国产密码改造方案
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
****单位
办公系统国产密码改造方案
方案设计时间
2020.4
目录
1 国产密码算法背景 (3)
2 网络及业务现状分析 (5)
3 ****单位密码应用现状分析 (6)
3.1 ****单位密码应用现状 (6)
3.2 面临的问题 (6)
4 建设原则 (8)
5 建设目标 (10)
6 设计依据 (11)
7 国密改造方案 (12)
7.1 技术路线选择 (12)
7.2 总体架构 (15)
7.3 改造方案 (17)
7.3.1 可信密码认证机制 (17)
7.3.2 数据存储保护机制 (24)
7.3.3 数据传输保护机制 (24)
7.3.4 运行维护保护机制 (26)
8 整体投资估算 (29)
8.1 国产密码整体改造投资预算 (29)
8.2 ****单位2020年分步实施预算 (30)
1国产密码算法背景
2011年6月,工程院多名院士联合上书,建议在金融、重要政府单位领域率先采用国产密码算法,国务院相关领导作出重要批示。2011年11月,工信部和公安部通告了RSA1024算法被破解的风险,同时人行起草了使用国产密码算法的可行性报告。国家密码管理局在《关于做好公钥密码算法升级工作的函》中要求2011年7月1日以后建立并使用公钥密码的信息系统,应当使用SM2算法;已经建设完成的系统,应尽快进行系统升级,使用SM2算法。
近几年,国家密码管理局发布实施了《证书认证系统密码及其相关技术规》、《数字证书认证系统密码协议规》、《数字证书认证系统检测规》、《证书认证密钥管理系统检测规》等标准规,2010年,发布实施了《密码设备应用接口规》、《通用密码服务接口规》、《证书应用综合服务接口规》及《智能IC卡及智能密码钥匙密码应用接口规》等包含SM1、SM2、SM3、SM4等算法使用的标准规,而且也有部分厂商依据这些标准规研制开发了一些产品,为实施国产密码算法升级提供了技术基础。
本项目是落实《中共中央办公厅印(关于加强重要领域密码应用的指导意见)的通知》、《金融和重要领域密码应用与创新发展工作规划(2018-2022年)》、《2019年全省金融和重要领域密码应用与创新发展工作任务分解》等一系列国家和省有关国产密码建设文件精神的重要举措。****单位的协同办公管理平台全面实现国产密码应用推
进工作对于落实贯彻国家信息安全战略和促进信息安全密码产业发展具有重要意义。本项目建设综合考虑了****单位协同办公管理平台系统环境现状、网络基础设施现状、安全体系现状、应用系统现状、运维管理现状、密码设备使用现状等多方面因素,总体规划周密科学,目标明确,必要性充分,技术路线可行,容详实,设计规,进度安排和经费预算合理,预期效益明显,项目实施单位具备较强的综合实力,建设方案符合《信息系统密码应用基本要求》规。
2网络及业务现状分析
东山省高速****单位在办公网上建设了综合协同办公管理平台,该平台整合高速****单位常用的财务管理、OA办公、人事管理、查收等模块,将日常使用的待办工作、通知公告、最新文件、每日情况、部学习、信息公开等整理在一个地方进行处理,实现了综合平台各大系统的资源整合。协同办公平台按照信息系统安全等级保护二级要求进行建设,在今年上半年组织了专业的等级保护测评公司对系统进行全面安全评估工作,并通过了信息系统安全等级保护二级测评的各项安全指标要求。
协同办公平台网络架构由****单位机房和****单位机房两部分组成,在****单位机房通过20M电信光纤连接到互联网,通过OTN传输到****单位机房,在东山****单位机房依次通过办公交换机H3C5500、网神SecGate3600防火墙、绿盟NIPS NX3、绿盟WAF 再到思科3550交换机连接到协同办公平台服务器。
3****单位密码应用现状分析
3.1****单位密码应用现状
****单位协同办公平台已经应用了部分密码技术对系统进行了安全防护,主要是在协同管理平台系统身份认证鉴别上使用用户名/口令+动态密码的身份认证方式,用SM3数字摘要算法对用户静态密码进行哈希加密存储,防止系统被攻破后口令被脱库,一次性动态密码由用户安装APP后,由APP实时向业务系统获取,协同办公平台用户在登录平台时,先输入用户名/口令,然后输入手机APP上获得的一次性口令,平台对静态口令和一次性口令验证成功后,用户即可正常登录到平台进行日常事务办理。因此****单位国产密码应用的现状是,目前只对用户密码身份验证这个最敏感的环节做了国产密码的安全改造。
3.2面临的问题
目前在密码应用上主要存在以下几个问题:
1、除了系统核心的用户身份认证技术采用的动态口令验证过
程采用国产算法加密外,协同平台重要数据和数据库关键字
段还未能使用国密SM4或SM3算法加密存储。
2、管理员在对协同办公平台服务器进行运维管理过程中缺乏
基于密码技术的身份鉴别机制,服务器有被非法用户入侵的
风险,特别是通过互联网进行远程运维时管理数据缺乏性、