等保系统如何用密码

一

当前，我国金融和重要领域的密码应用逐渐深入，不少责任单位都在考虑如何更好地应用密码技术来提高网络信息系统的安全保障水平。但由于密码技术不太普及，很多单位对信息系统中究竟该如何使用密码技术产品不太清楚，对于我国的有关密码管理政策也不太熟悉。最近这几篇，密小白就专门跟大家一起来学习相关的技术应用要求和管理相关规定，希望对大家有用。

1、GMT 0054内容概述

2018年2月，密标委发布了GＭ/T 0054-2018 《信息系统密码应用基本要求》（简称国密0054标准），对信息系统中如何应用密码提出了基本要求，是当前指导、规范和评估信息系统中的商用密码应用的标准依据。0054共提出了 总体要求、密码功能要求、密码技术应用要求、密钥管理和安全管理共五个部分的要求。其中，总体要求是所有信息系统都需遵循的基本要求；密码功能要求是对密码在信息系统中起到什么作用的阐述；后面的“密码技术应用要求、密钥管理和安全管理”对信息系统如何用密码提出了要求，并分别针对一级至四级的等保系统，对要求进行了具体阐述。

2、总体要求

以下几点总体要求是所有级别信息系统都应该遵循的准则：

密码算法： 使用的密码算法应当符合法律、法规的规定和密码相关国家标准、行业标准的有关要求。一般情况下就是采用我国公开的SM2/3/4/9算法了。目前，SM2/3//9已经正式成为ISO/IEC国际算法，SM4也正在国际化进程中，我国密码算法国际标准体系已初步成型，各行各业可以放心使用。

密码技术：使用的密码技术应遵循密码相关国家标准和行业标准。目前，关于密码算法、密码协议、密码设备要求、密码服务接口等等都有系列标准，所有国密标准都在密标委网站上能够查询到。密码技术是一种专项技术，密码技术能够保护信息系统安全的前提是正确使用了安全可靠的密码技术，密码相关标准除了满足互联互通需求之外，更是密码技术安全性的基本保证。

密码产品：使用的密码产品与密码模块应通过国家密码管理部门核准。具体地说，就是应该选用获得国家密码管理局颁发的型号证书的产品，型号产品列表可以在国家密码管理局网站上查询。当前，我国对商用密码产品的安全性实行分级管理，所有送检的密码产品，都需根据GM／T 0028-2014 《密码模块安全技术要求》确定自身安全等级，并依据GM/T0039-2015 《密码模块安全检测要求》通过检测。因此，在商用密码领域，很多时候“密码模块”是一个特定称谓，指根据0028和0039标准进行检测的密码产品，因此，“密码模块”可包括密码卡、密码机、定制密码模块、密码软件等各种形态。

密码服务：使用的密码服务应通过国家密码管理部门许可。目前，主要是作为第三方运营的CA认证机构应获得《电子认证服务使用密码许可证》，在此基础上，才能继续申请工信部的《电子认证服务许可证》。其它密码服务许可相关规定正在研究中。

以上是国密0054标准中对我国所有信息系统使用密码提出的总体要求。

下篇我们会来说密码技术在信息系统中究竟能发挥什么作用，解读0054标准中的“ 密码功能要求 ”部分，敬请期待～～

 

二

今天的内容很轻松，先容密小白聊几分钱的闲话~~

2016年美国NIST启动了后量子密码算法标准的全球征集工作，这算是密码领域的一件大事。国内有团队通过了第一轮的筛选，可喜可贺。上周五看见了对国内团队负责人路献辉博士的采访，路博士的回答深入浅出、精彩、幽默、智慧，值得想了解国内当前密码水平的任何人阅读。记得有一次听完路博士对后量子密码的科普之后，当时密小白很是感慨，路博士才是科学家啊，而自己曾经怀揣科学家的梦想，却默默地走成了工程师的路子。看完路博士关于算法征求的采访之后，密小白再次感慨，原来路博士这样的理论科学家，也可以是工程领域的杰出人才，佩服，佩服~~征得路博士同意，本公号明天将为各位奉献彩蛋一枚，以飨诸位

好了，言归正传，GＭ/T 0054-2018 《信息系统密码应用基本要求》是当前指导、规范和评估信息系统中的商用密码应用的标准依据，共提出了 总体要求、密码功能要求、密码技术应用要求、密钥管理和安全管理共五个部分的要求。上篇学习了第一部分“总体要求”，这篇该说“密码功能要求”。

现实工作中，不少用户认为，自己的系统中没什么信息需要保密，为什么也需要设计密码应用方案，并开展密码应用安全性评估（简称“密评”）呢？下面我们就来系统性地了解一下密码技术究竟能实现哪些功能。

1． 密码技术的功能概览：

先来看密小白从《图解密码学》一书中给大家抄下来的一张图：

 

 

从图中可以看出，密码可以实现的功能包括：（1）保护信息的机密性，防止窃听。（2）保护信息的完整性，防止数据被篡改，也就是说如果数据被改了，一定会被发现；区块链中用密码最多的也是这个特性。（3）确认信息发送方和接收方的真实性，也称为身份认证。（4）确保事件的不可否认性，有时也称为“抗抵赖性”，也就是说对于已经执行的操作，事后不能称自己没做。

2． GM/T 0054中的“密码功能要求”

0054的“密码功能要求”部分，是对信息系统中应该使用密码技术来完成哪些功能提出的要求。也是从密码技术能够实现的上述四方面功能来阐述的，把信息系统中可以用密码技术来保护的对象进行了罗列。整体上指出了在信息系统中： 哪些对象需要机密性保护，哪些对象需要完整性保护，哪些场景需要鉴别用户身份的真实性，哪些操作需要不可否认性。

由于标准原文已经非常简明易懂，就直接摘录下来。至于不同等级信息系统中的具体要求，在标准的后面部分有更详细的要求，待下篇分解。

 

 三

密小白今天有闲功夫，搞了点基建，终于成功地用上了MS office2016，Smart Art回来了，可喜可贺！！只需写字就能画图，很棒的体验~~迫不及待，先来补一张0054的内容结构图：

前两篇学习了“总体要求”和“密码功能要求”两部分内容。接下来是硬核部分，“密码技术应用要求”，标准中分为四个层面提出要求，每个层面都是先说总则，然后针对等保一级、等保二级、等保三级、等保四级信息系统分别提出要求。

由于该部分跟等保信息系统的系统结构和技术要求密切相关，因此，本篇先来做点储备，把从安全视角看到的等保系统的技术结构做一个简要介绍。

2008年开始的等保体系中，对于技术要求采用了层次结构；随着云计算、移动互联网、物联网、工控系统、大数据等新技术的出现和应用，信息系统等级保护步入V2.0时代，虽然2.0标准尚未正式发布，但很多相关规范已经都采用了其中的成果。GM/T0054的密码应用要求就是其中一个，主要借鉴了V2.0的体系架构来提出相应的密码应用要求。

根据密小白的体会，了解一下美国2000年左右演进提出的信息保障技术框架（Information Assurance Technical Framework，IATF），对于理解等保系统的各项要求很有帮助，因此，本篇也简单做个介绍。IATF是美国国家安全局（NSA）制定的，为保护美国政府和工业界的信息与信息技术设施提供技术指南。IATF的代表理论为“深度防御（Defense-in-Depth）”。为了阐述安全防护措施，IATF中对网络信息系统的架构做了如下分解（非常抱歉，没有找到中文译图，只好临时做了一点标注）：

从上图可以看出，IATF认为，一个信息系统的安全保障，需要重点考虑：本地计算环境、本地计算环境与其他计算环境的联结、远程访问的保护、区域边界、通信网络基础设施以及支撑性安全基础设施（包括检测响应措施和密钥管理基础设施）。无论您面对的是一个局域网内的信息系统，还是广域环境内的信息系统，看到这张图是不是都觉得有那么点道理呢~~

简单了解IATF这张安全视图，对于后面理解0054中提出的密码应用要求有很直观的帮助。或者说，0054对于等保系统中如何用密码，基本也是从上图中标注出来的几个方面进行阐述的，有兴趣的可以多看几眼~~

 

四

大家还记得上面这张0054的内容结构图吧。从图中可以看出，0054沿用了等级保护V2.0标准中的四层结构，也就是说是从信息系统的物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全共四个层面来提出信息系统中应该如何用密码的要求。

具体到每一层的要求是什么样的，一般来说采用哪些手段能符合相关要求呢？密小白根据0054原文，整理了几张小图，供大家参考。需要说明的是，图中橙色部分均从标准原文中针对 等保三级系统的要求中提炼出来，而绿色部分的“典型产品”非标准内容，仅为个人理解，这些产品类别均从商密办网站公布的型号产品类别中选出。

当然，并不是上述各层密码类产品都需要在等保三级信息系统中去部署，具体方案需要根据实际情况进行设计，设计内容在各个信息系统的“密码应用方案”中进行明确，根据《商用密码应用安全性评估管理办法（试行）》规定，审定后的密码应用方案是各信息系统密码应用建设和密码应用安全性评估的重要依据。到此，0054标准最核心的部分已经读完。

 

五

GM/T 0054的内容学习接近尾声了，剩下两部分跟管理有关，一部分是密钥管理，另一部分是安全管理。今天这篇我们把两部分都简单介绍下，下周就可以开启新的篇章了~~

首先来看 密钥管理部分： 

虽然GM/T 0054中也是按照总则和等保一级至四级的顺序，对上图所示的密钥生成、存储、分发、导入与导出、使用、备份与恢复、归档、销毁等全生命周期分别都提出了具体的要求，但是，由于0054密钥管理部分中的大部分要求是针对密码产品而非密码使用提出来的（当前正处于将GM/T0054升级转换为国标的过程中，也对密钥管理部分进行了调整），因此密小白在此处并不打算把密钥管理各环节内容进行一一介绍，仅从责任单位的角度来看看，建设了密码保障系统，在密钥管理方面应该关注哪些事项。（请注意，这部分非标准原文中的内容，为自身实践总结，仅供参考）

首先，责任单位应要求建设单位对密码保障系统的密钥管理环节和操作规程进行清晰的设计。密钥安全是密码保障系统发挥作用的基础，这一点密码保障系统的建设单位非常清楚，但是，仅建设单位清楚是远远不够的，信息系统的责任单位也应完全知悉，并要求建设单位设计出与责任单位业务管理环节及组织架构相适配的密钥管理技术方案（一般可包含在《密码应用方案》中），并提供完整的操作指导文档，对系统初始化和运行维护过程中后应执行的密钥管理环节和责任进行明确。

其次，责任单位应选用国家密码主管部门核准的密码产品。这些产品的密钥管理功能均通过检测，符合相关技术要求。这些产品既包括含密钥管理功能的通用密码产品（比如密码卡/密码机），也包括独立的密钥管理产品。

最后，责任单位应按照安全管理的要求，设置密码管理相关岗位，配备相关人员，依照安全规程，执行密钥管理操作。

另外，还需强调一点，无论是等保几级的系统，对于责任单位来讲，密钥管理都至关重要。对密钥管理的技术内容比较感兴趣的，推荐阅读GB/T 17901.1-1999《信息技术 安全技术 密钥管理 第1部分：框架》，虽然年头比较久了，但内容系统、完整、严谨，是入门的极佳参考。

 GM/T0054的最后一部分是 安全管理： 

安全管理从制度、人员、实施和应急几个方面提出了要求。等保要求中也有安全管理的部分，责任单位可在原有安全管理体系的基础上进行扩展，把密码应用方案、密码产品、密钥等相关管理部分囊括进去即可，本文不展开阐述了。

到此，GＭ/T 0054-2018 《信息系统密码应用基本要求》的学习暂时告一段落。新的对应国标也正在编制过程中，期待系列标准对于密码在各个领域的应用起到良好的指导和规范作用，同样期待您跟密小白一样，在学习这些标准的过程中有所收获。

 

 

 

文章来源：秦安战略