各位读者朋友大家好,网络安全等级保护2.0国家标准的发布,是具有里程碑意义的一件大事,标志着国家网络安全等级保护工作步入新时代。最近,经常有粉丝在后台回复想了解等保2.0与密码应用的相关内容,为此我们特邀业内专家开展一期“从等保2.0看密码应用”的专业内容。

目录&概要

前言

里程碑意义的一件大事。

等保2.0特点

等保2.0标准在对等保1.0标准进行优化的同时,针对云计算、物联网、移动互联网、工业控制、大数据新技术应用提出了新的安全扩展要求。

新标结构变化

等保2.0基本要求中的通用要求与旧标1.0技术要求相比,其结构变化(不含管理要求和扩展要求)大致可归纳为“分解+融合”。图解说明。

等保2.0设计要求

各领域等级保护安全技术设计框架,图解。

网络安全等级保护中的密码技术

在网络安全等级保护中,与密码应用相关的基本密码技术包括哪几种。

等保2.0启示录

新标准给从事信息安全的企业带来的机遇。

1 前言

自2019年5月16日由公安部三所主办的网络安全等级保护2.0国家标准宣贯会以来,网络安全等级保护2.0持续受到社会广泛关注。网络安全等级保护2.0国家标准的发布,是具有里程碑意义的一件大事,标志着国家网络安全等级保护工作步入新时代。这次发布的等保2.0新标准包括了最为核心的三个标准:基本要求、设计要求和测评要求。今后,将有另外两个标准被发布,分别是实施指南与定级指南。

2 等保2.0特点

1)相比等保1.0,等保2.0新标准名称由原来的信息系统安全等级保护更名为网络安全等级保护,名称的变化使其与《网络安全法》保持一致,体现习总书记“没有网络安全就没有国家安全”的战略思想。

2)等保2.0标准在对等保1.0标准进行优化的同时,针对云计算、物联网、移动互联网、工业控制、大数据新技术应用提出了新的安全扩展要求,新标准覆盖了新的技术和应用场景,将云计算、物联网、移动互联网、工控系统、大数据等纳入了标准范围之内,构成了“安全通用要求+新型应用安全扩展要求”的要求内容(其中,大数据应用要求作为资料性附录)。3) 等保2.0基本要求、设计要求和测评要求新三标框架统一,形成了“安全通信网络”、“安全区域边界”、“安全计算环境”和“安全管理中心”的一个中心三重防御的安全架构。4)态势感知纳入等保2.0安全框架。习近平在“4.19讲话”(2016年4月19日网信工作座谈会上的讲话)中要求“全天候全方位感知网络安全态势”,并指出“感知网络安全态势是最基本最基础的工作”。在等保2.0的安全框架当中,加入了态势感知,体现了等保新标与时俱进的时代特征。5)可信计算技术贯穿新标的各个环节,从一级开始到四级全部提出了可信验证空间。新旧标安全要求所采用的技术控制点基本相同,主要有:身份鉴别、完整性保护、机密性保护、访问控制、安全审计、入侵防范、恶意代码防范、剩余信息保护等,其中最大的区别是新标中加入了可信验证。

3 新标结构变化

等保2.0基本要求中的通用要求与旧标1.0技术要求相比,其结构变化(不含管理要求和扩展要求)大致可归纳为“分解+融合”。所谓分解是指新标将旧标的网络安全分解为安全通信网络与安全区域边界,并加入了可信验证要求。所谓融合是指新标将旧标的主机安全、应用安全、数据安全与备份恢复融合为安全计算环境,并加入了可信验证要求。其变化图表如下所示。

4 等保2.0设计要求

1)网络安全等级保护安全技术设计框架

2)云计算等级保护安全技术设计框架

3)移动互联等级保护安全技术设计框架

4)物联网等级保护安全技术设计框架

5)工业控制等级保护安全技术设计框架

5 网络安全等级保护中的密码技术

在网络安全等级保护中,与密码应用相关的基本密码技术包括以下几种:

1)数据加密技术

加密的目的是实现数据机密性保护。加密算法分为两大类。一类是对称密钥密码算法,其加密密钥和解密密钥相同,或者可以彼此互相推导出来。另一类是非对称密钥密码算法,即公钥密码算法,数据加密和解密时使用不同的密钥,一个是公开的公钥,一个是由用户秘密保存的私钥,已知私钥,可推导出公钥,但已知公钥,无法推导出私钥。

对称密码算法具有速度快的优点,公钥密码算法效率低,其运算速度比对称密码算法慢,因此,一般很少用公钥密码算法加密实际数据,公钥密码算法常用于数字签名和对较少的信息进行加密,如对密钥进行加密。在数据通信传输中,采用对称密码算法加密数据时,常需事先协商对称密码算法的密钥,密钥协商有多种方式,常采用公钥密码算法进行密钥协商。基于对称密码算法和公钥密码算法各自的特点,数字信封加密技术广受青睐,它是一种采用公钥密码算法和对称密码算法相结合的加密技术。

为了保障商用密码安全,国家密码管理局制定了一系列密码算法标准,包括SSF33、SM1(SCB2)、SM2、SM3、SM4、SM7、SM9、祖冲之密码算法等。其中SM2、SM9为非对称密码算法,SM3为摘要算法,其余均为对称密码算法。对称密码又可分为分组密码和序列密码。其中,SM1、SM4、SM7为分组密码,分组长度和密钥长度均为128比特。SM1算法不公开,常存在于密码芯片中,常用于电子政务、电子商务,如国家政务通,警务通等。SM4算法公开,是国密算法中使用最为广泛的加密算法。SM7算法未公开,适用于非接触类IC应用,包括身份识别类应用(门禁卡、身份证、参赛证等)。祖冲之密码算法是序列密码算法,用于移动通信4G网络,也是国际标准密码算法。在网络安全等级保护中,所采用的数据加密算法应为国密算法。

2)完整性检验技术

数据完整性检验是保证数据在存储、传输、处理过程中真实有效和一致性。其方法是:在发送端应用密码技术(一般为带密钥的安全散列算法)对信息数据压缩产生一个附件,该附件通常较短,然后将该附件连同信息一起发送出来。在接收端对接收到的信息数据使用同样的密钥和算法产生附件,并将产生的附件与从发送端接收到的附件进行比较;如果两个附件相同,则认为收到的信息数据是完整的。

完整性检验有时称为消息认证,其附件常称为完整性校验值或消息认证码(MAC)、消息摘要、密码检验和、散列码等。

3) 数字签名技术

数字签名是指签名者利用自己的私钥通过签名算法对欲保护的数据进行签名生成签名值,签名值常附着在原文上一起发送。接收方利用签名者的公钥通过验签算法对其进行验证。目的是提供数据完整性保护和抗否认功能。

数字签名有两种实现方式:一种是对整体信息进行签名,另一种是对信息经散列算法(也称杂凑算法或摘要算法)压缩后的定长散列码(也称杂凑值或摘要值)进行签名,常见的一般是后者。

数字签名与消息认证不同,消息认证使收方能验证消息发送者是谁及所发消息是否被窜改,当收发者之间没有利害冲突时,只对防止第三者破坏就足够了。但是,当收发双方有利害冲突时,单是消息认证技术就无法解决他们之间的纠纷,此时就必须采用数字签名了。

数字签名算法国际上有基于RSA的数字签名算法(如DSA)和基于ECC数字签名算法(如ECDSA)。国家密码管理局制定了基于ECC的数字签名算法即SM2签名算法,其中采用的摘要算法是国密摘要算法SM3。在网络安全等级保护中,所采用的签名算法和摘要算法应分别为SM2签名算法和SM3算法。

关于数字签名,需要特别说明的是,这里存在一个极大的误区,相当一部分人认为:签名就是利用签名者的私钥对摘要值进行加密,其加密结果就是签名值,验证签名就是用签名者的公钥解密被加密的摘要值,然后用摘要算法对原数据进行摘要生成新的摘要值,与解密的摘要值比对,两者相同,则验签正确,不同,则验签失败。表面上看,好像合乎逻辑,但是,很可惜,这种说法是错误的,目前百度百科中对数字签名的解释也存在同样的误解。

其实,数字签名调用的不是加密算法,它不是对摘要值进行加密生成数字签名,它是通过调用数字签名算法生成数字签名。验证签名调用的也不是解密算法,它不对摘要值进行解密,验证签名调用的是验签算法,验证签名过程不是比对摘要值的过程。

2012年国家密码管理局发布了SM2公钥密码算法,它包括《M/T 0003.2-2012 SM2 椭圆曲线公钥密码算法第2部分:数字签名算法》、《M/T 0003.4-2012 SM2 椭圆曲线公钥密码算法第4部分:公钥加密算法》等,SM2数字签名算法与SM2公钥加密算法是两组不同的算法,其数字签名算法中定义了数字签名生成算法和数字签名验证算法(验签算法),进行SM2数字签名时,必须采用SM2算法中定义的数字签名生成算法生成数字签名,进行SM2签名验证时,必须采用SM2算法中定义的数字签名验证算法进行签名验证。签名时,以SM2加密算法对摘要值加密,把加密结果作为签名值,这种做法是错误的。

4)身份鉴别技术

身份鉴别也称身份认证或身份验证,是指在计算机及计算机网络系统中确认操作者身份的过程,从而确定该用户是否具有对某种资源的访问和使用权限,进而使计算机和网络系统的访问策略能够可靠、有效地执行,防止攻击者假冒合法用户获得资源的访问权限,保证系统和数据的安全,以及授权访问者的合法利益。身份鉴别技术在实现上常有基于口令、密码技术、生物技术等不同方法。在网络安全等级保护中,常需采用两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中至少有一种鉴别技术应采用密码技术来实现。

(1)基于口令的鉴别方式

基于口令的认证方式是最简单的一种技术。安全性仅依赖于口令,口令一旦被泄露,用户即可能被冒充。这种鉴别方式,其安全性低。

(2)基于智能卡的鉴别方式

智能卡/usbkey具有硬件加密功能,有较高的安全性。这是一种基于公钥密码的身份认证技术,智能卡/usbkey中常保存着用户的证书(公钥)和密钥(私钥)。

(3)基于生物特征鉴别方式

这种认证方式以人体生物特征(如指纹、虹膜、脸部、掌纹等)为依据,采用计算机的强大功能和网络技术进行图像处理和模式识别。目前常用的生物识别主要有:指纹识别、虹膜识别、人脸识别、声纹识别。

(4)一次性口令鉴别方式

为解决固定口令的问题,安全专家提出了一次性口令(OTP:One Time Password)的认证方式。OTP核心思路是在登录过程中加入不确定因素,使每次登录过程中传送的信息都不相同,以提高登录过程安全性。

(5)短信密码验证身份认证系统以短信形式发送随机的6位密码到客户的手机上,客户在登录或者交易认证时候输入此动态密码,从而确保系统身份认证的安全性。

6 等保2.0启示录

等保 2.0 系列标准将推动《网络安全法》对于等级保护要求的落地,同时企业自查和合规需求逐渐增多,合规性检查服务日渐兴起,这是新标准给从事信息安全的企业带来的机遇。

各安全企业需结合等保2.0要求通过产品创新,开发满足等保新标的安全产品,通过方案升级,向客户提供满足等保2.0要求的全新的解决方案,为客户提供更好的网络安全服务,建设合规有效的安全体系。等保2.0的实施也会遇到挑战,主要困难是可信验证的落地。这需要相关的硬件厂商、软件厂商、安全服务商共同努力,把可信验证、可信计算这方面的产品产业化,从而更有效地支撑新标准。作为安全企业,一是要向客户宣讲好等保2.0,以获取(更多)等保改造项目;二是方案升级、产品创新,以满足等保2.0要求;三是与其他企业协作,优势互补,共同完成等保项目建设,实现共赢。

等保2.0时代,密码人的春天要来了!

声明:本文来自密码头条,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。