商用密碼在政務外網的應用思考
密碼技術是網路安全的基礎和核心,商用密碼技術作為國家自主可控的核心技術,在維護國家安全、促進經濟發展、保護人民群眾利益中發揮著不可替代的重要作用。
背景
黨的十八大以來,黨和國家一直致力於在金融和重要領域推進商用密碼應用。特別是「稜鏡門」等事件的出現,暴露出信息化基礎設施主要依賴國外產品和技術所面臨的巨大隱患。長期以來,我國一些重要領域和行業廣泛採用國際通用密碼演算法,如 DES、3DES、AES、RSA、
SHA-1、MD5 等,且在很多演算法已經被攻克被證明是不安全的情況下仍然長期使用,給信息和網路安全造成巨大隱患。因此,加快實現商用密碼首先在關鍵重要領域的全面落地,是迫在眉睫的事情。
國家電子政務外網(以下簡稱「政務外網」)作為我國電子政務重要公共基礎設施,是國家關鍵信息基礎設施之一。政務外網運行了很多關係國計民生的業務系統,存儲、流轉的很多數據較敏感或涉及個人隱私信息。因此,保障政務外網安全對我國政治、經濟、生產和生活等各方面至關重要。
目前政務外網在網路、應用和數據等方面均在一定程度上採用了密碼技術進行防護,增強了網路安全。但仍存在採用國際通用密碼演算法的情況,特別是有些應用開發商對網路和信息安全特別是密碼技術的認識和理解不足,仍在採用 RSA、MD5 已被披露有重大安全隱患的密碼演算法,甚至是不採用密碼演算法。
隨著政務外網的基礎作用越來越明顯,必須以商用密碼作為基礎支撐和核心能力,切實提升政務外網網路安全保障能力,才能有效支撐國家在經濟調節、市場監管、社會管理和公共服務等方面的需要,為政府深化「放管服」改革、開展「互聯網 + 政務服務」、提升國家治理能力等保駕護航。
政務外網商用密碼應用現狀
商用密碼發展歷程
商用密碼發展歷程黨中央、國務院高度重視商用密碼工作,成立了專業管理機構、協調小組等,出台了一系列政策法規、制度文件。關鍵節點包含:
? 1999 年 10 月國務院頒布《商用密碼管理條例》。
? 2002 年 成 立 了 國 家 密 碼 管 理 局 商 用密碼管理辦公室。
? 2007 年發布了《信息安全等級保護商用密碼管理辦法》。
? 2012 年,國家成立了「金融領域商用密碼應用推進工作協調小組」,金融領域先後開展了兩批試點專項,取得了良好的成效,為在重要領域推進商用密碼應用奠定了重要基礎。
? 2016 年《網路安全法》正式頒布,2017年出台了《密碼法(草案徵求意見稿)》。《密碼法》第十二條規定「關鍵信息基礎設施應當依照法律、法規的規定和密碼相關國家標準的強性要求使用密碼進行保護,同步規劃、同步建設、同步運行密碼保障系統。」,第十八條規定「國家對關鍵信息基礎設施的密碼應用安全性進行分類分級評估,按照國家安全審查的要求對影響或者可能影響國家安全的密碼產品、密碼相關服務和密碼保障系統進行安全審查。」。
? 2017 年發布了《商用密碼管理條例》(修訂稿),強化了密碼應用要求,突出對關鍵信息基礎設施及網路安全等級保護三級以上信息系統的密碼應用監管,實施商用密碼應用安全性評估和安全審查制度。
? 2017 年 6 月協調小組調整為「國家金融和重要領域商用密碼應用推進工作協調小組」,並同步起草《關鍵信息基礎設施安全保護條例》。
《網路安全法》、《密碼法》、《商用密碼管理條例》、《網路安全等級保護條例》、《關鍵信息基礎設施安全保護條例》等法律法規,使得商用密碼使用由行政推進向依法規範應用轉變。
目前,國家層面、各省、各部門正緊緊圍繞「力爭到 2020 年實現商用密碼在面向公眾的政務信息系統、基礎信息網路、重要信息系統和重要工業控制系統中的全面應用」的總體目標推進各項工作。
商用密碼技術基本情況
為保障商用密碼安全, 國家密碼管理局商用密碼管理辦公室制定了一系列的密碼標準,包 括 SSF33、SM1(SCB2)、SM2、SM3、SM4、SM7、SM9、祖沖之密碼演算法等。其中,SSF33、SM1、SM4、SM7、祖沖之密碼演算法是對稱演算法,SM2、SM9 是非對稱演算法,SM3 是雜湊演算法。
目前已公布的演算法包括 SM2 橢圓曲線公鑰密碼演算法、SM3 密碼雜湊演算法、SM4 分組密碼演算法、SM9 標識密碼演算法等。
SM2 橢圓曲線公鑰密碼演算法
SM2 演算法是一種基於橢圓曲線原理實現的非對稱演算法,是國際 ECC 演算法的優化。SM2 演算法總體安全性和性能方面與 ECC 演算法一樣,是目前已知的公鑰體制中加密強度最高的一種演算法。SM2 密鑰長度為 256 比特,與 RSA1024 相比安全性具有明顯優勢。
SM3 密碼雜湊演算法
SM3 雜湊演算法功能與 SHA-1、MD5 相同,雜湊值長度 256 比特。此演算法對輸入長度小於2 的 64 次方比特的消息,經過填充和迭代壓縮,生成長度為 256 比特的雜湊值,其中使用異或、模、模加、移位、與、或、非運算,由填充、迭代過程、消息擴展和壓縮函數所構成。該演算法適用於數字簽名和認證、消息認證碼的生成與驗證以及隨機數的生成。
SM4 分組密碼演算法
該演算法是分組對稱演算法,分組長度為 128比特,密鑰長度 128 比特。加密演算法和密鑰擴展演算法均採用 32 輪非線性迭代結構。解密演算法與加密演算法結構相同,知識輪密鑰使用順序相反,是加密輪密鑰的逆序。
SM9 標識密碼演算法
SM9 是一種基於身份標識的公鑰密碼演算法,與傳統公鑰密碼體系相比,標識密碼將用戶的標識(如郵件地址、手機號碼、QQ 號碼等)作為公鑰,省略了交換數字證書和公鑰過程。
在國家密碼管理局商用密碼管理辦公室的推動下,經過多方共同努力,SM2、SM3、SM4和 SM9 演算法已向成為國際標準實質性邁進。
政務外網商用密碼應用基本情況
政務外網一直積極響應國家商用密碼的推進計劃,在不少方面已經實現了商用密碼改造和業務推進。比如政務外網公共安全基礎支撐方面,政務 CA 自 2007 年建設,目前已基本覆蓋全國各省、自治區和直轄市。除此之外,部分省市還部署有地方 CA 系統。政務 CA 在建設之初,僅支持 RSA 密碼演算法。經過技術發展,1024 位 RSA 演算法的安全性面臨極大挑戰。根據國家政策要求,政務外網升級建設了支持商用密碼演算法的密鑰管理中心基礎設施,並對政務CA 的密碼演算法進行了改造,目前政務 CA 支持RSA1024、RSA2048 和 SM2 多種密碼演算法,並已協調部分應用完成演算法升級工作。
隨著斯諾登事件和「郵件門」事件的曝光,我國黨政部門也越來越意識到郵件安全的重要性。政務外網部署的安全郵件系統,採用新的SM9 標識密碼演算法實現郵件的安全交互,為政務部門人員之間的郵件往來增加了安全保障。
在政務外網移動接入辦公系統中,也同樣使用了商用密碼進行人員的安全認證和傳輸通道的安全防護,為政務外網的擴展和移動業務提供了安全保障。
很多公共應用和部門專有應用系統,均採用了商用密碼演算法進行保護,為應用安全和數據安全提供了有力的支撐。
政務外網雖然在商用密碼應用和推進上取得了不少成績,但由於網路龐大、建設管理主體相對分散、技術實現差異、建設進度不一等因素,目前離商用密碼的全面應用尚有很大一段差距。
商用密碼在政務外網深入應用的思考
隨著新技術的發展,全國一體化大工程的建設,如政務雲的全面建設和使用、政務信息資源整合共享、「互聯網 + 政務服務」、大數據戰略等行動計劃的實施落地,商用密碼也將會發揮越來越大的作用,同時一些傳統的密碼解決方案和思路已不能完全滿足新形勢和新技術應用的需求。因此,有必要再次從密碼這個基礎出發,探討在政務外網全面應用推廣的思路。以下就探討如何構建政務外網密碼基礎支撐能力,以及政務外網幾種典型應用場景下,商用密碼如何發揮最大效能。
密碼基礎支撐能力思考
中央政務外網已構建了密鑰管理基礎設施,但部分地方省份尚未構建本省的密鑰管理基礎設施,因此,尚未建設本省密鑰管理基礎設施的省份需要進行統一規劃,統一建設實施。密鑰管理基礎設施包括對稱密鑰管理子系統、非對稱密鑰管理子系統、密碼合規性管理子系統、密碼應用有效性管理子系統等,所配用的密碼演算法應包括 SM2 橢圓曲線密碼演算法、SM3 雜湊演算法、SM4 分組密碼演算法等。
同時,由於政務外網雲平台、各接入網路、業務應用等都需要使用身份認證、許可權管理、訪問控制、加解密等安全的密碼服務。面對廣泛的密碼服務需求,可在密鑰管理基礎設施和電子認證基礎設施基礎上,設計建設統一的可信密碼服務,提供可信時間、認證服務等信任服務、應用密鑰管理服務以及簽名 / 驗簽 / 加密/ 解密等基礎密碼運算服務。考慮到虛擬化的發展趨勢,可信密碼服務也應支撐虛擬化部署方式,實現密碼服務資源的按需分配、彈性調整、密鑰隔離等。
政務雲密碼應用思考
政務雲建設完成後,可能面臨大量的網路攻擊,面臨數據竊取、身份假冒等常規安全威脅和雲應用帶來的新型安全威脅和挑戰,需要採用密碼技術解決邊界接入認證、數據加解密和可信身份認證。
政務雲業務平台密碼應用應遵從《信息安全技術網路安全等級保護基本要求第 2 部分:雲計算安全擴展要求》、《信息安全技術網路安全等級保護安全設計技術要求第 2 部分:雲計算安全要求》及結合政務雲平台的實際情況,從資源層、服務層、雲業務平台密碼應用(雲計算環境安全)、雲安全管理密碼應用、政務雲可信接入(區域邊界)密碼應用、安全通信網路、用戶層安全密碼應用、政務雲災備中心密碼應用等幾個層面分別對不同層次中的主機、網路、數據存儲安全等進行考慮。
雲業務平台密碼應用
雲業務平台密碼應用即等級保護中的計算環境安全密碼應用,是政務雲密碼應用的重點,依據云平台的相關規範,將雲平台劃分為資源層和服務層。
1) 資源層包括物理資源層安全密碼應用、資源抽象層(虛擬資源)安全密碼應用兩部分。
物理資源層安全密碼應用指雲平台的物理資源底層密碼應用,包括但不限於物理網路安全密碼應用、主機安全密碼應用、數據及災備安全密碼應用等幾個方面。
網路安全密碼應用須依據政務雲不同的安全需求,實現以下部分或全部功能要求:
? 實現不同雲租戶之間網路資源的隔離;
? 避免虛擬機通過網路非授權訪問宿主機;
? 在虛擬化網路邊界部署訪問控制機制,並設置訪問控制規則;
? 對遠程執行特權命令進行限制;
? 根據承載的業務系統安全保護等級劃分不同安全級別的資源池區域,並實現資源池之間的安全隔離。
主機安全密碼應用涉及到身份鑒別、數據加解密、日誌保護等方向,根據不同的安全需求,部分或全部包含以下功能:
? 確保只有在雲租戶授權下,雲服務方或第三方才具有雲租戶數據的管理許可權;
? 提供雲計算平台管理用戶許可權分離機制,為網路管理員、系統管理員建立不同賬戶並分配相應的許可權;
? 防止或及時處理非授權新建虛擬機或重新啟用虛擬機的情況;
? 提供虛擬機鏡像、快照完整性校驗功能,防止虛擬機鏡像被惡意篡改;
? 採取加密或其他技術手段防止虛擬機鏡像、快照中可能存在的敏感資源被非法訪問。數據安全密碼應用泛指用於在數據讀取、使用或存儲時對數據的機密性和完整性等進行保護的密碼應用。部分或全部包含以下功能:
? 經過授權的雲租戶才能進行數據讀取或存儲操作;
? 實現數據的加密存儲,避免數據泄露;
? 確保數據在使用中的安全性和完整性。
資源抽象層(虛擬資源)安全密碼應用在物理層之上,由雲平台將物理層資源抽象層虛擬資源提供政務雲用戶使用的密碼應用。包括但不限於雲操作系統安全、虛擬網路資源安全、虛擬主機資源安全及分散式存儲安全等多個層面的密碼應用。
雲操作系統安全密碼應用泛指用於在雲平台資源抽象層保護雲操作系統的系統安全和數據安全,以及管理安全等的密碼應用。
政務雲平台組成多個虛擬網路,對虛擬網路主要採用數字簽名技術、完整性保護技術,對雲平台管理指令進行鑒別,防止非授權管理指令更改虛擬網路設備配置。對虛擬網路的安全密碼應用可採用基於虛擬機設備證書的認證技術,對接入虛擬網路設備的虛擬機進行鑒別,防止非授權虛擬機接入虛擬網路。
虛擬主機資源安全密碼應用泛指對虛擬機鏡像文件生成、遷移和存儲進行安全保護的密碼應用。根據安全需求不同,應做到以下部分或全部安全功能:
? 屏蔽虛擬資源故障,某個虛擬機崩潰後不影響虛擬機監視器及其他虛擬機;
? 保證虛擬機僅能遷移至相同安全等級的資源池;
? 提供虛擬機鏡像、快照完整性校驗功能,防止虛擬機鏡像被惡意篡改;
? 採取加密或其他技術手段防止虛擬機鏡像、快照中可能存在的敏感資源被非法訪問。雲環境下的數據存儲一般採用分散式存儲,涉及到的安全問題有網路傳輸安全、存儲節點安全以及數據加密存儲。網路傳輸安全通過構建安全傳輸通道;存儲節點安全是指避免存儲數據的節點被非授權訪問,這一點通過加密、身份鑒別、訪問控制等手段實現;數據加密存儲是指數據在寫進磁碟前,需要對敏感數據進行加密,這樣即使磁碟中的數據被盜,也不會造成關鍵信息泄露。
2) 服務層將其劃分為三個子層:IaaS 層安全密碼應用、PaaS 層安全密碼應用、SaaS 層安全密碼應用三個層面。
IaaS 層安全密碼應用:在資源層將物理資源抽象後,以基礎設施的形式提供給政務雲用戶使用,在 IaaS 層的密碼應用包括但不限於用戶虛擬網路安全、用戶虛擬主機安全、用戶虛擬存儲安全、IaaS 層服務用戶接入安全等幾個層面。
PaaS 層安全密碼應用:在 PaaS 層需要使用的密碼應用包括但不限於分散式資料庫安全、可信應用支撐中間件、可信應用的註冊與驗證、雲密碼服務中間件等。
SaaS 層安全密碼應用:在 SaaS 層需要使用的密碼應用包括但不限於政務雲用戶訪問業務應用時的身份認證、訪問控制、電子印章、雲用戶數據安全、訪問業務應用時的遠程傳輸安全、SaaS 層服務用戶接入安全等。
區域邊界安全密碼應用
政務雲可信接入密碼應用是泛指用於保護用戶與雲平台之間、用戶與用戶之間、雲平台不同數據中心之間的接入安全的密碼應用,保障訪問者身份可信、許可權合法,以及資源節點可信。政務雲可信接入密碼應用產品根據所保護對象的不同,一般部署在用戶網路出 / 入口、雲平台網路出 / 入口以及雲平台各個數據中心出 / 入口。
政務雲可信接入密碼應用產品應根據不同的安全需求,實現以下部分或全部功能要求:
? 避免虛擬機直接通過網路非授權訪問宿主機;
? 在虛擬化網路邊界部署訪問控制機制,並設置訪問控制規則;
? 對遠程執行特權命令進行限制。
安全通信網路密碼應用
政務雲安全通信網路密碼應用是泛指用於保護用戶與雲平台之間、用戶與用戶之間、雲平台不同數據中心之間的數據傳輸安全性的密碼應用。安全通信網路密碼應用產品根據所保護對象的不同,一般部署在用戶網路出 / 入口、雲平台網路出 / 入口以及雲平台各個數據中心出 / 入口。
雲安全管理密碼應用
對雲平台自身,以及雲平台運營維護管理人員操作時,使用密碼保障管理、運營和運維過程中的全過程安全,主要通過身份認證、授權管理、許可權控制、數據遠程傳輸安全及密碼合規性管理等方面實現。
用戶層安全密碼應用
政務雲中包括兩種主要的應用場景,即各委辦廳局接入單位終端用戶密碼應用、政務雲同城備份中心密碼應用以及政務雲異地災備中心密碼應用。下面分別對這三種場景進行介紹:
1) 委辦廳局接入單位終端用戶密碼應用:各委辦廳局將業務應用遷移到政務雲環境後,或各委辦廳局直接訪問雲端統一的業務應用,均通過用戶終端或廋客戶端訪問政務雲業務。在此種環境下其密碼應用主要考慮委辦廳局網路的邊界安全、遠程傳輸安全、終端保存的數據安全等。
2) 政務雲同城備份中心密碼應用:需要考備份中心數據和政務雲交互時的遠程傳輸安全、數據在備份中心存儲時的數據保密性、完整性。
3) 政務雲異地災備中心密碼應用:政務雲災備中心建設於異地,此場景下主要考災備中心數據和政務雲交互時的遠程傳輸安全、數據在災備中心存儲時的數據保密性、完整性。
在密碼應用設計的同時,應當考慮雲平台架構的特殊性,盡量考慮虛擬化密碼應用模式。
信息資源整合共享密碼應用思考
信息資源整合共享的全面推進,政務外網接入部門各信息系統之間要實現全國一體化的數據共享交換,在打破信息孤島的情況下,也打破了原有信息系統防護邊界和責任相對獨立和明確的狀況。因此,既要實現數據交互的暢通,又要明確數據安全責任邊界,保障數據共享交換的安全,是政務信息資源整合共享全面推進和落實的基礎。
在依託商用密碼支撐政務信息資源整合共享全面落地方面,我們認為應當從以下幾個角度重點考慮:
(1)依託商用密碼在政務外網平台構建統一的數據安全支撐服務體系。在數據全面共享交換和大數據應用背景下,各接入部門自成數據安全體系雖然可以保障數據在部門內的安全防護,但不同的數據安全體系已經不能實現數據的有效打通。因此,依託商用密碼在政務外網平台構建統一的數據安全支撐服務體系就成為解決數據共享交換安全的唯一有效途徑。通過統一的數據安全支撐服務體系,為數據在共享交換環節實現統一的加解密、簽名 / 驗簽、時間戳、授權訪問控制和數據脫敏等方面提供平台化支撐服務。
(2)依託商用密碼明確數據的責任主體。數據是一種資產,同時因為數據的特殊性,數據資產的權屬一直難以有效界定,因此也難以在數據共享交換環節分清責任邊界,明晰責權利關係。通過商用密碼技術,給數據加上「身份」,從技術角度讓數據在發布、交換和使用等環節主體身份明確,提升數據溯源和追責能力。
(3)依託商用密碼加強數據流轉和使用管控。對於有條件共享的數據,可結合數據安全支撐服務體系實現數據有效的流轉管控和使用管控,防止數據濫用和數據泄露,特別是要加強敏感數據和個人隱私數據的有效管控和防護。
(4)依託商用密碼支撐數據的分類分級防護。政務外網數據類型、敏感程度各異,泄露後造成的影響不一。因此,需要針對不同的數據安全級別提供不同的密碼保護措施,防止數據的過保護或欠保護。
通過加強以上幾點,同時各部門按照等級保護防護要求加強內部安全,可以解決信息資源整合共享的絕大部分數據安全隱患。
「互聯網 + 政務服務」密碼應用思考
「互聯網 + 政務服務」的全面推進,將政務外網從較為單純的政務人員辦公網路轉變面向普通民眾的服務型網路。因此,不僅需要考慮政務系統自身的安全需求,更應從技術上保障普通民眾網上辦事的安全需求。在依託商用密碼支撐「互聯網 + 政務服務」
全面落地方面,我們認為應當從以下幾個角度重點考慮:
(1)依託商用密碼實現民眾企業可信身份的認證。民眾企業網上辦事最關鍵的就是身份可信,這直接關係到業務辦理是否成功。因此,通過商用密碼實現民眾企業可信身份的認證是「互聯網 + 政務服務」需要解決的第一環。可採取安全可信又便利的身份認證和實名驗證手段,同時應實現「前端匿名、後端實名」。
(2)依託商用密碼實現個人信息的安全防護。「互聯網 + 政務服務」的推進,不能以犧牲民眾個人隱私為代價。因此,通過商用密碼加簽個人身份信息、身份憑證信息以及其他個人隱私信息是防護的重點。可採取數據加密和脫敏手段防止個人信息的泄露。
(3)依託商用密碼實現電子材料的有效簽名。民眾和企業網上辦事需要提交的各種文件需要確保真實性和有效性,同時要抗抵賴。民眾和企業需要通過商用密碼技術實現文件簽名。企業可通過電子印章或認可的其它企業數字證書實現電子文件的有效簽名或蓋章,個人可通過申請基於密鑰分割技術的移動軟證書實現個人文件的有效簽名。
政務外網的網路環境複雜、應用眾多、數據龐大,網路安全防護難度大,面對越來越複雜的網路環境,應該統一思想、統一體系,依託商用密碼,構建全國一體化的網路安全防護體系,打造健康有序的政務外網網路環境,切實保障業務安全、數據安全和網路安全。
作者 >>>
崔玉華, 副研究員,博士,博士後,九三學社社員,國家信息中心國信衛士網路空間安全研究院秘書長,中國信息協會信息安全專業委員會副秘書長,長期從事網路安全和信息化領域相關重大問題、戰略規劃和政策建議研究。
陳月華, 高工,博士,國家信息中心國信衛士網路空間安全研究院戰略與情報研究室副主任,長期從事網路安全、電子認證等方面的課題研究和政策建議研究。
唐鳴, 工程師,本科,衛士通信息產業股份有限公司政府事業部高級諮詢師,長期從事網路安全方面技術和市場研究。
(本文選自《信息安全與通信保密》2018年第五期)
