商用密码应用安全体系构建方案

商用密码应用安全体系构建方案商用密码应用安全体系构建方案一、商用密码应用要求商用密码应用系统是指承受商用密码产品或者含有密真实性、抗抵赖性等功能的应用系统。国家密码治理局于202228GM/T0054-2022《信息系统密码应用根本要求》，该标准提出了总体要求、密码功能要求、密码技术应用要求、密钥治理和安全治理共五个局部的内容。信息系统密码应用根本要求在总体要求中，提出了符合商用密码治理的相关规定，满足标准标准的相关要求，包括密码算法、密码技术、密码产品、密码效劳。在密码功能要求中，规定了信息系统中需要使用密码技在密码技术应用要求中，规定了密码技术的应用要求，要求项依据等级增加和增加，包括物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全。在密钥治理中，对密钥的全生命周期提出了要求，包括密钥生成、密钥存储、密钥分发、密钥导入与导出、密钥使用、密钥备份与恢复、密钥归档、密钥销毁。在安全治理中，规定了密码安全治理要求，包括制度、人员、实施、应急，其中实施分为规划、建设、运行。二、商用密码应用安全解决方案基于商用密码应用安全的进展方向，协作网络运营者安全需求与安全建设，我们提出了商用密码应用安全解决方案，在《中华人民共和国密码法》正式施行的时代下为各行业信息化进展供给借鉴与参考。商用密码应用安全体系框架由密码安全力量支撑和密码安全效劳支撑两局部组成。其中密码安全力量包含了密码资源、密码支撑、密码效劳、密码应用以及密码治理根底设施。密码安全效劳包含了技术要求、治理要求和密钥治理。商用密码应用系统密码安全力量包含了密码资源、密码支撑、密码效劳、密码应用以及密码治理根底设施。其中密码应用层调用密码效劳层供给的密码应用接口，实现所需的数据加密和解密、数字签名和验签等功能，为信息系统供给安全功能应用或效劳。密码效劳层供给密码应用接口，分为对称密码效劳、公钥密码效劳及其他密码效劳三大类，为上层应用供给数据机密性保护、数据完整性保护、数据真实性保护、不行否认性等功能。IC卡、密码卡、效劳器密码机等。密码资源层供给根底性的密码算法资源，底层供给序列、分组、公钥、杂凑、随机数生成等根底密码算法；上层以算法IP进展封装。密码安全效劳包含了技术要求、治理要求和密钥治理。技术要求提出四大安全层面，分别为物理和环境、网络和通信、设备和计算、应用和数据，每个安全层面分别对密码模块进行要求；治理要求包括治理制度、人员治理、建设运行、应急处置；密钥治理对密钥的全生命周期进展掌握，包括密钥生成、密钥存储、密钥分发、密钥导入与导出、密钥使用、密钥备份与恢复、密钥归档、密钥销毁。商用密码应用安全性评估是指对承受商用密码技术、产品和效劳集成建设的网络和信息系统密码应用的合规性、正确性、有效性进展评估。该项评估工作主要依据GM/T0054-2022《信息系统密码应用根本要求》，对信息系统的规划、建设、运行三个阶段的密码应用状况安全性评估进展了具体的规定，评估的根本原则是要做到合规性、正确性和有效性。商用密码应用安全性评估在信息系统规划阶段，依据商用密码技术相关标准，为网络运营者制定商用密码应用安全规划建设方案，保障商用密码应用安全建设的有效落地与评估工作的顺当开展。在信息系统建设阶段，托付具有相关资质的测评机构进行商用密码应用安全性评估，评估结果作为工程建设验收的必备材料，评估通过后，方可投入运行。在信息系统运行阶段，乐观协作具有相关资质的测评机构定期开展商用密码应用安全性评估，保障商用密码应用系统顺当通过评估。其中，关键信息根底设施、网络安全等级保护第三级及以上信息系统、政务信息系统每年至少评估一次。此外，在电子政务、教育、医疗、金融等关键领域，参照《政务信息系统密码应用与安全性评估工作指南》等指导文件，建立以根底应用平台体系、密码运营效劳保障体系、密码应用标准标准体系为一体的商用密码支撑体系。在物理和环境安全层面，部署具有密码模块的电子门禁系统、视频监控系统；通过效劳器密码机、加密存储设备、视频加密系统等实现音视频数据完整性保护。在网络和通信安全层面，通过数字证书认证系统确保设备及人员身份的真实性；通过商密IPSec/SSLVPN实现网络规律边界的管控，构建内部网络的治理网；通过内部的网络边界掌握机制，实现网络边界的完整性保护；通过效劳器密码机对访问掌握信息计算MAC或签名后保存，保证访问掌握信息的完整性。在设备和计算安全层面，通过智能密码钥匙对设备治理员的登录操作进展身份鉴别；通过效劳器密码机对通用设备的重要审计信息、日志记录、系统资源访问掌握信息等进展数字签名、MACCA数据加解密、MAC在应用和数据安全层面，通过动态口令系统对设备治理员的登录操作进展身份鉴别；通过电子签章系统对重要应用程序的操作员身份进展鉴别，确保仅具备权限的操作员才可以对重要应用程序