密码应用及其应用安全性评估.pptx

1、浅析密码应用及其应用安全性评估讲师姓名：傅 罡目录密码与密码应用密码评估的政策依据密码应用安全性评估讨论与展望密码与密码应用2019年密码法草案提交密码的概念与分类密码法所称密码：采用特定变换的方法对信息等进行加密保护、安全认证的技术、产品和服务。密码法将密码分为核心密码、普通密码和商用密码，实行分类管理。核心密码用于保护国家绝密级、机密级、秘密级信息普通密码用于保护国家机密级、秘密级信息国家密码管理局发布SM2椭圆曲线公钥密码算法2010年12月国家密码管理局发布SM3密码杂凑算法 商用密码用于保护不属于国家秘密的信息2010年12月2012年成立“金融领域商用密码应用推进工作协调小组”20

2、12年3月发布SM4算法标准2012年发布SM3算法标准2014年关于银行业的商用密码推广试点工作2015年发布电子签名法2016年3月国家密码管理局发布SM9密码标识算法等2项密码行业标准公告2017年4月国家密码管理局就密码法（草案征求意见稿）公开征求意见2018年政务信息系统政府采购管理暂行办法密码与密码应用密码在网络空间安全中的重要作用口令（password）不是密码（crypto/cryptography）密码是保障网络安全的核心技术和基础支撑加密保护：将“明文”变换成“密文”，再进行传输和存储。安全认证：确认信息、身份、行为是否真实。密码具有四项主要功能信息的机密性/保密性：加密信

3、息的完整性：鉴别码消息来源/身份的真实性：鉴别行为的不可否认性：签名密码与密码应用密码在网络空间安全中的重要作用“技术国界化”以MD5、RSA等为代表的公钥密码存在安全风险中美贸易战启示：核心技术只能“自力更生”基础信息网络、重要信息系统的核心技术及安全性保障需自己掌握。使用密码可以有效、可靠、经济的维护网络空间安全密码是保障网络与信息安全的核心技术和基础支撑密码作为保护网络与信息安全的重要手段，在身份识别、安全隔离、信息加密、完整性保护和抗抵赖性等方面发挥着不可替代的重要作用以密码为基石构建安全网络空间密码与密码应用密码应用不广泛2018年，对1万余个等保三级及以上的信息系统进行普查，未使用

4、密码的信息系统占比高达75.23%密码应用不规范2018年，对118个重要系统（精选的大部分都使用了密码）的密码安全性测评结果显示，85%不符合标准要求密码应用不安全测评结果表明：MD5、RSA1024、SHA1等有重大安全风险的算法仍在大量使用密码实现生成的密钥可预测密码评估的政策依据中华人民共和国密码法中华人民共和国网络安全法商用密码应用安全性评估管理办法（试行）（2017内部印发）国家政务信息化项目建设管理办法（国办发201957号）贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见（公网安20201960号）密评的法律依据（要用密码、要做密码安全性评估）密评的行政法规

5、（政务信息系统落实密码应用的“三同步一评估”）密评与等保的衔接（所有三级以上系统和关键基础设施落实密码应用的“三同步一评 估”）商用密码管理条例（征求意见稿）网络安全等级保护条例（征求意见稿）关键信息基础设施安全保护条例（征求意见稿）国密局关于加强政务密评的函（国密局函119号）政务信息系统密码应用与安全性评估工作指南国家政务信息化项目建设管理办法（国办发201957号）“三同步一评估”同步规划、同步建设、同步运行商用密码保障系统，自行或者委托商用密码检测机构开展商用密码应用安全性评估密码评估的政策依据密码法及配套法规密码法第二十七条法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信

6、息基础设施，其运营者应当使用商用密码进行保护，自行或者委托商用密码检测机构开展商用密码应用安全性评估。商用密码应用安全性评估管理办法（试行）第三条：涉及国家安全和社会公共利益的重要领域网络和信息系统的建设、使用、管理单位（以下简称责任单位）应当健全密码保障体系，实施商用密码应用安全性评估。第二十条：重要领域网络和信息系统包括：基础信息网络、涉及国计民生和基础信息资源的重要信息系统、重要工业控制 系 统、面向社会服务的政务信息系统，以及关键信息基础设施、网络安全等级保护第三级及以上信息系统（等保三级对应密评三级）。密码评估的政策依据国家政务信息化项目建设管理办法 国家政务信息化项目建设管理办法（

7、国办发201957号）第九条：国家政务信息化项目，应当按规定履行审批程序并向国家发展改革委备案。备案文件应当包括项目名称、等级保护或者分级保护备案情况、密码应用方案和密码应用安全性评估报告等内容，其中改建、扩建项目还需提交前期项目第三方后评价报告。第十五条：项目建设单位应当落实国家密码管理有关法律法规和标准规范的要求，同步规划、同步建设、同步运行密码保障系统并定进行评估。第二十五条：国家政务信息化项目建成后半年内，项目建设单位应当按照国家有关规定申请审批部门组织验收，提交验收申请报告时应当一并附上项目建设总结、财务报告、审计报告、安全风险评估报告、密码应用安全性评估报告等材料。密码评估的政策依

8、据公安部指导意见 公网安 20201960号文二、深入贯彻实施国家网络安全等级保护制度（六）落实密码安全防护要求。网络运营者应贯彻落实 密码法等有关法律法规规定和密码应用相关标准规范。第三级以上网络应正确、有效采用密码技术进行保护，并使用符合相关要求的密码产品和服务。第三级以上网络运营者应在网络规划、建设和运行阶段，按照密码应用安全性评估管理办法和相关标准，在网络安全等级测评中同步开展密码应用安全性评估。密码评估的政策依据不做密评或测评结果不合格的影响？密码法第三十七条第一款规定：关键信息基础设施的运营者违反本法第二十七条第一款规定，未按照要求使用商用密码，或者未按照要求开展商用密码应用安全性

9、评估的，由密码管理部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处十万元以上一百万元以下罚款，对直接负责的主管人员处一万元以上十万元以下罚款。国家政务信息化项目建设管理办法第二十八条第三款规定：对于不符合密码应用和网络安全要求，或者存在重大安全隐患的政务信息系统，不安排运行维护经费，项目建设单位不得新建、改建、扩建政务信息系统。商用密码应用安全性评估管理办法（试行）第二章第十条规定：关键信息基础设施、网络安全等级保护第三级及以上信息系统，每年至少评估一次。从三级等保分析密码应用的要点等保目录编号要求项细则对应产品8.1.2.2通信传输应采用校验技术或密码技术保证通信过程中数据的

10、完整性；应采用密码技术保证通信过程中数据的保密性。IPSec/SSLVPN网关安全认证网关应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身份鉴别信息具有复杂度要求并定期更换；应具有登录失败处理功能，应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施；当进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别，且其中一种鉴别技术至少应使用密码技术来实现。个人数字证书+USBKey8.1.4.1身份鉴别 安全认证网关 IPsec/SSLVPN网关；8.1.4.7数据完整性应采用校验技

11、术或密码技术保证重要数据在传输过程中的完整性，包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等；应采用校验技术或密码技术保证重要数据在存储过程中的完整性，包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等。安全认证网关IPsec/SSLVPN网关签名验签服务器信息安全技术网络安全等级保护基本要求从三级等保分析密码应用的要点信息安全技术网络安全等级保护基本要求等保目录编号要求项细则对应产品8.1.4.8数据保密性应采用密码技术保证重要数据在传输过程中的保密性，包括但不限于鉴别数据、重要业务数据和重要个人信息等；

12、应采用密码技术保证重要数据在存储过程中的保密性，包括但不限于鉴别数据、重要业务数据和重要个人信息等。安全认证网关IPsec/SSLVPN网关服务器密码机8.1.9.3产品采购和使用应确保网络安全产品采购和使用符合国家的有关规定；应确保密码产品与服务的采购和使用符合国家密码管理主管部门的要求；应预先对产品进行选型测试，确定产品的候选范围，并定期审定和更新候选产品名单 具备商用密码产品型号证书8.1.9.7测试验收应制定测试验收方案，并依据测试验收方案测试验收，形成测试验收报告；应进行上线前的安全性测试，并出具安全测试报告，安全测试报告应包含密码应用安全性测试相关内容。密评相关内容8.1.10.9

13、密码管理应遵循密码相关国家标准和行业标准；应使用国家密码管理主管部门认证核准的密码技术和产品。具备商用密码产品型号证书密码应用安全性评估GM/T0054-2018信息系统密码应用基本要求39786是贯彻落实密码法、指导我国商用密码应用与安全性评估工作开展的纲领性标准。具体规定4个技术层面和4个管理层面要求的标准，在原有0054密标基础上，结合前期密评试点经验进行改进修订后形成的国标。GB/T39786-2021信息安全技术 信息系统密码应用基本要求现阶段实际执行测评时的5项配套指导文件：国标规定的各指标的测评对象、测评实施方式和结果判定方法。明确了测评过程的具体环节和各环节输入、输出定义了最终

14、报告中的高风险项判定方法及相应的缓解措施。定义了最终报告中的量化评分方法。2020版的测评报告的模板。密码应用安全性评估方案评审系统建设/集成测评准备制定测评方案现场测评结果分析与报告编制商用密码应用安全性评估(密码测评)流程被测单位测评机构填写调查表配合提供证据洽谈后可整改获得测评报告测评中发现问题测评申请方案评审申请输出问询签订保密协议、委托测评协议书等商用密码应用安全性评估报告委托专业机构或自行编制密码应用方案咨询服务驻场服务咨询服务驻场服务测评工具整改/建设服务国办57号文件对于政务信息系统，规定密评报告是项目验收的必备材料之一。提交地方密码管理局、国家密码 管理局、委托单位、密评机构

15、备案。密码应用安全性评估与等级保护测评的关联密评的测评范围和定级以等级保护的定级备案为准指标项设置（技术+管理）和结论（评分过线+高风险项一票否决）相似密评与等保均需要定期开展（每年一次）许多密评机构同时等级保护测评资质2020年7月，公布第一批密评试点机构（24）2020年9月，公布第二批密评试点机构（36+9）密评的指标项数量不多，但测评深度要求更高测评的关键是看密钥是否安全测评时常常需要考察系统的设计和实现细节（接近白盒测试），而不是仅仅做黑盒测试密码应用安全性评估技术类指标物理和环境安全网络和通信安全设备和计算安全应用和数据安全管理类指标管理制度人员管理建设运行应急处置密评指标项解读两

16、大类（技术、管理），共分8个层面，“应”、“宜”、“可”三种以三级系统为例，共41个指标项（以及一个隐含的重要指标：密钥的管理）指标项权重指标项的“不适用”判定方法“可”的指标，用户方可以自行论述不适用理由“宜”的指标，需要测评机构分析判断，并在测评报告中阐述不适用的理由（密码应用方案+专家评审意见是比较有说服力的证据）“应”需要遵循密评量化分值分布密码应用安全性评估物理和环境安全10网络和通信安全15设备和计算安全15应用和数据安全30管理制度30设备和计算安全物理和环境安全应用和数据安全网络和通信安全管理制度根据当前的经验，在设计密码应用方案时，可以优先考虑、重点关 注：网络和通信安全应用

17、和数据安全管理制度信息系统密码应用高风险项密码应用安全性评估算法 国密算法。存在安全问题或安全强度不足的密码算法，高风险。如 MD5、DES、SHA-1、RSA-1024技术 密码技术应遵循密码相关标准 存在缺陷或有安全问题警示的密码技术，高风险。如SSH1.0、SSL2.0、SSL3.0、TLS1.0产品 合规的商用密码产品 0028/37092密码模块安全等级 存在高危安全漏洞的密码产 品，高风险。如存在 Heartbleed漏洞的OpenSSL产品服务 密码服务应通过国家密码主管部门许可 存在高危安全漏洞的密码产品 选用的密码服务提供商不具有相关资质（如电子认证服务）密钥管理：除公钥外，

18、明文保存为高风险项密码应用安全性评估密评结论判定依据 量化评估结果 逐项风险分析 测评结论（100分制）（高、中、低）得分满分并且没有任何风险项符合得分达到阈值并且没有高风险项基本符合得分未达到阈值或者存在高风险项不符合 现阶段阈值=60分（不排除未来阈值提高的可能性）密评方案物理和环境安全层要求与分析层面指标要求物理和环境安全（10分）身份鉴别宜电子门禁记录数据存储完整性宜视频监控记录数据存储完整性宜 机房进出人员门禁系统，身份鉴别。机房门禁业务系统的日志数据宜采用密码技术保护，则符合电子门禁记录数据存储完整性。（不能使用ID门禁卡，已经被破解IC卡（如M1卡）机房采集设备的视频数据需要密码

19、技术保护，则视频监控记录数据存储完整性。对应产品：国密算法门禁系统国密算法视频监控密码应用安全性评估层面层面权重指标项影响因子指标项要求高风险缓解方法物理和环境10身份鉴别1宜生物特征、专人值守+视频监控门禁记录完整性0.7宜视频记录完整性0.7宜“物理和环境”层面的身份鉴别，是指机房门禁的身份鉴别机制，是否采用了密码技术密码应用安全性评估密评方案物理和环境安全层要求与分析密评方案网络和通信的要求与分析层面指标要求网络和通信安全（15分）身份鉴别应通信数据完整性宜通信过程中重要数据机密性应网络边界访问控制信息的完整性宜安全接入认证可外部用户访问系统平台间，需要身份鉴别，保障网络和数据传输链路的

20、安全性。外部用户访问系统时，采用密码技术保证通信数据及通信过程中重要数据的机密性。具备访问控制功能的设备实体采用密码技术对网络边界和系统资源访问控制信息进行保护，防止被非法篡改。设备接入网络时，需要安全接入认证。对应产品：IPSec/SSLVPN网关安全认证网关密码应用安全性评估层面层面权重指标项影响因子指标项要求高风险缓解方法网络和通信15身份鉴别1应无通信数据完整性0.7宜通信数据机密性1应应用层面传输安全边界访问控制完整性0.7宜安全接入认证0.4可“网络通信”层面的身份鉴别，是指对通信设备的鉴别，三级系统只要求单向（对服务器端的鉴别）密码应用安全性评估密评方案网络和通信的要求与分析密评

21、方案设备和计算要求与分析层面指标要求身份鉴别应远程管理通道安全应设备系统资源访问控制信息完整性宜和重要信息资源安全标记完整性宜计日志记录完整性宜算（15分）重要可执行程序完整性、来源真实性宜 在密码设备（含签名验签服务等）、非密码设备（应用服务器、堡垒机等）要求管理员登录设备进行身份鉴别。远程管理的身份鉴别信息需使用合规的密码技术进行通道安全（如SSH的安全登录）。采用密码技术对操作系统层面资源访问控制信息（如设备配置信息、安全策略、资源访问控制列表等）进行保护，防止被非法篡改。采用密码技术保证设备中的重要信息资源安全标记的完整性。系统的应用服务器、数据库服务器等设备的操作日志均使用密码技术进

22、行完整性保护。对应产品：安全认证网关堡垒机密码应用安全性评估层面层面权重指标项影响因子指标项要求高风险缓解方法设备和计算15身份鉴别1应短信验证、生物特征等远程管理通道1应隔离的管理网、网络层面安全措施访问控制完整性0.7宜安全标记完整性0.7宜日志记录完整性0.7宜程序来源真实性0.7宜“设备计算”层面的身份鉴别，是指对登录到设备（操作系统）的人的鉴别（通常是运维人员，堡垒机）密码应用安全性评估密评方案设备和计算要求与分析密评方案应用和数据要求与分析层面指标要求应用和数据（30分）身份鉴别应访问控制完整性宜重要信息资源安全标记完整性宜重要数据传输机密性应重要数据存储机密性应重要数据传输完整性

23、宜重要数据存储完整性宜不可否认性宜 业务系统应用人员或操作人员访问应用时的身份鉴别鉴别。对应用服务器的业务管理控制台访问控制信息的命令使用密码技术进行完整性保护。对业务日志等重要信息资源安全标记进行完整性保护。对业务重要数据使用密码技术进行传输机密性、完整性。对业务重要数据（上报关键数据清单中的）使用密码技术进行存储机密性、完整性。对应用数据使用密码技术进行不可否认性，由业务系统使用签名技术保障应用数据的不可否认性。对应产品：IPSec/SSLVPN网关安全认证网关签名验签服务器服务器密码机密码应用安全性评估密码应用安全性评估密评方案应用和数据要求与分析层面层面权重指标项影响因子指标项要求高风

24、险缓解方法应用和数据30身份鉴别1应短信验证、生物特征等访问控制完整性0.7宜安全标记完整性0.7宜数据传输机密性1应网络层面传输安全数据存储机密性1应无数据传输完整性1宜数据存储完整性1宜授权访问+定期备份不可否认性1宜无 各层面 高风险项 分布情况安全层面高风险指标物理环境网络和通信设备和计算应用和数据密码应用管理通用（算法技术产品服务）身份鉴别重要数据传输机密性重要数据存储机密性重要数据存储完整性远程管理通道安全（三级）不可否认性（三级）安全接入认证(四级)具备密码应用安全管理制度制定密码应用方案“”为二级及以上高风险项，且有缓解措施，“”为 无缓解措施的高风险项，“”为不适用指标。关于

25、高风险的项的缓解措施，即使有缓解措施，也不影响量化打分时分值的判定，只能在打分结束后，影响最终的评估结果的判定（符合、基本符合、不符合）。密码应用安全性评估系统密评应用总体示意图应用层传输数据机密性、完整性（数字信封）应用层传输、存储数据机密性、完整性应用层身份鉴别、不可否认性设备层远程管理通道（SSH）门禁、门禁记录完整性、视频监控记录完整性应用和数据层面设备和计算层面网络和通信层面物理和环境层面堡垒机SSL网关远程运维本地运维浏览器用户USBKey业务系统数据库签名类服务器服务器密码机时间戳服务器应用层不可否认性网络层身份鉴别、机密性、完整性IPsec VPNIPsec VPN设备层身份鉴

26、别其他机构数据SSL网关密码应用安全性评估密码应用安全性评估密评方案安全管理从管理要求的4个管理方面（管理制度、人员管理、建设运行、应急处置），按要求设计安全管理体系。在安全管理方面，需要基本的信息安全管理体系，建立相应的安全组织，设置相应的安全部门和岗位，制订安全管理制度，并在日常管理中依照制度要求执行。信息系统日常运行维护，如外来人员访问管理、系统安全管理和网络安全管理等方面，拥有较完善的流程和规范。安全管理方面要求具有基本安全保障能力。序号产品名称功能1安全认证网关实现通信数据完整性，通信数据机密性，通信身份鉴别，远程管理身份鉴别信息机密性2IPSec/SSLVPN综合安全网关具有IPS

27、ec、SSL VPN的综合安全网关。3签名验签服务器数字签名验签，实现数据完整性等功能。4服务器密码机利用HMAC算法实现数据完整性等功能。可信单证管理系统电子单据的可信，支持以接口形式调用系统的数据或excel文件。电子签章服务器实现在版式文件上盖章。7堡垒机统一设备访问及监控管理。8门禁系统支持国密IC卡进入机房的整套硬件与软件系统视频监控系统使用国密算法进行视频加密存储10时间戳服务器对数据加时间戳，实现不可否认性11隐私保护服务器对重要数据存储加密（需向产品部提定制）12国密浏览器客户端浏览器软件，建立基于国密算法的安全通道13数据库加密系统实现不改动原有系统的情况下，对数据库数据加密。14.密码应用安全性评估密评方案实施指南相关产品讨论与展望讨论与展望借助密码应用，提升卫健行业的网络安全核心技术与基础保障基础设施、外包管理问题（建设与运维）数据治理与共享（数据真的在我们手里吗？）网络安全的对抗能力（人员能力、安全人员欠缺）互联网+、云租赁 法律、法规的要求合规、正确、有效地使用谢谢观看！