随着近年密评工作的推进,“密码应用方案”已成为责任单位、承建单位和测评单位关注的一个重点:
各相关单位是信息系统密码部署和建设的重要依据。
是对信息系统开展密评工作的重要依据。
是建立信息系统密码管理策略和制度的重要依据。
也是判定“宜”是否适用的重要依据。
关于“密码应用方案”究竟应该如何写,写到什么程度,业界正展开深入讨论,相关标准也在编制过程中。在“2021‘因密而安’密码大兴峰会”上,密码专家刘平在会上做了“密码应用方案——落实GB/T 39786要求的基础条件”的主题演讲。刘平首次系统提出了根据责任主体不同分别设计方案的思路:针对计算平台环境,设计密码解决方案;针对密码支撑环境,设计密码支撑方案;针对各类业务系统,设计密码应用方案。现将刘平演讲的PPT内容分享给各位密友,以期共同学习探讨。其中内容仅为专家个人意见,未有任何官方指导。密码应用方案——落实GB/T 39786要求的基础条件GB/T 39786的相关要求
应根据密码相关标准和密码应用需求,制定密码应用方案。应根据密码应用方案确定系统涉及的密钥种类、体系及其生存周期。密码应用方案的设计原则
依照GB/T 39786,结合信息系统的实际情况进行设计
总体性原则---顶层设计,明确定位。
科学性原则---整体规划,合理布局。
完备性原则---符合要求,满足需求。
可行性原则---切合实际,便于实现。
范围: 按照GB/T 39786 中针对物理和环境安全、网络和通信安全、设备和计算安全提出的要求,结合信息系统具体环境、等级和需求设计。属于平台的资产,且/或对应用透明的服务,也在该方案中设计。- 密码设备的密钥配置和密钥更新、备份、恢复、介质保管等策略。
- 运维人员登录的认证机制、人员信息和权限的保护机制。
目的:为平台上的各类应用提供密码支撑。
范围:
GM/T 0032- 基于角色的授权管理与访问控制技术规范GB/T 15843- 信息技术 安全技术 实体鉴别非独立的形态,借用或租用平台的计算资源、网络资源。设计要点:一般情况下,不要与密码解决方案共用密码资源,至少在逻辑上和管理上要分开。目的:使用密码功能,解决应用安全问题
范围:每一个应用(业务)系统都应设计自己的密码应用方案,按照GB/T 39786中应用和数据安全提出的要求,结合应用系统具体需求设计。
主要内容:
- 梳理业务流程,根据流程安全需求,为关键环节设计保护机制。
- 梳理业务数据,根据数据安全需求,为重要数据设计保护机制。
- 梳理管理对象(如文件、证照、票据、病历、采集的数据、控制指令等),根据安全需求,为其设计安全机制。
- 根据角色和访问控制,为其权限和访问策略等数据设计保护机制。
- 为角色分配密钥,明确密钥载体,设计系统的密钥管理策略。
- 数据加密,GB/T 17964 信息安全技术 分组密码算法的工作模式
- 加密及签名数据格式,GB/T 35275 信息安全技术 SM2密码算法加密签名消息语法规范
- 使用的数字证书,GB/T 20518 信息安全技术 公钥基础设施 数字证书格式规范
- 针对文件系统,GM/T 0055 电子文件密码应用技术规范
- 所有的保护机制,用到加密的,应指明加密算法、加密模式(包括填充模式)、密钥属性等。
- 所有的保护机制,用到签名的,应指明签名算法、签名机制(签什么,谁来签,签在哪)。
- 所有的保护机制,都会改变被保护对象原有的数据结构,应设计带安全机制的数据结构。
- 一般情况下数据传输安全和存储数据安全,由密码解决方案负责,有单独需求或平台没有提供的,可在本方案中设计信源加密。
- 一般情况下确定了密码体制,就确定了密钥体制,方案中只需要关注密钥由谁产生,给谁用,何时用,何时更换,谁负责备份,谁负责保管备份材料,怎么保管,什么情况下恢复,恢复的流程等,统称为密钥管理策略。
举例-企业信用红黑库管理系统
梳理出的密码需求
进库的依据---来源的真实性完整性非否认性
进库的内部审核批准---流程和行为抗抵赖
入库的操作---行为抗抵赖
信息发布到政府网站---信息的真实性完整性
防止私下违法操作---日志记录的真实性完整性
根据需求设计的方案:
统一身份鉴别、签名验签、时间戳、数据存储服务
内外两个平台间的数据交换服务
按资产及职能划分责任主体,分别设计方案,则方案的针对性强,适用性好。
从上述介绍可以看到:
第一类方案可以套路化,形成套路后方案的变化只是产品和部署。
第二类方案可以产品化,形成产品后方案的变化只是形态和接入。
第三类方案只能个性化,但它是解决信息系统应用安全的关键。