安盟信息—密码服务平台,助力云上应用系统密评合规
2022年09月30日 12:03 发布者:录余
密码技术是数字时代的基础性核心技术之一,是信息安全保护和网络信任体系建设的基础,也是保护数据安全最经济、最可靠、最有效的手段,在维护国家安全、促进经济社会发展、保护人民群众利益等方面发挥着不可替代的重要作用。1.国家高度重视商用密码应用近年来,我国陆续出台《中华人民共和国密码法》、《商用密码管理条例(修订草案征求意见稿)》、《信息安全技术 信息系统密码应用基本要求》等一系列法律法规和标准规范,不断完善密码法治体系框架,规范密码应用和管理,推进网络安全和密码应用工作,促进密码事业发展,保障网络与信息安全,提升密码管理科学化、规范化、法治化水平。《国家政务信息化项目建设管理办法》、《政务信息系统密码应用与安全性评估工作指南》、《政务信息系统基本要求(征求意见稿)》等一系列政务信息系统政策文件,也对商用密码应用提出了相关要求,特别是《国家政务信息化项目建设管理办法》第三十条明确要求:“按要求采用密码技术,并定期开展密码应用安全性评估,确保政务信息系统运行安全和政务信息资源共享交换的数据安全”。商用密码应用安全性评估(以下简称“密评”)是指在采用商用密码技术、产品和服务集成建设的网络和信息系统中,对其密码应用的合规性、正确性和有效性进行评估的活动。按照国家对于商用密码的管理要求,针对重要领域网络和信息系统开展密评,是网络运营者和主管部门的法定责任,是规范商用密码应用、发挥商用密码作用的必要手段。它可以从根本上改变密码应用不规范、不安全的现状,确保密码在网络和信息系统中得到有效应用,切实构建起坚实可靠的网络安全密码保障,支撑网络和数据安全发展、护航数字经济安全。2.信息系统密码应用技术合规性分析由于各行业信息化发展程度不同,一些重要领域的网络和信息系统仍存在密码应用不规范、不安全的现象,总结下来主要有以下几方面:(1)用户、设备身份认证强度较低 用户进入重要区域未采用密码技术或者生物识别技术进行身份鉴别。 应用系统采用低安全的“用户名+口令”身份鉴别机制。 外部设备连接到内部网络时未进行接入认证。 设备实体进行网络通信时未进行身份鉴别,或鉴别机制不安全。(2)重要数据、程序安全防护不足 缺少对电子门禁数据、视频监控数据、通信数据、网络边界访问控制信息、系统资源访问控制信息和重要信息资源安全标记的完整性保护。 以明文形式传输和存储重要用户信息、重要业务数据,未采用密码技术对这些数据进行机密性保护。 未采用密码技术对重要可执行程序进行完整性保护并实现其来源的真实性保护。 采用了密码技术进行机密性和完整性保护,但是使用的是存在安全问题和安全强度不足的密码算法(如DES),或者使用存在缺陷或者有安全问题警示的密码技术(如SSH1.0、SSL2.0、TLS1.0)。(3)日志记录保护措施缺失 应用系统的认证登录日志、配置操作日志等记录以明文存储在设备中,未采用密码技术对日志记录进行完整性保护,存在日志记录被非授权篡改的风险。 针对可能涉及法律责任认定的关键操作日志,未采用密码技术对这些行为日志进行不可否认性保护,出现安全事件时无法追踪溯源。(4)远程管理通道不安全 远程管理应用系统设备时,未采用密码技术建立安全的信息传输通道。 通过不可控网络环境进行远程管理,且鉴别数据以明文形式传输。(5)密钥管理存在安全隐患密钥管理对于应用和数据安全是至关重要的。在应用系统的密钥实际管理过程中,存在很多安全隐患: 密钥生成时采用软随机源;随机数熵值达不到密码安全要求; 密钥分发时,密码设备的主密钥通过在线方式分发,容易造成主密钥泄露; 密钥存储、备份和归档时,密钥以明文形式存储/备份/归档在不可控的环境中,存在被非授权的访问、使用、泄露和修改的风险; 密钥使用和更新时,未建立安全的密钥使用控制机制和更新机制; 密钥销毁和撤销时,未按照设定的机制进行密钥销毁/撤销等。3.密评利器—安盟华御密码服务平台安盟信息按照密评要求,对应用系统的密码应用技术合规性进行深度分析,打造了安盟华御密码服务平台。平台通过集成各类通过商密检测的产品和技术,把密码能力以服务的形式输出,面向云上各类用户的不同应用,按需提供身份认证服务、签名验签服务、密码计算服务、传输加密服务和密钥管理服务等,为用户和设备的身份鉴别、日志完整性和不可否认性保护、数据传输机密性和完整性保护、数据存储机密性和完整性保护、密钥安全管理等提供基础支撑,帮助用户快速解决应用系统的密评合规问题。