密码技术是保障网络与信息安全最有效、最可靠、最经济的手段,是经严格科学证明的网络空间安全的根本性核心技术,也是赋能数字经济发展的核心支撑。面对网络空间安全的严峻挑战,适应数字经济的快速发展,必须加紧构建以密码为基石的新的网络空间安全体系,必须加紧推动密码与数字化生态的深度融合。做强做大商用密码产业,构建现代密码产业体系,在更广阔的领域中使用商用密码。
《商用密码管理条例》的通过,直接体现了等保2.0的相关要求,对于网络安全等级保护第三级以上网络,要求运营者应当使用商用密码进行保护,将会将网络安全等级保护的推荐性的要求上升为具有强制力的国家规范。
商用密码经过多年的发展,已有一定规模,但距离普遍使用,主动使用,有效使用,仍有非常大的距离,本人经过在一些行业的实践经验和调研,非常难过,业务系统提供厂商很难自己越过重重障碍,自己建立密码能力。
业务系统自己使用密码技术保护业务的路径基本已经被封杀,如果不是从最初始关注这个领域,我也无法找到路径。
从规范上看,几乎没有应用厂商参与制定规范,规范主要考虑了是否可用,规范是否好用,应用厂家是否易学易用,都不是考虑因素。
业务系统如果需要学习密码达到密评的要求,必须要突破密码规范,密码厂家,密评规范,三层阻碍,其中密评规范最难以突破,大量的非标产品(第22类)需要商用密码认证证书,导致业务系统几乎没有自主研发的空间。从实践看,唯一可能是的是直接调用密码机/密码卡/签名验签服务器等,等效密码产品,构建自己的密码能力,以此来保护业务系统。
《GB/T 39786-2021 信息安全技术 信息系统密码应用基本要求》只是要求,没有指导业务系统如何设计商用密码应用方案,密码厂商不了解业务,业务系统厂商不了解密码,两类厂家很难达成一致,迫切需要一个可行的方法论作为指导!
《06-GB-T 43207—2023 信息安全技术 信息系统密码应用设计指南》给了指导却非常复杂,
其实我们可以设想一下,那么复杂的体系,密码厂商会用吗,密码协会又有几个都会用的?作为一个业务系统,改造为什么会有如此多的障碍?真实费劲心机了!
如果我们要自己评估那么,已经基本是无路可走,参考文档
《商用密码应用安全性评估测评工具指引》涉及39个规范9个工具,总计59页。
《商用密码应用安全性评估测试实施指引》129页,里面的样例涉及到的还真是详细。
按照以上规范自己做肯定不可能,那么我们能自己能建立符合业务的密码能力吗?
我个人认为是可以的,从数据入手,在不用在意规范,我们只要按照基本的原则做就可以了。密码产品按照厂商要求配置即可。只要我们按照基本原则做了,就不会有什么大的问题。
全面使用SM4_CBC+HMAC 做数据库中的数据机密性和完整性要求。
使用SM4_GCM定义接口,完成密码哪里的机密性,完整性和真实性要求。
其需要的硬件大概如下【有什么就用什么不用过多在意硬件,其中VPN和密码机的等效产品在我看来还是需要的,HTTPS的站点证书也应该具备】:
自评的方法论如下【以核心数据和重要数据为核心】:
1)业务数据角度
确认核心资产、核心数据和重要数据,业务数据来源于哪些业务场景,涉及了哪些设备。
2)改造方案角度
业务场景, 业务流程,接口定义,数据库,表,字段涉及日志等保密性和完整性
3)身份鉴别角度和【远程】维护的角度
使用密码技术和产品完成设备、用户、管理员等的身份认证,以及数据传输保护。
4)算法和密码技术角度
自定义,未经验证算法,RSA,DES,MD5,SHA1 等替换为国密算法(SM2,3,4等)自行设计的密码通信协议、未经安全性论证的密码通信协议,SSH 1.0、SSL 2.0、SSL 3.0、TLS 1.0等
5)检查是否均能够达到相应等级的密码使用要求或规定(密码模块等级,密码模块保护密钥,密性,真实性,完整性,不可否认性)
总结一句话:在密钥【使用认证过的密码产品保护密钥】安全的情况下使用密码技术,保证数据的,机密性,完整性和真实性,在必须要使用不可否认性情况下外接CA处理。
如果应用和数据安全是80就比较难过,现有分数条件下,只要自己正常做,想不过也难。在我看来这个分数应该改改的,现有的情况下就是买设备,哪有心思真正改造!制度是治理的核心,应用与数据安全的改造应该是顺理成章的结果,有内驱力【没有给业务改造预留足够的费用,都去买设备了这个才是悲哀】才会让业务系统真正去改造。
物理和环境安全5
通讯与通信安全10
设备和计算安全5
应用与数据安全至少占用60
管理制度 20分
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
