校園信息系統國密改造路徑探索
責編:gltian |2023-05-26 16:32:02“沒有網絡安全就沒有國家安全”。密碼作為保障網絡安全的核心技術,是構建網絡信任的基礎支撐。國產商用密碼算法的發布,為國內政治、經濟、教育各領域建立安全自主可控的國產可信計算體系提供了技術支持。作為校園信息系統安全重要的防護手段,高校正在大力推進校園信息系統國產密碼改造工作。
國密算法現狀及改造標準
目前,國內采用的國際密碼算法,最常用的主要包括DES、3DES、AES、RSA、SHA-1、MD5等密碼算法。由國家密碼管理局認定和發布的一系列有自主產權的國產密碼算法標準,包括SM1、SM2、SM3、SM4、SM7、SM9、祖沖之密碼算法(ZUC)等密碼算法,不僅可以替代國際常用密碼算法,還在一些性能方面優于國際密碼算法。
國家強力推進重點行業的信息系統國產密碼算法改造工作,構建數據安全保護機制,建立安全自主可控的國產可信計算體系,從根本上擺脫長期以來對國外密碼技術的過度依賴。表1為常用的國密算法與國際算法對比。
表1 常用國密算法與國際算法對比
國密改造是信息系統安全建設的必然需求,是構筑信息安全防線、實現自主創新和安全可信的必然選擇。推進國密改造是提高密碼應用體系的安全性,保護數據主權的必然要求。
1.國家戰略和安全大環境的要求。國家高度重視數據安全保護工作,逐步完善數據安全法制。已發布實施的《個人信息保護法》《網絡安全法》《數據安全法》共同構成了我國數據安全立法的“三駕馬車”,以法律形式明確數據安全保護要求。
2.行業等保合規要求。國家頒布實施的《密碼法》《信息安全技術網絡安全等級保護基本要求》《關鍵信息基礎設施安全保護條例》等法律條例,提出了行業數據安全合規要求。明確提出“國家建立數據分類分級保護制度”,“對數據實行分類分級保護”,構建標準數據安全保護體系。通過行業等保要求和監管制度,實現數據全生命周期的安全風險監測、評估和防護。
3.數據應用安全要求。采用國產密碼技術和產品保護數據的機密性、完整性、合法性和不可抵賴性,對數據從其采集、傳輸、存儲、處理、使用、銷毀全生命周期實施安全管理,是保證數據傳輸、數據應用、數據存儲的安全要求。
2021年3月,國家市場監督管理總局、國家標準化管理委員會正式發布《信息安全技術信息系統密碼應用基本要求》,自2021年10月1日起實施,是國密改造依據及標準。
國家將國產密碼安全支撐體系作為信息系統安全的頂層戰略規劃,制定了密碼應用基礎建設標準,明確了信息系統密碼應用技術框架,規定了信息系統第一級到第四級的密碼應用技術要求和管理要求。《信息系統密碼應用基本要求》是信息系統國密改造工作的綱領性文件,明確要求國密改造的信息系統規劃建設都要開展密碼應用評測工作,且每年至少評測一次。
校園國密改造方案
國密改造工作流程
依據標準要求,校園信息系統國密改造工作具體流程可分為規劃階段、建設階段、運行階段。
規劃階段:要對校園信息系統國密改造進行整體規劃和設計,編制密碼應用方案并評測。根據校園信息系統的級別和現狀調研需求分析,設計密碼應用方案,組織專家或者委托測評機構對密碼應用方案進行評審。通過評審后,評審結果將作為規劃立項的依據和資金材料一并申報國密改造項目。
建設階段:根據通過評審的國密改造應用方案和評測結果,進行校園信息系統密碼產品選型,制定國密改造應用實施方案,包括密碼應用改造方案和密碼應用開發方案,并進一步集成實施。建設實施完成后,組織密碼應用系統的安全性評測和整改,直至通過評測。最后,將密碼應用系統安全評測結果作為驗收材料完成項目驗收。
運行階段:將校園信息系統國密改造密碼應用方案評測結果上報主管部門及所在地區密碼管理部門備案,繼而開展信息系統運行維護工作,并定期進行密碼應用安全評測和修訂工作,留存記錄。
構建數據保護體系
國密改造按照規范的工作流程和標準要求,逐步構建校園信息系統數據保護體系,為終端用戶數據產生、傳輸、存儲及使用各個環節提供數據安全保護。
如圖1所示,密碼服務平臺系統調用底層密碼基礎設施,包括密碼機組成的密碼資源池、簽名驗簽服務器等密碼服務管理系統,統一提供基礎密碼服務。同時與安全接入網關、運維堡壘主機、CA系統、時間戳服務器等軟硬件系統構建數據保護安全體系。密碼服務平臺為終端保護和數據安全傳輸、數據安全支撐、數據安全存儲、數據使用等信息系統提供數據加解密服務、身份認證服務、密鑰管理服務等。校園信息系統常用的密碼應用場景包括統一認證系統、網絡管理系統、Web應用系統等。
圖1 國密改造系統框架
國密改造具體內容
1.物理和環境安全:通過電子門禁系統和視頻系統,對進出校園信息系統物理環境的人員進行安全訪問準入控制。密碼服務平臺完整性服務對電子門禁系統和視頻系統人員進出記錄數據、視頻音像記錄數據的完整性進行保護。
2.網絡和通信安全:通過SSL VPN安全接入網關,實現終端用戶的遠程安全訪問,提供數據傳輸安全保護,國密密碼服務平臺提供身份鑒別服務,保障通訊數據機密性和完整性,進行身份鑒別后安全訪問校園信息系統。
3.設備和計算安全:通過接入運維堡壘主機,實現系統設備管理人員對校園信息系統設備的管理,國密密碼服務平臺提供身份鑒別服務和設備操作完整性服務,以防止非授權人員非法登錄訪問,并對設備日志、資源訪問控制信息完整性進行保護。
4.應用和數據安全:通過密碼設備,如密碼機、簽名驗簽服務器等,提供底層安全服務的硬件計算資源。國密密碼服務平臺統一提供身份認證服務、加解密服務、抗抵賴服務和完整性服務。
USBKEY提供身份信息、密碼信息以實現終端訪問的身份鑒別;CA系統服務器提供應用系統的電子證書申請、管理、分發功能;數字證書服務器提供業務需要的電子證書,完成身份鑒別、數字證書簽名驗簽等;時間戳服務器以時間戳方式提供時間不可否認性等等。
國密瀏覽器協助終端人員完成數據傳輸的安全控制,為數據傳輸和數據存儲提供完整性和機密性的加解密服務,為信息不可抵賴性提供時間和簽名驗簽服務,為信息系統的敏感數據、鑒別信息和用戶信息等關鍵數據進行安全保護。
5.管理和運行安全:校園信息系統國密改造依據標準應建立國產密碼應用安全管理制度和策略,包括人員管理、建設運行管理、應急處置等。
其中,人員管理要求相關密碼應用安全人員應了解并遵守密碼相關法律法規和安全管理制度。同時需建立密碼應用崗位責任制度、上崗人員培訓制度,定期進行安全崗位人員考核,并建立關鍵崗位人員保密制度和調離制度。
建設運行過程中,信息系統投入運行前要進行密碼應用安全性評估,并定期開展密碼應用安全性評估及攻防對抗演習。應急處置是處理密碼應用安全相關的應急突發事件的能力要求,制定密碼應用應急方案,做好安全事件處置,及時向有關主管部門上報處置情況。
國密改造工作是一項長期綜合性工作,需要分期、分步建設,如Web應用國密改造包含服務器端和客戶端的同步改造,用戶必須使用支持國密算法的安全瀏覽器,這對于用戶使用習慣是一個挑戰,因此Web應用系統的國密改造延后實施。隨著校園信息系統國密改造的不斷推進,下一步將逐步完善國密支持的信息安全體系,在技術更迭中建立更為可信的校園信息安全系統。
作者:唐文軍、黃建波(華南理工大學)
責編:陳永杰
來源:中國教育網絡