密码专家刘平关于密码应用方案设计的思考

• 国密应用研究院
• 2021-04-23

随着近年密评工作的推进，“密码应用方案”已成为责任单位、承建单位和测评单位关注的一个重点：

各相关单位是信息系统密码部署和建设的重要依据。

是对信息系统开展密评工作的重要依据。

是建立信息系统密码管理策略和制度的重要依据。

也是判定“宜”是否适用的重要依据。

关于“密码应用方案”究竟应该如何写，写到什么程度，业界正展开深入讨论，相关标准也在编制过程中。

在“2021‘因密而安’密码大兴峰会”上，密码专家刘平在会上做了“密码应用方案——落实GB/T 39786要求的基础条件”的主题演讲。刘平首次系统提出了根据责任主体不同分别设计方案的思路：针对计算平台环境，设计密码解决方案；针对密码支撑环境，设计密码支撑方案；针对各类业务系统，设计密码应用方案。

现将刘平演讲的PPT内容分享给各位密友，以期共同学习探讨。其中内容仅为专家个人意见，未有任何官方指导。

密码应用方案——落实GB/T 39786要求的基础条件

密码应用方案的作用

是信息系统密码部署和建设的重要依据。

是对信息系统开展密评工作的重要依据。

是建立信息系统密码管理策略和制度的重要依据。

也是判定“宜”是否适用的重要依据。

GB/T 39786的相关要求

应根据密码相关标准和密码应用需求，制定密码应用方案。

应根据密码应用方案确定系统涉及的密钥种类、体系及其生存周期。

应根据密码应用方案建立相应密钥管理规则。

应按照应用方案实施建设。

密码应用方案的设计原则

依照GB/T 39786，结合信息系统的实际情况进行设计

总体性原则---顶层设计，明确定位。

科学性原则---整体规划，合理布局。

完备性原则---符合要求，满足需求。

可行性原则---切合实际，便于实现。

应根据责任主体不同分别设计方案

针对计算平台环境，设计密码解决方案。

针对密码支撑环境，设计密码支撑方案。

针对各类业务系统，设计密码应用方案。

01、密码解决方案

目的：使用密码技术，保障平台安全。

范围：按照GB/T 39786 中针对物理和环境安全、网络和通信安全、设备和计算安全提出的要求，结合信息系统具体环境、等级和需求设计。属于平台的资产，且/或对应用透明的服务，也在该方案中设计。

对象：

门禁/监控数据

对外通信信道加密

计算机操作系统/数据库访问控制策略

运维人员的身份和权限管理数据

运维日志记录

远程设备接入认证

跨平台数据交换

为业务系统统一提供的存储服务和云桌面服务等

主要内容：

密码服务机构的选择，服务内容和服务策略。

密码产品清单、部署位置、配置和使用策略。

密码设备管理员的设置和权限。

密码设备的密钥配置和密钥更新、备份、恢复、介质保管等策略。

远程设备接入的认证机制、数据加密机制。

运维人员登录的认证机制、人员信息和权限的保护机制。

运维日志记录的保护机制。

各机制实现的数据结构。

各机制遵循的标准。

02、密码支撑方案

目的：为平台上的各类应用提供密码支撑。

范围：

为应用提供密码功能服务。

为用户提供密码资源调度。

为租户提供密钥管理支持。

主要内容：

密码服务机构的接入方式和服务策略。

支持的密码体制和密码算法，例如：

PKI/证书体制SM2/3/4

PKI/标识体制SM9/3/4

对称密钥/主密钥体制SM1/4

支持的密码支撑方式，例如：

租密码机方式

租密码服务器方式

租密码服务方式

提供的密码功能，例如：

实体鉴别

签名验签

加密解密

时间戳

电子印章

接口和功能遵循的标准，例如：

GM/T 0019- 通用密码服务接口规范

GM/T 0020- 证书应用综合服务接口规范

GM/T 0033- 时间戳接口规范

GM/T 0029- 签名验签服务器技术规范

GM/T 0031- 安全电子签章密码技术规范

GM/T 0032- 基于角色的授权管理与访问控制技术规范

GB/T 15843- 信息技术 安全技术 实体鉴别

按照规划部署密码资源，例如：

全网统一部署

分部门散装部署

密码资源接入平台的方式，例如：

以独立的形态，不占用平台的任何资源。

非独立的形态，借用或租用平台的计算资源、网络资源。

密钥管理机制，可选择：

租户自行管理，支撑平台提供管理界面。

租户委托支撑平台代管。

支撑平台的自身安全性设计，包括：

密钥安全

访问安全

管理安全

租户间的隔离安全

设计要点：一般情况下，不要与密码解决方案共用密码资源，至少在逻辑上和管理上要分开。

03、密码应用方案

目的：使用密码功能，解决应用安全问题

范围：每一个应用（业务）系统都应设计自己的密码应用方案，按照GB/T 39786中应用和数据安全提出的要求，结合应用系统具体需求设计。

主要内容：

确定密码体制。

梳理业务流程，根据流程安全需求，为关键环节设计保护机制。

梳理业务数据，根据数据安全需求，为重要数据设计保护机制。

梳理管理对象（如文件、证照、票据、病历、采集的数据、控制指令等），根据安全需求，为其设计安全机制。

根据角色和访问控制，为其权限和访问策略等数据设计保护机制。

根据审计策略，为日志记录设计安全机制。

为角色分配密钥，明确密钥载体，设计系统的密钥管理策略。

可遵循的密码标准，如：

数据加密，GB/T 17964 信息安全技术 分组密码算法的工作模式

加密及签名数据格式，GB/T 35275 信息安全技术 SM2密码算法加密签名消息语法规范

使用的数字证书，GB/T 20518 信息安全技术 公钥基础设施 数字证书格式规范

针对文件系统，GM/T 0055 电子文件密码应用技术规范

设计要点：

所有的保护机制，用到加密的，应指明加密算法、加密模式（包括填充模式）、密钥属性等。

所有的保护机制，用到签名的，应指明签名算法、签名机制（签什么，谁来签，签在哪）。

所有的保护机制，都会改变被保护对象原有的数据结构，应设计带安全机制的数据结构。

实现保护机制用到的密码功能，由密码支撑方案提供。

用户登录的身份鉴别功能，由密码支撑方案提供。

一般情况下数据传输安全和存储数据安全，由密码解决方案负责，有单独需求或平台没有提供的，可在本方案中设计信源加密。

一般情况下确定了密码体制，就确定了密钥体制，方案中只需要关注密钥由谁产生，给谁用，何时用，何时更换，谁负责备份，谁负责保管备份材料，怎么保管，什么情况下恢复，恢复的流程等，统称为密钥管理策略。

举例－电子票据对象

安全需求：

电子票据的真实性－权威的发行机构

指定的票据签发人－谁可以填写票据

指定的票据使用人－票据开给谁

票据内容的完整性－开出后不可篡改

票据签发人对开出的票据及内容不可否认

非票据签发人开出的票据无效

非票据的使用人不能使用该票据

安全机制设计——票据的数据结构：

举例-企业信用红黑库管理系统

梳理出的密码需求

进库的依据---来源的真实性完整性非否认性

进库的内部审核批准---流程和行为抗抵赖

入库的操作---行为抗抵赖

信息发布到政府网站---信息的真实性完整性

防止私下违法操作---日志记录的真实性完整性

根据需求设计的方案：

采用PKI/证书密码体制，给机构和内部人员发数字证书

设计了各种保护机制、数据结构和密钥管理策略。

使用平台提供的密码资源和功能

统一身份鉴别、签名验签、时间戳、数据存储服务

内外两个平台间的数据交换服务

总结

按资产及职能划分责任主体，分别设计方案，则方案的针对性强，适用性好。

从上述介绍可以看到：

第一类方案可以套路化，形成套路后方案的变化只是产品和部署。

第二类方案可以产品化，形成产品后方案的变化只是形态和接入。

第三类方案只能个性化，但它是解决信息系统应用安全的关键。

来源：刘平

注：内容均来源于互联网，版权归作者所有，如有侵权，请联系告知，我们将尽快处理。