随着我国加快推进制造强国、网络强国和数字中国建设,推动互联网+、5G+、人工智能+在各行业各领域的广泛应用,特别是在通信、金融、能源、交通、智能制造等领域,产业深度融合,促进网络互联、信息互通、数据共享,其中的网络安全、数据安全保护越来越重要。
密码技术作为网络安全的基础性核心技术,是信息保护和网络信任体系建设的基础,是保障网络空间安全的关键技术。信息时代,万物互联、人机互认、天地一体,网络空间的信任至关重要,密码算法和密码协议可解决人、机、物的身份标识、身份鉴别、统一管理、信任传递和行为审计问题,是实现安全、可信、可控的互联互通的核心技术手段。在复杂的安全需求下,密码技术是最有效、最可靠、最经济的解决方案。
密码是指使用特定变换的方法对信息等进行加密保护、安全认证的技术、产品和服务。在密码法中将密码分为三种:核心密码、普通密码和商用密码。核心密码、普通密码用于保护国家秘密信息,商用密码是对不涉及国家秘密信息进行加密保护或者安全认证所使用的密码技术和密码产品。
党中央、国务院高度重视商用密码工作,颁布了《密码法》、《商用密码管理条例》等有关法律法规,建设了商用密码检测制度体系。商用密码作为数字世界的 “隐形卫士”,与人们的生活息息相关。最常见的就是通过加密、认证、防篡改等手段保障用户隐私和财产安全。例如:
◾️日常支付安全,人们在使用手机支付时,通过密码技术加密指纹数据并安全验证实现身份认证;
◾️签署电子合同与法律文书时,电子签名平台通过密码技术固化文件签署时间;
商用密码应用安全性评估贯穿信息系统的全生命周期,主要包括两部分重要内容:信息系统规划阶段对密码应用方案的评估/评审和建设、运行阶段对信息系统开展的实际测评。
(1)方案评估/评审:密码应用方案一般由责任单位组织商用密码从业单位编写,包括:《密码应用解决方案》、《实施方案》和《应急处置方案》。责任单位完成密码应用方案编写后,应组织自行评估或委托测评机构评估,并向密码局进行备案。
(2)系统评估:系统评估主要从物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全、管理制度、人员管理、建设运行和应急处置等八个层面展开。当信息系统具有通过评审/评估的密码应用方案时,依据方案但以实际测评情况为主开展系统评估并出具评估报告;当信息系统没有密码应用方案或密码应用方案未通过评审/评估时,依据GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》开展并出具评估报告。
中国信息通信研究院西部分院(以下简称中国信通院西部分院)作为中西部地区权威的数字化检测实验室,多年来建设有国家级软件测评和市级工业安全中心,自2023年来,建设商用密码和数据安全实验室,拥有完备的商用密码相关检验检测、培训实训软硬件环境、工具和高效的服务团队,成功取得了国家密码管理局认定的第一批密评机构资质证书。
商用密码应用安全性评估包含了方案密评和系统密评,此外中国信通院西部分院还开展数据要素、商密应用技术研究,数字安全方面政府支撑、科技合作、规划设计、评估评测、安服运维、数据安全、商用密码、工信安全、软件测评、个人信息保护等业务,以及针对人才培训的工业互联网安全、商用密码技术应用培训/认证。
本案例根据《密码法》、《网络安全法》等法律法规要求,结合云管平台自身特色,采用国密算法(SM2/SM3/SM4)替换国际算法,实现密码资源池化管理和服务标准化,支撑关键数据存储、传输、身份认证及运维审计等场景,保障系统密码应用安全,针对性提出安全解决方案。
整套方案覆盖密码资源管理、身份认证、数据传输及运维安全,形成完整的密码服务生态:云池密码服务平台统一管理密码资源并封装业务接口;签名验签服务器基于PKI体系保障身份真实性;服务器密码机提供数据加解密服务确保机密性与完整性;国密SSL VPN网关建立加密传输通道;国密堡垒机实现运维通道的国密算法身份鉴别与安全通信;智能密码钥匙强化用户登录认证;国密浏览器支持国密算法HTTPS加密。
中国信通院西部分院立足重庆,以川陕渝地区为重要支点,积极辐射中西部区域,将充分发挥自身专业优势,围绕信息系统网络、数据安全防护以及商用密码应用等关键领域,开展全方位技术检测服务,提升商用密码保障水平,为区域内各行业数字化转型筑牢安全根基,推动中西部地区在安全、稳定的数字环境中加速发展。