信息系统密码方案设计

信息系统密码方案设计2020年2月10日1. 密码技术的作用凡是有机密性、真实性、完整性、非否认性安全需求的，都可以用密码技术解决。l 机密性可以防泄密机密性也称保密性，指的是网络信息不被泄漏给非授权的用户、实体或过程，或供其利用的特性。即，防止信息泄露给非授权个人或实体，信息只为授权用户使用的特性。机密性是保障网络信息安全的重要手段，指仅有发送方和指定的接收方能够理解传输的报文内容。窃听者可以截取到加密了的报文，但不能还原出原来的信息，及不能知道原始报文内容。l 真实性可以防假冒认证也称为鉴别，指的是“信息来自正确的发送者”这一性质。发送方和接收都应该证实通信过程所涉及的另一方确实具有他们所声称的身份，即第三者不能冒充跟你通信的对方，也就是证实一个受到消息来自可信的源点，且未被篡改等，意味着消息不是其他人伪装成发送方所发出的。l 完整性可以防篡改完整性也称一致性，指的是网络信息未经授权不能进行改变的特性。即网络信息在存储或传输过程中保持不被偶然或蓄意地修改、删除、伪造、乱序、重放、插入等破坏和丢失的特性。完整性是一种面向信息的安全性，它要求保持信息的原样，即信息的正确生成和正确存储和传输。发送方和接收方需要确保其通信的内容在传输过程中未被改变。l 非否认性可以防抵赖不可否认性也称不可抵赖性，是指在网络信息系统的信息交互过程中，确信参与者的真实同一性。即，所有参与者都不可能否认或抵赖曾经完成的操作和承诺。利用信息证据可以防止发送方否认已发送过的信息，而利用递交接收证据可以防止接收方事后否认已经接收过的信息。2. 密码如何发挥作用1. 密码技术真正发挥作用，需要供给方和需求方共同完成。2. 密码供给方提供密码支撑。3. 密码需求方实现密码应用。4. 密码技术、密码支撑和密码应用共同作用，保障信息系统安全。3. 密码供需双方1. 密码供给方l 密码管理部门l 密码科研单位l 密码从业单位l 密码服务机构l 密码检测机构2. 密码需求方l 信息系统责任单位l 信息系统集成单位l 应用系统开发单位4. 密码技术1. 供需双方都要掌握密码技术，包括：l 密码算法l 密码协议l 密钥管理l 应用技术2. 供给方把密码技术落到实处，支持应用3. 需求方把密码技术用到实处，解决问题5. 密码支撑-密码供给方1. 密码政策2. 密码算法3. 密码产品4. 密码基础设施5. 密码技术体系6. 密码标准体系7. 密码检测体系8. 密码管理体系6. 密码应用-密码需求方1. 密码要“用”2. 是应用系统“用”3. 从安全需求中找出密码需求4. 根据密码需求提出密码功能需求5. 应用系统用密码功能解决安全问题7. 按照GM/T 0054要求设计密码方案1. GM/T 0054把信息系统分为四个部分l 物理与环境l 网络与通信l 设备与计算l 应用与数据2. 针对前三个部分设计密码支撑方案3. 针对第四个部分设计密码应用方案7.1. 密码支撑方案1. 为保护平台安全，设计密码解决方案l 针对三个部分，按GM/T 0054要求设计l 针对平台提供的，对应用透明的系统设计，例如独立存在的数据存储系统，统一跨平台数据交换系统2. 为平台上的应用，设计密码支撑方案l 按照规划-统一还是分散l 按照归属-支撑范围界定l 按照资源-谁来管理运维7.1.1. 为保护平台安全，设计密码解决方案与应用无关，应单独设计，密钥应统一管理，由平台自行管理。l 网络设备的身份密钥、传输密钥l 数据存储系统的密钥l 数据交换系统的密钥l 运维管理人员的密钥7.1.2. 为平台上的应用，设计密码支撑方案l 遵循密码技术体系框架l 确定密码基础设施l 按照规划、归属和资源l 选择密码支撑方式和方法7.1.3. 密码技术框架7.1.4. 设计要点1. 要设计密码方案，不是安全方案2. 要遵照密码体系，不是建土围子3. 要遵循密码标准，不要另搞一套4. 要提供密码支撑，不要干别人的事5. 分析现状和安全需求，是要引出密码需求6. 满足密码需求，是解决密码用得上的问题7. 方案的落脚点，是解决密码部署的问题7.1.4.1. 使用符合标准的产品l 应用系统通过中间件调用密码功能l 已有的通用支撑标准GM/T 0019-2012 通用密码服务接口规范GM/T 0020-2012 证书应用综合服务接口规范GM/T 0033-2014 时间戳接口规范l 应用系统访问密码服务器或密码服务平台调用密码功能l 已有的典型支撑标准GM/T 0029-2014 签名验签服务器技术规范GM/T 0031-2014 安全电子签章密码技术规范GM/T 0032-2014 基于角色的授权管理与访问控制技术规范GM/T 0055-2018 电子文件密码应用技术规范7.1.4.2. 密钥1. 保护平台安全的密码系统密钥可由平台自行产生和管理2. 为应用提供支撑的密码系统密码系统的管理密钥，按系统归属管理业务系统的密钥由基础设施产生，由用户或密码服务平台管理应明确服务对象3. 两套系统应各自独立部署7.1.4.3. 系统部署1. 平台对外连接的 VPN设备Ipsec VPN 设备归“网络与通信”SSL VPN 设备可归“网络与通信”、也可归“应用与数据”2. 关于密码支撑，要明确接入方法、网络边界和部署位置使用方法自身安全性设计3. 对于云上密码支撑，要明确是否使用云上的密码资源和计算资源是，按云平台的规则进行自身安全性设计否，按等保要求进行自身安全性设计7.2. 密码应用方案每一个应用（业务）系统都应设计自己的密码应用方案按照GM/T 0054“ 应用与数据”的要求梳理业务自己的安全需求梳理业务自己的重要数据利用平台提供的密码支撑方式使用密码功能解决安全问题业务系统中有管理对象的，要为其设计安全机制7.2.1. 信息系统一般安全需求l 用户或管理人员的身份真实性l 用户或管理人员的权限真实性和完整性l 用户或管理人员行为的不可否认性l 传输数据的完整性和机密性l 存储数据的完整性和机密性l 管理对象的安全机制（如文件、证照、票据、病历、控制指令等）7.2.2. 用密码功能解决安全问题l 身份鉴别l 数据机密性保护l 数据完整性保护l 行为不可否认l 访问控制权限l 电子证据保全l 防伪7.2.3. 用密码构建对象的安全机制l 电子印章l 电子票据l 电子证照l 电子文件l 电子病历l 感知的数据l 控制的指令7.2.4. 密码应用样例7.2.4.1. 电子行医执照7.2.4.2. 电子票据7.2.4.3. 企业信用红黑库管理系统7.2.4.4. 评标专家库管理系统7.2.4.5. 电子印章对象7.2.5. 设计原则l 梳理业务流程和业务对象l 明确安全风险和密码需求l 确定采用的密码体制l 明确业务相关的密钥对象l 确定业务相关的数据格式l 有统一的密码服务应直接使用，如身份鉴别、授权管理、时间戳等l 跨平台的数据传输安全，可不用自己解决l 业务系统内部子系统之间的数据传输安全，按需求解决7.2.6. 设计数字签名机制不同的签名内容可以满足不同的安全需求真实性：对验证方发来的挑战数据签名完整性：对被保护数据的哈希值签名抗抵赖：由行为人对确定的内容签名保持关联关系：对关联数据的哈希链签名指定受理/所有人：待签数据中包括该人证书指定后续操作：待签数据中包括操作指示逐级审批：待签数据中包括前者的签名8. 结束语l 密码自身没有应用属性，要与应用结合。l 密码是给应用用的，安全要由应用实现。l 密码要让应用用好，应遵循密码技术体系。l 密码功能的规范使用，要靠标准。l 要按照0054的要求，但不能机械对标0054。l 密码是安全的核心基础支撑，但安全不是全靠密码。8.1.1. 遵循密码使用标准l 实体鉴别GB/T 15843 信息技术 安全技术 实体鉴别l 数据加密GB/T 17964 信息安全技术 分组密码算法的工作模式l 加密及签名数据格式GB/T 35275 信息安全技术 SM2密码算法加密签名消息语法规范l 使用的数字证书GB/T 20518 信息安全技术 公钥基础设施 数字证书格式规范l 针对文件系统GM/T 0055 电子文件密码应用技术规范