一文读懂商密与密评,要点解析

  • 2022-06-30
  • 0

 “十四五”规划和2035年远景目标纲要对我国的数字化发展作出战略部署,其主要内容可以概括为“413”框架:“4”是指要建设网络强国、数字经济、数字政府、数字社会;“1”是指通过数字化转型驱动;“3”是指通过数字化转型,促进生产方式、生活方式和治理方式变革。这个战略框架对未来我国数字化发展将产生深远影响。随着全球数字经济发展,网络空间必将成为战略威慑和控制的新领域、维护经济社会稳定的新阵地以及未来各国军事角逐的新战场,网络安全被纳入国家安全重要战略地位。密码作为保障网络安全的核心技术,是构建网络信任的基础支撑。我们利用密码的安全认证、加密保护、信任传递等特性,来消除或控制潜在的“安全危机”,这是我们大力发展密码工作、密码事业和全面开展密评工作的主要原因。关于密码科普和密评解析的内容我们之前都有分享过不同的主题内容,今天我们将密码的基础知识和密评的基本要点以简要的方式呈现在一起,供大家更好地理解和参考。

一、关于商用密码

01

从理解密码开始

密码定义:《密码法》第二条:本法所称密码,是指采用特定变换的方法对信息等进行加密保护、安全认证的技术、产品和服务。

密码分类:核心密码、普通密码和商用密码。

密码组成:密码算法、密钥管理和密码协议。

■ 密码算法:实现密码对信息进行“明”“密”变换、产生认证“标签“的一种特定规则。不同的密码算法实现不同的变换规则。算法是密码的关键,算法的强度决定了破译的难度。

■ 密钥管理:根据安全策略,对密钥的产生、分发、存储、更新、归档、撤销、备份、恢复和销毁等密钥全生命周期的管理。算法是可以公开的,一切秘密寓于密钥之中,密钥的保密是重中之重。

■ 密码协议:两个或两个以上参与者使用密码算法,为达到加密保护或安全认证目的而约定的交互规则。密码应用遵循的交互规则,不安全的密码协议会导致系统存在从“旁路”或“后门”窃取信息的风险。

日常生活中的密码:passwordpass“通行” word“暗号”,严格说来应该翻译成口令,是用来验证用户身份和权限的,比如我们解锁手机、登陆微博账号。

计算机术语中的密码:Cryptography,通过各种数学方法和机制实现数据的明文和密文相互转化,达到加密保护、安全认证的目的,例如RSA


02

商用密码 

商用密码的定义:对不涉及国家秘密内容的信息进行加密保护或者安全认证,所使用的密码技术和密码产品。

商用密码的核心:商用密码技术,国家将其列为国家秘密,任何单位和个人都有责任和义务保护商用密码技术的秘密。

 

图片14

 

国产密码算法:SM1SM2SM3SM4SM7SM9ZUC

国外的密码算法:DES3DESAESSHA1SHA2SHA3DSARSARC4

高危密码算法:MD5DESRSA1024以下、SSH1.0SSL3.0以下、SHA1


03

密码算法的三大类别 

密码算法通常可分为三大类:对称密码算法、非对称密码算法、密码杂凑算法

1)对称密码算法:在加密与解密时使用相同的密钥,两个过程是“对称”的。

常见对称密码算法:SM1SM4SM7ZUCDES3DESAESRC4

图片15

 

2)非对称密码算法:加密和解密使用不同的密钥。其中加密的密钥可以公开,称为公钥;解密的密钥需要保密,称为私钥。公私钥成对出现,公钥推倒出私钥在理论上不可行。

常见非对称密码算法:SM2SM9RSAECDSA Elgamal

图片16

 

3)密码杂凑算法:将任意长度的二进制值映射为较短的固定长度的二进制值。

常见:SM3MD5 SHA1 SHA2 SHA3

密码杂凑算法具备三大特性:

■ 单向性:为一个给定的输出找出能映射到该输出的一个输入在计算上是困难。

■ 弱抗碰撞性:为一个给定的输入找出能映射到同一个输出的另一个输入在计算上是困难的的。

■ 强抗碰撞性:要发现不同的输入映射到同一输出在计算上是困难的。

 


04

商用密码的四大特性 

 真实性:防假冒

对信息来源的真实性实现安全有效地鉴别。

 完整性:防篡改

保证信息免受非授权实体的篡改或替代。

 机密性:防泄漏

有效避免信息泄露或暴露给未授权的实体。

机密性保护是密码技术最初的目标。

 不可否认性:抗抵赖

用户不可否认之前针对资源的任何操作,包括访问、修改、删除等。




二、关于密评



01

密评的定义 

密评全称:商用密码应用安全性评估

定义:对采用商用密码技术、产品和服务集成建设的网络和信息系统密码应用的合规性、正确性、有效性进行评估。

这句话精简一下,即:对网络和信息系统密码应用进行评估。在网络和信息系统中,密码几乎无处不在,用户登录、管理员操作、业务系统之间互相调用数据…全都跟密码息息相关,因此在做密评的时候,需要针对整个网络和信息系统进行测评。



02

评估对象:网络和信息系统 

■ 电信网、广播电视网、互联网等基础信息网络;

■ 能源、教育、交通、卫生计生、金融等涉及国计民生和基础信息资源的重要信息系统;

■ 石油石化、电力系统、交通运输、水利枢纽、城市设施等重要工业控制系统电力系统、石油天然气、油气管道等重要信息系统和重要工业控系统;

■ 党政机关和使用财政资金的事业单位、团体组织使用的面向社会服务的信息系统;

■ 基础信息网络、涉及国计民生和基础信息资源的重要信息系统、重要工业控制系统。

国家网络安全和密码相关法律法规明确要求非涉密的关键信息基础设施、等保三级及以上系统、国家政务等重要信息系统要开展密评工作。并且,密评管理办法也明确规定:关键信息基础设施、网络安全等级保护第三级及以上信息系统,需要每年至少评估一次

面向社会服务的政务信息系统,以及关键信息基础设施、网络安全等级保护第三级及以上信息系统。

——商用密码应用安全性评估管理办法(试行)


03

评估内容:密码应用安全性

■ 机密性技术要求

1)身份鉴别信息

2)密钥数据

3)传输的重要数据

4)信息系统应用中所有存储的重要数据

■ 真实性技术要求

1)进入重要物理区域人员的身份鉴别

2)通信双方的身份鉴别

3)网络设备接入时的身份鉴别

4)重要可执行程序的来源真实性保证

5)登录操作系统和数据库系统的用户身份鉴别

6)应用系统的用户身份鉴别

■ 完整性技术要求

1)身份鉴别信息

2)密钥数据

3)日志记录

4)访问控制信息

5)重要可执行程序

6)视频监控音像记录

7)电子门禁系统进出记录

8)传输的重要数据

9)信息系统应用中所有存储的重要数据

■ 不可否认性技术要求

使用基于公钥密码算法的数字签名机制等密码技术来保证数据原发行为的不可否认性和数据接收行为的不可否认性



04

评估标准:合规性、正确性、有效性

对采用商用密码技术、产品和服务集成建设的网络和信息系统密码应用,需要满足合规性、正确性、有效性的要求,具体内容如下:

合规性:信息系统使用的密码技术、产品和服务是否符合国密要求。

正确性:受保护对象是否明确,密码功能是否实现准确,密码产品参数是否配置正确。

有效性:检验或验证密码应用是否合规、正确,是否真正实现了受保护对象的安全防护需求。

 

图片17

 

1)技术要求:

- 保障信息系统的实体身份真实性、重要数据的机密性和完整性/操作行为的不可否认性

- 密钥全生命周期的各个环节:密钥生成、存储、分发、导入、导出、使用、备份、恢复、归档与销毁的安全要求

2)管理要求:

- 密码应用安全管理相关流程制度的制定、发布、修订的规范性要求;

- 密码相关安全人员的密码安全意识以及关键密码安全岗位员工的密码安全能力的培养,人员工作流程要求等;

- 建设运行过程中密码应用安全要求及方案落地执行的一致性和有效性要求;

- 处理密码应用安全相关的应急突发事件的能力要求。

3)法规/政策依据:

GB/T39786-2021 信息安全技术 信息系统密码应用基本要求》

《信息系统密码应用测评要求》

《信息系统密码应用测评过程指南》

《信息系统密码应用高风险判定指引》

《商用密码应用安全性评估量化评估规则》

《商用密码应用安全性评估测试过程指南(试行)》

GB/T 32907-2016 信息安全技术 SM4分组密码算法》

GB/T 32918-2016 信息安全技术 SM2椭圆曲线公钥密码算法》

GB/T 32905-2016 信息安全技术 SM3密码杂凑算法》



05

评估流程:四个阶段

密评流程可以分为四个基本测评活动:测评准备活动、方案编制活动、现场测评活动、分析与报告编制活动;在整个密码应用安全性评估过程中,测评双方将会持续进行沟通和改造。

测评准备阶段:测评项目启动 / 信息收集与分析 / 工具和表单准备

方案编制阶段:测评对象和指标确定 / 测评工具切入点确定 / 测评方案编制

现场测评阶段:现场测评实施准备 / 现场测评和结果记录 /结果确认和资料归还

报告编制阶段:测评结果判定 / 结果风险分 / 报告编制




三、为什么要做密评



01

国密发展史 

20119月,我国设计的祖冲之(ZUC)算法纳入国际第三代合作伙伴计划组织(3GPP)4G移动通信标准,用于移动通信系统空中传输信道的信息加密和完整性保护,这是我国密码算法首次成为国际标准。

20155月起,我国陆续向ISO提出了将SM2SM3SM4SM9算法纳入国际标准的提案。

201810月,SM3密码杂凑算法正式成为ISO/IEC国际标准。

201811月,SM2SM9数字签名算法正式成为ISO/IEC国际标准。

20204月, ZUC序列密码算法正式成为ISO/IEC国际标准。

20212月,SM9标识加密算法正式成为ISO/IEC国际标准。

20216月,SM4分组密码算法正式成为ISO/IEC国际标准。

202110月,SM9密钥交换协议正式成为ISO/IEC国际标准。

我国自主研发的密码算法相继走出国门并受到国际上的认可,国密局也在大力推进国密算法,借着政策之风,排兵布阵,准备打一场密码应用攻坚战。

 

图片18

 


02

密评市场现状  

■ 密码应用不广泛

2017年以来,通过全国开展密评工作,90%甚至95%的信息系统不满足密码应用要求,大量数据没有使用密码技术保护,处于“裸奔”状态。

■ 密码应用不规范

未使用合规密码产品

软件实现的密码策略

合规的密码产品但配置不合理

■ 密码应用不安全

大量在使用MD5SHA1DES等已被警示有风险的密码算法

解决商用密码应用中存在的突出问题,为重要网络和信息系统的安全提供科学评价方法,以评促建、以评促改、以评促用,逐步规范商用密码的使用和管理。



03

必做密评的六个原因 

1)政策要求:《密码法》、国办发57号文、《关键信息基础设施安全保护条例》、《电子认证服务密码管理办法》等相关政策法规要求信息系统要开展密码应用安全性评估

2)行业监管:通过行业主管部门的监管,要求行业单位需要通过密评,提高系统安全防御能力,如金融、医疗等

3)等保延伸:等保可以解决网络监控、边界防护、集中安全管理、访问控制、安全审计等,密评可进一步有效解决数据传输和存储机密性及完整性、数据来源真实可信、操作行为不可否认

4)安全需求:保证数据机密性、完整性、来源真实性等

5)业务属性:情报板、网站等防篡改、电子合同、电子票据等防篡改及否认、网上交易、医疗健康等防泄漏

6)数据合规:《数据安全法》出台,加快我国数据安全合规的进程,通过密码可以为数据采集、存储、整合、呈现与使用、分析与应用、归档和销毁全生命周期保驾护航



04

不做密评的后果  

《密码法》 第三十七条

关键信息基础设施的运营者违反本法第二十七条第一款规定,未按照要求使用商用密码,或者未按照要求开展商用密码应用安全性评估的,由密码管理部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处十万元以上一百万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款。

《国办发57号文》 第二十八条

加强国家政务信息化项目建设投资和运行维护经费协同联动……对于不符合密码应用和网络安全要求,或者存在重大安全隐患的政务信息系统,不安排运行维护经费,项目建设单位不得新建、改建、扩建政务信息系统。

《数据安全法》 第四十五条

拒不改正或者造成大量数据泄露等严重后果的,处五十万元以上二百万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处五万元以上二十万元以下罚款。

《关键信息基础设施安全保护条例》第四十二条

运营者对保护工作部门开展的关键信息基础设施网络安全检查检测工作,以及公安、国家安全、保密行政管理、密码管理等有关部门依法开展的关键信息基础设施网络安全检查工作不予配合的,由有关主管部门责令改正;拒不改正的,处5万元以上50万元以下罚款,对直接负责的主管人员和其他直接责任人员处1万元以上10万元以下罚款;情节严重的,依法追究相应法律责任。