第一章 物理和环境安全
1.1.身份鉴别(高风险)
1.1.1.使用的设备:符合GB/T 39786《信息安全技术 信息系统密码应用基本要求》的安全门禁系统及电子视频监控系统
1.1.2.具体改造方案:
方案一:部署符合标准的电子门禁系统和视频监控系统
方案二:改造电子门禁系统和视频监控系统
门禁控制器集成密码模块,配合门禁卡,用于标准门禁密码应用身份认证,以及对门禁控制器存储的身份鉴别信息的安全保护。
门禁系统也可以配合密钥管理系统使用,可以对密钥进行管理。
1.1.3.拓展记录:
缓解措施:
基于生物识别技术(如指纹等)对进入人员进行身份鉴别;
重要区域出入口配备专人值守并进行登记,且采用视频监控系统进行实时监控等。
1.2.电子门禁记录数据存储完整性
1.2.1.使用的设备:
1.2.2.具体改造方案:
方案一:部署符合标准的电子门禁系统和视频监控系统
方案二:改造电子门禁系统和视频监控系统
调用密码机或统一密服平台,采用HMAC-SM3密码技术对电子门禁记录数据存储进行完整性保护。
1.2.3.拓展记录:光有SM3参与运算是不能保证数据存储的完整性的,因为存在数据被截取,将message与Mac值同时被替换的风险。所以需要引入密钥参与运算。
SM3 输出的摘要长度为256bit,现在已经应用到国密SSL中。
1.3.视频监控记录数据存储完整性
1.3.1.使用的设备:
1.3.2.具体改造方案:
方案一:部署符合标准的电子门禁系统和视频监控系统
方案二:改造电子门禁系统和视频监控系统
视频监控服务器调用密码机、密码卡或统一密码服务平台,视频系统调用加密接口采用HMAC-SM3密码技术对重要视频数据记录进行完整性保护。
1.3.3.拓展记录:
第二章 网络和通信安全
2.1.身份鉴别(高风险)
2.1.1.使用的设备:SSL VPN安全网关、IPSec VPN安全网关、浏览器安全模块(二级)
2.1.2.具体改造方案:
用户终端与服务器之间的身份鉴别:采用SSL VPN安全网关构建网络安全通道,配置SM2算法密钥及数字证书,实现登录用户的身份认证操作。
用户终端与浏览器之间通信,通过部署浏览器安全模块(二级),构建网络安全通道,配置SM2算法密钥及数字证书实现身份鉴别操作。
2.1.3.拓展记录:
2.2.通信数据完整性
2.2.1.使用的设备:SSL VPN安全网关、IPSec VPN安全网关、浏览器安全模块(二级)
2.2.2.具体改造方案:
用户终端与服务器之间的通信数据完整性:使用SSL VPN安全网关进行数据完整性保护,使用HMAC-SM3算法对通信数据进行完整性。
用户终端与浏览器之间的通信数据完整性:使用浏览器安全模块(二级)进行数据完整性保护,使用HMAC-SM3算法对通信数据进行完整性。
机房与机房之间的通信数据完整性:使用IPSec VPN安全网关做通信数据完整性保护,使用HMAC-SM3算法对通信数据进行完整性。
2.2.3.拓展记录:
2.3.通信数据机密性(高风险)
2.3.1.使用的设备:SSL VPN安全网关、IPSec VPN安全网关、浏览器安全模块(二级)
2.3.2.具体改造方案:
用户终端与服务器之间的通信数据机密性:使用SSL VPN安全网关做通信数据机密性保护,使用SM2算法。
用户终端与浏览器之间的通信数据机密性:使用浏览器安全模块(二级)做通信数据机密性保护,使用SM2算法。
机房与机房之间的通信数据机密性:使用IPSec VPN安全网关做通信数据机密性保护,使用SM2算法。
2.3.3.拓展记录:
2.4.网络边界访问控制信息完整性
2.4.1.使用的设备:IPSec VPN安全网关、防火墙
2.4.2.具体改造方案:如果不同网络之间使用防火墙进行隔离,防火墙的访问控制信息列表进行完整性保护。如果是跨机房之间使用ipsec vpn进行保护,则需要记录vpn的访问控制信息完整性。
2.4.3.拓展记录:
2.5.安全接入认证
2.5.1.使用的设备:SSL VPN安全网关
2.5.2.具体改造方案:凡是接入入网的设备都要先接入SSL VPN进行安全接入认证。
2.5.3.拓展记录:
第三章 设备和计算安全
3.1.身份鉴别(高风险)
3.1.1.使用的设备:业务服务器、国密堡垒机、安全接入网关
3.1.2.具体改造方案:
业务服务器:一般通过堡垒机运维缓解风险,服务器不好进行身份鉴别的改造。
国密堡垒机、安全接入网关:通过对业务人员颁发USB Key,配合终端登录系统,实现基于证书的终端设备身份认证。
3.1.3.拓展记录:堡垒机内部也存在证书,CA下发的根证书导入堡垒机中,用户使用USBKey进行登录,在堡垒机中进行身份验证。
3.2.远程管理通道安全(高风险)
3.2.1.使用的设备:国密堡垒机、安全运维网关
3.2.2.具体改造方案:需要部署符合国密要求的堡垒机以及安全运维网关
3.2.3.拓展记录:对于远程管理通道安全需要进行抓包分析,堡垒机到运维服务器阶段是否是国密SSH协议。
3.3.系统资源访问控制信息完整性
3.3.1.使用的设备:
3.3.2.具体改造方案:一般不改
3.3.3.拓展记录:针对的是操作系统的权限访问控制信息
3.4.重要信息资源安全标记完整性
3.4.1.使用的设备:
3.4.2.具体改造方案:一般不适用。
3.4.3.拓展记录:
3.5.日志记录完整性
3.5.1.使用的设备:服务器日志服务器
3.5.2.具体改造方案:
方案一:通过探针形式将各业务服务器产生的日志进行日志记录完整性存储。
方案二:一般可以将数据通过syslog采到日志审计系统中进行完整性保护
3.5.3.拓展记录:
3.6.重要可执行程序完整性、来源真实性
3.6.1.使用的设备:
3.6.2.具体改造方案:使用合规密码产品(如服务器密码机、密码卡)实现重要可执行程序完整性保护
3.6.3.拓展记录:给jar包做完整性保护,计算摘要值,如果安装的jar包摘要值相同,那认为是可信的。
第四章 应用和数据安全
4.1.身份鉴别(高风险)
4.1.1.使用的设备:签名验签服务器
4.1.2.具体改造方案:通过颁发的USB Key和部署统一身份认证系统,基于证书识别,实现终端登录应用用户的安全身份鉴别,防止非授权人员登录。
4.1.3.拓展记录:签名验签服务器(已经提供了上层接口)主要做登录认证、防篡改功能。用服务器密码机也可以做,但是服务器密码机不涉及到证书的解析、验证。需要在上层写业务逻辑,需要通过平台处理。
4.2.访问控制信息完整性
4.2.1.使用的设备:服务器密码机
4.2.2.具体改造方案:
4.2.3.拓展记录:系统层面访问信息
4.3.重要信息资源安全标记完整性
4.3.1.使用的设备:
4.3.2.具体改造方案:
4.3.3.拓展记录:
4.4.重要数据传输机密性(高风险)
4.4.1.使用的设备:密码机、密码卡
4.4.2.具体改造方案:通过调用设备的SM2算法进行传输机密性保护。
4.4.3.拓展记录:
4.5.重要数据传输完整性
4.5.1.使用的设备:密码机、密码卡
4.5.2.具体改造方案:通过调用设备的HMAC-SM3算法进行传输完整性保护。
4.5.3.拓展记录:
4.6.重要数据存储机密性(高风险)
4.6.1.使用的设备:密码机、密码卡、数据库加密系统
4.6.2.具体改造方案:
方案一:通过调用设备的SM2算法进行存储机密性保护。
方案二:使用数据库加密系统进行存储机密性保护。
4.6.3.拓展记录:
4.7.重要数据存储完整性(高风险)
4.7.1.使用的设备:密码机、密码卡、数据库加密系统
4.7.2.具体改造方案:
4.7.3.拓展记录:
4.8.应用数据不可否认性(高风险)
4.8.1.使用的设备:
4.8.2.具体改造方案:
4.8.3.拓展记录:
第五章 相关知识扩充
5.1.SSL VPN安全网关、IPSec VPN安全网关区别
1.封装位置:
IPSEC和SSL两种不同的加密协议可以加密数据包,以防止中间黑客劫持数据。但两者的加密位置不同。
IPSEC在网络层工作,即包装原始数据的网络层:
SSL VPN在传输层工作,包装应用信息
IPSEC和SSL对比
通过对比可以看出,sslvpn能对应用做到精细化管控,可以对具体的应用做保护。但是ipsec是原始数据包的封装,所有流量都会走隧道。
2.远程用户访问:
远程用户访问公司内部网络Ipsec客户端一般需要单独布置
sslvpn可以使用浏览器,因为浏览器基本上是内置的ssl协议。
比如校园网的访问一般都是登录网页,然后输入账号密码vpn登录方式都是sslvpn。
3.布置方式:
Ipsec一般用于网到网的连接方式。比如分公司主机和总公司主机有通信需求,此时可以使用ipsecvpn在两家公司之间建立隧道。通过两个站点vpn配置互访网段。然后13.13.13.1和2.2.2.1互访时会进入vpn隧道。
Sslvpn一般用于企业用户远程办公的场景较多,即移动用户-网络的连接。企业总部一般布局oa系统、邮件系统等。当员工在家工作或其他分支机构访问总部的这些应用系统时,可以使用sslvpn进行布置。
因此,只能使用两个机构之间形成局域网进行通信ipsec。但随着站点的增加,运维压力和布局成本也会相应增加。
在远程办公或远程接入的情况下,用户不需要安装客户端他们可以通过找到一台有浏览器可以上网的计算机来访问公司。接入方式更灵活,办公效率更高。在这种情况下sslvpn更好。
4.认证算法:
5.认证方式:
IPSec支持一种身份验证方法,SSL支持多种不同的身份认证方法。
IPSec采用双向身份验证,SSL采用单向/双向身份验证。
5.2.PKI体系:
什么是PKI
PKI 是 Public Key Infrastructure 的缩写,中文叫做公开密钥基础设施,也就是利用公开密钥机制建立起来的基础设施。
PKI 是 Public Key Infrastructure 的缩写,其主要功能是绑定证书持有者的身份和相关的密钥对(通过为公钥及相关的用户身份信息签发数字证书),为用户提供方便的证书申请、证书作废、证书获取、证书状态查询的途径,并利用数字证书及相关的各种服务(证书发布,黑名单发布,时间戳服务等)实现通信中各实体的身份认证、完整性、抗抵赖性和保密性。
PKI 既不是一个协议,也不是一个软件,它是一个标准,在这个标准之下发展出的为了实现安全基础服务目的的技术统称为 PKI。
PKI(Public Key Infrastructure)公钥基础设施是提供公钥加密和数字签名服务的系统或平台,目的是为了管理密钥和证书。 一个机构通过采用PKI 框架管理密钥和证书可以建立一个安全的网络环境。PKI 主要包括四个部分:X.509 格式的证书(X.509 V3)和证书废止列表CRL(X.509 V2);CA 操作协议;CA 管理协议;CA 政策制定。
CA中心——CA系统——数字证书
CA 中心管理并运营 CA 系统,CA 系统负责颁发数字证书。
专门负责颁发数字证书的系统称为 CA 系统,负责管理并运营 CA 系统的机构称为 CA 中心。所有与数字证书相关的各种概念和技术,统称为 PKI(Public Key Infrastructure)。
现代密码学加密基元。
加密基元就是一些基础的密码学算法,通过它们才能够构建更多的密码学算法、协议、应用程序。
说明:
散列函数(散列(hash)、指纹、消息摘要、摘要算法、杂凑函数):把任意长度的输入消息数据转化成固定长度的输出数据的一种密码算法。
消息验证代码:验证数据完整性,即数据没有被篡改。
数字签名:RSA私钥加密,公钥解密,结合散列函数。验证消息真实性。
伪随机函数(PRF):生成任意数量的伪随机数据。
RSA:可以同时用于密钥交换和身份验证(数字签名)。
DHE_RSA:DHE 算法:密钥协商,RSA 算法:身份验证(数字签名)。
ECDHE_RSA: ECDHE 算法:密钥协商,RSA 算法:身份验证(数字签名)。
ECDHE_ECDSA :ECDHE 算法:密钥协商,ECDSA 算法:身份验证(数字签名)。
密钥管理
PKI 的本质是把非对称密钥管理标准化
PKI 是 Public Key Infrastructure 的缩写,其主要功能是绑定证书持有者的身份和相关的密钥对(通过为公钥及相关的用户身份信息签发数字证书),为用户提供方便的证书申请、证书作废、证书获取、证书状态查询的途径,并利用数字证书及相关的各种服务(证书发布,黑名单发布,时间戳服务等)实现通信中各实体的身份认证、完整性、抗抵赖性和保密性。
PKI 模式
数字证书:解决公钥与用户映射关系问题;
CA:解决数字证书签发问题;
KMC:解决私钥的备份与恢复问题;
双证书机制:「签名证书及私钥」只用于签名验签,「加密证书及私钥」只用于加密解密。
LDAP:解决数字证书查询和下载的性能问题,避免 CA 中心成为性能瓶颈。
CRL(证书作废列表) 和 OSCP(在线证书状态协议):方便用户快速获得证书状态。
RA:方便证书业务远程办理、方便证书管理流程与应用系统结合。
电子认证服务机构:保证 CA 系统在数字证书管理方面的规范性、合规性和安全性。
基于数字证书可以实现四种基本安全功能
1.身份认证;
2.保密性;
3.完整性;
4.抗抵赖性;
5.3.vlan的概念:
VLAN的定义:
VLAN(Virtual Local Area Network)即虚拟局域网,是将一个物理的LAN在逻辑上划分成多个广播域的通信技术。VLAN内的主机间可以直接通信,而VLAN间不能直接通信,从而将广报文限制在一个VLAN内。
目的:
以太网是一种基于CSMA/CD的共享通讯介质的数据网络通讯技术。当主机数目较多时会导致冲突严重、广播泛滥、性能显著下降甚至造成网络不可用等问题。通过交换机实现LAN互连虽然可以解决冲突严重的问题,但仍然不能隔离广播报文和提升网络质量。
在这种情况下出现了VLAN技术,这种技术可以把一个LAN划分成多个逻辑的VLAN,每个VLAN是一个广播域,VLAN内的主机间通信就和在一个LAN内一样,而VLAN间则不能直接互通,这样,广播报文就被限制在一个VLAN内。
作用:
(1)控制广播:每一个vlan都是一个独立的广播域,这样就减少了广播对网络宽带的占用,提高了网络传输效率,并且一个VLAN出现了广播风暴不会影响其他的VLAN。
(2)增强网络安全性:由于只能在同一VLAN内的端口之间交换数据,不同的VLAN的端口之间不能直接访问,因此vlan可以限制个别主机访问服务器等资源。所以,通过划分VLAN可以提高网络的安全性
(3)简化网络管理:一个VLAN可以根据内部职能,对象组成应用将不同地理位置的用户划分为一个逻辑网段,在不改动网络物理连接的情况下可以任意地将工作站在工作组或子网间移动。利用VLAN技术,大大减轻了网络管理和维护工作的负担,降低了网络维护的费用。
5.4.PKI单证书和双证书
1、什么是单证书和双证书?
单证书:
用户使用唯一的证书及对应的私钥进行签名和加密操作。
数字签名时,A用户使用自己的私钥加密信息的摘要(签名),B用户使用A的公钥进行解密,对比该摘要是否正确,若正确,则B就确定了A的身份,即验签成功。私钥加密公钥解密为数字签名
加解密时,A用户用B的公钥将信息加密传递给B,B使用自己的私钥解密,进而获得信息。
图为私钥加密过程
图为公钥解密过程
单证书的缺点:
1.数据恢复:当证书丢失,过期,或者销毁后,无法解密用此证书加密的数据。
2.信息监控:对于中央政府来说,为了加强对贸易活动的监管,打击犯罪,存在对信息进行监控的需要,但经过证书加密的数据中央政府几乎无法解密。
双证书:
包括签名证书和加密证书。
签名证书在签名时使用,仅仅用来验证身份使用,其公钥和私钥均由A自己产生,并且由自己保管,CA不负责其保管任务。 签名证书:提供签名服务,不提供加密服务。为了保证唯一性,签名证书不能做备份,丢失了就只能重新申请证书。
加密证书在传递加密数据时使用,其私钥和公钥由CA产生,并由CA保管(存根)。加密证书:提供加密服务,不提供签名服务。
双证书中的签名密钥对是用户自己生成的,把签名密钥对里面的签名公钥证书请求文件发送给CA,由CA对签名公钥生成一份签名证书,但是签名私钥只有用户自己才有。
2、既然单证书可以搞定一切,为何要使用双证书
逻辑上:
如果签名私钥遗失,大不了用户再产生一对,并无多大影响,因此签名密钥没必要交给CA;
如果加密密钥遗失,别人发过来的信息我就没办法解密了,必须从CA那里获取存根。
单证书的话,如果私钥丢了,你如何恢复之前得到的信息呢?
因此从道理上来说两个密钥具有不同的属性,逻辑上应该分开处理。
安全性上:
单证书增加了用户签名被伪造的风险
国家意志:
国家要保证必要的时候有能力对某些通讯进行监控,如果采用单证书,除了自己谁也无法解密(理论上啦),不利于国家安全。因此很多国家法律规定使用双证书。
3、密钥托管是什么
对加密证书密钥对进行托管。
4、密钥托管能解决什么问题
1.数据恢复:加密密钥对可以从托管中心恢复,从而解密数据。
2.信息监控:中央政府可以从托管中心获得加密密钥对,从而监控信息。
5、双证书签发流程:
虽然是双密钥和双证书,从流程上来看,一遍流程即可搞定。
1,用户产生签名密钥对,发送证书请求给RA/CA(请求中包含1个公钥)
2,RA/CA向KMC请求加密密钥对
3,签发两张证书,连同加密密钥一起发送给用户(采用签名证书加密)
4,用户使用自己的签名私钥解密,获得两张证书+加密密钥。
5.5.数据库加密系统
数据库加密机是针对于数据库数据存储安全的高性能基础密码设备,是基于数据库透明加密原理的数据库主动防御产品,具有透明加解密及完整性保护、密钥合规生命周期管理、多因素身份认证、基于加密的权限控制等功能特性。
数据库加密机能够防止数据库明文存储引发的数据泄密、突破边界防护的外部黑客攻击及内部高权限用户非>法对数据的窃取。数据库加密机使用密码技术对敏感数据进行加密和完整性保护,在数据写入数据表前保护数据,数据返回前解密或验证数据;密码运算过程是在数据库逻辑层面调用数据库加密机进行,对应用程序和用户完全透明无感知。数据库加密机可对敏感数据设置独立于数据库的、基于加密的权限控制,可以限制数据库用户对数据的操作,防止用户越权访问敏感数据;也可以基于客户端IP、客户端名称、时间等环境因素限制对加密数据的访问,实现更加细粒度的访问控制。数据库加密机使用不同密钥加密数据库不同的敏感数据,采用密钥管理与数据存储分离的核心理念,通过集中安全的密钥管理保护加密密钥整个生命周期的安全。
产品功能:
透明数据机密性保护
基于数据库透明加密技术对敏感数据进行透明国密SM4加密,在数据写入数据表前自动加密数据,在数据返回前自动解密,密码运算过程对应用程序和用户透明无感知。支持对数据库字段数据及表空间数据的透明加解密。
透明数据完整性保护
基于数据库透明加密技术对敏感数据进行透明SM3-HMAC完整性保护,在数据写入数据表前自动生成MAC数据,在数据返回前自动验证。支持数据库字段数据及表空间数据的完整性保护。
基于加密的权限控制
支持对加密数据设置独立于数据库的、基于加密的权限控制,可以限制数据库用户对加密数据执行密码操作,防止高权限用户或普通用户越权访问敏感数据;支持基于客户端IP、客户端名称、时间等多因素限制对加密数据的访问,实现细粒度权限控制。
安全的密钥管理
可针对于不同的数据库实例配置不同加密密钥,所有加密密钥通过数据库加密机集中管理,支持密钥的生成、存储、归档、恢复、销毁等生命周期管理操作。密钥在数据库加密机内部被硬件密码卡保护后再存储,保证了密钥全生命周期的安全。
高级加密特性
支持保留格式加密,根据用户需求对信用卡号、身份证号、联系方式等特殊的数据在不改变原有数据格式的前提下进行加密,不增加存储密文空间;支持自定义加密规则,只加密字段中的部分数据。
支持密文索引,在数据加密后也可以进行检索,提升检索效率。
三权分立
支持系统管理员、安全管理员、审计管理员三权分立,分管数据库加密机的不同功能模块,满足三权分立要求;支持USBKEY强身份认证机制,采用SM2数字签名验证管理员身份,保证认证强度。
备份&恢复
支持对密钥及系统配置等重要数据的备份/恢复机制,系统管理员可方便的在管理控制台完成系统备份操作,并在需要的时候恢复到加密机中。
日志审计
系统对用户所有的关键操作均生成并记录日志,方便进行查询与审计。
高可用性
支持双活模式部署,防止单点故障。
30
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
