为做好商用密码应用安全性评估工作,本白皮书基于商用密码的行业应用现状,对商用密码及当前商用密码的标准化进展进行了概述,总结了商用密码应用当前存在的系列问题并分析原因,提出了管理建议,并介绍了商用密码应用安全性评估工作。
密码是维护网络安全最有效、最可靠、最经济的技术手段,其作用可以概括简述为三点:一是密码可作为网络安全的核心技术和基础支撑;二是密码可承担网络信任体系的构建基础;三是密码技术可作为重要的战略性资源。
商用密码是指对不涉及国家秘密内容的信息进行加密保护或者安全认证所使用的密码技术和密码产品。公民、法人和其他组织可以依法使用商用密码保护网络与信息安全。
商用密码应用中存在的问题
1.商用密码应用领域不够广泛
网络和信息系统中商用密码的应用比重较低,大量网络数据并没有得到密码技术的安全防护,即使使用了密码技术,也往往没有被正确、合规、有效地使用。因此,很多数据处在缺失密码技术保护的状态,网络和信息系统由此产生了巨大的安全隐患。
2.商用密码应用方式不够规范
近年来国家层面、地方层面和各行业都相继出台了关于商用密码应用的相关要求,但是实施效果并不理想,一方面,依然有大量信息系统运营者或开发者不能按要求合规、正确地执行密码标准和应用密码技术。另一方面,系统运营者或开发者缺乏密码应用技能和经验、不清楚合规性要求、不了解密码算法和关键参数的类型、错误调用密码技术。
3.商用密码应用服务不够安全
现有大量系统依旧在使用有风险的密码算法,以及有风险的密码算法提供的不安全密码服务,比如容易被破解的 MD4、MD5、SHA-0、SHA-1、RSA-512、RSA-1024、DES、SKIPJACK、RC2等密码算法,这些算法均己被警示过是有风险的密码算法。
4.商用密码应用需求难以契合
一些新业态的密码产品和密码服务往往会要求高性能的密码技术做支撑,而当前的密码算法较为低效,很难与新业态对密码性能的高要求相匹配,因此容易导致商用密码产品或服务难以匹配到行业应用中,从而制约新业态信息系统得到及时、有效的安全保护。
商用密码应用安全性评估
密评工作包括四项基本测评活动,即测评准备活动、方案编制活动、现场测评活动、分析与报告编制活动。测评方与受测方之间的沟通与洽谈应贯穿整个测评过程。
需要注意的是,在测评活动开展之前,信息系统的密码应用方案需要通过测评机构的评估或者密码应用专家的评审,按要求通过评估或评审的密码应用方案可以作为密评实施的依据。密码应用方案评审主要审查是否涵盖了所有需要采用密码保护的核心资产及敏感信息,以及采取的密码保护措施是否能够达到相应等级的使用要求。
商用密码应用安全性评估总体流程
测评准备活动是开展测评工作的前提和基础,主要任务是掌握被测信息系统的详细情况,准备测评工具,为编制测评方案做好准备。
方案编制活动是开展测评工作的关键,主要任务是确定与被测信息系统相适应的测评对象、测评指标及测评内容等,形成测评方案,为实施现场测评提供依据。
现场测评活动是开展测评工作的核心,主要任务是依据测评方案的总体要求,分步实施所有测评项目,包括单项测评和单元测评等,以了解系统的真实保护情况,获取足够证据,发现系统存在的密码应用安全性问题。
分析与报告编制是给出测评工作结果的活动,主要任务是根据现场测评结果和《信息系统密码应用基本要求》《信息系统密码测评要求》的有关要求,通过单项测评结果判定、单元测评结果判定、整体测评和风险分析等方法,找出整个系统密码的安全保护现状与相应等级的保护要求之间的差距,并分析这些差距可能导致的被测信息系统面临的风险,从而给出测评结论,形成测评报告。