XXX系统密改建设方案通用.docx

XX信息系统密码应用方案项目名称：项目建设单位:编制日期:目录1 背景41.1 建设需求41.2管理制度52J62.1 风险控制需求62.1.1物理和环境安全62.1.2网络和通信安全62.1.3设备和计算安全72.1.4应用和数据安全82.1.5安全管理92.2需求分析93技术方案123.1 密码应用技术框架123.2 物理和环境安全133.3 网络和通信安全133.4 设备和计算安全143.5 应用和数据安全143.6 密钥管理安全143.7 7密码应用设计153.7.1密码应用工作流程153.7.2密码算法203.8密码软硬件产品清单211背景伴随着21世纪信息技术的迅猛发展，我国网络空间和数字经济发展迎来前所未有的机遇，同时也面临着诸多安全挑战。（1）海量数据安全成为首要因素，海量数据跨域流动、交换与共享，导致数据流量增加、数据授权分级复杂、数据流向千变万化，潜在攻击点增多，现有隔离数据资源、规范数据流向的系统“边界”和访问控制“秩序”难以继续有效，数据面临失控、不可信风险；（2）智能协同安全成为关键环节，未来网络空间不是单一的智能系统，而是多智能系统的协同融合，算力受控使用、算法受控执行、系统受控协同等方面的安全需求激增；（3）泛在互联安全成为重点威胁,万物融合互联为攻击传导提供了途径，导致系统攻击面成指数级扩大，并且任何一处风险威胁都可能迅速传导到全网，直接危害现实物理世界，甚至危害到人的生命；（4）数字资产安全成为重要安全目标，数字经济已经成为大国博弈的新赛道，数字经济分布于开放、互联、协作的网络环境中，网络系统和服务的真实性，数据开放和共享的安全性，经济行为监管和取证的不可抵赖性等，成为影响数字经济安全发展的重要方面。据中办、国办（2015）4号文关于加强重要领域密码应用的指导意见要求：“为保护我国基础信息网络、重要信息系统、重要工业控制系统和面向社会服务的政务信息系统的网络与信息安全，提升自主可控和安全防护能力，加强重要领域密码应用“。应用商用密码的要求，结合实际情况，采用国产密码技术保护重要网络和信息系统的试点工作，全面落实基于国产密码技术的加密算法在等级保护建设中的应用。在XXX各级领导的支持和指导下，国产密码改造以通过商用密码应用安全性评估（以下简称“密评”）为目标，以GB/T39786-2023信息安全技术信息系统密码应用基本要求为抓手，严格遵循密码法和相关政策法规的有关要求，在整体国家安全观的指导下，对所属各业务系统的国产密码应用进行统一规划，确保XXX所属业务系统密码安全建设的有序性、正确性、合规性。11建设需求依照GB/T39786-2023信息安全技术信息系统密码应用基本要求信息系统基于商密算法，进行安全升级改造，需针对物理和环境、网络和通信、设备和计算、应用和数据等多方面实现增强身份认证、数据加密、数字签名、网络传输加密等安全防护效果。12管理制度本单位根据等保2.0管理要求，制定有通用的某XX信息安全管理制度汇编，该安全管理制度汇编内容涉及安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理等5个方面的安全管理要求。2密码应用需求分析2.1 风险控制需求根据GB/T39786-2023信息安全技术信息系统密码应用基本要求，从物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全、安全管理等层面，对本系统进行风险分析，得出本系统密码应用需求。2.1.1 物理和环境安全2.1.1.1 风险分析（1）目前未使用密码技术对进入机房人员进行身份鉴别，存在非授权人员进入物理环境，对软硬件设备和数据进行直接破坏的风险；（2）目前未使用密码技术对电子门禁系统进出记录和视频监控音像记录进行存储完整性保护，存在物理进出记录和视频记录遭到非授权篡改，以掩盖非授权人员进出情况的风险。2.1.1.2 密码应用需求部署符合GM/T0036-2014标准要求的电子门禁系统对进出机房人员进行身份鉴别。并在环境监控区部署符合密码相关国家、行业标准要求的服务器密码机,对门禁进出记录和视频监控音像数据进行完整性保护。2.1.2 网络和通信安全2.1.2.1 风险分析（1）未使用密码技术对通信双方身份信息进行验证，存在非法设备从外部接入内部网络，通信数据在信息系统外部被非授权截取、非授权篡改风险。（2）未使用密码技术对通信过程中的数据进行完整性保护和通信过程中的重要数据进行机密性保护，存在非法设备从外部接入内部网络，通信数据在信息系统外部被非授权截取、非授权篡改风险。（3）未使用密码技术对网络边界访问控制信息进行完整性保护，存在非法设备从外部接入内部网络，通信数据在信息系统外部被非授权截取、非授权篡改风险。2.1.2.2 密码应用需求（I）部署符合密码相关国家、行业标准要求的SS1VPN安全网关，建立安全的设备管理通道和数据传输通道，从而保证通信过程中敏感数据的机密性、完整性的保护。（2）部署符合密码相关国家、行业标准要求的服务器密码机，对网络边界访问控制信息进行完整性保护。2.1.3 设备和计算安全2.1.3.1 风险分析（1）未使用密码技术对管理员登录进行身份鉴别，未使用合规的密码技术对管理员远程管理设备时的信息传输通道进行传输机密性和完整性保护，存在设备被非授权人员登录、身份鉴别数据被非授权获取或非授权使用等风险。（2）未使用密码技术对重要可执行程序进行完整性保护，使用这些重要可执行程序时，未对其来源进行真实性验证，存在重要程序被非授权篡改、来源不可信风险；（3）未使用密码技术对带重要信息资源安全标记的数据进行完整性保护，使用或读取这些数据时存在被非授权篡改的风险；（4）未使用密码技术对日志记录数据进行完整性保护，存在设备日志记录被非授权篡改风险。（5）未使用密码技术对系统资源访问控制信息进行完整性保护，存在访问控制信息被篡改的风险。2.1.3.2密码应用需求（1）部署安全浏览器，并向系统管理员配发USB接口的智能密码钥匙（以下简称“USBKey"）,对登录堡垒机用户进行身份鉴别和远程管理设备时的信息传输通道进行机密性和完整性保护，防止非授权人员登录、管理员远程登录身份鉴别信息被非授权窃取；（2）部署符合密码相关国家、行业标准要求的服务器密码机，并在应用服务器外挂USBKey,应用服务器中所有重要可执行程序和带重要信息资源安全标记的数据通过调用服务器密码机进行完整性保护，使用或读取这些程序和数据时，通过USBKey进行验签以确认其完整性；公钥存放在USBKey中；（3）部署符合密码相关国家、行业标准要求的服务器密码机，对应用服务器、数据库服务器等设备日志进行完整性保护。（4）部署符合密码相关国家、行业标准要求的服务器密码机对系统资源访问控制信息进行完整性保护。2.1.4应用和数据安全2.1.4.1 风险分析（1）未使用密码技术对登录用户进行身份鉴别，存在应用被非授权人员登录风险；（2）未使用密码技术对本系统用户访问权限控制列表进行完整性保护，存在应用资源被非授权用户获取的风险；（3）未使用密码技术对带重要信息资源安全标记的数据进行完整性保护，使用或读取这些数据时存在被非授权篡改的风险；（4）未使用合规的密码技术对重要数据在传输和存储的过程进行机密性和完整性的保护，存在被非法篡改和非法截获的风险；2.1.4.2密码应用需求（1）部署符合密码相关国家、行业标准要求的密码产品，实现用户登录应用用户的安全身份鉴别，防止非授权人员登录，同时保证数据传输的安全性。部署安全浏览器，并向系统用户配发USBKey,实现对PC端登录应用用户的安全身份鉴别，防止非授权人员登录；（2）部署符合密码相关国家、行业标准要求的签名验签服务器，对统一身份认证系统应用用户访问权限控制列表进行完整性保护，防止应用资源被非授权用户获取；（3）部署符合密码相关国家、行业标准要求的服务器密码机，并在应用服务器外挂USBKey,应用服务器中所有带重要信息资源安全标记的数据通过调用服务器密码机进行完整性保护，使用或读取这些程序和数据时，通过USBKey进行验签以确认其完整性；公钥存放在USBKey中；（4）部署符合密码相关国家、行业标准要求的服务器密码机，应用通过调用服务器密码机，对应用中所有重要数据的传输和存储进行机密性和完整性的保护，实现所有重要数据防窃取和防篡改的保护。2.1.5安全管理2.1.5.1 风险分析本系统为已建在运行系统，在系统建设阶段，未依据密码相关国家、行业标准，制定密码应用方案，规划建设密码保障系统，系统上线前和运行后，均未开展过密码应用安全性评估，未依据基本要求中的安全管理要求，制定密码相关管理制度，不利于在本系统中落实密码相关国家政策要求，发挥密码在信息系统安全中的基础支撑作用。2.1.5.2 密码应用需求依据基本要求，制定本系统密码应用改造方案，并委托密评机构对密码应用改造方案进行评估，评估通过后，建设密码保障系统，制定密码相关的管理制度，系统改造完成后，依据密码应用改造方案对本系统进行密码应用安全性评估，评估通过后上线运行。2.2需求分析系统密码应用需求分析清单安全层面指引要求系统密码应用需求不适用说明物理和环境安全身份鉴别部署符合GM/T0036-2014标准要求的电子门禁系统，使用密码技术对进出机房人员进行身份鉴别。无电子门禁记录数据存储完整性部署符合密码相关国家、行业标准要求的服务器密码机，使用密码技术对门禁进出记录和视频监控数据进行完整性保护无视频记录数据存储完整性无密码模块实现采用符合要求的密码模块实现密码运算和密钥管理无网络和通信安全身份鉴别部署符合密码相关国家、行业标准要求的SS1VPN,使用密码技术在通信前通信双方进行身份鉴别无访问控制信息完整性部署符合密码相关国家、行业标准要求的SS1VPN,实现访问控制信息的完整性保护无通信数据完整性部署符合密码相关国家、行业标准要求的SS1VPN,建立安全的数据传输通道无重要数据机密性无密码模块实现采用符合要求的密码模块实现密码运算和密钥管理无设备和计算机安全身份鉴别部署安全浏览器，并向系统管理员配发USBKey,使用密码技术对登录堡垒机用户进行身份鉴别，防止非授权人员登录；无远程管理通道的安全无重要信息资源安全标记的完整性不适用无访问控制信息完整性仅有管理员可以访问应用服务器、数据库服务器，管理员身份鉴别通过USBKey实现在本系统应用服务区部署符合密码相关国家、行业标准要求的服务器密码机，对应用服务器、数据库服务器等设备日志进行完整性保护无日志记录完整性无重要可执行程序的完整性、重要可执行程序来源真实性部署符合密码相关国家、行业标准要求的服务器密码机，并在应用服务器外挂USBKey,应用服务器中所有重要可执行程序通过调用服务器密码机进行完整性保护，使用或读取这些程序和数据时，通过USBKey进行验签以确认其完整性；公钥存放在USBKey中；无密码模块实现采用符合要求的密码模块实现密码运算和密钥管理无应用和数据安全身份鉴别部署符合密码相关国家、行业标准要求的密码产品，实现用户登录应