当今世界,网络空间已成为继陆、海、空、天同等重要的人类“第五空间”。网络空间正在加速演变为各国争相抢夺的新疆域、战略威慑与控制的新领域、国家安全的新战场。密码作为网络空间安全保障和信任机制构建的核心技术与基础支撑,是国家安全的重要战略资源,也是国家实现安全可控信息技术体系弯道超车的重要突破口。
近年来,国内外大规模数据泄露事件频发,尤其是国际国内安全形势的变化,使国家、企业和个人层面做好网络与信息安全的必要性更加突出,对网络与信息安全要求日趋严格, 也对使用密码技术来保护网络安全也提出了更高要求。但是国内密码应用形势并不乐观。一是应用不广泛,密码行业尚处于产业规模化发展的初期阶段,许多企业、开发人员密码应用意识相对薄弱。2018年商用密码应用安全性评估联合委员会对一万余个等保三级及以上的信息系统进行普查结果显示,超过75%的系统没有使用密码;二是应用不规范,普查中对第一批118个重要领域的信息系统进行安全性测评发现,不符合规范的比例达到85%;三是密码应用不安全,目前仍大量存在还使用被证明不安全的加密算法(如RSA1024、MD5)的情况。
为解决当前密码应用存在的突出问题,国家颁布实施了《网络安全法》、《密码法》、《网络安全审查办法》、《国家政务信息化项目建设管理办法》等一系列法律法规,都对密码应用安全性评估提出要求,希望通过密码应用安全性评估促进商用密码的使用和管理规范。
商用密码应用安全性评估(简称“密评”)是指对采用商用密码技术、产品和服务集成建设的网络和信息系统密码应用的合规性、正确性和有效性进行评估,包括规划阶段的方案评审和建设、运行阶段的安全评估。
那么,企业在准备密码测评时,具体需要关注哪些问题,如何才能轻松通过?在5月18日,腾讯安全与Freebuf联合举行的产业安全公开课上,腾讯安全邀请国家密码管理局授权全国首家第三方商用密码检测机构鼎铉公司的安全测评部副部长邹超进行了解读与分享。
戳视频,观看专家直播课程回放
https://v.qq.com/x/page/y0969xrc5d2.html?ptag=qqbrowser
密评六大基础问题解答
Q1:运营单位怎么判定是否需要开展商用密码应用安全性评估?
1)《密码法》第二十七条法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码进行保护,自行或者委托商用密码检测机构开展商用密码应用安全性评估。2)《商用密码应用安全性评估管理办法(试行)》第三条、第二十条涉及国家安全和社会公共利益的重要领域网络和信息系统的建设、使用、管理单位(以下简称责任单位)应当健全密码保障体系,实施商用密码应用安全性评估。重要领域网络和信息系统包括:基础信息网络、涉及国计民生和基础信息资源的重要信息系统、重要工业控制 系统、面向社会服务的政务信息系统,以及关键信息基础设施、网络安全等级保护第三级及以上信息系统。第三条规定范围之外的其他网络和信息系统,其责任单位可以参考本办法自愿开展商用密码应用安全性评估。
Q2:重要领域网络和信息系统有哪些?
基础信息网络:电信网、广播电视网、互联网。重要信息系统:能源、教育、公安、测绘地理信息、社保、交通、卫生计生、金融等涉及国计民生和基础信息资源的重要信息系统。重要工业控制系统:核设施、航空航天、先进制造、石油石化、油气管网、电力系统、交通运输、水利枢纽、城市设施等重要工业控制系统。面向社会服务的政务信息系统:党政机关和使用财政性资金的事业单位和团体组织使用的面向社会服务的信息系统。
Q3:不做密评或测评结果不合格有什么影响?
《密码法》第三十七条第一款规定:关键信息基础设施的运营者违反本法第二十七条第一款规定,未按照要求使用商用密码,或者未按照要求开展商用密码应用安全性评估的,由密码管理部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处十万元以上一百万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款。 《国家政务信息化项目建设管理办法》第二十八条第三款规定:对于不符合密码应用和网络安全要求,或者存在重大安全隐患的政务信息系统,不安排运行维护经费,项目建设单位不得新建、改建、扩建政务信息系统。《商用密码应用安全性评估管理办法(试行)》第二章第十条规定:关键信息基础设施、网络安全等级保护第三级及以上信息系统,每年至少评估一次。
Q4:刚接触商密并不熟,系统要进行商密改造,到底怎么改,有参考的标准或依据吗?
目前参考的标准和依据主要是GM/T0054《信息系统密码应用基本要求》,其他新建和改造方案要求和指导文件正在制定中。如果刚接触商密并不熟,可委托第三方进行方案设计,方案完成后需经过专家论证或者测评机构评审。方案应包含密码应用设计方案、实施方案和应急方案三部分。
Q5:信息系统密评如何定级?实施流程怎么样?
目前密评系统的定级参照等级保护的系统定级。实施流程主要包括:前期准备,主要是责任单位信息收集和系统自查,具体时间要根据被测单位准备进度来定;现场测评,测评方案由测评机构根据信息采集表内容在入场前制定完成,测评方案将于前期准备同步进行。责任单位越重视,负责层级越高,配合程度越高,时间越短;反之,越长。系统规模越大,时间越长;反之,越短。
Q6:取得了商用密码应用安全性评估报告后应向哪些部门和机构进行备案?
根据现有规定,责任单位取得报告后,被测单位自行上报主管部门及所在地区(部门)密码管理部门备案,测评机构上报国密局备案;等保三级及以上信息系统,评估报告还需由被测单位上报至所在地区公安部门备案。
腾讯云用户密码应用答疑
了解了邹超老师对于密码测评的基础问题的分享与解读,那么腾讯对于云上客户在密码应用和数据加密上能提供哪些帮助呢?
Q1:那么从技术角度,即应用服务构成和开发运营角度,密码应用会涉及到哪些具体方面?
在开发运营过程,开发、测试、集成/交付、生产/运营,都存在数据泄露的风险,链路长管控难,其中我们需要重点关注两大内容:敏感凭据,包括云访问账号、配置文件、系统账号、源代码、数据加密密钥等;数据,包括生产数据、测试数据、运营数据等。从应用服务的构成来看,以一个CS结构的服务为例,涉及客户端本地数据存储,客户端和服务端的通信,服务端各种配置文件,服务端相关的存储中间件交互保存数据,应用上还会涉及到金融支付相关服务,对安全性要求比较高;另外,不同的客户端可能还需要数据的传输和分享。
在这个典型的场景中,数据从产生、传输、存储、处理,到共享展示,涉及多个数据安全保障的点:本地敏感数据存储安全、网络通道的安全、配置文件和硬编码敏感信息的安全、密钥的安全管理、云上数据的存储安全、金融支付等敏感应用的安全合规问题、数据的共享、展示脱敏的问题等等。
Q2:围绕云上数据安全,腾讯安全提供了哪些针对性的解决方案?
腾讯安全已经提供了非常完备的密码应用解决方案。基于腾讯安全云数据安全中台,打造端到端的云数据全生命周期安全体系。以数据加密软硬件系统(CloudHSM/SEM)、密钥管理系统(KMS)、凭据管理系统(SSM)以及云数据加密代理网关(CDEB)为核心,将密码运算、密码技术及密码产品以服务化、组件化的方式输出,并无缝集成至腾讯云产品中,实现从数据获取、数据处理及检索、数据分析与服务、数据访问与消费过程中的安全、合规的密码防护。
针对Q1提到的问题,腾讯云数据安全中台提供极简的解决方案:
以云加密机,KMS和SecretsMangaer为核心,通过国密TLS,Encryption SDK和云产品透明加密,解决各个环节的数据安全问题。
观看视频,详细了解其中的敏感凭据防护方案
https://v.qq.com/x/page/d0969ibzp9p.html?start=24
Q3:可以从一个案例实践来具体介绍下吗?
以疫情服务小程序为例。突如其来的新冠疫情,对数据安全建设提出了更高的要求。腾讯既要满足疫情服务小程序高效上线,又要各类应用满足合规要求,确保信息安全。疫情小程序涉及大量公众信息,对国密要求较高,针对这类场景,腾讯安全提供整套的国密改造解决方案。在终端上,用户通过终端小程序访问后台数据,从性能上要求终端缓存一些数据,这些数据也包含一些敏感数据,我们提供小程序JS国密开放平台;在数据传输上提供国密级TLS,基于OpenSSL框架实现国密TLS改造,支持双证书、双向认证(全链路国密需终端支持国密证书校验);在应用端,可提供云数据加密代理网官(CDEB)实现免应用改造字段级加密,数据动态脱敏,访问鉴权管控;也可通过应用层内嵌SM Encryption SDK进行数据加密。全数据生命周期的数据安全防护中,通过密钥管理系统KMS进行统一的密钥管理,全链路支持国密算法。
Q4:简单介绍下腾讯安全在数据加密和密码应用设计的理念?
数据全生命周期防护关键点是在数据的产生、流动、存储、使用及销毁过程中应用加密技术进行保护,并进行细粒度的身份认证和授权管控。过去密码技术存在三难——难做、难用、难管。在面向云、大数据和万物互联的时代又面临诸多新的场景和挑战。云上提供完备的覆盖全数据生命周期的加密基础设施能力对企业的密码安全合规至关重要。腾讯云数据安全中台的核心使命就是适配多元业务场景,构建基于云技术的覆盖数据全生命周期安全的极简密码服务,从学术、研究、产业、产品等各个方面共建云上加密技术应用生态,为用户提供一个简单、透明、合规的密码技术服务平台。
针对各行业用户在密码技术应用,以及合规性设计上的建议:
1、 按照规划、建设、运营模型实施密码应用,保证合规性与数据安全性;
2、对于应用系统,检视是否使用了密码,是否合规,以及能否起到防护作用;
3、 对于云用户,应充分利用云平台提供的密码产品基础设施,构建合规化密码服务;
4、对于新建专有云,比如政务云、金融云用户,考虑密码合规性架构,以及未来租户侧的密码应用需求,可参考腾讯云数据安全中台解决方案。