信創與密碼應用論壇（杭州）-王世晞《世平信息商用密碼應用檢查系統發布》（17頁）.pdf

《信創與密碼應用論壇（杭州）-王世晞《世平信息商用密碼應用檢查系統發布》（17頁）.pdf》由會員分享，可在線閱讀，更多相關《信創與密碼應用論壇（杭州）-王世晞《世平信息商用密碼應用檢查系統發布》（17頁）.pdf（17頁珍藏版）》請在三個皮匠報告上搜索。

1、世平信息商用密碼應用檢查系統發布Crypto Inspesction System王世晞董事長/CEO杭州世平信息科技有限公司Shiping Information Technologies Co.,Ltd.2022WESTLAKECYBERSECURITYCONFERENCECONTENTS目 錄01.產品背景02.產品介紹01產品背景應對法規要求，形成檢查監管01.產品背景-密碼應用背景密碼是重要領域網絡和信息系統關鍵設備自主可控的必選項，不用密碼，或者不用自主可控的密碼，就好比一個房子，其他部分建得再牢，但鎖是簡易鎖，或者鑰匙是別人的，不可能安全可控。重要性主席令五十三號中華人民共和國網

2、絡安全法主席令三十五號中華人民共和國密碼法主席令二十八號中華人民共和國保守國家秘密法操作性基礎性密碼技術網絡安全監管方：商用密碼應用監管檢查測評方：商用密碼應用安全性評估建設方：商用密碼應用安全性自查數據安全應用安全01.產品背景-商用密碼應用現狀2018年商用密碼應用安全性評估聯合委員會對一萬余個等保三級及以上的信息系統進行普查結果顯示，超過75%的系統沒有使用密碼，存在巨大安全風險。密碼應用普及度些單位重信息化建設、輕信息安全保護，普查中對第一批118個重要領域的信息系統進行安全性測評發現，不符合規范的比例達到85%。密碼應用合規度現有量應用系統依舊在使MD5、SHA-1、RSA-512、

3、RSA-1024、DES等已被警示有險的密碼算法，應系統未按規范要求使密碼服務或者錯誤調密碼應接。密碼應用安全度01.產品背景-法律要求二十七條：法律、行政法規和國家有關規定要求使用商用密碼進行保護的關鍵信息基礎設施，其運營者應當自行或者委托商用密碼檢測機構開展商用密碼應用安全性評估。中華人民共和國密碼法三十一條：密碼管理部門和有關部門建立日常監管和隨機抽查相結合的商用密碼事中、事后監管制度，建立統一的商用密碼監督管理信息平臺。密評及自評法律依據常態化檢查法律依據01.產品背景-需求分析亟需有一款可以對密碼應用建設單位現場檢查的工具，對建設單位商用密碼應用與安全性是否合規得出定性判斷。各級密碼

4、行政管理部門對各種密碼應用場景進行技術分析，并依據商用密碼應用安全性評估量化評估規則生成定量報告。各密評機構依據商用密碼應用安全性評估量化評估規則進行自評，查漏補缺，得出差距分析報告，進而方便進行針對性的密碼體系建設方案的設計。各級機關單位監管方測評方建設方非涉密的關鍵信息基礎設施、網絡安全等級保護第三級以上網絡、國家政務信息系統等網絡與信息系統。01.產品背景-對象和目標檢查對象檢查目的 商用密碼管理條例（征求意見稿）核查檢查對象在日常工作中是否正確使用商用密碼；自行開展的商用密碼應用安全性評估是否準確；幫助密碼行政管理部門履行法律所賦予的日常監督和隨機抽查職能。02產品介紹聚焦高風險項，快

5、速檢查分析02.產品介紹-產品定位SIMP-CIS商用密碼應用檢查系統檢查對象：政務信息系統密碼應用檢查內容：信息系統商用密碼應用安全性評估相關標準要求信息收集資產發現一款依據國家法律規范，結合商用密碼應用安全檢查實際工作經驗開發的自動/半自動軟硬件檢查工具。技術檢查與分析檢查報告生成02.產品介紹-技術架構用戶界面端口監聽特征識別服務探視特征庫數據識別證書校驗用戶界面算法校驗流量獲取疑似檢查數據解析問詢表單用戶角色數據權限數據規則安全策略登錄認證功能權限系統日志流量解析證書還原端口識別數據包分析特征識別數據包檢測主機數據庫網絡內容存儲特征識別算法引擎接口檢查解密還原應用解析數據保護檢查報告應

6、用輸出應用插件流量分析子模塊權限管理基礎平臺應用解析子模塊組件管理檢查應用底層平臺02.產品介紹-檢查內容依據信息系統密碼應用高風險判定指引重點檢查信息系統密碼應用過程中可能存在的高風險且無緩解措施的安全問題機密性是否使用加密技術保障數據傳輸安全通道安全是否采用指定國密算法保障VPN隧道安全安全性是否采用存在非安全協議或密碼技術（TLS1.0等）身份驗證是否采用密碼技術對登錄設備、通信雙方的用戶進行身份鑒別隨機性驗證被加密數據是否滿足隨機性算法驗證02.產品介紹-主要功能02驗證被檢查系統生成或使用的證書格式是否符合標準；使用的算法是否為國密；驗證證書鏈及簽名數字證書檢查04對被檢查“密文”進

7、行單比特頻數、塊內頻數、撲克檢測、重疊子序列等15種隨機性檢查密文隨機性檢查05主動探測各系統節點自動發現疑似密碼資產密碼資產探測01分析、判斷傳輸數據是否加密解析使用的密碼算法是否為國密算法網絡協議檢查03發現流量中的明文個人信息直接發現密碼應用違規現象明文個人信息檢查主要功能內置電子化問詢表單提供針對“密評”的全面問詢評估能力法規符合性檢查0602.產品介紹-工作流程1.檢查通知：下發檢查通知-收到信息并確認-手簽回傳-記錄回執狀態2.信息收集與分析：系統基本信息、密碼管理策略、網絡及系統部署、范圍及邊界、業務種類及重要性、業務流程、業務數據重要性以及相關密碼產品、服務等認證情況以及用戶手

8、冊、接口規范等。3.檢查內容確定：根據被檢查系統實際情況，確定密碼應用安全性檢查內容。檢查準備工作1.資源及表單準備：確定開展檢查所需要時被檢查單位所需提供的軟硬件資源與環境，并簽署密碼安全性檢查風險告知書、誠信書等。2.技術檢測方案：明確檢測對象和檢測方式，獲取網絡流量、加密文件、證書文件等。檢查方案制定1.檢查時長限制：評估現場工作時間，時間不宜過長，建議1到2個小時，如果現場檢測環境復雜，則考慮抽查形式。2.現場檢查：開展包括實際部署密碼產品與聲稱情況一致性確認、商用密碼應用安全性工具檢查等現場檢查工作。3.上報與清理：檢查結束后，歸還檢查過程中獲得的相關文檔資料。對需要由密碼管理部門備

9、案保存的相關資料，由雙方進行確認。將檢查情況等相關信息匯總上報至國家密碼管理部門密碼應用監管平臺，清除檢查工具中可能殘留的相關信息，將現場環境恢復至被檢查之前狀態，并由雙方確認。檢查實施過程1.檢查報告輸出：根據系統檢查結果，參考調研問卷相關內容，對整體檢查結果進行判定，輸出包括密碼應用整體應用情況、風險點提示、以及改進建議等內容的檢查報告并由被檢查單位確認。檢查方案制定02.產品介紹-場景部署拓撲離線文件導入檢查項：1.應用業務是否加密2.應用加密是否為國密算法3.加密證書是否合規4.是否采用安全加密協議和算法加密應用流量檢查場景加密隧道流量檢查場景離線數據導入分析檢查場景檢查項：1.隧道加密是否為國密算法2.加密證書是否合規3.是否傳輸明文個人信息檢查項：1.過往加密流量是否合規2.所采用證書是否合規3.加密文件是否符合隨機數算法02.產品介紹-提供價值監管方提供易操作的快速商用密碼應用違規現象發現能力幫助監管單位依照法律履行相關職責助力法律監管體系落地測評機構提供“密評”相關技術檢查項的自動技術分析，節約測評人力成本提供電子化問詢表單，符合測評工作習慣、便利生成測評報告應用單位提供密碼應用安全自評自測技術手段，便于形成自查體系快速發現、定位違規問題，降低單位合規成本2022 WEST LAKE CYBERSECURITYCONFERENCE謝 謝THANK U