密码专家刘平关于密码应用方案设计的思考

随着近年密评工作的推进,“密码应用方案”已成为责任单位、承建单位和测评单位关注的一个重点:

  • 各相关单位是信息系统密码部署和建设的重要依据。

  • 是对信息系统开展密评工作的重要依据。

  • 是建立信息系统密码管理策略和制度的重要依据。

  • 也是判定“宜”是否适用的重要依据。

关于“密码应用方案”究竟应该如何写,写到什么程度,业界正展开深入讨论,相关标准也在编制过程中。
在“2021'因密而安’密码大兴峰会”上,密码专家刘平在会上做了“密码应用方案——落实GB/T 39786要求的基础条件”的主题演讲。刘平首次系统提出了根据责任主体不同分别设计方案的思路:针对计算平台环境,设计密码解决方案;针对密码支撑环境,设计密码支撑方案;针对各类业务系统,设计密码应用方案。

现将刘平演讲的PPT内容分享给各位密友,以期共同学习探讨。其中内容仅为专家个人意见,未有任何官方指导。
密码应用方案——落实GB/T 39786要求的基础条件

密码应用方案的作用

是信息系统密码部署和建设的重要依据。
是对信息系统开展密评工作的重要依据。
是建立信息系统密码管理策略和制度的重要依据。
也是判定“宜”是否适用的重要依据。

GB/T 39786的相关要求

应根据密码相关标准和密码应用需求,制定密码应用方案。
应根据密码应用方案确定系统涉及的密钥种类、体系及其生存周期。
应根据密码应用方案建立相应密钥管理规则。
应按照应用方案实施建设。

密码应用方案的设计原则

依照GB/T 39786,结合信息系统的实际情况进行设计

  • 总体性原则---顶层设计,明确定位。

  • 科学性原则---整体规划,合理布局。

  • 完备性原则---符合要求,满足需求。

  • 可行性原则---切合实际,便于实现。

应根据责任主体不同分别设计方案

针对计算平台环境,设计密码解决方案
针对密码支撑环境,设计密码支撑方案
针对各类业务系统,设计密码应用方案

01

密码解决方案

目的:使用密码技术,保障平台安全。
范围: 按照GB/T 39786 中针对物理和环境安全、网络和通信安全、设备和计算安全提出的要求,结合信息系统具体环境、等级和需求设计。属于平台的资产,且/或对应用透明的服务,也在该方案中设计。
对象:
  • 门禁/监控数据
  • 对外通信信道加密
  • 计算机操作系统/数据库访问控制策略
  • 运维人员的身份和权限管理数据
  • 运维日志记录
  • 远程设备接入认证
  • 跨平台数据交换
  • 为业务系统统一提供的存储服务和云桌面服务等
主要内容:
  • 密码服务机构的选择,服务内容和服务策略。
  • 密码产品清单、部署位置、配置和使用策略。
  • 密码设备管理员的设置和权限。
  • 密码设备的密钥配置和密钥更新、备份、恢复、介质保管等策略。
  • 远程设备接入的认证机制、数据加密机制。
  • 运维人员登录的认证机制、人员信息和权限的保护机制。
  • 运维日志记录的保护机制。
  • 各机制实现的数据结构。
  • 各机制遵循的标准。

02

密码支撑方案

目的:为平台上的各类应用提供密码支撑。

范围:

  • 为应用提供密码功能服务。
  • 为用户提供密码资源调度。
  • 为租户提供密钥管理支持。
主要内容:
  • 密码服务机构的接入方式和服务策略。
  • 支持的密码体制和密码算法,例如:
PKI/证书体制SM2/3/4
PKI/标识体制SM9/3/4
对称密钥/主密钥体制SM1/4
  • 支持的密码支撑方式,例如:
租密码机方式
租密码服务器方式
租密码服务方式
  • 提供的密码功能,例如:
实体鉴别
签名验签
加密解密
时间戳
电子印章
  • 接口和功能遵循的标准,例如:
GM/T 0019- 通用密码服务接口规范
GM/T 0020- 证书应用综合服务接口规范
GM/T 0033- 时间戳接口规范
GM/T 0029- 签名验签服务器技术规范
GM/T 0031- 安全电子签章密码技术规范
GM/T 0032- 基于角色的授权管理与访问控制技术规范
GB/T 15843- 信息技术 安全技术 实体鉴别
  • 按照规划部署密码资源,例如:
全网统一部署
分部门散装部署
  • 密码资源接入平台的方式,例如:
以独立的形态,不占用平台的任何资源。
非独立的形态,借用或租用平台的计算资源、网络资源。
  • 密钥管理机制,可选择:
租户自行管理,支撑平台提供管理界面。
租户委托支撑平台代管。
  • 支撑平台的自身安全性设计,包括:
密钥安全
访问安全
管理安全
租户间的隔离安全
设计要点:一般情况下,不要与密码解决方案共用密码资源,至少在逻辑上和管理上要分开。

03

密码应用方案

目的:使用密码功能,解决应用安全问题

范围:每一个应用(业务)系统都应设计自己的密码应用方案,按照GB/T 39786中应用和数据安全提出的要求,结合应用系统具体需求设计。

主要内容:

  • 确定密码体制。
  • 梳理业务流程,根据流程安全需求,为关键环节设计保护机制。
  • 梳理业务数据,根据数据安全需求,为重要数据设计保护机制。
  • 梳理管理对象(如文件、证照、票据、病历、采集的数据、控制指令等),根据安全需求,为其设计安全机制。
  • 根据角色和访问控制,为其权限和访问策略等数据设计保护机制。
  • 根据审计策略,为日志记录设计安全机制。
  • 为角色分配密钥,明确密钥载体,设计系统的密钥管理策略。
可遵循的密码标准,如:
  • 数据加密,GB/T 17964 信息安全技术 分组密码算法的工作模式
  • 加密及签名数据格式,GB/T 35275 信息安全技术 SM2密码算法加密签名消息语法规范
  • 使用的数字证书,GB/T 20518 信息安全技术 公钥基础设施 数字证书格式规范
  • 针对文件系统,GM/T 0055 电子文件密码应用技术规范
设计要点:
  • 所有的保护机制,用到加密的,应指明加密算法、加密模式(包括填充模式)、密钥属性等。
  • 所有的保护机制,用到签名的,应指明签名算法、签名机制(签什么,谁来签,签在哪)。
  • 所有的保护机制,都会改变被保护对象原有的数据结构,应设计带安全机制的数据结构。
  • 实现保护机制用到的密码功能,由密码支撑方案提供。
  • 用户登录的身份鉴别功能,由密码支撑方案提供。
  • 一般情况下数据传输安全和存储数据安全,由密码解决方案负责,有单独需求或平台没有提供的,可在本方案中设计信源加密。
  • 一般情况下确定了密码体制,就确定了密钥体制,方案中只需要关注密钥由谁产生,给谁用,何时用,何时更换,谁负责备份,谁负责保管备份材料,怎么保管,什么情况下恢复,恢复的流程等,统称为密钥管理策略。

举例-电子票据对象

安全需求:
  • 电子票据的真实性-权威的发行机构
  • 指定的票据签发人-谁可以填写票据
  • 指定的票据使用人-票据开给谁
  • 票据内容的完整性-开出后不可篡改
  • 票据签发人对开出的票据及内容不可否认
  • 非票据签发人开出的票据无效
  • 非票据的使用人不能使用该票据
安全机制设计——票据的数据结构:

举例-企业信用红黑库管理系统

梳理出的密码需求

  • 进库的依据---来源的真实性完整性非否认性

  • 进库的内部审核批准---流程和行为抗抵赖

  • 入库的操作---行为抗抵赖

  • 信息发布到政府网站---信息的真实性完整性

  • 防止私下违法操作---日志记录的真实性完整性

根据需求设计的方案:

  • 采用PKI/证书密码体制,给机构和内部人员发数字证书

  • 设计了各种保护机制、数据结构和密钥管理策略。

  • 使用平台提供的密码资源和功能

统一身份鉴别、签名验签、时间戳、数据存储服务

内外两个平台间的数据交换服务

总结

按资产及职能划分责任主体,分别设计方案,则方案的针对性强,适用性好。

从上述介绍可以看到:

  • 第一类方案可以套路化,形成套路后方案的变化只是产品和部署

  • 第二类方案可以产品化,形成产品后方案的变化只是形态和接

  • 第三类方案只能个性化,但它是解决信息系统应用安全的关键

来源:刘平
注:内容均来源于互联网,版权归作者所有,如有侵权,请联系告知,我们将尽快处理。
(0)

相关推荐