密码应用与评估|如何建设科学有效的密码保障系统
2021-08-28
来源:数说安全
文章开篇先问一道武侠题
如果一位普通人,拿到了倚天剑和屠龙刀,能否从此“号令天下,莫敢不从”?
相信大多数金庸迷都会嗤之以鼻:修炼不了屠龙刀和倚天剑中的《九阴真经》《武穆遗书》,刀剑就仅仅是副“利刃”而已,普通人拿着武力值依旧为0。
接下来再问行业用户们一道安全专业题
您凭借什么认为自己的密码保护措施足够安全?
绝大多数用户会回答:因为我们部署了身份认证系统、服务器密码机、电子签章系统、证书管理服务器、安全网关……
这样的回答其实就回到了文章开篇提问的那个关键点,拥有了“利刃”,就等于强大(安全)吗?显然答案是否定的。没有一套科学有效的密码保障系统,仅仅依靠密码设备“单兵作战”,很难发挥密码设备的最大效用。
然而“说易行难”,市场中能像上文那般流畅回答出单位部署了哪些密码设备的用户,已经算少数了,更多的用户甚至都没有密码防护措施。这绝非夸大事实,在2018年管理部门全国摸底调查中发现,75% 的等保三级及以上信息系统没有应用密码防护。而在少数拥有密码保护系统的用户中,密码防护实际水平也令人堪忧:在2018-2019年首批126系统密评试点中,85% 使用密码保护的信息系统存在不规范现象,安全防护效果大打折扣。
北京数字认证股份有限公司(简称“数字认证”)认为,在当前国内市场中,密码应用“用得太少”“该用没用”“不懂乱用”的情况很多,这些乱象制约了密码技术的作用,让其难以发挥应有的效力。只有“该用尽用,科学应用”,建设科学有效的密码保障系统,才能护航用户走得更稳,走得更远。
用好密码
先从重视密码开始
其实究其原因,之所以出现密码应用乱象,最根本的症结就在于用户们并没有真正意识到密码的价值。事实上有不少用户对此质疑:密码保障系统建设对于行业用户和企业用户而言,真的是“必选项”吗?答案就两个字:是的。
作为国之重器,关乎党和国家安全的“命门”“命脉”,密码技术是保障网络空间安全的基础性核心技术。它既为信息的传输过程和存储过程提供安全保护,防止非授权信息泄露和信息篡改,又为实现网络空间中的身份认证、授权管理和责任认定提供重要支撑。
正因如此,面向用户安全需求建立一个密码保障系统,从而保障密码应用合规、正确、有效就变得非常重要,不仅要“该用就用”,还必须“科学地用好”。以医院常见的病案签名为例,当医生需要对病历签名时,往往只是将病案首页签名,并没有对病案整体信息进行签名,表面上看是应用了密码签名技术,但实际上根本无法保障整个病案的不可否认性或完整性,而科学有效的密码保障系统则可以完美地解决这些问题。
国家从政策上也释放出同样的信号。在《商用密码管理条例》《网络安全等级保护条例(征求意见稿)》等相关条例中明确指出,非涉密的关键信息基础设施、网络安全等级保护第三级以上系统、国家政务信息系统等,使用商用密码进行保护,已成法定要求。
“三同步一评估”
让密码保障系统建设有章可循
建立科学有效的密码保障系统其实有章可循。《国家政务信息化项目建设管理办法》指出:“项目建设单位应当落实国家密码管理有关法律法规和标准规范的要求,同步规划、同步建设、同步运行密码保障系统并定期进行评估。”在数字认证看来,“三同步一评估”就是建设密码保障系统的总体思路。
1
同步规划:制定科学有效的密码方案
在规划阶段,重点要完成四件事:明确保护对象、分析密码应用需求、设计密码应用建设方案、密码应用方案评审。其中最核心的输出就是要制定符合业务需求和业务特点的“密码应用建设方案”。
对于很多用户而言,新建系统在规划阶段满足需求并不难,难的是已建系统,对此数字认证的建议是增加一个“差距分析”环节——分析系统已有的防护措施,识别残余风险和需要整改的密码应用需求。
数字认证避坑指南:此阶段的最大难点在于密码保障系统和业务系统的融合,切忌脱离业务特点谈论密码应用建设方案。如果简单粗暴地对照密评指标逐项罗列密码产品,可能会导致方案无法落地,或重复建设。
2
同步建设:全面发挥密码措施保障
当规划完成,接下来的建设重点就落到了“实现”。在这个阶段,要进行编制密码应用实施方案,实现密码技术措施和密码管理措施,以及密码应用安全性评估。人们经常讨论的密码产品或服务采购、密码功能的开发、密码应用的集成其实就是这个阶段的“技术措施的实现”,而密码管理制度的建设和修订、密码管理机构和人员的设置、建设过程管理则属于这个阶段的“管理措施的实现”。
数字认证避坑指南:此阶段的核心是密码技术、管理措施的实现。切记密码保障系统的建设是否正确最终是由“密码应用安全性评估”决定的,因此评估必须要全面,注意细节,有可度量的标准供参照。
3
同步运行定期评估:持续发挥密码保障作用
到了同步运行阶段,用户要实现运行管理和控制,侧重监督检查,确保应急响应与保障到位,并定期进行密码应用安全性评估。系统监管方此时将按照国家、行业相关密码应用监督检查要求及标准,对密码应用活动开展监督检查工作;系统测评方则会定期开展商用密码应用安全性评估,确保信息系统的密码应用措施符合相应的安全要求;系统运营方需要按照职责划分和规章制度,正确执行运行管理和控制。
数字认证避坑指南:密码保障系统的正确运行直接关系到安全防护效果,需要系统运营方、监管方、测评方充分合作。有的用户怀着“过关即满分”的心态,感觉只要监管部门检查过关,就可以将密码保障系统束之高阁,这样的思想并不可取。对于密码保障系统落地而言,走到这个阶段仅仅只是一个起点。
虽然“三同步一评估”的核心思路已经清晰明确,但对用户而言,搭建一套高质量的密码保障系统,依然难度不小:首先,密码系统建设具备较高的专业性,而用户的密码专业人才较少;其次密码系统要与业务系统深度融合,安全需求必须全面摸清且精准;最后在合规性、稳定性方面,企业需要更专业的服务来确保密码系统满足监管需求。
鉴于此,数字认证充分发挥多年形成的密码保障系统规划、密码保障系统建设和密码保障系统运行的技术能力和经验,形成科学的方法体系,为用户提供全生命周期的密码保障服务,这些服务目前已得到不少用户的应用和认可。
科学合理的密码保障系统该怎么搭?
数字认证“方法论”大公开!
虽然行业用户和企业用户的密码应用情况不尽相同,但是大家建设科学合理的密码保障系统目标是一致的,有一些“方法论”的内容可以覆盖需求的共性,帮助大家更快达成目标。“明确范围与保护对象、分析密码应用需求设计、制定密码应用方案”就是数字认证方法论中的核心要素。
1
第一步,要进行需求分析,即找准需要保护的信息。通过梳理重要数据信息流向和承载实体(物理安全边界、计算环境)来明确信息保护的范围。
这一步看似简单,其实难度很大。以医院的信息系统为例,首先要分辨出哪些信息是公开的,哪些信息涉及到个人隐私需要保护,哪些信息是医疗数据需要传输等等,可以将其分为公开信息、一般信息和重要信息。当信息梳理出来后,针对信息的流向和范围也随之确定了,那么接下来就可以有针对性地制定相应的保护措施:需要保留在本地的,只需要做终端加密保护就可以,不需要再去部署网络传输加密;需要通过广域网传输出去的信息,那除了网络传输加密外,还需要防止被截取,被篡改。
数字认证在这个阶段的做法是根据重要数据的信息流向节点,从机密性、完整性、真实性、不可否认性四个方面进行风险分析,从而形成全面详实的密码需求列表。例如针对某重要信息来分析它的威胁源、脆弱点、影响程度,确认存在哪一类风险,最终确定是否需要精密性保护,或是完整性保护、真实性保护,有的放矢。
2
第二步,进行密码保障系统密码应用方案设计。针对上一步密码保障系统密码应用的需求分析,开始设计包含可信身份、传输安全、存储安全、计算环境保障、抗抵赖等技术措施以及安全管理措施在内的密码应用建设方案,从而满足GB/T 39786-2021《信息系统密码应用基本要求》。
在这个阶段,有三大原则可以供用户参考与借鉴:
01
总体性原则
从防护整体性角度考虑,对本平台的密码应用开展顶层设计,明确密码应用需求和预期目标,并与本平台网络安全保护等级相结合。
02
成熟性原则
方案采用的商用密码产品均为市场上长期销售和应用的成熟的商用密码产品,均具有密码管理部门核准的商用密码产品资质。
03
经济性原则
在功能、性能上可快速扩展设计满足GB/T 39786的密码应用改造方案,确保本平台密码应用改造投资合理,规模适度,避免资金浪费和过度保护。
在第二步的设计环节中,数字证书与密钥管理,与密码应用方案的自评估工作也非常重要。尤其是自评估,用户不妨先按照GB/T 39786-2021的相关要求,按照量化评分+高风险判定的评估机制,对设计好的密码应用方案进行自评估。只有评分超过阈值,且不存在高风险项,密码保障系统才能被判定为“基本符合”。这样做的益处在于,将来用户进行实际密评时,由于已经提前充分了解自己的长短板,那么密评机构的测评工作会变得更加顺利。
当下正处于密码应用向规范化发展的关键阶段,数字认证作为一家具有核心能力的密码技术服务提供商,牵头制定密评顶层标准GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》,对于密码标准和合规密码应用有深入到位的理解。未来数字认证将继续深耕行业,通过持续的理念创新、技术创新、模式创新,帮助客户构建正确、合规、有效的密码保障系统,携手行业共建更加安全可信的网络空间。
