密码专家刘平关于密码应用方案设计的思考
随着近年密评工作的推进,“密码应用方案”已成为责任单位、承建单位和测评单位关注的一个重点:
各相关单位是信息系统密码部署和建设的重要依据。
是对信息系统开展密评工作的重要依据。
是建立信息系统密码管理策略和制度的重要依据。
也是判定“宜”是否适用的重要依据。
关于“密码应用方案”究竟应该如何写,写到什么程度,业界正展开深入讨论,相关标准也在编制过程中。
在“2021‘因密而安’密码大兴峰会”上,密码专家刘平在会上做了“密码应用方案——落实GB/T 39786要求的基础条件”的主题演讲。刘平首次系统提出了根据责任主体不同分别设计方案的思路:针对计算平台环境,设计密码解决方案;针对密码支撑环境,设计密码支撑方案;针对各类业务系统,设计密码应用方案。
现将刘平演讲的PPT内容分享给各位密友,以期共同学习探讨。其中内容仅为专家个人意见,未有任何官方指导。
密码应用方案——落实GB/T 39786要求的基础条件
密码应用方案的作用
是信息系统密码部署和建设的重要依据。
是对信息系统开展密评工作的重要依据。
是建立信息系统密码管理策略和制度的重要依据。
也是判定“宜”是否适用的重要依据。
GB/T 39786的相关要求
应根据密码相关标准和密码应用需求,制定密码应用方案。
应根据密码应用方案确定系统涉及的密钥种类、体系及其生存周期。
应根据密码应用方案建立相应密钥管理规则。
应按照应用方案实施建设。
密码应用方案的设计原则
依照GB/T 39786,结合信息系统的实际情况进行设计
总体性原则---顶层设计,明确定位。
科学性原则---整体规划,合理布局。
完备性原则---符合要求,满足需求。
可行性原则---切合实际,便于实现。
应根据责任主体不同分别设计方案
针对计算平台环境,设计密码解决方案。
针对密码支撑环境,设计密码支撑方案。
针对各类业务系统,设计密码应用方案。
01、密码解决方案
目的:使用密码技术,保障平台安全。
范围:按照GB/T 39786 中针对物理和环境安全、网络和通信安全、设备和计算安全提出的要求,结合信息系统具体环境、等级和需求设计。属于平台的资产,且/或对应用透明的服务,也在该方案中设计。
对象:
门禁/监控数据
对外通信信道加密
计算机操作系统/数据库访问控制策略
运维人员的身份和权限管理数据
运维日志记录
远程设备接入认证
跨平台数据交换
为业务系统统一提供的存储服务和云桌面服务等
主要内容:
密码服务机构的选择,服务内容和服务策略。
密码产品清单、部署位置、配置和使用策略。
密码设备管理员的设置和权限。
密码设备的密钥配置和密钥更新、备份、恢复、介质保管等策略。
远程设备接入的认证机制、数据加密机制。
运维人员登录的认证机制、人员信息和权限的保护机制。
运维日志记录的保护机制。
各机制实现的数据结构。
各机制遵循的标准。
02、密码支撑方案
目的:为平台上的各类应用提供密码支撑。
范围:
为应用提供密码功能服务。
为用户提供密码资源调度。
为租户提供密钥管理支持。
主要内容:
密码服务机构的接入方式和服务策略。
支持的密码体制和密码算法,例如:
PKI/证书体制SM2/3/4
PKI/标识体制SM9/3/4
对称密钥/主密钥体制SM1/4
支持的密码支撑方式,例如:
租密码机方式
租密码服务器方式
租密码服务方式
提供的密码功能,例如:
实体鉴别
签名验签
加密解密
时间戳
电子印章
接口和功能遵循的标准,例如:
GM/T 0019- 通用密码服务接口规范
GM/T 0020- 证书应用综合服务接口规范
GM/T 0033- 时间戳接口规范
GM/T 0029- 签名验签服务器技术规范
GM/T 0031- 安全电子签章密码技术规范
GM/T 0032- 基于角色的授权管理与访问控制技术规范
GB/T 15843- 信息技术 安全技术 实体鉴别
按照规划部署密码资源,例如:
全网统一部署
分部门散装部署
密码资源接入平台的方式,例如:
以独立的形态,不占用平台的任何资源。
非独立的形态,借用或租用平台的计算资源、网络资源。
密钥管理机制,可选择:
租户自行管理,支撑平台提供管理界面。
租户委托支撑平台代管。
支撑平台的自身安全性设计,包括:
密钥安全
访问安全
管理安全
租户间的隔离安全
设计要点:一般情况下,不要与密码解决方案共用密码资源,至少在逻辑上和管理上要分开。
03、密码应用方案
目的:使用密码功能,解决应用安全问题
范围:每一个应用(业务)系统都应设计自己的密码应用方案,按照GB/T 39786中应用和数据安全提出的要求,结合应用系统具体需求设计。
主要内容:
确定密码体制。
梳理业务流程,根据流程安全需求,为关键环节设计保护机制。
梳理业务数据,根据数据安全需求,为重要数据设计保护机制。
梳理管理对象(如文件、证照、票据、病历、采集的数据、控制指令等),根据安全需求,为其设计安全机制。
根据角色和访问控制,为其权限和访问策略等数据设计保护机制。
根据审计策略,为日志记录设计安全机制。
为角色分配密钥,明确密钥载体,设计系统的密钥管理策略。
可遵循的密码标准,如:
数据加密,GB/T 17964 信息安全技术 分组密码算法的工作模式
加密及签名数据格式,GB/T 35275 信息安全技术 SM2密码算法加密签名消息语法规范
使用的数字证书,GB/T 20518 信息安全技术 公钥基础设施 数字证书格式规范
针对文件系统,GM/T 0055 电子文件密码应用技术规范
设计要点:
所有的保护机制,用到加密的,应指明加密算法、加密模式(包括填充模式)、密钥属性等。
所有的保护机制,用到签名的,应指明签名算法、签名机制(签什么,谁来签,签在哪)。
所有的保护机制,都会改变被保护对象原有的数据结构,应设计带安全机制的数据结构。
实现保护机制用到的密码功能,由密码支撑方案提供。
用户登录的身份鉴别功能,由密码支撑方案提供。
一般情况下数据传输安全和存储数据安全,由密码解决方案负责,有单独需求或平台没有提供的,可在本方案中设计信源加密。
一般情况下确定了密码体制,就确定了密钥体制,方案中只需要关注密钥由谁产生,给谁用,何时用,何时更换,谁负责备份,谁负责保管备份材料,怎么保管,什么情况下恢复,恢复的流程等,统称为密钥管理策略。
举例-电子票据对象
安全需求:
电子票据的真实性-权威的发行机构
指定的票据签发人-谁可以填写票据
指定的票据使用人-票据开给谁
票据内容的完整性-开出后不可篡改
票据签发人对开出的票据及内容不可否认
非票据签发人开出的票据无效
非票据的使用人不能使用该票据
安全机制设计——票据的数据结构:
举例-企业信用红黑库管理系统
梳理出的密码需求
进库的依据---来源的真实性完整性非否认性
进库的内部审核批准---流程和行为抗抵赖
入库的操作---行为抗抵赖
信息发布到政府网站---信息的真实性完整性
防止私下违法操作---日志记录的真实性完整性
根据需求设计的方案:
采用PKI/证书密码体制,给机构和内部人员发数字证书
设计了各种保护机制、数据结构和密钥管理策略。
使用平台提供的密码资源和功能
统一身份鉴别、签名验签、时间戳、数据存储服务
内外两个平台间的数据交换服务
总结
按资产及职能划分责任主体,分别设计方案,则方案的针对性强,适用性好。
从上述介绍可以看到:
第一类方案可以套路化,形成套路后方案的变化只是产品和部署。
第二类方案可以产品化,形成产品后方案的变化只是形态和接入。
第三类方案只能个性化,但它是解决信息系统应用安全的关键。
来源:刘平
注:内容均来源于互联网,版权归作者所有,如有侵权,请联系告知,我们将尽快处理。