亚洲一级黄色在线观看_国产操B视频在线观看_一道本av免费不卡播放_国产1024精品视频专区免费

• 密評(píng)評(píng)分

5. 評(píng)測(cè)過(guò)程：

5. 評(píng)測(cè)報(bào)告：評(píng)測(cè)最后階段由評(píng)測(cè)機(jī)構(gòu)編寫(xiě)評(píng)測(cè)報(bào)告，評(píng)測(cè)報(bào)告一般一式4份，1份提交國(guó)家密碼管理局、1份提交被評(píng)測(cè)單位所屬省部密碼管理部門(mén)、1份提交委托單位、1份由評(píng)測(cè)機(jī)構(gòu)留存。

密評(píng)技術(shù)要求

密評(píng)主要針對(duì)涉及到商用密碼的網(wǎng)絡(luò)和信息系統(tǒng)。這里的商用密碼指對(duì)不涉及國(guó)家秘密內(nèi)容的信息進(jìn)行加密保護(hù)或者安全認(rèn)證所使用的密碼技術(shù)、密碼產(chǎn)品和密碼服務(wù)。

• 密碼技術(shù)：采用特定變換的方法對(duì)信息進(jìn)行加密保護(hù)、安全認(rèn)證的技術(shù)。如SM3哈希算法、SM4分組密碼算法、SM2公鑰密碼算法等。
• 密碼產(chǎn)品：實(shí)現(xiàn)密碼功能、承載密碼技術(shù)的實(shí)體，包括密碼機(jī)、密碼芯片和模塊等。
• 密碼服務(wù)：基于密碼技術(shù)和產(chǎn)品，實(shí)現(xiàn)密碼功能，提供密碼保障的行為。

密改：又稱國(guó)密改造，是通過(guò)密評(píng)的重要一步，被評(píng)測(cè)信息系統(tǒng)需要經(jīng)過(guò)密改，從而支持國(guó)產(chǎn)商用密碼，并達(dá)到安全、合規(guī)、正確、有效的要求。從密評(píng)技術(shù)要求上分析，需要在物理和環(huán)境安全、網(wǎng)絡(luò)和通信安全、設(shè)備和計(jì)算安全、應(yīng)用和數(shù)據(jù)安全四個(gè)方面上借助商用密碼技術(shù)、產(chǎn)品或服務(wù)，實(shí)現(xiàn)密改。

業(yè)界主推的密改技術(shù)路徑主要有三條：“免”改造、“重”改造和“易”改造。

• 免改造：信息系統(tǒng)無(wú)需進(jìn)行密改，只需簡(jiǎn)單配置
• 重改造：信息系統(tǒng)調(diào)用復(fù)雜的基礎(chǔ)密碼產(chǎn)品接口完成密改，如對(duì)接服務(wù)器密碼機(jī)、簽名驗(yàn)證服務(wù)器等
• 易改造：信息系統(tǒng)使用針對(duì)密評(píng)研發(fā)的專業(yè)密碼服務(wù)產(chǎn)品，無(wú)改動(dòng)或較少改動(dòng)信息系統(tǒng)來(lái)實(shí)現(xiàn)密改。

密碼應(yīng)用技術(shù)架構(gòu)

• 信息系統(tǒng)實(shí)體身份真實(shí)性/身份鑒別、重要數(shù)據(jù)機(jī)密性、重要數(shù)據(jù)完整性以及操作行為的不可否認(rèn)性。
• 密鑰生命周期安全：密鑰生成、使用、存儲(chǔ)、備份、恢復(fù)、歸檔、導(dǎo)入導(dǎo)出以及銷毀等 其中，密鑰生命周期安全可以借助服務(wù)器密碼機(jī)或者密鑰管理系統(tǒng)來(lái)完成，因此信息系統(tǒng)密改工作集中在第一點(diǎn)。密碼應(yīng)用技術(shù)架構(gòu)整體也是圍繞技術(shù)要求的四個(gè)方面來(lái)規(guī)劃和落地。

物理和環(huán)境安全

物理和環(huán)境安全：對(duì)重要物理區(qū)域（如：機(jī)房）出入人員采用密碼技術(shù)進(jìn)行身份鑒別，并對(duì)門(mén)禁進(jìn)出記錄、視頻監(jiān)控?cái)?shù)據(jù)進(jìn)行完整性保護(hù)。

• 身份鑒別：機(jī)房需要部署國(guó)密門(mén)禁讀卡器，通過(guò)國(guó)密門(mén)禁IC卡和國(guó)密門(mén)禁讀卡器，基于國(guó)密算法，實(shí)現(xiàn)用戶身份鑒別。讀卡器和門(mén)禁卡必須具有國(guó)家密碼管理部門(mén)頒發(fā)的認(rèn)證證書(shū)。如：光電安辰國(guó)密門(mén)禁設(shè)備等
• 重要數(shù)據(jù)完整性：門(mén)禁記錄數(shù)據(jù)、視頻監(jiān)控記錄數(shù)據(jù)存儲(chǔ)需要保證完整性。如：門(mén)禁記錄通過(guò)門(mén)禁管理系統(tǒng)進(jìn)行完整性保護(hù)、視頻監(jiān)控記錄通過(guò)視頻監(jiān)控管理系統(tǒng)進(jìn)行完整性保護(hù)。這類系統(tǒng)一般采用內(nèi)置密碼卡或者外接密碼機(jī)的方式，并通過(guò)SM3-HMAC對(duì)重要數(shù)據(jù)進(jìn)行完整性保護(hù)。注：密碼機(jī)、密碼卡和視頻監(jiān)控管理系統(tǒng)需要具有國(guó)家密碼管理部門(mén)頒發(fā)的認(rèn)證證書(shū)

網(wǎng)絡(luò)和通信安全

網(wǎng)絡(luò)和通信安全：對(duì)業(yè)務(wù)系統(tǒng)網(wǎng)絡(luò)通信實(shí)體，采用密碼技術(shù)進(jìn)行身份鑒別，并對(duì)傳輸數(shù)據(jù)進(jìn)行機(jī)密性和完整性保護(hù)。

• 身份鑒別：登錄業(yè)務(wù)系統(tǒng)采用國(guó)密瀏覽器，瀏覽器到安全網(wǎng)關(guān)等通信實(shí)體雙方通過(guò)國(guó)密SSL協(xié)議進(jìn)行身份鑒別，通過(guò)國(guó)密SSL證書(shū)使用SM2、SM3和SM4算法實(shí)現(xiàn)通信雙方真實(shí)性，后端需要采用具備商用密碼產(chǎn)品認(rèn)證證書(shū)的安全網(wǎng)關(guān)。
• 通信數(shù)據(jù)完整性：瀏覽器與安全網(wǎng)關(guān)之間通信采用國(guó)密SSL，使用ECC_SM4_CBC_SM3實(shí)現(xiàn)數(shù)據(jù)傳輸?shù)耐暾?，后端需要采?strong style="outline: 0px; color: black;">具備商用密碼產(chǎn)品認(rèn)證證書(shū)的安全網(wǎng)關(guān)。
• 通信數(shù)據(jù)的機(jī)密性：瀏覽器與安全網(wǎng)關(guān)之間通信采用國(guó)密SSL，使用ECC_SM4_CBC_SM3實(shí)現(xiàn)數(shù)據(jù)傳輸?shù)臋C(jī)密性，后端需要采用具備商用密碼產(chǎn)品認(rèn)證證書(shū)的安全網(wǎng)關(guān)。注：國(guó)密SSL需要支持國(guó)密雙證（簽名證書(shū)+加密證書(shū)）

設(shè)備和計(jì)算安全

設(shè)備和計(jì)算安全：運(yùn)維管理員在對(duì)業(yè)務(wù)系統(tǒng)進(jìn)行運(yùn)維時(shí)，需要采用密碼技術(shù)進(jìn)行身份鑒別，并保障網(wǎng)絡(luò)環(huán)境中服務(wù)器、應(yīng)用程序、訪問(wèn)記錄等重要數(shù)據(jù)的完整性。

• 身份鑒別：對(duì)于遠(yuǎn)程運(yùn)維人員采用SSL VPN安全網(wǎng)關(guān)進(jìn)行身份鑒別；對(duì)于內(nèi)部運(yùn)維人員，采用基于密碼技術(shù)的身份認(rèn)證堡壘機(jī)進(jìn)行身份鑒別。
• 重要數(shù)據(jù)完整性：堡壘機(jī)訪問(wèn)記錄完整性保護(hù)，調(diào)用密碼產(chǎn)品基于SM3-HMAC密碼算法實(shí)現(xiàn)完整性保護(hù)；業(yè)務(wù)系統(tǒng)等服務(wù)器訪問(wèn)記錄以及重要業(yè)務(wù)日志完整性保護(hù)，采用專門(mén)的日志服務(wù)器，借助服務(wù)器密碼機(jī)采用HMAC-SM3密碼算法對(duì)訪問(wèn)記錄/日志進(jìn)行計(jì)算并定期進(jìn)行校驗(yàn)。
  
  
  日志服務(wù)完整性生成和校驗(yàn)，功能流程如下：
  
  

應(yīng)用和數(shù)據(jù)安全

應(yīng)用和數(shù)據(jù)安全：用戶和管理員在訪問(wèn)業(yè)務(wù)系統(tǒng)時(shí)，需要采用密碼技術(shù)進(jìn)行身份鑒別，對(duì)重要業(yè)務(wù)數(shù)據(jù)傳輸?shù)臋C(jī)密性和完整性、重要業(yè)務(wù)數(shù)據(jù)存儲(chǔ)的機(jī)密性和完整性進(jìn)行保護(hù)。應(yīng)用和數(shù)據(jù)安全是密改的重要一環(huán)。

• 身份鑒別：業(yè)務(wù)系統(tǒng)登錄使用雙因子認(rèn)證，采用用戶名/口令和Ukey進(jìn)行身份鑒別，業(yè)務(wù)人員私鑰和數(shù)字證書(shū)保存在Ukey中。后端通過(guò)SM4算法對(duì)口令進(jìn)行加密存儲(chǔ)，通過(guò)SM2算法對(duì)UKey簽名進(jìn)行驗(yàn)證，密碼算法由密碼機(jī)提供。UKey和密碼機(jī)需要具有商用密碼產(chǎn)品認(rèn)證證書(shū)
• 機(jī)密性：業(yè)務(wù)數(shù)據(jù)需要采用SM4進(jìn)行加密傳輸，后端需要對(duì)數(shù)據(jù)進(jìn)行SM4加密存儲(chǔ)。密碼算法由具有商用密碼產(chǎn)品認(rèn)證證書(shū)的密碼機(jī)或密碼卡提供。
• 完整性：業(yè)務(wù)數(shù)據(jù)通過(guò)SM3-SM2進(jìn)行數(shù)字簽名后傳輸，后端通過(guò)調(diào)用基礎(chǔ)密碼產(chǎn)品進(jìn)行簽名驗(yàn)證。業(yè)務(wù)數(shù)據(jù)存儲(chǔ)完整性通過(guò)對(duì)存儲(chǔ)數(shù)據(jù)進(jìn)行SM3-SM2簽名或者SM3-HMAC哈希值進(jìn)行保存完成。密碼算法由具有商用密碼產(chǎn)品認(rèn)證證書(shū)的密碼機(jī)或密碼卡提供。

雙因子認(rèn)證UKey流程：

結(jié)語(yǔ)

本文未對(duì)密評(píng)管理要求做深入介紹，只針對(duì)技術(shù)要求中需要進(jìn)行密改的地方進(jìn)行了詳細(xì)介紹。密評(píng)重點(diǎn)考察信息系統(tǒng)中商用密碼使用的合規(guī)性、正確性和有效性。應(yīng)用和數(shù)據(jù)安全是密改的重中之重，也是重改造的地方，其他方面可以通過(guò)采購(gòu)合規(guī)的密碼產(chǎn)品或服務(wù)達(dá)到易改造、免改造的效果。

?文章來(lái)源：密碼應(yīng)用技術(shù)實(shí)戰(zhàn)