目前我国仍有大量信息系统中的核心产品及密码技术由国外技术主导,对我国的信息化产业发展与信息安全造成极大的威胁。密码技术是信息安全的核心问题。信息系统密码应用安全国产化改造已成为必然趋势。《中华人民共和国密码法》第二十七条指出,法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施应开展商用密码应用安全性评估。为遵循相关法律法规要求,2021年,福建省人民政府印发《福建省“十四五”数字福建专项规划》,明确指出需坚持“自主可控”原则,完善密码基础设施建设,健全密码应用安全评估机制。商用密码应用安全性评估(简称“密评”)作为信息系统投入运行前的一道防线,可确认系统的密码安全现状及存在的风险,为加强信息系统安全提供基础。
目前,信息系统密码应用改造仍处于起步阶段,存在改造难度大、效率低、密码技术误用、乱用及密评通过率低等问题。因此,本文从密评机构的角度,以密码评估视角分析目前信息系统密码应用改造的现状,总结常见问题,并从通用要求、密码技术应用要求和安全管理要求提出改进建议。
一、现状分析
1. 密码应用方案
根据国家标准 GB/T39786-2021《信息安全技术信息系统密码应用基本要求》,在建设及运行密码应用的过程中,需根据相关密码标准和需求,编制密码应用方案。目前部分信息系统密码应用改造的方案为 2019 年及之前编制、评审的,其中参照的标准为密码行业标准 GM/T0054-2018《信息系统密码应用基本要求》,与现行标准要求存在一定差异,且部分应用方案存在随意照抄、生搬硬套的问题,导致常误写一些本项目无法实现的功能,或对系统边界、指标合规性自查表及具体改造措施描述模糊,不利于改造实施及密评工作的开展。
2. 密码技术
有些信息系统在对用户登录的环节进行密码技术应用时,仅通过读取智能密码钥匙(USBKey)中的数字证书或编号传输至服务端进行简单比对的方式完成身份鉴别[4],并未采用数字签名和“挑战-响应”机制。由于数字证书或编号可明文出现在智能密码钥匙之外且在有效时间内为固定不变的一串数据,使用此类数据作为身份鉴别信息,恶意攻击者可以直接截获,假冒用户身份进行重新登录。因此信息系统使用者虽然形式上使用了智能密码钥匙用于登录时的身份鉴别,但实际并未解决用户在访问信息系统时进行身份鉴别的防假冒、防截获和防重用等安全问题。
3. 密码产品
根据国家密码管理局、国家市场监督管理总局公告(第39号)(下称“公告”),自2020年7月1日起,已发放的《商用密码产品型号证书》自动失效,应更换为商用密码产品认证证书[5]。但在实际密码应用部署中,仍然存在部分使用的产品未取得认证证书或认证证书已过期的情况。常见的问题有:设备标签、产品管理界面名称与产品认证证书载明的名称不一致,如证书载明的设备名称为“SSL/IPSecVPN综合安全网关”,设备管理页面上的名称却为“安全认证网关”;部分商密产品虽具备国密功能,但也同时支持国际算法及技术,一些项目在部署设备时并未对国际算法的部分进行屏蔽处理,存在混用或误用现象。一些项目仅采购了密码产品但并未按照产品手册的要求进行部署,或与信创环境难以适配,没有发挥密码产品的功能,也不符合相关标准要求。
4. 密码服务
目前已完成密评的信息系统改造项目中还普遍存在的一个问题就是密码服务不合规,尤其在对密码设备的管理上,大多数项目使用的是厂家出厂时自带的智能密码钥匙和自签发的数字证书,其密码服务提供商不具有相关资质,不符合国家标准GB/T39786-2021中的通用要求。
5. 对关键数据的保护
首先一些项目在密码应用方案中仅选取一部分字段作为关键数据,未结合项目实际情况进行细化。有些信息系统开发单位仅对个人信息保护比较重视,忽视了信息系统其他关键数据的保护。其次数据的收集、存储、使用、加工、传输、提供、公开、销毁等环节都可能涉及加解密和完整性验证等,而目前普遍缺少对全生命周期密码保护的规划,涉及算法的使用及密钥生成、存储、分发、备份、还原、销毁等。这导致敏感数据在某些环节是密态或可控的,但在另一些环节依然是明文、失控的,影响了整体密码应用的效果。部分数据资产所有者重线上而轻线下,对于正在系统运行中的数据比较重视,而对于数据收集、数据公开、数据备份、数据销毁的过程重视程度不够。密码技术的应用目前也主要以在线运行的应用为主,并没有涉及数据收集、公开、备份、销毁等环节。密码应用建设是一个系统工程,其整体安全水平由安全级别最低的部分决定,在数据流转的任何环节出现失控,都会导致信息有被泄漏、篡改或替换的风险。
6. 安全管理制度
大多数业主单位在近年都是第一次接触信息系统的密码应用改造,因此在密码相关的安全管理制度方面缺失现象严重,原有的管理制度中鲜有与密码安全相关的内容,或是未与相关标准要求相匹配。业主单位通常在改造中对于管理制度的关注程度远低于应用系统,但管理制度的缺失实际上也会造成很多的问题。
二、密码应用改造建议
………………
信息系统密码应用改造的现状及建议 PDF 完整版下载(文字可复制):
https://www.aliyundrive.com/s/VcMAu92oYeS 提取码: u7e1
Doxycycline is an antibiotic that is effective against a wide range of bacterial infections in dogs priligy fda approval Although serious GI tract ulcerations and bleeding can occur without warning symptoms, patients should be alert for the signs and symptoms of ulcerations and bleeding, and should ask for medical advice when observing any indicative sign or symptoms including epigastric pain, dyspepsia, melena, and hematemesis
2024-11-10 19:46:28 Google Chrome 125 Windows 10