行業背景

1.密碼合規性要求

新時期網絡環境日益複雜,密碼應用需求日趨多樣,《密碼法》、《網絡安全法》、《商用密碼管理條例》等法律法規明確了密碼應用相關規定要求。2019年12月30 日國務院辦公廳發文《國家政務信息化項目建設管理辦法》,要求政務信息化項目建設單位,應同步規劃、同步建設、同步運行密碼保障系統並定期評估(三同步一評估),項目備案、驗收、資金批覆都與密碼應用方案和密碼評估報告相關聯,各地為落實相關精神,都出台了相應的管理辦法。2020年9月22日公安部發布《貫徹落實網絡安全等級保護制度和關鍵信息基礎設施安全保護制度的指導意見》,要求落實密碼安全保障政策,明確了等保三級及以上網絡在規劃、建設和運行階段要充分考慮符合要求的密碼產品與服務,要求在等保測評中同步開展商用密碼應用安全性評工作(密碼測評)。密碼應用與密碼測評已經成為政務信息系統、等保三級系統、關鍵信息基礎設施的標配和剛需。

2.網絡安全威脅事件頻發

基礎信息網絡、重要信息系統、重要工業控制系統、面向社會服務的政務信息系統,已經成為犯罪組織、不法分子的重點攻擊對象。系統自身安全漏洞、用户缺乏安全意識、內部人員惡意行為、系統間交叉訪問、網絡非法攻擊等成為信息系統主要安全威脅來源。信息系統正面臨着身份仿冒、信息泄露、數據篡改等一系列網絡安全風險,給相關單位或用户造成了嚴重的經濟損失,也給社會帶來了負面影響。

3.數字化業務轉型安全需要

數字化業務系統安全在沒有采用密碼技術進行身份認證和數據加密的情況下,身份鑑別信息、重要業務數據等信息在傳輸與存儲過程中極易被竊取或監聽,導致信息泄露,將造成嚴重的後果。根據《網絡安全等級保護基本要求》、《信息系統密碼應用基本要求》等相關標準要求,結合業務系統面臨的信息安全風險,數字化業務主要存在管理員強身份認證、關鍵運維操作安全審計、基於網絡安全通道的數據傳輸安全、基於加密保護的重要數據存儲安全、自主可控的密碼技術產品與服務等密碼應用安全需求。

4.新技術新業務驅動

解決方案

為滿足商用密碼應用測評合規要求、數字化業務發展安全需求、新技術新業務安全需求,有效應對身份假冒、數據泄漏等網絡安全威脅,奇安信密碼服務體系解決方案通過構建內生安全的密碼服務體系框架和密碼服務平台,為數字化業務應用提供可信身份認證能力和數據加密保護能力,既滿足業務應用安全需要,又符合密碼法規政策與標準規範要求,保證密碼的合規有效應用和確保業務的安全有序運行。

密碼服務體系架構分為密碼基礎服務平台與密碼應用兩個層次。

1.密碼基礎服務平台:採用服務器密碼機、密鑰管理系統、手機盾密碼服務平台、CA證書認證系統、數據加密系統、簽名驗籤服務系統、電子簽章服務系統、時間戳服務系統、VPN安全網關等符合國家密碼管理局密碼產品要求、具備商用密碼產品認證證書的密碼軟硬件密碼產品,為數字化業務提供數據安全保護服務和可信身份認證服務。

2.密碼應用服務:調用密碼基礎服務平台的密碼安全能力,支持終端、通信網絡、業務系統、運維管理等密碼應用服務。密碼應用與密碼服務平台適配對接,利用密碼服務平台的密碼服務中間件提供統一接口、協議、SDK為業務應用提供密碼服務能力,合規正確有效地支撐身份認證、傳輸加密、存儲加密、完整性保護、不可否認性保護等方面的密碼應用。

針對等保2.0與密碼應用測評等合規要求,方案實現方式如下:

在信息系統平台(雲計算平台)建立密碼安全區,部署數字證書認證系統、密鑰管理系統、密碼機、VPN安全網關、手機盾密碼服務平台等主要密碼安全產品,為終端客户端密碼應用、安全傳輸通道、服務端密碼應用提供可信身份認證能力和數據安全保護能力,實現數字化業務系統實體身份可信認證、數據機密性完整性保護、行為不可否認性保護,滿足等保2.0與密碼應用測評要求,保證密碼應用的合規性、正確性和有效性。

方案特點

1.技術理念創新

• 聚合密碼能力,建立內生安全機制,構建動態的網絡安全邊界。

• 建立統一安全基線,補齊密碼安全產品短板,構築堅固的密碼服務體系。

• 建立全方位密碼服務能力體系,實現雲大移智物工全覆蓋。

2.密碼服務平台內生安全

通過密碼服務中間件提供服務,縮小攻擊面。

提供用户級與API接口級細粒度的訪問控制。

內部信息實現全流程加密保護。

業務應用調用密碼接口進行安全認證。

計算環境與行為安全評估。

3.支撐業務應用內生安全

支撐業務應用的內生安全保護,提供數據的加密和身份認證功能。通過調用密碼服務中間件接口,為身份認證、訪問控制、數據安全等功能提供基礎和統一的密碼支撐。

4.集成實施的落地性

• 無感化用户使用

• 極小化系統管理

• 集中化密碼管理

應用價值

1.符合《密碼法》、《網絡安全法》、等級保護2.0、密碼測評等密碼相關政策要求,確保業務系統通過密碼測評,提高網絡與信息安全保障能力。

2.業務應用系統融合密碼技術,根置密碼基因,提升內生安全能力,解決身份仿冒、信息泄露、數據篡改等安全風險問題。

3.既適用於傳統的應用系統,也支持物聯網、雲計算、大數據、5G、智能製造等新場景的密碼應用。