当前位置:首页 >  IDC >  安全 >  正文

密码改造技术路径大比拼--“免”改造太理想,“重”改造太复杂,“易”改造是王道

 2022-12-15 11:15  来源: 互联网   我来投稿 撤稿纠错

  域名预订/竞价,好“米”不错过

随着《密码法》的颁布施行,密码产业进入爆发式增长期。市场用户侧、供给侧、监管侧对于“密评密改”的标准路径和部署方式共识度低,有唱专业的,有唱商业的,有唱便捷的,有唱可持续发展的,有唱单品的,有唱组合的,一团乱仗,八仙过海,各显其能。海泰方圆通过分析不同方案的优劣势,希望讨论出一个最优路径,助力产业的发展少走一些弯路,避免进入一些误区。一家之言,还请产业各界同仁批评指正,共同促进产业的快速良好发展。

一、应用和数据安全是密改中的重中之重

目前,越来越多的法律法规政策文件要求相关信息系统要通过商用密码应用安全性评估(以下简称密评),要通过密评就需要对信息系统进行密码改造,而密评和密改最重要的依据标准就是GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》(以下简称基本要求)。

《基本要求》规定了信息系统第一到四级密码应用的基本要求,从信息系统的物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全四个层面提出密码应用技术要求,以保障信息系统的实体身份真实性、重要数据的机密性和完整性、操作行为的不可否认性;并从信息系统的管理制度、人员管理、建设运行和应急处置四个方面提出密码应用安全管理要求,为信息系统提供管理方面的密码应用安全保障。

在技术要求中,涉及具体测评单元共22项,高风险项共11项,合计总分70分,其中应用和数据安全为30分,具体测评单元10项,高风险项5项,并且应用和数据安全要求是和信息系统最紧密直接相关的要求,其他层面的安全要求也主要针对增强应用和数据层面的安全,所以对于信息系统来说,应用和数据安全是密改中的重中之重。

表:密码应用基本要求

二、密改技术路径分析

信息系统开展密评工作的主要目的在于推动密码应用的合规性、正确性、有效性。合规性主要从信息系统采用的密码技术、产品和服务是否符合国密要求来判断,而正确性和有效性就要从信息系统使用密码技术、产品和服务的角度来判断。

目前业界主推的密改技术路径主要有三条,我们将其称之为:“免”改造、“重”改造和“易”改造。

“免”改造方案宣称,信息系统无需进行密码改造,只需简单的配置就可以满足密评要求。

“重”改造方案则是为信息系统提供服务器密码机、签名验签服务器等基础密码服务产品,由信息系统开发厂商调用复杂的基础密码服务接口完成密码改造。

“易”改造方案是为信息系统提供针对密评要求研发的专业密码服务产品(比如密码服务平台、数据加解密系统等),信息系统修改或编写几行代码调用相应密码服务即可完成密码改造。

我们从以下几个维度对三种方案做了对比分析:

表:密码改造路径方案分析

三、“免”改造太理想

如果采用“免”改造方案,那信息系统就会在密评中从一个主体角色变为一个被动角色,信息系统如果没有经过系统性的与密码技术、产品和服务的使用分析与设计,如何保证密码应用的正确性和有效性?

应用和数据安全层面的密改涉及的测评单元有8项,全面覆盖密评要求真实性、机密性、完整性和不可否认性。如果一味追求信息系统“免”改造,可能会导致一些问题和隐患。

一是可能会导致某些环节存在安全隐患。例如,重要数据存储机密性测评单元采用透明加解密的方式实现“免”改造,实现了信息系统存取重要数据时透明加解密,那就有可能在其他非授权环节也能基于透明加解密方式获取到明文的重要数据。

二是可能会影响系统的某些功能使用,比如需要加解密的数据一般是数据库中某些表的某些字段,但是在信息系统中这些加密字段经常是和其他非加密字段相关联的,需要进行联合查询,或者在存储过程中被使用,这就导致通过“免”改造方式实现的存储机密性保护,使得信息系统的某些功能无法正常使用。

综上,在应用和数据安全层面,信息系统“免”改造是一种过于理想欠缺现实考虑的方案,极有可能会导致项目出现问题后推倒重来,这种被动在某些项目中已经出现。

四、“重”改造太复杂

如果采用“重”改造方案,比如信息系统直接调用服务器密码机实现重要数据的存储机密性和完整性保护,从结果上来说,也能实现密改的目的,达到密评的要求。“重”改造需要信息系统厂商具备比较强的密码能力(要了解基础密码服务接口的调用方式和逻辑,可能还要实现安全的密钥管理),从现状来看具备这种能力的信息系统厂商是少数的。而且还可能因为信息系统厂商密码能力的不专业,从而导致密码使用的正确性和有效性得不到保证。

由于基础密码服务厂商提供的是产品级服务,而不同行业甚至不同用户的信息系统是不尽相同的,所使用的的密码服务也可能是有区别的。这就会导致用户需要花更多的精力去协调基础密码服务厂商和信息系统开发商,甚至出现扯皮现象,最终事倍功半,不是密改的最优方案。

密改是一件需要信息系统厂商和密码厂商共同参与的事情,“免”改造方案和“重”改造方案分别走向了两个极端,一种是完全由密码厂商主导,一种是完全由信息系统开发商主导。

五、“易”改造才是王道

“易”改造方案是密码厂商站在信息系统厂商的角度去考虑和设计符合密评要求的定制密码服务产品,同时提供针对性的密改分析对接服务。定制密码服务产品具有应用接口标准化、应用对接轻量化的特点,修改几行代码或调用几个接口即可实现国密改造,从而简化信息系统开发商的应用改造难度。

该方案针对密码应用所要求的真实性、机密性、完整性和不可否认性,分别提供相应的身份认证服务、数据加解密服务、数据可信服务等。提供这些密码服务的密码产品也具有相应的商用密码产品认证证书,其合规性、正确性和有效性都经过了专业的检测认证。

如果将密改比作做一道菜,那“免”改造方案就是街边小摊,经济又方便但是往往难保口味、质量和安全;“重”改造则是只提供原材料给用户,离出菜上桌着实还隔着不少工序,做出来口味也是冷暖自知了;而“易”改造,就是预加工和现烹制灵活组合的营养餐,搭配均衡,可咸可甜,为用户呈上一份合规、安全、有效的密改大餐。

六、总结

通过对以上几个密改技术路径的分析,我们可以推断出,“免”改造和“重”改造分别走了两个偏颇路线,“易”改造才是正确且有效的路径和方法。海泰方圆在多年技术和工程实践中沉淀的“易”改造密码应用解决方案,通过采用专业、合规的密码产品,全面适配信创环境,并充分支持信创应用迁移,可以帮助用户实现用户信息系统的快速密改,并顺利圆满通过密评。

申请创业报道,分享创业好点子。点击此处,共同探讨创业新机遇!

相关标签
数据安全

相关文章

  • 从“毕业生盗取学生信息”事件,看高校数据安全的六个问题、三个关键

    这两天,一则#盗学生信息人大毕业生被刑拘#新闻冲上热搜,引发热议。中国人民大学毕业生马某,在读硕士研究生期间通过非法技术手段,盗取了近几届学生的个人信息,并制作成网页供任何人随意浏览,甚至能够给该校女学生的颜值打分。*据网上爆料,这个名叫“RUCIRFACE”的颜值打分网站疑似包含了该校从2014级

    标签:
    数据安全
  • 2023美创科技百城巡展|首站北京迎来新老朋友,百家聚势共拓数安蓝海

    “新起点新战略共赢数安蓝海”2023年4月在首届渠道高峰论坛上美创通过一系列革新之举传递了坚定渠道化战略的决心2023年5月步履不停,加速渠道战略下沉与全国各地伙伴更深入沟通,互信赋能美创2023百城巡展正式启航5月23日,美创2023百城巡展·北京首站成功举办,100余家北京区域合作伙伴相聚,同奏

    标签:
    数据安全
  • 瑞数信息加入UOS主动安全防护计划(UAPP),构筑可信可控的数字安全屏障

    近日,由统信软件与龙芯中科联合主办,电子工业出版社华信研究院与北京信息化协会信息技术应用创新工作委员会支持的“2023通明湖论坛信息技术基础底座创新发展分论坛”在北京正式举办。会上,UOS主动安全防护计划(UAPP)2023授牌仪式正式举行,瑞数信息正式成为UAPP成员单位。UAPP授牌仪式当前,以

    标签:
    数据安全
  • 海泰方圆《数字政府密码应用与数据安全合规性建设指南》顺利通过评审

    近日,海泰方圆《数字政府密码应用与数据安全合规性建设指南》(以下简称《指南》)顺利通过专家评审。会议邀请来自中国信息协会、北京电子科技学院、中国电子技术标准化研究院、中国科学院信息工程研究所、水利部信息中心的专家对该《指南》进行评审。作为牵头编写企业,海泰方圆高级副总裁Zoe柳及数据安全事业部总经理

    标签:
    数据安全
  • 数字中国丨闪捷信息受邀出席,全栈数据安全能力广受关注

    4月27日,由国家网信办、国家发改委、工信部、福建省人民政府主办的第六届数字中国建设峰会在中国福州举办。该峰会旨在通过政策发布、经验交流、成果展示等方式,推动交流互鉴,促进开放合作。闪捷信息受邀出席本届峰会发表主题演讲,全面展示全栈数据安全技术与服务能力。【主题展区】本次闪捷信息的主题展区以云·管·

    标签:
    数据安全

热门排行

信息推荐