密码应用及其应用安全性评估.pptx
《密码应用及其应用安全性评估.pptx》由会员分享,可在线阅读,更多相关《密码应用及其应用安全性评估.pptx(35页珍藏版)》请在冰豆网上搜索。
浅析密码应用及其应用安全性评估,讲师姓名:
傅罡,目录,密码与密码应用密码评估的政策依据密码应用安全性评估讨论与展望,密码与密码应用,2019年密码法草案提交,密码的概念与分类密码法所称密码:
采用特定变换的方法对信息等进行加密保护、安全认证的技术、产品和服务。
密码法将密码分为核心密码、普通密码和商用密码,实行分类管理。
核心密码用于保护国家绝密级、机密级、秘密级信息普通密码用于保护国家机密级、秘密级信息,国家密码管理局发布SM2椭圆曲线公钥密码算法,2010年12月国家密码管理局发布SM3密码杂凑算法,商用密码用于保护不属于国家秘密的信息2010年12月2012年,成立“金融领域商用密码应用推进工作协调小组”,2012年3月发布SM4算法标准,2012年发布SM3算法标准,2014年关于银行业的商用密码推广试点工作,2015年发布电子签名法,2016年3月国家密码管理局发布SM9密码标识算法等2项密码行业标准公告,2017年4月国家密码管理局就密码法(草案征求意见稿)公开征求意见,2018年政务信息系统政府采购管理暂行办法,密码与密码应用,密码在网络空间安全中的重要作用口令(password)不是密码(crypto/cryptography)密码是保障网络安全的核心技术和基础支撑加密保护:
将“明文”变换成“密文”,再进行传输和存储。
安全认证:
确认信息、身份、行为是否真实。
密码具有四项主要功能信息的机密性/保密性:
加密信息的完整性:
鉴别码消息来源/身份的真实性:
鉴别行为的不可否认性:
签名,密码与密码应用,密码在网络空间安全中的重要作用“技术国界化”以MD5、RSA等为代表的公钥密码存在安全风险中美贸易战启示:
核心技术只能“自力更生”基础信息网络、重要信息系统的核心技术及安全性保障需自己掌握。
使用密码可以有效、可靠、经济的维护网络空间安全密码是保障网络与信息安全的核心技术和基础支撑密码作为保护网络与信息安全的重要手段,在身份识别、安全隔离、信息加密、完整性保护和抗抵赖性等方面发挥着不可替代的重要作用以密码为基石构建安全网络空间,密码与密码应用,密码应用不广泛2018年,对1万余个等保三级及以上的信息系统进行普查,未使用密码的信息系统占比高达75.23%密码应用不规范2018年,对118个重要系统(精选的大部分都使用了密码)的密码安全性测评结果显示,85%不符合标准要求密码应用不安全测评结果表明:
MD5、RSA1024、SHA1等有重大安全风险的算法仍在大量使用密码实现生成的密钥可预测,密码评估的政策依据,中华人民共和国密码法中华人民共和国网络安全法商用密码应用安全性评估管理办法(试行)(2017内部印发)国家政务信息化项目建设管理办法(国办发201957号)贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见(公网安20201960号),密评的法律依据(要用密码、要做密码安全性评估),密评的行政法规(政务信息系统落实密码应用的“三同步一评估”),密评与等保的衔接(所有三级以上系统和关键基础设施落实密码应用的“三同步一评估”),商用密码管理条例(征求意见稿)网络安全等级保护条例(征求意见稿)关键信息基础设施安全保护条例(征求意见稿)国密局关于加强政务密评的函(国密局函119号)政务信息系统密码应用与安全性评估工作指南国家政务信息化项目建设管理办法(国办发201957号)“三同步一评估”同步规划、同步建设、同,步运行商用密码保障系统,自行或者委托商用密码检测机构开展商用密码应用安全性评估,密码评估的政策依据,密码法及配套法规密码法第二十七条法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码进行保护,自行或者委托商用密码检测机构开展商用密码应用安全性评估。
商用密码应用安全性评估管理办法(试行)第三条:
涉及国家安全和社会公共利益的重要领域网络和信息系统的建设、使用、管理单位(以下简称责任单位)应当健全密码保障体系,实施商用密码应用安全性评估。
第二十条:
重要领域网络和信息系统包括:
基础信息网络、涉及国计民生和基础信息资源的重要信息系统、重要工业控制系统、面向社会服务的政务信息系统,以及关键信息基础设施、网络安全等级保护第三级及以上信息系统(等保三级对应密评三级)。
密码评估的政策依据,国家政务信息化项目建设管理办法国家政务信息化项目建设管理办法(国办发201957号)第九条:
国家政务信息化项目,应当按规定履行审批程序并向国家发展改革委备案。
备案文件应当包括项目名称、等级保护或者分级保护备案情况、密码应用方案和密码应用安全性评估报告等内容,其中改建、扩建项目还需提交前期项目第三方后评价报告。
第十五条:
项目建设单位应当落实国家密码管理有关法律法规和标准规范的要求,同步规划、同步建设、同步运行密码保障系统并定进行评估。
第二十五条:
国家政务信息化项目建成后半年内,项目建设单位应当按照国家有关规定申请审批部门组织验收,提交验收申请报告时应当一并附上项目建设总结、财务报告、审计报告、安全风险评估报告、密码应用安全性评估报告等材料。
密码评估的政策依据,公安部指导意见公网安20201960号文二、深入贯彻实施国家网络安全等级保护制度(六)落实密码安全防护要求。
网络运营者应贯彻落实密码法等有关法律法规规定和密码应用相关标准规范。
第三级以上网络应正确、有效采用密码技术进行保护,并使用符合相关要求的密码产品和服务。
第三级以上网络运营者应在网络规划、建设和运行阶段,按照密码应用安全性评估管理办法和相关标准,在网络安全等级测评中同步开展密码应用安全性评估。
密码评估的政策依据,不做密评或测评结果不合格的影响?
密码法第三十七条第一款规定:
关键信息基础设施的运营者违反本法第二十七条第一款规定,未按照要求使用商用密码,或者未按照要求开展商用密码应用安全性评估的,由密码管理部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处十万元以上一百万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款。
国家政务信息化项目建设管理办法第二十八条第三款规定:
对于不符合密码应用和网络安全要求,或者存在重大安全隐患的政务信息系统,不安排运行维护经费,项目建设单位不得新建、改建、扩建政务信息系统。
商用密码应用安全性评估管理办法(试行)第二章第十条规定:
关键信息基础设施、网络安全等级保护第三级及以上信息系统,每年至少评估一次。
从三级等保分析密码应用的要点,信息安全技术网络安全等级保护基本要求,从三级等保分析密码应用的要点,信息安全技术网络安全等级保护基本要求,密码应用安全性评估,GM/T0054-2018信息系统密码应用基本要求,39786是贯彻落实密码法、指导我国商用密码应用与安全性评估工作开展的纲领性标准。
具体规定4个技术层面和4个管理层面要求的标准,在原有0054密标基础上,结合前期密评试点经验进行改进修订后形成的国标。
GB/T39786-2021信息安全技术信息系统密码应用基本要求现阶段实际执行测评时的5项配套指导文件:
国标规定的各指标的测评对象、测评实施方式和结果判定方法。
明确了测评过程的具体环节和各环节输入、输出定义了最终报告中的高风险项判定方法及相应的缓解措施。
定义了最终报告中的量化评分方法。
2020版的测评报告的模板。
密码应用安全性评估,方案评审,系统建设/集成,测评准备,制定测评方案,现场测评,结果分析与报告编制,商用密码应用安全性评估(密码测评)流程被测单位,测评机构,填写调查表,配合提供证据洽谈后可整改,获得测评报告,测评中发现问题,测评申请,方案评审申请,输出,问询,签订保密协议、委托测评协议书等,商用密码应用安全性评估报告,委托专业机构或自行编制密码应用方案,咨询服务,驻场服务,咨询服务,驻场服务,测评工具,整改/建设服务国办57号文件对于政务信息系统,规定密评报告是项目验收的必备材料之一。
提交地方密码管理局、国家密码管理局、委托单位、密评机构备,案。
密码应用安全性评估,与等级保护测评的关联密评的测评范围和定级以等级保护的定级备案为准指标项设置(技术+管理)和结论(评分过线+高风险项一票否决)相似密评与等保均需要定期开展(每年一次)许多密评机构同时等级保护测评资质2020年7月,公布第一批密评试点机构(24)2020年9月,公布第二批密评试点机构(36+9)密评的指标项数量不多,但测评深度要求更高测评的关键是看密钥是否安全测评时常常需要考察系统的设计和实现细节(接近白盒测试),而不是仅仅做黑盒测试,密码应用安全性评估,密评指标项解读两大类(技术、管理),共分8个层面,“应”、“宜”、“可”三种以三级系统为例,共41个指标项(以及一个隐含的重要指标:
密钥的管理)指标项权重指标项的“不适用”判定方法“可”的指标,用户方可以自行论述不适用理由“宜”的指标,需要测评机构分析判断,并在测评报告中阐述不适用的理由(密码应用方案+专家评审意见是比较有说服力的证据)“应”需要遵循,密评量化分值分布,密码应用安全性评估,物理和环境安全,10,网络和通信安全15,设备和计算安全15,应用和数据安全30,管理制度,30,设备和计算安全,物理和环境安全应用和数据安全,网络和通信安全管理制度,根据当前的经验,在设计密码应用方案时,可以优先考虑、重点关注:
网络和通信安全应用和数据安全管理制度,信息系统密码应用高风险项,密码应用安全性评估,算法,国密算法。
存在安全问题或安全强度不足的密码算法,高风险。
如MD5、DES、SHA-1、RSA-1024,技术,密码技术应遵循密码相关标准,存在缺陷或有安全问题警示的密码技术,高风险。
如SSH1.0、SSL2.0、SSL3.0、TLS1.0,产品,合规的商用密码产品0028/37092密码模块安全等级,存在高危安全漏洞的密码产品,高风险。
如存在Heartbleed漏洞的OpenSSL产品,服务,密码服务应通过国家密码主管部门许可,存在高危安全漏洞的密码产品,选用的密码服务提供商不具有相关资质(如电子认证服务),密钥管理:
除公钥外,明文保存为高风险项,密码应用安全性评估,密评结论判定依据,量化评估结果,逐项风险分析,测评结论,现阶段阈值=60分(不排除未来阈值提高的可能性),密评方案物理和环境安全层要求与分析,机房进出人员门禁系统,身份鉴别。
机房门禁业务系统的日志数据宜采用密码技术保护,则符合电子门禁记录数据存储完整性。
(不能使用ID门禁卡,已经被破解IC卡(如M1卡)机房采集设备的视频数据需要密码技术保护,则视频监控记录数据存储完整性。
对应产品:
国密算法门禁系统国密算法视频监控,密码应用安全性评估,“物理和环境”层面的身份鉴别,是指机房门禁的身份鉴别机制,是否采用了密码技术,密码应用安全性评估密评方案物理和环境安全层要求与分析,密评方案网络和通信的要求与分析,外部用户访问系统平台间,需要身份鉴别,保障网络和数据传输链路的安全性。
外部用户访问系统时,采用密码技术保证通信数据及通信过程中重要数据的机密性。
具备访问控制功能的设备实体采用密码技术对网络边界和系统资源访问控制信息进行保护,防止被非法篡改。
设备接入网络时,需要安全接入认证。
对应产品:
IPSec/SSLVPN网关安全认证网关,密码应用安全性评估,“网络通信”层面的身份鉴别,是指对通信设备的鉴别,三级系统只要求单向(对服务器端的鉴别),密码应用安全性评估密评方案网络和通信的要求与分析,密评方案设备和计算要求与分析,在密码设备(含签名验签服务等)、非密码设备(应用服务器、堡垒机等)要求管理员登录设备进行身份鉴别。
远程管理的身份鉴别信息需使用合规的密码技术进行通道安全(如SSH的安全登录)。
采用密码技术对操作系统层面资源访问控制信息(如设备配置信息、安全策略、资源访问控制列表等)进行保护,防止,被非法篡改。
采用密码技术保证设备中的重要信息资源安全标记的完整,性。
系统的应用服务器、数据库服务器等设备的操作日志均使用密码技术进行完整性保护。
对应产品:
安全认证网关堡垒机,密码应用安全性评估,“设备计算”层面的身份鉴别,是指对登录到设备(操作系统)的人的鉴别(通常是运维人员,堡垒机),密码应用安全性评估密评方案设备和计算要求与分析,密评方案应用和数据要求与分析,业务系统应用人员或操作人员访问应用时的身份鉴别鉴,别。
对应用服务器的业务管理控制台访问控制信息的命令使用密码技术进行完整性保护。
对业务日志等重要信息资源安全标记进行完整性保护。
对业务重要数据使用密码技术进行传输机密性、完整性。
对业务重要数据(上报关键数据清单中的)使用密码技术进行存储机密性、完整性。
对应用数据使用密码技术进行不可否认性,由业务系统使用签名技术保障应用数据的不可否认性。
对应产品:
IPSec/SSLVPN网关安全认证网关,签名验签服务器服务器密码机,密码应用安全性评估,密码应用安全性评估密评方案应用和数据要求与分析,各层面高风险项分布情况,“”为二级及以上高风险项,且有缓解措施,“”为无缓解措施的高风险项,“”为不适用指标。
关于高风险的项的缓解措施,即使有缓解措施,也不影响量化打分时分值的判定,只能在打分结束后,影响最终的评估结果的判定(符合、基本符合、不符合)。
密码应用安全性评估,系统密评应用总体示意图,应用层传输数据机密性、完整性(数字信封),应用层传输、存储数据机密性、完整性,应用层身份鉴别、不可否认性,设备层远程,管理通道(SSH),门禁、门禁记录完整性、视频监控记录完整性,堡垒机,SSL网关,远程运维,本地运维,浏览器,用户,USBKey,业务系统,数据库,签名类服务器,服务器密码机,时间戳服务器,应用层不可否认性,网络层身份鉴别、机密性、完整性IPsecVPN,IPsecVPN,设备层身份鉴别,其他机构数据,SSL网关,密码应用安全性评估,密码应用安全性评估,密评方案安全管理,从管理要求的4个管理方面(管理制度、人员管理、建设运行、应急处置),按要求设计安全管理体系。
在安全管理方面,需要基本的信息安全管理体系,建立相应的安全组织,设置相应的安全部门和岗位,制订安全管理制度,并在日常管理中依照制度要求执行。
信息系统日常运行维护,如外来人员访问管理、系统安全管理和网络安全管理等方面,拥有较完善的流程和规范。
安全管理方面要求具有基本安全保障能力。
密码应用安全性评估密评方案实施指南相关产品,讨论与展望,讨论与展望,借助密码应用,提升卫健行业的网络安全核心技术与基础保障基础设施、外包管理问题(建设与运维)数据治理与共享(数据真的在我们手里吗?
)网络安全的对抗能力(人员能力、安全人员欠缺)互联网+、云租赁法律、法规的要求合规、正确、有效地使用,谢谢观看!