一.密码技术应用的实质与重要性
密码是网络与信息安全策略的一个重要组成部分,是解决网络与信息安全问题的核心技术之一,是国家安全三大支撑技术之一,在维护国家安全方面发挥重要作用。
二、关键信息基础设施实施密改的重要性
关键信息基础设施是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。
《密码法》第二十七条:法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,运营者应当自行或者委托商用密码检测机构开展商用密码应用安全性评估。商用密码应用安全性评估应当与关键信息基础设施安全检测评估、网络安全等保测评制度相衔接,避免重复评估、测评。
《商用密码管理条例》第三十八条:法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码进行保护,制定商用密码应用方案,配备必要的资金和专业人员,同步规划、同步建设、同步运行商用密码保障系统,自行或者委托商用密码检测机构开展商用密码应用安全性评估。第三十九条:法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,使用的商用密码产品、服务应当经检测认证合格,使用的密码算法、密码协议、密钥管理机制等商用密码技术应通过国家密码管理部门审查鉴定。
《商用密码应用安全性评估管理办法》第六条:法律、行政法规和国家有关规定要求使用商用密码进行保护的网络与信息系统(以下简称重要网络与信息系统),其运营者应当使用商用密码进行保护,制定商用密码应用方案,配备必要的资金和专业人员,同步规划、同步建设、同步运行商用密码保障系统,并定期开展商用密码应用安全性评估。第九条:重要网络与信息系统建成运行后,其运营者应当自行或者委托商用密码检测机构每年至少开展一次商用密码应用安全性评估,确保商用密码保障系统正确有效运行。未通过商用密码应用安全性评估的,运营者应当进行改造,并在改造期间采取必要措施保证网络与信息系统运行安全。
中华人民共和国公安部关于印送《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》的函第六条:落实密码安全防护要求。网络运营者应贯彻落实《密码法》等有关法律法规规定和密码应用相关标准规范。第三级以上网络应正确、有效采用密码技术进行保护,并使用符合相关要求的密码产品和服务。第三级以上网络运营者应在网络规划、建设和运行阶段,按照密码应用安全性评估管理办法和相关标准,在网络安全等级测评中同步开展密码应用安全性评估。
《信息安全技术 信息系统密码应用基本要求》(GB/T39786-2021)分五个级别,从物理和环境安全网络和通信安全、设备和计算安全、应用和数据安全四个方面提出了密码应用技术要求,从管理制度、人员管理、建设运行和应急处置四个方面提出了密码应用管理要求,对于规范引导信息系统密码合规、正确、有效应用具有重要意义。
三.等保三级制度中涉及商用密码应用的内容
(一) 可信验证
可基于可信根对设备及应用的系统引导程序、系统程序、重要配置参数和边界防护应用程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。
(二)通信传输
1. 采用校验技术或密码技术保证通信过程中数据完整性;
2. 应采用密码技术保证通信过程中数据的保密性。
(三)身份鉴别
3. 应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并 定期更换;
4. 当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听;
5. 应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且 其中一 种鉴别技术至少应使用密码技术来实现。
(四)安全审计
6. 应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等;
(五)数据完整性
7. 应采用校验技术或密码技术保证重要数据在传输过程中的完整性,包括但不限千鉴别数据、重 要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等;
8. 应采用校验技术或密码技术保证重要数据在存储过程中的完整性,包括但不限于鉴别数据、重 要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等。
(六)数据保密性
9. 应采用密码技术保证重要数据在传输过程中的保密性,包括但不限于鉴别数据、重要业务数据 和重要个人信息等;
10. 应采用密码技术保证重要数据在存储过程中的保密性,包括但不限千鉴别数据、重要业务数据 和重要个人信息等。
(七)系统管理
11. 应对系统管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行系统管理操作,并对这些操作进行审计。
(八)安全管理
12. 应对安全管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行安全管理操作,并对这些操作进行审计;
13. 应通过安全管理员对系统中的安全策略进行配置,包括安全参数的设置,主体、客体进行统一 安全标记,对主体进行授权,配置可信验证策略等。
四.相关处罚制度
《密码法》 第三十七条:关键信息基础设施的运营者违反本法第二十七条第一款规定,未按照要求使用商用密码,或者未按照要求开展商用密码应用安全性评估的,由密码管理部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处十万元以上一百万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款。
《国家政务信息化项目建设管理办法》 第二十八条:加强国家政务信息化项目建设投资和运行维护经费协同联动……对于不符合密码应用和网络安全要求,或者存在重大安全隐患的政务信息系统,不安排运行维护经费,项目建设单位不得新建、改建、扩建政务信息系统。
《数据安全法》 第四十五条:拒不改正或者造成大量数据泄露等严重后果的,处五十万元以上二百万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处五万元以上二十万元以下罚款。
《关键信息基础设施安全保护条例》第四十二条:运营者对保护工作部门开展的关键信息基础设施网络安全检查检测工作,以及公安、国家安全、保密行政管理、密码管理等有关部门依法开展的关键信息基础设施网络安全检查工作不予配合的,由有关主管部门责令改正;拒不改正的,处5万元以上50万元以下罚款,对直接负责的主管人员和其他直接责任人员处1万元以上10万元以下罚款;情节严重的,依法追究相应法律责任。
五.密码技术在网络安全防护中的作用
(一)缓解暴力破解
暴力破解是指采用反复试错的方法并希望最终猜对,以尝试破解密码或用户名或找到隐藏的网页,或者找到用于加密消息的密钥。
密码技术:采用CA认证等方式,加强用户身份验证环节的保护,以此缓解暴力破解攻击带来的破坏性影响。
(二)预防SQL注入攻击
SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。
密码技术:采用数据加密的方式,使得数据库服务器即使被入侵,其存储的数据也是不可用的状态。
(三)保护数据机密性
在网络安全事件中,数据泄露一直是主要问题之一,因此如何保障数据在存储和传输过程中的机密性就是网络安全防护的重中之重。传统方式通常采用网络边界防火墙,数据库防火墙。
密码技术:采用国产密码算法SM2/SM4,对数据存储及传输进行加密保护,保障数据存储和传输的机密性。
(四)抗抵赖攻击
抗抵赖攻击是指在数据传输过程中,发送发及接收方对于发送的数据和接受的数据不可否认性遭到破坏,或者数据在传输过程中被篡改。
密码技术:采用数字签名的方式,使得数据传输的过程中不被篡改,并且收发双方具有不可否认性。
(五)抗DDOS攻击
DDOS的意思就是将多个计算机联合起来作为攻击平台,对一个或多个目标发动DDoS攻击,从而成倍地提高拒绝服务攻击的威力.攻击者利用控制的傀儡机(被入侵并注入木马程序)同时向某一个计算机发送指令,导致目的主机带宽堵塞\主机死机等无法提供正常的服务行为。
密码技术:采用建立加密隧道的方式,使得应用访问通道相对隐秘,外界无法轻易直接访问应用,从一定程度上防护DDOS攻击带来的危害。
六.密码技术应用重点区域
(一)确定重要数据
数据分级的依据是影响范围和影响程度,与实际具体业务有关,应结合实际具体业务和行业/区域数据划分标准来确定。
(二)发掘保护对象
”以重要数据为核心”,厘清重要数据在业务过程中,流经的物理区域(机房等)、网络通道、处理设备、应用系统等。
(三)确定保护对象面临的风险
通过自评估或者采购第三方评估机构,针对每一个保护对象,逐一分析其风险类型和等级。
(四)密码应用需求分析
围绕数据“机密性、完整性、真实性、不可否认性”4个方面的风险分析结果,形成初步密码应用需求清单。
(五)密码应用可行性分析
结合数据在实际业务场景中的“可用性”,密码改造的“易行性”等,本着“降风险”的理念,进行应用的可行性分析。
(六)密码应用的确定
密码应用也是网络安全保护的一部分,完成以上环节以后,对整个网络安全风险进行评估,同时按照国家安全标准相关规定进行残留风险评估,确定残留风险为可接受风险或者可以通过其他制度或技术手段来规避,那么最终的密码应用方案也就基本确定了。
密码应用不是一个独立的体系,它与基础软件、软件开发、网络层面安全等共同构成网络安全的体系,以“数据安全、业务安全”为核心,层层进行防护,所以在设计密码应用时,应站在整体的角度来开展,综合考虑,恰到好处。