亚洲成人av婷婷_国产农村艳妇AⅤ传媒_欧美性爱午夜福利网站_91黄色片在线观看_干进去了视频在线观看_亚洲成年影片免费_日韩无码av一区二区三区_妺妺窝人体色www在线_亚洲熟女小黄视频_国产美女免费永久视频

安全資訊

集成商在商用密碼應(yīng)用與安全評(píng)估中的定位分析

一、概述

密碼是信息安全的基石,在網(wǎng)絡(luò)空間安全防護(hù)中發(fā)揮重要的基礎(chǔ)支撐作用。為了貫徹落實(shí)《中華人民共和國(guó)密碼法》(以下簡(jiǎn)稱密碼法),2020年8月,國(guó)家密碼管理局就《商用密碼管理?xiàng)l例(修訂草案征求意見(jiàn)稿)》(以下簡(jiǎn)稱條例修訂版)開(kāi)始面向社會(huì)公開(kāi)征求意見(jiàn),相比與1999年實(shí)施的《商用密碼管理?xiàng)l例》,本次修訂對(duì)商用密碼管理制度進(jìn)行了結(jié)構(gòu)性重塑,內(nèi)容涵蓋了商用密碼的范圍、管理和認(rèn)證機(jī)制、與等保的關(guān)系、商密應(yīng)用等。2019年,國(guó)務(wù)院下發(fā)了《國(guó)家政務(wù)信息系統(tǒng)項(xiàng)目管理辦法》(2019【57號(hào)】)(以下簡(jiǎn)稱57號(hào)文),明確規(guī)定商用密碼在政務(wù)信息系統(tǒng)規(guī)劃、建設(shè)、驗(yàn)收、運(yùn)維等階段作用和要求。在信創(chuàng)化大背景下,商用密碼應(yīng)用與安全評(píng)估愈發(fā)重要。

二、商用密碼在政務(wù)領(lǐng)域應(yīng)用的態(tài)勢(shì)分析

2020年是商用密碼在政務(wù)領(lǐng)域應(yīng)用的元年,為了充分發(fā)揮商用密碼在政務(wù)領(lǐng)域的作用,相關(guān)部門發(fā)布了多個(gè)文件,要求政務(wù)信息系統(tǒng)建設(shè)要充分考慮商用密碼的應(yīng)用,按照GB/T 39786-2021的要求進(jìn)行密碼保障系統(tǒng)的建設(shè),但是政務(wù)信息系統(tǒng)經(jīng)過(guò)多年的建設(shè),系統(tǒng)較為復(fù)雜,服務(wù)人群較廣,系統(tǒng)的商密改造困難較大,且對(duì)系統(tǒng)性能影響較大。因此,已建系統(tǒng)的商密改造需要另辟新徑。

1、政策文件要求趨于明確

為了貫徹和落實(shí)57號(hào)文的要求,國(guó)家密碼管理局下發(fā)了《關(guān)于請(qǐng)進(jìn)一步加強(qiáng)國(guó)家政務(wù)信息信息密碼應(yīng)用與安全性評(píng)估工作的函》(2020【119】號(hào)),進(jìn)一步明確了政務(wù)信息系統(tǒng)商密應(yīng)用規(guī)劃、建設(shè)、運(yùn)行三同步要求。同時(shí)中國(guó)密碼學(xué)會(huì)發(fā)布了《政務(wù)信息系統(tǒng)密碼應(yīng)用和安全性評(píng)估工作指南》,明確了干系方的工作職責(zé),促進(jìn)了商用密碼評(píng)估工作的落地。2020年12月8號(hào),中國(guó)密碼學(xué)會(huì)密評(píng)聯(lián)委會(huì)發(fā)布了《信息系統(tǒng)密碼應(yīng)用測(cè)評(píng)要求》等5項(xiàng)指導(dǎo)性文件,進(jìn)一步明確了測(cè)評(píng)的計(jì)分規(guī)則,高風(fēng)險(xiǎn)判定、密評(píng)報(bào)告的主要內(nèi)容等。政策要求趨于明確化,商用密碼應(yīng)用和測(cè)評(píng)工作也越來(lái)越具體化,這也很大程度促進(jìn)了商用密碼在政務(wù)領(lǐng)域的應(yīng)用。

2、已建系統(tǒng)改造困難較大

政務(wù)信息系統(tǒng)經(jīng)過(guò)多年建設(shè),已經(jīng)成為政府對(duì)內(nèi)管理、對(duì)外服務(wù)的重要抓手。商用密碼應(yīng)用改造需要從物理和環(huán)境安全層、網(wǎng)絡(luò)和通訊安全層、設(shè)備和計(jì)算安全層、應(yīng)用和數(shù)據(jù)安全層等入手,涉及到網(wǎng)絡(luò)傳輸、數(shù)據(jù)存儲(chǔ)、用戶安全身份認(rèn)證等多個(gè)方面加解密、完整性和真實(shí)性的校驗(yàn),對(duì)應(yīng)用系統(tǒng)的改造成本較高,對(duì)系統(tǒng)的性能影響也較大。因此,需要另辟新徑,既降低應(yīng)用系統(tǒng)的改造成本,同時(shí)對(duì)系統(tǒng)性能的影響在可接受的范圍內(nèi)。

3、商密評(píng)估工作逐漸落地

根據(jù)條例修訂版的相關(guān)要求,2020年7月,國(guó)家密碼管理局推出了第一批24家具有商用密碼評(píng)估資質(zhì)的單位。同時(shí)要求等保三級(jí)以上系統(tǒng)必須進(jìn)行商用密碼應(yīng)用安全性評(píng)估,密碼評(píng)估的結(jié)果直接影響著等保測(cè)評(píng)的結(jié)果,越來(lái)越多的政務(wù)信息系統(tǒng)建設(shè)單位開(kāi)始委托密評(píng)機(jī)構(gòu)對(duì)信息系統(tǒng)開(kāi)展密碼應(yīng)用安全評(píng)估。

三、典型應(yīng)用場(chǎng)景分析

1、物理機(jī)部署模式

雖然信創(chuàng)云已經(jīng)成為政務(wù)信息系統(tǒng)建設(shè)的重點(diǎn),但系統(tǒng)上云遷移改造需要一段時(shí)間,物理機(jī)部署模式仍然存在。一般來(lái)說(shuō),為了滿足密碼測(cè)評(píng)的要求,需要在分支機(jī)構(gòu)、核心交換區(qū)、核心業(yè)務(wù)區(qū)、運(yùn)維管理區(qū)、內(nèi)部辦公區(qū)等區(qū)域部署密碼保障系統(tǒng),其他安全設(shè)備也需要部署,不在本文討論范圍內(nèi)。

分支機(jī)構(gòu)區(qū):每臺(tái)終端部署國(guó)密瀏覽器和Ukey,其中國(guó)密瀏覽器用于數(shù)據(jù)加解密、數(shù)字簽名等,UKey主要完成身份驗(yàn)證。同時(shí)部署IPSecVPN進(jìn)行傳輸通道加解密。

內(nèi)部辦公區(qū):每臺(tái)終端部署國(guó)密瀏覽器和Ukey。

數(shù)據(jù)災(zāi)備區(qū):主要部署IPSECVPN,用于傳輸通道的加解密。

核心業(yè)務(wù)區(qū):主要部署加密機(jī),完成數(shù)據(jù)傳輸、存儲(chǔ)的機(jī)密性、完整性保護(hù)。也可以部署數(shù)據(jù)加密網(wǎng)關(guān)等設(shè)備。

運(yùn)維管理區(qū):主要部署SSLVPN,完成對(duì)遠(yuǎn)程運(yùn)維人員的身份鑒別。同時(shí)在終端也需要部署國(guó)密瀏覽器和UKey。

核心交換區(qū):主要部署IPSECVPN等設(shè)備。完成與分支機(jī)構(gòu)、數(shù)據(jù)災(zāi)備區(qū)等區(qū)域IPSEC VPN設(shè)備的配對(duì)使用。

密碼基礎(chǔ)設(shè)施:主要部署數(shù)字證書(shū)系統(tǒng)、電子簽章系統(tǒng)、時(shí)間戳服務(wù)器等。

        2、移動(dòng)互聯(lián)網(wǎng)

隨著移動(dòng)互聯(lián)網(wǎng)的普及,移動(dòng)辦公業(yè)務(wù)越來(lái)越多,安全形勢(shì)異常嚴(yán)峻,密碼作為信息安全的核心,加強(qiáng)密碼保障系統(tǒng)的建設(shè)非常有必要。移動(dòng)互聯(lián)網(wǎng)密碼保障系統(tǒng)主要分為四個(gè)部分,移動(dòng)終端側(cè)、傳輸網(wǎng)絡(luò)、安全接入等。

終端安全:主要部署商密密碼模塊(TF卡、USB KEY、貼膜卡、軟卡),為終端提供運(yùn)行環(huán)境隔離,數(shù)據(jù)傳輸加密、數(shù)據(jù)存儲(chǔ)加密(安全SDK)、應(yīng)用安全獲取等安全能力。

信道安全:采用商密SSLVPN協(xié)議和商密2/3/4算法保障業(yè)務(wù)數(shù)據(jù)在無(wú)線網(wǎng)絡(luò)和公共網(wǎng)絡(luò)上的安全通信。

接入安全:主要部署綜合安全認(rèn)證網(wǎng)關(guān)、終端安全管理系統(tǒng)、移動(dòng)政務(wù)系統(tǒng)等。

服務(wù)端安全:服務(wù)端部署政務(wù)應(yīng)用系統(tǒng),也需要部署加解密設(shè)備,可參考物理機(jī)部署模式。

3、信創(chuàng)云模式

信創(chuàng)云已經(jīng)成為政務(wù)建設(shè)的主流模式,用于承載各政務(wù)部門的公共服務(wù)、社會(huì)治理、政務(wù)審批等業(yè)務(wù)。云平臺(tái)面臨資源隔離、數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)共享、多租戶、虛擬化等技術(shù)帶來(lái)的安全問(wèn)題,需要利用密碼技術(shù)建立針對(duì)云租戶、系統(tǒng)等基礎(chǔ)資源的防護(hù)機(jī)制。

信創(chuàng)云密碼應(yīng)用的主要內(nèi)容包括密碼資源層、物理資源層、IaaS應(yīng)用層、PaaS應(yīng)用層、SaaS應(yīng)用層等。另外考慮的云平臺(tái)運(yùn)維需求,需要對(duì)運(yùn)維通道和運(yùn)維人員進(jìn)行加密處理和身份認(rèn)證。在網(wǎng)絡(luò)接入邊界需要考慮VPN設(shè)備的部署,滿足移動(dòng)互聯(lián)用戶、外地分支及機(jī)構(gòu)用戶等加密接入的要求。涉及到主要密碼設(shè)備有:云密碼機(jī)、密鑰管理系統(tǒng)、電子認(rèn)證基礎(chǔ)設(shè)施、數(shù)據(jù)庫(kù)加密網(wǎng)關(guān)、存儲(chǔ)加密、IPSEC/SLL VPN等。在終端還要部署國(guó)密瀏覽器、Ukey等。物理和環(huán)境層要部署符號(hào)國(guó)密要求的門禁系統(tǒng),并對(duì)視頻監(jiān)控的內(nèi)容進(jìn)行完整性保護(hù)。

四、集成商定位分析

在目前的政務(wù)信息系統(tǒng)建設(shè)過(guò)程中,商密的應(yīng)用涉及到多個(gè)層次,從物理環(huán)境的門禁系統(tǒng)到應(yīng)用層身份認(rèn)證、數(shù)據(jù)存儲(chǔ)加密等。集成商作為政務(wù)信息系統(tǒng)的總集成單位,負(fù)責(zé)系統(tǒng)最終交付,集成商的技術(shù)水平和能力直接決定著商密應(yīng)用的效果。

1、密碼應(yīng)用方案的撰寫者

根據(jù)57號(hào)文的要求,商用密碼保障系統(tǒng)應(yīng)該隨項(xiàng)目同步規(guī)劃、同步建設(shè)、同步運(yùn)行,并定期進(jìn)行安全性評(píng)估。其中密碼應(yīng)用建設(shè)方案是前提條件,項(xiàng)目報(bào)批文件中應(yīng)該含有經(jīng)過(guò)專家評(píng)審后的密碼應(yīng)用建設(shè)方案。但是由于很多項(xiàng)目早于57號(hào)文頒布實(shí)施之前已經(jīng)完成立項(xiàng)審批、招標(biāo)等,集成中標(biāo)單位會(huì)負(fù)責(zé)密碼應(yīng)用方案的撰寫工作,作為后續(xù)項(xiàng)目建設(shè)和安全性評(píng)估的依據(jù)。密碼應(yīng)用方案一般包括密碼應(yīng)用解決方案、密碼實(shí)施方案、密碼應(yīng)急處置方案三個(gè)部分。

2、密碼產(chǎn)品的集成實(shí)施者

在系統(tǒng)實(shí)施過(guò)程中,集成商要根據(jù)密碼應(yīng)用方案的要求,完成設(shè)備的采購(gòu)、部署、聯(lián)調(diào)、測(cè)試、上線等工作。尤其是涉及到不同密碼設(shè)備廠家的產(chǎn)品時(shí),需要制定系統(tǒng)間調(diào)用的標(biāo)準(zhǔn)接口,并及時(shí)協(xié)調(diào)廠商進(jìn)行信創(chuàng)化適配。

3、商密安全性評(píng)估的配合者

在商密安全性評(píng)估過(guò)程中,集成商要配合測(cè)評(píng)單位進(jìn)行安全性評(píng)估,提供網(wǎng)絡(luò)架構(gòu)圖和實(shí)施文檔,評(píng)估商密測(cè)評(píng)對(duì)整個(gè)項(xiàng)目帶來(lái)風(fēng)險(xiǎn),制定應(yīng)對(duì)措施,盡量避免對(duì)系統(tǒng)運(yùn)行產(chǎn)生較大的影響。

五、項(xiàng)目策略分析

根據(jù)國(guó)家密碼管理局【2020】119號(hào)函的要求,非涉密的國(guó)家政務(wù)信息系統(tǒng)應(yīng)盡快開(kāi)展密碼應(yīng)用建設(shè)與安全性評(píng)估工作。因此,需要根據(jù)項(xiàng)目所處的階段,采用針對(duì)性的策略,滿足國(guó)家相關(guān)的政策要求。

1、售前交流階段的項(xiàng)目

對(duì)處于售前交流的項(xiàng)目,應(yīng)該根據(jù)國(guó)家密碼局的要求,在上報(bào)審批前,完成密碼應(yīng)用方案的編寫、專家審核等工作,項(xiàng)目預(yù)算中不僅要包括密碼應(yīng)用安全性評(píng)估經(jīng)費(fèi),還要包括密碼應(yīng)用建設(shè)經(jīng)費(fèi),還要考慮關(guān)聯(lián)系統(tǒng)的商密改造費(fèi)用。

2、已經(jīng)中標(biāo)正在建設(shè)的項(xiàng)目

對(duì)處于正在建設(shè)中的項(xiàng)目,如果需要采購(gòu)密碼設(shè)備,建議采用項(xiàng)目變更進(jìn)行處理,優(yōu)先安排密碼應(yīng)用安全性評(píng)估的經(jīng)費(fèi),對(duì)部分重要業(yè)務(wù)應(yīng)用系統(tǒng)進(jìn)行商密處理時(shí)要充分考慮加解密對(duì)系統(tǒng)性能的影響。

3、已經(jīng)驗(yàn)收正在運(yùn)維的項(xiàng)目

對(duì)于已經(jīng)驗(yàn)收且正在運(yùn)維的項(xiàng)目,要充分與建設(shè)單位溝通,明確商密應(yīng)用和安全性評(píng)估的政策要求,促使建設(shè)單位盡可能另外立項(xiàng),同時(shí)要根據(jù)商用密碼應(yīng)用安全性評(píng)估的要求,提前規(guī)劃應(yīng)用系統(tǒng)商密改造方案,明確項(xiàng)目改造實(shí)施工作量。

六、總結(jié)

隨著商用密碼相關(guān)等政策的頒布實(shí)施,政務(wù)信息化項(xiàng)目必然迎來(lái)商用密碼應(yīng)用和安全性評(píng)估的高峰期,存量項(xiàng)目需要商密改造,新建項(xiàng)目需要增加商密內(nèi)容。作為集成商,一是要把握商密相關(guān)政策的要求,項(xiàng)目要合規(guī)建設(shè)。二是要掌握商密的技術(shù),作為商密應(yīng)用最關(guān)鍵的環(huán)節(jié),集成商要負(fù)責(zé)將商密產(chǎn)品、服務(wù)等集成到業(yè)務(wù)應(yīng)用系統(tǒng)中,要考慮對(duì)系統(tǒng)性能的影響。三是要加強(qiáng)與商密安全性評(píng)估單位的溝通,從安全測(cè)評(píng)的角度出發(fā)進(jìn)行商密改造和商密保障系統(tǒng)的建設(shè)。

參考文獻(xiàn):

1、《中華人民共和國(guó)密碼法》

2、國(guó)務(wù)院辦公廳《國(guó)家政務(wù)信息化項(xiàng)目管理辦法》(2019【57】號(hào)文)

3、國(guó)家密碼管理局《商用密碼管理?xiàng)l例(修訂版)征求意見(jiàn)稿》

4、國(guó)家密碼管理局《關(guān)于請(qǐng)進(jìn)一步加強(qiáng)國(guó)家政務(wù)信息信息密碼應(yīng)用與安全性評(píng)估工作的函》(2020【119】號(hào)函)

5、中國(guó)密碼學(xué)會(huì)《信息系統(tǒng)密碼應(yīng)用測(cè)評(píng)要求》等5項(xiàng)指導(dǎo)性文件

6、GB/T 39786-2021《信息安全技術(shù)信息系統(tǒng)密碼應(yīng)用基本要求》

服務(wù)熱線

138-6598-3726

產(chǎn)品和特性

價(jià)格和優(yōu)惠

安徽靈狐網(wǎng)絡(luò)公眾號(hào)

微信公眾號(hào)