密码应用安全性评估实施要点之二密码技术应用要求与实现要点（4）

总则

应用和数据安全应用总则如下：
① 采用密码技术对登录用户进行身份鉴别。
② 采用密码技术的完整性功能来保证系统资源访问控制信息的完整性。
③ 采用密码技术的完整性功能来保证重要信息资源敏感标记的完整性。
④ 采用密码技术保证重要数据在传输过程中的保密性、完整性。
⑤ 采用密码技术保证重要数据在存储过程中的保密性、完整性。
⑥ 采用密码技术对重要程序的加载和卸载进行安全控制。
⑦ 采用密码技术实现实体行为的不可否认性。
⑧ 采用密码技术的完整性功能来对日志记录进行完整性保护。
应用和数据安全主要是对信息系统中关键业务应用的用户身份鉴别信息、系统资源访问控制信息、重要信息资源敏感标记、重要数据传输、重要数据存储、行为不可否认、日志记录等提出的安全要求。本总则中提到的用户、日志记录、访问控制信息等是应用和数据安全层面的概念，避免遗漏需要保护的对象。例如，“采用密码技术对登录用户进行身份鉴别”要求中的用户指的是登录应用的用户，而不是登录设备的用户，一台设备上可能承载多个应用，而每个应用对各自用户的身份标记、鉴别方式和粒度均可能存在差异。再如，“采用密码技术的完整性功能来保证系统资源访问控制信息、日志记录的完整性”要求中所指的是业务应用的系统资源访问控制信息和日志信息，不能与网络和通信安全层面、设备和计算安全层面的类似信息混淆。需要说明的是，由于密码应用需求的多样性，信息系统应当结合自身具体的应用需求设计有针对性的密码应用方案。
密评问题可以站内联系或15011462285.

实现要点概述

虽然网络和通信安全层面以及设备和计算安全层面能够提供底层的安全防护，但一些具有特殊安全需求的业务应用系统仍然需要在“应用和数据安全”层面也实现安全防护机制。例如，对于单设备多应用、单通信链路多应用的情况，可能需要利用密码技术对每个应用进行保护；对于一些需要“端到端”安全保护的应用场景，也需要在“应用和数据安全”层面实现安全机制。这种多层次的深度防御措施能够有效防止单层安全机制的失效，例如，网络通信层安全机制被攻破后，重要数据在应用层仍然是加密传输的，它们的保密性依然有保证。另外，对于真实性的要求在不同层面是无法相互替代的。例如，通信设备身份真实并不意味着业务用户身份不会被假冒。
信息系统可采用以下密码产品保护其应用和数据安全层面的安全：
①利用智能密码钥匙、智能IC卡、动态令牌等作为用户登录应用的凭证。
②利用服务器密码机等设备对重要数据进行加密和计算MAC后传输，实现对重要数据在传输过程中的保密性和完整性保护。
③利用服务器密码机等设备对重要数据进行加密、计算MAC或签名后存储在数据库中，实现对重要数据在存储过程中的保密性和完整性保护。
④利用签名验签服务器、智能密码钥匙、电子签章系统、时间戳服务器等设备实现对可能涉及法律责任认定的数据原发、接收行为的不可否认性。

1） 身份鉴别

这里的用户是指登录到业务应用系统的用户，业务应用系统对用户身份的鉴别方式可以参照前文。

2） 访问控制信息和敏感标记完整性

这里主要是从业务应用的角度实现对系统访问控制策略、数据库表访问控制信息和重要信息资源敏感标记等进行完整性保护。

3） 数据传输保密性

实现重要数据传输保密性保护可以在业务应用系统应用层面利用密码产品对重要数据加密后再传输。需要指出的是，在某些复杂场景下，仅在网络和通信安全层面搭建安全通信链路实现保密性保护并不能完全满足安全要求，还应在“应用和数据安全”层面直接对应用层重要数据进行加密保护。例如，在拥有多个应用的信息系统中的采用“站到站”或“端到站”模式通过VPN实现数据传输，不同应用的传输数据在内网中明文传输，可能存在某些应用截获内部传输数据和非授权访问其他应用数据的风险，因此，应为不同应用配发不同密钥，在应用层对各应用关键数据实现“端到端”加密保护。

4） 数据存储保密性

信息系统可选择具有商用密码产品型号的加密存储设备（如加密硬盘、存储加密系统等）或内置密码模块对重要数据进行加密保护；或将重要数据发送到服务器密码机等密码产品进行保密性保护后存放在数据库或其他存储介质中。

5） 数据传输完整性

完整性保护使用的是MAC或数字签名技术。

6） 数据存储完整性

一般存储介质提供的数据存储完整性保护功能，仅能防止不经意的错误，但为防止存储的重要数据被恶意篡改，还需采用带密钥的密码技术来实现数据存储完整性的保护。实现时，可将重要数据发送到服务器密码机等密码产品中进行完整性保护后，再存放至数据库或其他存储介质中。

7） 日志记录完整性

这里指的是应用的日志。

8） 重要应用程序的加载和卸载

通过密码技术提供的真实性和完整性功能可以对重要程序的加载和卸载进行安全控制。利用真实性功能对重要应用程序的操作员身份进行鉴别，确保仅具备权限的操作员才可以对重要应用程序执行加载和卸载操作；利用完整性功能对重要应用程序在加载内容时进行完整性校验，确保重要应用程序内容未被非法篡改。这些功能可由应用程序本身提供，也可由操作系统或运行环境提供。

9） 抗抵赖

抗抵赖又称为不可否认性。程序原发行为的不可否认性主要是防止数据发送方否认其曾经发送过某个数据的行为；而数据接收行为的不可否认性则主要是防止数据接收方谎称未收到文件而拒绝承担相应义务、逃避责任的情况。数字签名技术是解决这两类行为的常用方法，具体方法可以参考前文。此外，对于具有电子印章的单位，还可以配合电子签章系统实现数据原发行为和接收行为的不可否认性；对于一些对时间敏感的业务应用，还可以配合时间戳服务器，为行为的发生时间提供可信证明。

10） 密码模块的实现

在默认情况下，选用符合GM/T 0028要求的三级及以上密码模块或通过国家密码管理部门核准的硬件密码产品（如服务器密码机、证书认证系统、动态口令系统、可信计算模块、智能IC卡、智能密码钥匙）来实现密钥管理、身份鉴别、MAC计算、数字签名计算等功能。