商用密碼應(yīng)用安全性評(píng)估

隨著信息化快速發(fā)展，網(wǎng)絡(luò)與信息系統(tǒng)安全事件呈現(xiàn)快速增長(zhǎng)趨勢(shì)，密碼作為保護(hù)網(wǎng)絡(luò)與信息系統(tǒng)安全的重要手段，在身份識(shí)別、信息加密、完整性保護(hù)和抗抵賴性等方面發(fā)揮著不可替代的重要作用。網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)按照國(guó)家網(wǎng)絡(luò)安全等級(jí)保護(hù)制度，使用商用密碼保護(hù)網(wǎng)絡(luò)安全。

天融信依據(jù)GB/T 39786—2021《信息安全技術(shù) 信息系統(tǒng)密碼應(yīng)用基本要求》從物理和環(huán)境安全、網(wǎng)絡(luò)和通信安全、設(shè)備和計(jì)算安全、應(yīng)用和數(shù)據(jù)安全四個(gè)技術(shù)層面，以及管理制度、人員管理、建設(shè)運(yùn)行、應(yīng)急處置四個(gè)管理層面，充分結(jié)合客戶信息系統(tǒng)實(shí)際需求和網(wǎng)絡(luò)安全等級(jí)保護(hù)要求，采用“三同步一評(píng)估”原則，為客戶提供密碼保障體系建設(shè)和密評(píng)改造方案。

在系統(tǒng)所在機(jī)房重要物理區(qū)域部署國(guó)產(chǎn)密碼算法的安全電子門禁和視頻監(jiān)控系統(tǒng)，通過(guò)調(diào)用服務(wù)器密碼機(jī)進(jìn)行身份鑒別。
通過(guò)調(diào)用服務(wù)器密碼機(jī)的SM3-HMAC實(shí)現(xiàn)對(duì)門禁數(shù)據(jù)和視頻數(shù)據(jù)進(jìn)行完整性保護(hù)。

通過(guò)部署國(guó)密SSL/IPSEC VPN確保人員身份的真實(shí)性。
建立國(guó)密SSL通道通過(guò)SM3-HMAC運(yùn)算保障通信數(shù)據(jù)完整性，并且通過(guò)SM4運(yùn)算保障通信數(shù)據(jù)機(jī)密性。
SSL/IPSEC VPN通過(guò)SM3-HMAC對(duì)自身網(wǎng)絡(luò)邊界訪問(wèn)控制信息進(jìn)行完整性保護(hù)。
通過(guò)SSL/IPSEC VPN的控制策略對(duì)外部接入設(shè)備進(jìn)行權(quán)限認(rèn)證。

通過(guò)智能密碼鑰匙+數(shù)字證書(shū)確保登錄系統(tǒng)的客戶端身份鑒別。
通過(guò)SSL/IPSEC VPN建立遠(yuǎn)程管理通道，確保遠(yuǎn)程管理通道安全性。
通過(guò)調(diào)用服務(wù)器密碼機(jī)對(duì)系統(tǒng)資源訪問(wèn)控制信息和重要信息資源安全標(biāo)記進(jìn)行完整性保護(hù)。
通過(guò)調(diào)用服務(wù)器密碼機(jī)的SM3-HMAC實(shí)現(xiàn)日志記錄完整性并保護(hù)。
根據(jù)應(yīng)用程序的報(bào)備審核和發(fā)布系統(tǒng)查驗(yàn)應(yīng)用程序信息，并向簽名驗(yàn)簽服務(wù)器申請(qǐng)應(yīng)用程序簽名，通過(guò)調(diào)用簽名驗(yàn)簽服務(wù)器實(shí)現(xiàn)對(duì)重要可執(zhí)行程序完整性和來(lái)源真實(shí)性進(jìn)行保護(hù)。

依托智能密碼鑰匙、國(guó)密瀏覽器和SSL VPN進(jìn)行應(yīng)用層人員身份鑒別
統(tǒng)一身份認(rèn)證網(wǎng)關(guān)通過(guò)SM3-HMAC對(duì)自身訪問(wèn)控制信息進(jìn)行完整性保護(hù)
通過(guò)國(guó)密瀏覽器與SSL/IPSEC VPN之間建立國(guó)密SSL通道保障數(shù)據(jù)傳輸機(jī)密性、完整性。
通過(guò)數(shù)據(jù)庫(kù)加密機(jī)進(jìn)行透明加密保護(hù)或調(diào)用硬件密碼模塊標(biāo)準(zhǔn)國(guó)密接口進(jìn)行數(shù)據(jù)存儲(chǔ)的機(jī)密性、完整性保護(hù)。
通過(guò)調(diào)用時(shí)間戳服務(wù)器、電子簽章系統(tǒng)進(jìn)行有效簽名，確保原發(fā)證件、接收證據(jù)行為的不可否認(rèn)性