行业背景

1.密码合规性要求

新时期网络环境日益复杂,密码应用需求日趋多样,《密码法》、《网络安全法》、《商用密码管理条例》等法律法规明确了密码应用相关规定要求。2019年12月30 日国务院办公厅发文《国家政务信息化项目建设管理办法》,要求政务信息化项目建设单位,应同步规划、同步建设、同步运行密码保障系统并定期评估(三同步一评估),项目备案、验收、资金批复都与密码应用方案和密码评估报告相关联,各地为落实相关精神,都出台了相应的管理办法。2020年9月22日公安部发布《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》,要求落实密码安全保障政策,明确了等保三级及以上网络在规划、建设和运行阶段要充分考虑符合要求的密码产品与服务,要求在等保测评中同步开展商用密码应用安全性评工作(密码测评)。密码应用与密码测评已经成为政务信息系统、等保三级系统、关键信息基础设施的标配和刚需。

2.网络安全威胁事件频发

基础信息网络、重要信息系统、重要工业控制系统、面向社会服务的政务信息系统,已经成为犯罪组织、不法分子的重点攻击对象。系统自身安全漏洞、用户缺乏安全意识、内部人员恶意行为、系统间交叉访问、网络非法攻击等成为信息系统主要安全威胁来源。信息系统正面临着身份仿冒、信息泄露、数据篡改等一系列网络安全风险,给相关单位或用户造成了严重的经济损失,也给社会带来了负面影响。

3.数字化业务转型安全需要

数字化业务系统安全在没有采用密码技术进行身份认证和数据加密的情况下,身份鉴别信息、重要业务数据等信息在传输与存储过程中极易被窃取或监听,导致信息泄露,将造成严重的后果。根据《网络安全等级保护基本要求》、《信息系统密码应用基本要求》等相关标准要求,结合业务系统面临的信息安全风险,数字化业务主要存在管理员强身份认证、关键运维操作安全审计、基于网络安全通道的数据传输安全、基于加密保护的重要数据存储安全、自主可控的密码技术产品与服务等密码应用安全需求。

4.新技术新业务驱动

解决方案

为满足商用密码应用测评合规要求、数字化业务发展安全需求、新技术新业务安全需求,有效应对身份假冒、数据泄漏等网络安全威胁,奇安信密码服务体系解决方案通过构建内生安全的密码服务体系框架和密码服务平台,为数字化业务应用提供可信身份认证能力和数据加密保护能力,既满足业务应用安全需要,又符合密码法规政策与标准规范要求,保证密码的合规有效应用和确保业务的安全有序运行。
密码服务体系解决方案

密码服务体系架构分为密码基础服务平台与密码应用两个层次。

1.密码基础服务平台:采用服务器密码机、密钥管理系统、手机盾密码服务平台、CA证书认证系统、数据加密系统、签名验签服务系统、电子签章服务系统、时间戳服务系统、VPN安全网关等符合国家密码管理局密码产品要求、具备商用密码产品认证证书的密码软硬件密码产品,为数字化业务提供数据安全保护服务和可信身份认证服务。

2.密码应用服务:调用密码基础服务平台的密码安全能力,支持终端、通信网络、业务系统、运维管理等密码应用服务。密码应用与密码服务平台适配对接,利用密码服务平台的密码服务中间件提供统一接口、协议、SDK为业务应用提供密码服务能力,合规正确有效地支撑身份认证、传输加密、存储加密、完整性保护、不可否认性保护等方面的密码应用。

针对等保2.0与密码应用测评等合规要求,方案实现方式如下:
密码服务体系解决方案

在信息系统平台(云计算平台)建立密码安全区,部署数字证书认证系统、密钥管理系统、密码机、VPN安全网关、手机盾密码服务平台等主要密码安全产品,为终端客户端密码应用、安全传输通道、服务端密码应用提供可信身份认证能力和数据安全保护能力,实现数字化业务系统实体身份可信认证、数据机密性完整性保护、行为不可否认性保护,满足等保2.0与密码应用测评要求,保证密码应用的合规性、正确性和有效性。

方案特点

1.技术理念创新

• 聚合密码能力,建立内生安全机制,构建动态的网络安全边界。

• 建立统一安全基线,补齐密码安全产品短板,构筑坚固的密码服务体系。

• 建立全方位密码服务能力体系,实现云大移智物工全覆盖。

2.密码服务平台内生安全

通过密码服务中间件提供服务,缩小攻击面。

提供用户级与API接口级细粒度的访问控制。

内部信息实现全流程加密保护。

业务应用调用密码接口进行安全认证。

计算环境与行为安全评估。

3.支撑业务应用内生安全

支撑业务应用的内生安全保护,提供数据的加密和身份认证功能。通过调用密码服务中间件接口,为身份认证、访问控制、数据安全等功能提供基础和统一的密码支撑。

4.集成实施的落地性

• 无感化用户使用

• 极小化系统管理

• 集中化密码管理

应用价值

1.符合《密码法》、《网络安全法》、等级保护2.0、密码测评等密码相关政策要求,确保业务系统通过密码测评,提高网络与信息安全保障能力。

2.业务应用系统融合密码技术,根置密码基因,提升内生安全能力,解决身份仿冒、信息泄露、数据篡改等安全风险问题。

3.既适用于传统的应用系统,也支持物联网、云计算、大数据、5G、智能制造等新场景的密码应用。