“没有网络安全就没有国家安全”。密码作为保障网络安全的核心技术,是构建网络信任的基础支撑。国产商用密码算法的发布,为国内政治、经济、教育各领域建立安全自主可控的国产可信计算体系提供了技术支持。作为校园信息系统安全重要的防护手段,高校正在大力推进校园信息系统国产密码改造工作。
国密算法现状及改造标准
目前,国内采用的国际密码算法,最常用的主要包括DES、3DES、AES、RSA、SHA-1、MD5等密码算法。由国家密码管理局认定和发布的一系列有自主产权的国产密码算法标准,包括SM1、SM2、SM3、SM4、SM7、SM9、祖冲之密码算法(ZUC)等密码算法,不仅可以替代国际常用密码算法,还在一些性能方面优于国际密码算法。
国家强力推进重点行业的信息系统国产密码算法改造工作,构建数据安全保护机制,建立安全自主可控的国产可信计算体系,从根本上摆脱长期以来对国外密码技术的过度依赖。表1为常用的国密算法与国际算法对比。
表1 常用国密算法与国际算法对比
国密改造是信息系统安全建设的必然需求,是构筑信息安全防线、实现自主创新和安全可信的必然选择。推进国密改造是提高密码应用体系的安全性,保护数据主权的必然要求。
1.国家战略和安全大环境的要求。国家高度重视数据安全保护工作,逐步完善数据安全法制。已发布实施的《个人信息保护法》《网络安全法》《数据安全法》共同构成了我国数据安全立法的“三驾马车”,以法律形式明确数据安全保护要求。
2.行业等保合规要求。国家颁布实施的《密码法》《信息安全技术网络安全等级保护基本要求》《关键信息基础设施安全保护条例》等法律条例,提出了行业数据安全合规要求。明确提出“国家建立数据分类分级保护制度”,“对数据实行分类分级保护”,构建标准数据安全保护体系。通过行业等保要求和监管制度,实现数据全生命周期的安全风险监测、评估和防护。
3.数据应用安全要求。采用国产密码技术和产品保护数据的机密性、完整性、合法性和不可抵赖性,对数据从其采集、传输、存储、处理、使用、销毁全生命周期实施安全管理,是保证数据传输、数据应用、数据存储的安全要求。
2021年3月,国家市场监督管理总局、国家标准化管理委员会正式发布《信息安全技术信息系统密码应用基本要求》,自2021年10月1日起实施,是国密改造依据及标准。
国家将国产密码安全支撑体系作为信息系统安全的顶层战略规划,制定了密码应用基础建设标准,明确了信息系统密码应用技术框架,规定了信息系统第一级到第四级的密码应用技术要求和管理要求。《信息系统密码应用基本要求》是信息系统国密改造工作的纲领性文件,明确要求国密改造的信息系统规划建设都要开展密码应用评测工作,且每年至少评测一次。
校园国密改造方案
国密改造工作流程
依据标准要求,校园信息系统国密改造工作具体流程可分为规划阶段、建设阶段、运行阶段。
规划阶段:要对校园信息系统国密改造进行整体规划和设计,编制密码应用方案并评测。根据校园信息系统的级别和现状调研需求分析,设计密码应用方案,组织专家或者委托测评机构对密码应用方案进行评审。通过评审后,评审结果将作为规划立项的依据和资金材料一并申报国密改造项目。
建设阶段:根据通过评审的国密改造应用方案和评测结果,进行校园信息系统密码产品选型,制定国密改造应用实施方案,包括密码应用改造方案和密码应用开发方案,并进一步集成实施。建设实施完成后,组织密码应用系统的安全性评测和整改,直至通过评测。最后,将密码应用系统安全评测结果作为验收材料完成项目验收。
运行阶段:将校园信息系统国密改造密码应用方案评测结果上报主管部门及所在地区密码管理部门备案,继而开展信息系统运行维护工作,并定期进行密码应用安全评测和修订工作,留存记录。
构建数据保护体系
国密改造按照规范的工作流程和标准要求,逐步构建校园信息系统数据保护体系,为终端用户数据产生、传输、存储及使用各个环节提供数据安全保护。
如图1所示,密码服务平台系统调用底层密码基础设施,包括密码机组成的密码资源池、签名验签服务器等密码服务管理系统,统一提供基础密码服务。同时与安全接入网关、运维堡垒主机、CA系统、时间戳服务器等软硬件系统构建数据保护安全体系。密码服务平台为终端保护和数据安全传输、数据安全支撑、数据安全存储、数据使用等信息系统提供数据加解密服务、身份认证服务、密钥管理服务等。校园信息系统常用的密码应用场景包括统一认证系统、网络管理系统、Web应用系统等。
图1 国密改造系统框架
国密改造具体内容
1.物理和环境安全:通过电子门禁系统和视频系统,对进出校园信息系统物理环境的人员进行安全访问准入控制。密码服务平台完整性服务对电子门禁系统和视频系统人员进出记录数据、视频音像记录数据的完整性进行保护。
2.网络和通信安全:通过SSL VPN安全接入网关,实现终端用户的远程安全访问,提供数据传输安全保护,国密密码服务平台提供身份鉴别服务,保障通讯数据机密性和完整性,进行身份鉴别后安全访问校园信息系统。
3.设备和计算安全:通过接入运维堡垒主机,实现系统设备管理人员对校园信息系统设备的管理,国密密码服务平台提供身份鉴别服务和设备操作完整性服务,以防止非授权人员非法登录访问,并对设备日志、资源访问控制信息完整性进行保护。
4.应用和数据安全:通过密码设备,如密码机、签名验签服务器等,提供底层安全服务的硬件计算资源。国密密码服务平台统一提供身份认证服务、加解密服务、抗抵赖服务和完整性服务。
USBKEY提供身份信息、密码信息以实现终端访问的身份鉴别;CA系统服务器提供应用系统的电子证书申请、管理、分发功能;数字证书服务器提供业务需要的电子证书,完成身份鉴别、数字证书签名验签等;时间戳服务器以时间戳方式提供时间不可否认性等等。
国密浏览器协助终端人员完成数据传输的安全控制,为数据传输和数据存储提供完整性和机密性的加解密服务,为信息不可抵赖性提供时间和签名验签服务,为信息系统的敏感数据、鉴别信息和用户信息等关键数据进行安全保护。
5.管理和运行安全:校园信息系统国密改造依据标准应建立国产密码应用安全管理制度和策略,包括人员管理、建设运行管理、应急处置等。
其中,人员管理要求相关密码应用安全人员应了解并遵守密码相关法律法规和安全管理制度。同时需建立密码应用岗位责任制度、上岗人员培训制度,定期进行安全岗位人员考核,并建立关键岗位人员保密制度和调离制度。
建设运行过程中,信息系统投入运行前要进行密码应用安全性评估,并定期开展密码应用安全性评估及攻防对抗演习。应急处置是处理密码应用安全相关的应急突发事件的能力要求,制定密码应用应急方案,做好安全事件处置,及时向有关主管部门上报处置情况。
国密改造工作是一项长期综合性工作,需要分期、分步建设,如Web应用国密改造包含服务器端和客户端的同步改造,用户必须使用支持国密算法的安全浏览器,这对于用户使用习惯是一个挑战,因此Web应用系统的国密改造延后实施。随着校园信息系统国密改造的不断推进,下一步将逐步完善国密支持的信息安全体系,在技术更迭中建立更为可信的校园信息安全系统。
作者:唐文军、黄建波(华南理工大学)
责编:陈永杰