基于國密算法的密碼應用安全建設

鄧晶晶?許敬偉?陳麗茉　盧冠杰

摘要：密碼在保障網絡安全中扮演著至關重要的角色。它不僅僅是一種核心技術，更是一種基本的社會責任。本文將深入探討密碼的相關歷史、現狀、未來的趨勢，以及如何利用國密算法來實現更加完善的密碼保護。此外，本文還將探討如何有效地實施密碼的監督與審查，以確保密碼的有效使用，進而保障社會的穩定與可持續性。

關鍵詞：商用密碼應用安全性評估；密評；國密算法

一、密碼安全背景及國家政策

（一）密碼法出臺，將密碼應用要求提升到國家法律法規層面

《中華人民共和國密碼法》《中華人民共和國網絡安全法》《商用密碼應用安全性評估管理辦法（試行）》《國家政務信息化項目建設管理辦法》等法律法規制度均對密碼建設及應用作出了明確規定。同時，密碼法將“國家鼓勵和支持密碼科學技術研究和應用”和“國家加強密碼人才培養和隊伍建設”寫進法律條文中，體現了推動國密事業高質量發展的決心。

（二）黨和國家高度重視密碼發展，明確規定用密碼保護重要數據

為了更好地維護2.0時代的互聯網，推行了一系列新的信息技術和安全性設計規范，并發布了《信息安全技術網絡安全等級防護基本原則》《信息安全技術網絡安全等級防護測評標準》和《堅持實施網絡安全等級防護體系和重要信息基礎設施安全保護管理制度的指示若干意見》（公網安〔2020〕1960號），以確?；ヂ摼W的可持續發展。通過建立完善的政策體系，大大促進了中國商業密碼的普及，并且激活了持續增長的活力。

（三）商用密碼管理發展簡述

1999年10月，《商用口令條例》的公布施行，為中國的信息安全保護和互聯網信任體系建設打下了扎實的根基，2003年9月，《國家領導工作組有關進一步強化網絡安全保護管理工作的若干意見》（中辦發〔2003〕27號）出臺，為中國的信息安全保護和互聯網信任體系建設指明了方向，為中國的信息安全保護和互聯網信任體系建設打下了扎實的根基。從2013年起，中國的商用密碼管理取得了長遠的發展。為此，中華人民共和國秘密管理局公布了多種商用密碼方法，包含SM1、 SM 2、SM 3、SM4、SM7、SM9及祖沖之秘密方法（ZUC），以確保安全性和可靠性。在這些方法中，SM1、SM4、SM7及祖沖之秘密方法（ZUC）都具有對稱性，但SM 2、SM9則更加復雜，它們都可以在特定的加密芯片上實現，并且都可以在SM 3的國家標準下使用。SM1、SM7方法可以在特定的加密芯片上實現，但它們的使用仍然受到了限制。

二、密碼應用現狀及密評工作的必要性

“密評”，也被簡寫為“商用密碼應用安全性評估”，旨在通過嚴格的“密評”，來檢驗使用的商業密評的準確、可靠、可操作，以及它們的可靠性。該標準旨在為企業提供一個完善的、可靠的、可持續的、可管理的、可操作的網絡與信息系統。

（一）密碼技術是應對網絡安全形勢的實際需求

隨著科學技術的不斷進步，目前，我國的網絡安全防護水平仍然較低，許多數據未經嚴格的加密處理，潛藏著嚴峻的安全風險。因此，加強對加密算法的研究，以提高加密算法的準確性，以便更好地管理和維護公共資源，以滿足社會對加密算法的需求，為社會提供更加穩定的加密服務。

（二）雖有相關法律法規的明確要求，密碼應用仍存在不規范現象

重視信息化建設，但忽視了安全防御，信息系統的密碼操作缺乏標準化，從而造成了嚴重的信息泄露，嚴重影響了信息的安全性。因此，加強對信息的安全性，嚴格執行有效的IT，加強對信息的審查，以及建立完善的IT體系，對IT的發展負有重大的責任。

（三）密碼算法不安全

現有大量系統依舊在使用MD5、SHA-1、RSA-1024危險的密碼算法，以及基于此提供的不安全的密碼服務，給信息系統帶來了嚴重的安全隱患。通過進行密評，能夠更好地了解網絡與信息系統的安全狀況，并制定合適的標準來確保商業密碼的有效應用。

（四）密評市場情況

數據顯示，在2020年至2022年整體密評市場中，主要集中在政務、金融、醫療等三大行業，同時，大部分客戶都會選擇密評和等保檢測或咨詢合并到一個項目中，在未來，可能下一步將進入能源、公安等。

三、基于國密算法的密評建設

2018年，國家機構頒布的GM/T0054-2018《網絡秘密使用要求》（又稱國密0054規范），為當前的商業機構的管理、安全性、安全性等方面的使用提供了一套完整的規范，為實現的目標打下了扎實的根基。國家密碼0054規范包含五個方面的內容：概述性的規定、口令的性質、口令的使用、密鑰的保護以及口令的安全性。

本文將重點討論如何在技術要求、密鑰管理和安全管理三個方面保護信息系統的安全。探討如何通過密碼測評來確保信息系統的安全性，并基于國家密碼算法進行密碼評估，確保信息系統的密碼能夠合法、正確、有效地使用。

（一）物理和環境安全

對于商業機構的密碼系統，進行了嚴格的物質與非物質安全檢查，以確保其能夠有效地識別個人信息，并保證其在電子門禁系統中的數據保持完好。測評對象包括物理安全負責人、系統管理員、機房監控系統、門禁系統、技術文檔。

經過現場測評，可以準確地評估機房的安全性。根據被測信息系統的實際情況，確定是否符合要求，以及是否不符合要求。

為了滿足指定的需求，采用先進的加密技術來構建一個完善的電子門禁系統，以便識別和管理關鍵的辦公空間（如計算機中心、機房等）的訪客。此外，還將采用先進的加密技術來構建一個高精度的視覺監控系統，以便更好地保護這些關鍵的場所。部署安全視頻存儲等，可依托服務器密鑰管理機、簽名驗證服務器、時間戳服務器實現對門禁數據及視頻監控音像記錄的保護。

（二）網絡和通信安全

對于商業密碼應用進行了一系列的安全性評估，涵蓋了身份驗證、設備連接認證、訪問控制信息、數據完整性、機密性、集中管理通道安全以及密碼模塊的實施等方面。測評對象包括交換機、堡壘機、應用系統、網絡安全運維人員、技術文檔。

經過現場測試，可以確認通信信道的完整性和可靠性。然后根據被測信息系統的實際情況來決定是否符合要求以及是否需要改進。

針對指標要求，可通過國密SSL/IPSEC VPN確保設備及人員身份的真實性、訪問控制信息的完整性、保證通信數據/報文的完整性、保密性；通過國密SSL/IPSEC VPN實現網絡邏輯邊界的管控，并能夠建立集中管理的安全數據傳輸通道；通過堡壘機保證內網設備的集中管控，配合國密SSL技術（安全瀏覽器/國密VPN）實現遠程登錄安全。

（三）設備和計算安全

對于商業密碼應用，還進行了安全性評估，涵蓋了身份驗證、設備連接認證、訪問控制信息、數據完整性、機密性、集中管理通道安全以及密碼模塊的實施等方面。測評對象包括交換機、堡壘機、系統管理員、數據庫管理員、業務服務器、數據庫服務器、證書服務器、密鑰管理服務器、技術文檔。

經過現場測試后，可以準確地評估服務器和存儲設備的性能。根據被測信息系統的實際情況，將其分為完全符合、部分符合以及不完全符合三類。

針對指標要求，可通過協同簽名、USBKEY+數字證書確保設備及人員身份的真實性；可通過SSL VPN實現遠程管理通道安全；通過服務器密碼機、數據庫加密機、文件加密實現數據庫、文件重要敏感信息的機密性、完整性保障；各環節密碼技術采用國密算法，確保密碼算法符合國密局相關要求。

（四）應用和數據安全

商用密碼應用安全性評估的應用和數據安全評估，通過密碼技術實現真實性、機密性、完整性和來源真實性。測評對象包括：應用系統管理員、操作系統、存儲各類密鑰的管理系統、技術文檔。

通過現場測評，可以準確地評估系統的應用和數據安全性。根據被測信息系統的實際情況來決定是否符合要求，以及是否需要進一步改進。

針對指標要求，可通過協同簽名、USBkey、數字證書、確保應用用戶、管理員、審計員身份的真實性；通過國密瀏覽器、SSL VPN、服務器密碼機、簽名驗證服務器、時間戳服務器等實現系統傳輸、存儲數據的機密性、完整性；通過協同簽名實現移動端身份認證、傳輸安全，以及數字簽名與驗證、加密與解密，確保移動端應用數據的完整性、機密性；采用數字簽名保障原送和接收行為不可否認性；涉及的密碼技術采用國密算法，確保密碼算法符合國密局相關要求。

（五）密鑰管理

密鑰管理是一個復雜的系統，它涉及從密鑰的產生到銷毀的各個環節，其中可能會出現安全隱患，因此必須采取有效措施來確保系統的密鑰安全。為此，必須對每一個密鑰的使用時間、密鑰長度進行嚴格的限制，并且確保所有的密鑰管理操作都是由符合規范的密碼產品或密碼模塊完成的。

為了確保信息系統的安全，需要仔細研究各種不同的密鑰流動方式，包括但不限于產品、模塊、服務器等。再建立一個完整的密鑰流動記錄，以便工作人員能夠準確地記錄每個步驟，包括產品、模塊、服務器、數據庫、操作員、管理員、數據庫管理員等，以確保所有的數據都能夠被有效地傳輸。

為了確保公司的信息安全，建議使用經過嚴格審批的密碼產品。同時，根據安全管理的需要，建立專業的密碼管理團隊，并嚴格遵守安全標準，確保公司的信息安全。

（六）安全管理

基于原有安全管理體系，責任單位可以進一步拓展，將密碼應用、產品、密鑰等多個方面納入其中，以確保安全性。測評對象包括安全管理類文檔、安全管理員。

通過現場測評，準確地評估安全管理制度的完善情況，并以此來決定是否符合要求，以及是否需要進一步改進。

四、結束語

為了確保安全和符合法律法規，推進密碼算法應用與技術改造，以便在現有的和未經授權的情況下重塑和優化應用系統。這就需要技術人員將現存的信息系統與經授權的信息系統相結合，使它們能夠通過使用相同的API接口，實現數據的加解密、完整性保護、簽名/驗證和權限識別。只有這樣，才能夠確保實際應用能夠符合法律法規的要求。

參? 考? 文? 獻

[1]霍煒，郭啟全，馬原.商用密碼應用與安全性評估[M].電子工業出版社出版，2020.

[2]中華人民共和國密碼法[Z].2020-01-01.

[3]商用密碼應用安全性評估管理辦法（試行）[Z].2017-04-22.

鄧晶晶（1986-），女，漢族，遼寧鐵嶺，中級工程師，研究方向：信息安全；

許敬偉（1986-），男，漢族，山東日照，中級工程師，研究方向：信息安全；

陳麗茉（1995-），女，漢族，廣東普寧，職軟件運維崗，研究方向：信息安全；

盧冠杰（1996-），男，漢族，廣東肇慶，研究方向：信息安全。