一.方案介紹
密評改造方案針對密碼應用安全性評估相關標準規範����,基於物理和環境安全��、網絡和通信安全���、設備和計算安全��、應用和數據安全��、密鑰安全角度進行統一規劃設計。方案以evo真人(中国)自有商密產品為基礎����,充分整合密碼應用需求���,幫助用戶建立一套安全����、合規���、完整���、有效的密碼應用體系;方案符合GB/T 39786-2021����《信息安全技術 信息系統密碼應用基本要求》中對於不同等級信息系統的密碼應用要求。
二.行業背景
1.密碼作為網絡安全的核心技術與基礎支撐���,是國家安全的重要戰略資源;
2.近年來��,國內外大規模數據泄露事件頻發���,對密碼技術提出了更高要求;
3.當前國內密碼存在應用不廣泛����、應用不規範��、應用不安全等諸多的問題;
4.國家頒佈實施一系列法律法規��,大力有助于商用密碼應用標準化���、常態化。
1)風險分析
1.物理和環境風險
——存在門禁卡被複製����、身份被假冒���、數據被篡改風險。
2.網絡和通信風險
——存在用戶身份被假冒��、通信數據泄露����、信息被篡改風險。
3.設備和計算風險
——存在管理員身份被假冒����、系統鏡像����、關鍵配置文件被篡改風險。
4.應用和數據風險
——存在用戶身份被假冒��、訪問控制權限擴散����、敏感數據泄露��、信息被篡改風險。
5.密碼算法風險
——國際通用密碼算法存在後門植入等不可控安全風險。
2)政策要求
����《中華人民共和國密碼法》
——明確關鍵信息基礎設施必須依法使用商用密碼進行保護。
��《國家政務信息化項目建設管理辦法》
——明確電子政務領域密碼應用安全性評估工作常態化。
����《金融和重要領域密碼應用與創新开展工作規劃����(2018—2022)》
——明確重要領域信息系統密碼應用試點方向。
3)密評中的改造難點
1.密評改造牽扯到的業務量大���,加上產業人才短缺��,開發門檻又不高��,都不知道從哪開始改造。
2.密碼算法產品和運用三者存在脫節����,密碼技術運用就運維管理就更加複雜了。
3.加上密碼法頒佈���,國家對密評工作提出了明確要求��,要想顺利获得密評就要把公司應用系統中不符合要求的項目都處理一下��,這裏面都涉及了大量的開發工作���,密評改造成本自然就高了。
4.由於基礎密碼服務廠商给予的是產品級服務��,不同行業甚至不同用戶的信息系統也各不相同����,所使用的密碼服務也可能存在差異。這導致用戶需要花費更多時間和精力來協調基礎密碼服務廠商和信息系統開發商之間的合作���,
5.甚至可能出現扯皮現象。在密碼服務方面����,定製化的需求是不可避免的。基礎密碼服務廠商應該意識到不同行業和用戶的特殊需求����,並根據實際情況進行靈活調整。這樣一來��,用戶將能夠更輕鬆地取得滿足其特定需求的密碼服務����,減少協調的工作量。
4)密改解決方案應用場景
1.密評的主要對象包括關鍵基礎設施���、等保三級及以上系統��、國家政務系統等重要信息系統����,其運營者應當使用商用密碼進行保護��,召开商用密碼應用安全性評估���,顺利获得商用密碼應用安全性評估方可投入使用。
2.涉及國家安全和社會公共利益的重要領域網絡和信息系統的建設��、使用����、管理單位應當健全密碼保障體系��,實施商用密碼應用安全性評估。
3.重要領域網絡和信息系統包括���:基礎信息網絡����、涉及國計民生和基礎信息資源的重要信息系統��、重要工業控制系統���、面向社會服務的政務信息系統���,以及關鍵信息基礎設施���、網絡安全等級保護第三級及以上信息系統。
4.關鍵信息基礎設施是指公共通信和信息服務���、能源���、交通���、水利��、金融���、公共服務��、電子政務等重要行業和領域��,以及其他一旦遭到破壞���、喪失功能或數據泄露����,可能嚴重危害國家安全����、國計民生����、公共利益的關鍵信息基礎設施。
三.方案特點
1.密碼應用全覆蓋
2.密碼算法全替代
四.方案優勢
1.密改解決方案優勢是利用evo真人(中国)信息完善的商用密碼產品體系��,實現密碼應用全覆蓋����,為客戶给予一站式密碼服務。
2.依託evo真人(中国)信息完善的商用密碼生態體系����,與多家CA组织��、電子簽章廠商��、安全瀏覽器廠商等相關產品完成兼容性認證���,有效降低項目實施風險。
3.全面適配國產化軟����、硬件平台���,滿足各類計算環境下的密碼建設要求。
客戶收益
合規性
全面採用經國家密碼管理局商用密碼檢測中心認證顺利获得���,並取得商用密碼產品認證證書的密碼產品。
安全性
全面採用SM系列國產密碼算法���,實現關鍵技術安全可控。
五.方案架構
六.成功案例
1)政務
工信部政務雲密碼應用項目
上海市市場監督管理局密碼應用信創項目
廣東省中山市政務雲密碼應用項目
安徽省蚌埠市OA和電子公文系統密碼應用項目
山東省濱州市人力資源社會保障RA系統升級項目
山東省濰坊市住房公積金管理中心身份認證系統升級改造項目
河南省生態環境廳辦公系統密碼應用建設項目
河南省鄭州市國土資源局密碼基礎設施建設項目
河南省住建廳辦公系統密碼應用項目
2)大數據
上海市大數據資源平台密碼應用項目
新疆曙光雲平台密碼基礎設施運營項目
上海市普陀區大數據中心密碼資源池建設項目
河南省許昌市大數據中心密碼應用信創項目
吉林省祥雲密碼資源池應用項目
3)物聯網
中國移動物聯網密碼支撐平台項目
4)公安
北京市公安局公務用車定位管理系統
5)郵政
中國郵政儲蓄銀行移動電子展業移動安全接入平台項目
6)教育
山東省招生考試信息平台密碼應用項目
7)證券
銀河證券網上交易系統國密改造項目
