，其中包括 云防护、智能合约审计、智能钱包安全、算力 安全监控、安全服务、业务反欺诈等方面。并 且与火币、Bitmain、ViaBTC 等行业翘楚建 立了合作关系安全审计-成都链安成都链安科技有限

22、公司，专注区块链安全领 域，总部位于成都。由电子科技大学杨霞教 授和郭文生教授共同创建，团队核心成员由30 多名来自海外知名高校和实验室（CSDS、 耶鲁、UCLA）留学经历的副教授、博士后、 博士、硕士及阿里、华为等知名企业精英组 成。区块链生态安全-慢雾科技慢雾科技的核心能力包括：安全审计、安 全顾问、防御部署、威胁情报等。慢雾科 技已经为全球多家交易所、钱包、链、智 能合约等做了安全审计与防御部署区块链加密安全-卫士通区块链密码创新联盟发起单位之一，公司 已经开始在5G密码应用体系、数字货币与 区块链、后量子密码等方面开展了研究。对于行业中频发的安全问题，处于对这个领域的需求，行业中一些

23、安全服务机构也逐渐发展壮大，针对 安全问题提供的服务也日趋专业化。目前，国内外几大服务于区块链安全的公司与团体主要包括慢雾科 技、知道创宇、360 区块链安全、Certik 等机构。区块链安全Mini加密卡易扩展算法要求易安装性价比较高易安装MINIPCI 是基于 PCI 总线 的 接口,两种接口在电气性能 上 不同，外形不同，MINI PCI-Express是新一代 的总线接口算法要求全面支持SM 1/SM 6、SM2、 SM3、SM4等国产密码算 法 以及DES、3DES、AES、 AES192、AES256、RSA、SHA1等多种国际标准算法。易扩展Mini PCI-E接口为主板板 载

24、接口，在安全设备中可 根据 PCI-E扩展卡在继续 扩展接 口。性价比较高Mini PCI-E加密卡是一种 比 较经济、性能要求不太 高时 的最好选择加密卡车联网安全数据安全密钥安全固件安全传输安全固件安全由于固件代码保存在具 有永久存储功能的器件 中，因此选择器件时需 特别考虑支持加密算法密钥安全智联网联汽车除了要建立一 套完整的密钥管理体系外， 还需要在密钥存储方面特别 关注。数据安全使用轻量级密码算法，应用 于资源受限计算能力相对较 弱的设备，计算可使用存储 往往较小。传输安全数据在传输过程中，如果传 输网络被共攻击，传输的数 据会被篡改，进而影响数据 的安全性，所以需要加强网 络加密技

25、术。车联网安全当前智能网联汽车主要面临来自节点(T-BOX、IVI、终端升级、车载OS、车载诊 断系统接口、车内无线传感器)、网络传输、云平台、外部互联生态安全4个层面 的12大安全威胁。在黑客攻击的威胁下，智能网联汽车安全性变得愈发脆弱，甚 至可能导致致命事件的发生。发展趋势 全球互联汽车市场预计到2019年将增长到1319亿美元(约合人民币9143.6亿元)，有 望成为与汽车行业紧密联系的独立业务领域。安全情报显示，信息篡改、病毒入侵等手段已成功被黑客应用于汽车攻击中。尤其当现有问题 黑客远程攻破并接管吉普切诺基事件导致FCA召回140多万辆汽车后，汽车行业开始彻底警醒智能网联汽车信息安全

26、问题政策扶持9月13日，由东软集团、长安汽车、奇瑞汽车、中国信息安全认证中心、国家网络与信 息系统安全产品质量监督检验中心、中国软件评测中心、信息产业信息安全测评中心、 恩智浦（中国）联合发起的车载信息安全产业联盟（简称：ACIA）在京正式宣布成立在国家相关部门的指导下，国内有关标准化机构、汽车产业联盟自2016年下半年开始，科技进步 纷纷启动开展了车联网、智能网联汽车相关标准体系的建设工作，截至目前已经取得阶段性成果车联网安全中国车联网安全联盟360联合多家机构和车企，筹备成立中国车联网安 全联盟，集合全社会的网络安全能力，共同面对和 解决汽车的信息系统安全。中国智能网联汽 车产业创新联盟2

27、017年6月12日，中国智能网联汽车产业创新联 盟成立大会在北京举行，工业和信息化部部长苗 圩出席大会并作重要讲话，会议由工业和信息化 部副部长辛国斌主持。工业和信息化部相关司局 和行业单位代表、业界专家和有关嘉宾出席会议车载信息安全产业联盟东软集团联手国家网络与信息系统安全产品质量监督检验中心、长安汽车、中国信息安 全认证中心、中国软件评测中心、信息产业 信息安全测评中心、奇瑞汽车、恩智浦(中国)在京共同建立车载信息安全产业联盟。360 智能网联汽车 信息安全实验室截至2017 年，实验室已与西安电子科技大学、浙江大学、特斯拉、长安汽车、长城汽车、 比亚迪、宝沃、东风日产、奇瑞、江铃、长 春

28、一汽、华晨汽车、北汽新能源、博世、上 汽通用等研究机构、汽车生产企业和汽车信 息安全相关厂商展开深度合作和共同研究。车联网联盟技术标准网络防护安全网络防护- 安全标准主要用于为车内总线 网络、传感网络以及外联网络（蓝牙、Wi-Fi、RFID、LTE-V2X等）提供网络安全设备安全设备安全- 标准主要包括基础电子产品、终端、操作系统、软件以及智能汽车、新能源汽车关键电子部件等安全标准体 系安全指南安全指南-标准用于指导一般汽车电子 相关企业开展安全实践活动，实现最基本 的 网络安全保障数据安全数据安全-标准主要用于为汽车电子相关各 类数据（包括状态数据和用户数据）的采集、 存储、传输、监测等提供

29、安全保障密码应用密码应用- 标准主要用于规范当前在汽车 电子产品中应用越来越多的密码技术，提 供适 用于汽车环境的应用指导车联网技术标准物联网安全数据传输加密接入安全硬件安全终端数据硬件安全通过实现物联网终端芯片的安全访问、 可信赖的计算环境、加入安全模块的安 全芯片以及加密单元的安全等，确保芯 片内系统程序、终端参数、安全数据和 用户数据不被篡改或非法获取。接入安全利用轻量级、易集成的安全应用插件 进行终端异常分析和加密通信等，实 现终端入侵防护，从而避免发生借助 终端攻击网络关键节点等行为。同时 需要轻量化的强制认证机制，阻止非 法节点接入。数据传输加密在杜绝明文传输的基础上，进一步加强

30、数据过滤、认证等加密操作，确保传送 数据的正确性。同时，还可进行设备指 纹、时间戳、身份验证、消息完整性等 多维度校验，最大程度保证数据传输的 安全性。终端数据完整性通过在物联网终端和通信网络之间建 立安全通道，建立信息传输的可靠性 保障机制，在保证用户通信质量的同 时，对终端数据提供加密和完整性保 护，防止数据泄露、通讯内容被窃听 和篡改。物联网安全物联网技术的发展创新，深刻改变着传统产业形态和社会生活方式，催生了大量新产品、新服务、新模式，引发了产业、经济和社会发展新浪潮。与此同时，数以亿计的设备接入物联网，物联网产业规模不断壮大，针对用户隐 私、基础网络环境的安全攻击不断增多，网络安全问

31、题已成为限制物联网服务广 泛部署的障碍之一。发展趋势据GSMA预测，2025年全球物联网设备（包括蜂窝及非蜂窝）联网数量将达到252亿，远高 于2017年的63亿；同时，物联网市场规模将达到目前的四倍。现有问题据Gartner调查，近20的企业或相关机构在过去三年内遭受了至少一次基于物联网的攻击。为了防范安全威胁，政策扶持物国内已发布物联网参考体系结构物联网术语网络安全等级保护基本要求4： 联网安全扩展要求信息安全技术物联网安全参考模型及通用要求等系列国家和行业 标准科技进步LoRa、NB-IoT和5G等通信技术的发展让万物互联成为现实。物联网安全传输层安全Sigfox 公司和 Lora 公司

32、在这个领域持续领跑市场，已经在多个国家和地区部署。当然，低功耗广域 网( LPWAN ) 作为新兴事物在安全方面必然要受到 行业质疑，据了解，Sigfox 公司和 Lora 公司也投 入了巨大的金钱和精力保障安全，特别是 Lora 以 生态系统的形式做安全防护，推动其网络安全部署应用层安全物联网的处理应用层主要是云计算平台及其服务， 包括大数据处理。因此物联网处理应用层的安全 就是处理平台本身的安全和其所提供的服务的安 全。在这方面，几乎每个物联网处理平台都有自己 的特色。感知层安全赛门铁克拟通过在物联网终端中植入基于 半轻量级 EC 密码的根证书，通过物联网 终 端设备的全球唯一标识和认证技术，实 现 对物联网设备的安全认证。物联网安全整体解决方案匡恩网络集结了一批信息安全领域尖端人才和 大咖，以其在工业领域安全防护领先技术为基 础，针对物联网感知层安全，研发了物联网安全网关，可有效解决感知层安全问题; 针对物联网的传输层安全，研发了安全交换机，以加强网络传输层的安全保护;针对处理应用层，研发了工业大数据态势感知平台等目前，互联网公司也积极融合物联网新技术，布局物联网生态，寻找新的发展机遇。BAT 作为互联网行业的领军企业，积极布局物 联网领域。百度发布了物联网接入平台IoT Hub，阿里开发了阿里云、云物联网套件，腾讯发布QQ