在商用密码应用安全性评估中,测评对象主要包括以下几个方面:
1.信息系统
例如企业内部的局域网、广域网等网络环境。以一个大型企业的园区网为例,其中包含的路由器、交换机等网络设备的密码配置情况就是测评对象。这些设备之间通信所采用的加密协议,如 IPsec(Internet Protocol Security)等的应用是否正确,密钥管理是否安全,都是重点测评内容。包括各种业务应用,如电子政务系统中的行政审批系统、企业资源规划(ERP)系统、客户关系管理(CRM)系统等。以网上银行系统为例,用户登录时密码的存储和传输安全是测评的关键部分。存储方面,密码是否采用了强加密算法(如 AES - 高级加密标准)进行加密存储;传输过程中,是否通过安全的 SSL/TLS 协议来防止密码被窃取。在云计算环境中,云服务提供商为多个用户提供计算资源。对于不同用户数据的隔离和密码保护措施是测评重点。例如,在一个公有云存储服务中,用户数据的加密密钥是如何生成、存储和管理的,以确保不同用户的数据不会因为密码安全漏洞而相互泄露。对于大数据平台,由于其涉及海量数据的存储和分析,数据在分布式存储和处理过程中的密码应用安全性也需要评估,如 Hadoop 大数据平台中数据节点之间通信加密情况。像智能密码钥匙(U 盾)、加密机等。以加密机为例,测评其支持的加密算法是否符合国家规定的商用密码标准,如 SM2(椭圆曲线公钥密码算法)、SM4(分组密码算法)等算法的正确实现情况。同时,加密机的密钥管理功能是否安全可靠,包括密钥的生成、存储、备份、恢复等环节。如密码软件库、加密软件等。对于密码软件库,要评估其提供的加密函数接口是否安全,是否存在缓冲区溢出等安全漏洞可能导致密码泄露。加密软件则需要测评其加密流程的合规性和安全性,例如文件加密软件是否能够有效地保护文件内容,防止未经授权的访问。包括密钥管理服务、数字证书服务等。在密钥管理服务中,测评其是否能够为用户提供安全的密钥生成、分发、更新和撤销等服务。以数字证书服务为例,要检查证书的颁发机构(CA)是否符合安全要求,证书的有效期管理是否合理,以及证书吊销机制是否有效,防止证书被滥用而影响密码应用的安全性。实际测评实施中所测评的对象为:密码算法、密码技术、密码产品、密码服务。- 定义:密码算法是一种数学函数,用于实现信息的加密和解密,或者进行数字签名、验证等密码学操作。它是密码学的核心基础。
1) 对称密码算法:也叫单钥密码算法。例如SM4 算法,它在加密和解密过程中使用相同的密钥。就像一把钥匙开一把锁,发送方和接收方需要事先共享这个密钥。这种算法加密速度快,常用于对大量数据的加密,如文件加密、数据库加密等。以企业内部的敏感文件存储为例,使用 SM4 算法对文件内容进行加密,能够有效防止文件内容泄露。2) 非对称密码算法:即双钥密码算法。典型的如SM2 算法,它使用一对密钥,包括公钥和私钥。公钥可以公开,用于加密信息或验证数字签名;私钥则必须保密,用于解密信息或生成数字签名。在电子政务系统中的数字证书应用场景中,证书中包含用户的公钥,用于验证用户发送信息的真实性,而用户自己持有私钥来对发送的信息进行签名等操作。3) 哈希算法:如SM3 算法,它将任意长度的数据映射为固定长度的哈希值。哈希值主要用于验证数据的完整性,比如在软件下载过程中,软件发布方会提供软件的哈希值,用户下载后通过计算哈希值并与发布方提供的值进行对比,来判断软件是否被篡改。1) 网络通信安全:在SSL/TLS 协议中,使用密码算法来加密网络通信中的数据,防止数据在传输过程中被窃取或篡改。2) 身份认证:通过非对称密码算法实现数字签名和验证,用于验证用户身份。例如在网上银行登录过程中,银行系统验证用户数字签名来确认用户身份。- 定义:密码技术是综合运用密码算法、密钥管理等手段来保障信息安全的技术体系。它不仅仅包括密码算法本身,还涉及密钥的生成、存储、分发、使用和销毁等一系列过程。
1) 密钥管理技术:密钥是密码算法中的关键因素。良好的密钥管理技术包括密钥的安全生成,如使用硬件随机数发生器来生成高质量的密钥。以银行的密钥管理系统为例,它会为每个柜员终端生成唯一的密钥,并且采用安全的方式存储这些密钥,如使用加密硬件存储设备。密钥分发也很重要,在分布式系统中,通过安全的密钥分发中心(KDC)来将密钥安全地分发给需要通信的各方。2) 加密技术:基于密码算法实现数据加密。可以采用分层加密的方式,例如在云计算环境中,先对用户数据在本地进行加密(使用对称密码算法),然后在传输到云端的过程中,再使用非对称密码算法对对称密钥进行加密传输,这样可以提高数据的安全性。3) 数字签名技术:利用非对称密码算法实现对文件、消息等的签名。例如在电子合同签署场景中,签署方使用自己的私钥对合同文件进行数字签名,接收方可以使用签署方的公钥来验证签名的真实性,确保合同内容未被篡改且确实是签署方所签署的。1) 电子商务:保障在线交易的安全,包括订单信息加密、支付信息安全传输和用户身份验证等多个环节都依赖密码技术。2) 物联网:在物联网设备之间的通信中,使用密码技术来保护设备间传输的数据,防止物联网设备被恶意控制。例如智能门锁与手机APP 之间的通信加密。- 定义:密码产品是实现密码功能的实体设备或软件产品。它们是密码技术的具体载体,通过集成密码算法和相关技术,为用户提供便捷的密码应用服务。
- 加密机:是一种高性能的硬件密码设备,广泛应用于金融、电信等行业。它可以对大量的数据进行高速加密和解密操作。例如,银行的数据中心使用加密机对客户的账户交易数据进行实时加密处理,保证数据在存储和传输过程中的安全性。
- 智能密码钥匙(U 盾):主要用于用户身份认证和数字签名。它内置了非对称密钥对,用户在进行网上银行转账等操作时,通过U 盾中的私钥进行数字签名,银行系统利用对应的公钥进行验证,从而提高交易的安全性。
- 密码软件库:为开发者提供密码算法接口,方便在各种应用程序中集成密码功能。例如,一个开发安全通信软件的团队可以使用密码软件库来实现数据加密和数字签名功能,而不需要自己从头开发密码算法。
- 加密软件:用于对文件、文件夹等进行加密。比如一些企业会使用文件加密软件来保护内部的商业机密文件,员工只有通过正确的密码或者密钥才能访问这些文件。
1) 企业数据安全防护:企业可以使用密码产品来保护内部的敏感数据,如财务数据、客户资料等,防止数据泄露和非法访问。2) 个人隐私保护:个人用户可以使用加密软件来保护自己电脑上的隐私文件,如个人照片、日记等。- 定义:密码服务是基于密码技术和密码产品,为用户提供的一系列密码相关的服务。它可以帮助用户更方便地应用密码技术,解决密码应用过程中的复杂问题。
1) 密钥管理服务:为用户提供密钥的生成、存储、备份、恢复等服务。例如,一些云服务提供商为企业用户提供密钥管理服务,企业可以将自己的数据密钥托管给云服务提供商的密钥管理系统,由其进行安全的存储和管理,企业在需要使用密钥时可以通过安全的认证机制获取。2) 数字证书服务:由数字证书认证机构(CA)提供,用于颁发、管理和吊销数字证书。在电子商务和电子政务等领域广泛应用。例如,在网上购物时,商家的网站通常会有数字证书,用户的浏览器通过验证数字证书来确认商家网站的真实性和合法性,数字证书服务确保了数字证书的有效性和安全性。1) 云计算与大数据服务:云服务提供商为租户提供密码服务,保障租户数据在云端的安全。例如,为大数据分析服务中的数据提供加密服务,确保数据在多用户共享的大数据平台上的安全性。2)电子政务服务:为政府部门之间的信息共享和政务服务提供安全保障,如政府部门在网上办理行政审批业务时,通过数字证书服务来确认各方身份,通过密钥管理服务来保障数据加密传输和存储。欢迎关注《网络安全和等保测评》微信公众号⬇️
关注我们
联系我们
还没有评论,来说两句吧...