焦點(diǎn)速訊:工業(yè)互聯(lián)網(wǎng)領(lǐng)域商用密碼應(yīng)用安全性評(píng)估研究

發(fā)布時(shí)間:2023-04-13 13:24:58  |  來源:通信世界全媒體  

(CWW)工業(yè)互聯(lián)網(wǎng)是新一代信息通信技術(shù)與工業(yè)經(jīng)濟(jì)深度融合的產(chǎn)物,它以網(wǎng)絡(luò)為基礎(chǔ)、平臺(tái)為中樞、數(shù)據(jù)為要素、安全為保障,是工業(yè)數(shù)字化、網(wǎng)絡(luò)化、智能化轉(zhuǎn)型的基礎(chǔ)設(shè)施,是制造強(qiáng)國(guó)和網(wǎng)絡(luò)強(qiáng)國(guó)建設(shè)的重要支撐。但與此同時(shí),工業(yè)互聯(lián)網(wǎng)的發(fā)展使工業(yè)系統(tǒng)逐步從“封閉隔離式”演進(jìn)為“開放交互式”,引入了極大的信息安全隱患。

密碼是目前世界上公認(rèn)的保障網(wǎng)絡(luò)與信息安全最有效、最可靠、最經(jīng)濟(jì)的關(guān)鍵核心技術(shù)。密碼技術(shù)通過保障網(wǎng)絡(luò)空間實(shí)體身份的真實(shí)性,信息的保密性、完整性及行為的可信賴,實(shí)現(xiàn)網(wǎng)絡(luò)空間安全、可信、可控的互聯(lián)互通,切實(shí)保障信息系統(tǒng)和數(shù)據(jù)資產(chǎn)安全。同時(shí),當(dāng)前被動(dòng)、外掛式的傳統(tǒng)網(wǎng)絡(luò)安全防護(hù)措施已不足以應(yīng)對(duì)日益復(fù)雜的網(wǎng)絡(luò)空間環(huán)境,密碼與網(wǎng)絡(luò)及設(shè)備的深度融合,可使網(wǎng)絡(luò)及設(shè)備自身具備安全防護(hù)能力,從而構(gòu)建基于密碼的主動(dòng)、內(nèi)生防御體系。

商用密碼應(yīng)用安全性評(píng)估(以下簡(jiǎn)稱密評(píng))是規(guī)范密碼應(yīng)用、發(fā)揮密碼作用的必要手段,也是保障數(shù)字時(shí)代網(wǎng)絡(luò)空間安全的客觀要求。在工業(yè)互聯(lián)網(wǎng)領(lǐng)域開展密評(píng),可有效促進(jìn)商用密碼在工業(yè)互聯(lián)網(wǎng)領(lǐng)域的應(yīng)用,充分發(fā)揮密碼在數(shù)據(jù)加密、身份鑒別、訪問控制、取證溯源等方面難以替代的重要能力,構(gòu)建以密碼為基礎(chǔ)的工業(yè)互聯(lián)網(wǎng)安全保障體系,有效降低工業(yè)互聯(lián)網(wǎng)安全風(fēng)險(xiǎn)。


(相關(guān)資料圖)

工業(yè)互聯(lián)網(wǎng)面臨的網(wǎng)絡(luò)信息安全威脅日益嚴(yán)峻

工業(yè)互聯(lián)網(wǎng)通過工業(yè)體系與互聯(lián)網(wǎng)體系深度融合,將工業(yè)領(lǐng)域中的人、機(jī)、物等生產(chǎn)經(jīng)營(yíng)要素全面聯(lián)通,形成了影響工業(yè)和經(jīng)濟(jì)發(fā)展的關(guān)鍵信息系統(tǒng)。從封閉的工業(yè)環(huán)境到開放的互聯(lián)網(wǎng)網(wǎng)絡(luò)環(huán)境,工業(yè)互聯(lián)網(wǎng)正面臨網(wǎng)絡(luò)安全與工業(yè)安全帶來的雙重風(fēng)險(xiǎn)。隨著工業(yè)互聯(lián)網(wǎng)的快速發(fā)展,全球工業(yè)互聯(lián)網(wǎng)安全形勢(shì)日益嚴(yán)峻。近年來,針對(duì)工業(yè)互聯(lián)網(wǎng)領(lǐng)域的網(wǎng)絡(luò)攻擊層出不窮,美國(guó)最大的燃油管道運(yùn)營(yíng)商科洛尼爾公司、俄羅斯鋼鐵制造商Evraz公司、葡萄牙跨國(guó)能源公司EDP等遭受勒索軟件攻擊;美國(guó)舊金山灣區(qū)最大的機(jī)場(chǎng)SFO、瑞士鐵路機(jī)車制造商Stadler、新英格蘭地區(qū)最大的能源供應(yīng)商Eversource遭遇大量數(shù)據(jù)泄露;黑客入侵美國(guó)佛羅里達(dá)州奧爾德斯瑪市的市政水處理系統(tǒng),獲取了遠(yuǎn)程控制權(quán),并試圖將某種化學(xué)物質(zhì)的含量提高到可能使公眾面臨中毒風(fēng)險(xiǎn)的程度。

密評(píng)是保障信息系統(tǒng)安全的必要手段

密評(píng)是法律法規(guī)制度要求

自2015年《國(guó)家安全法》提出“實(shí)現(xiàn)網(wǎng)絡(luò)和信息核心技術(shù)、關(guān)鍵基礎(chǔ)設(shè)施和重要領(lǐng)域信息系統(tǒng)及數(shù)據(jù)的安全可控”以來,我國(guó)相繼出臺(tái)了《網(wǎng)絡(luò)安全法》《密碼法》《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》等法律法規(guī),明確了使用密碼技術(shù)加強(qiáng)重要數(shù)據(jù)和個(gè)人信息保護(hù)、落實(shí)重點(diǎn)防護(hù)措施的總體要求?!睹艽a法》還對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者提出了開展的具體要求。

工業(yè)和信息化部印發(fā)《工業(yè)互聯(lián)網(wǎng)創(chuàng)新發(fā)展行動(dòng)計(jì)劃(2021—2023年)》,將“深化商用密碼應(yīng)用”作為重要工作內(nèi)容,指出“加快密碼應(yīng)用核心技術(shù)突破和標(biāo)準(zhǔn)研制,推動(dòng)需求側(cè)、供給側(cè)有效對(duì)接和協(xié)同創(chuàng)新,推動(dòng)密碼技術(shù)深入應(yīng)用”,并強(qiáng)調(diào)“加強(qiáng)工業(yè)互聯(lián)網(wǎng)密碼應(yīng)用安全性評(píng)估能力建設(shè)。”

公安部、財(cái)政部、國(guó)資委、市場(chǎng)監(jiān)管總局、證監(jiān)會(huì)等十部門聯(lián)合發(fā)布《促進(jìn)商用密碼產(chǎn)業(yè)高質(zhì)量發(fā)展的若干措施》,強(qiáng)調(diào)依法督促建設(shè)密碼保障體系,并強(qiáng)化重要網(wǎng)絡(luò)與信息系統(tǒng)密評(píng)的執(zhí)法檢查,從而形成需求牽引。同時(shí),明確指出要發(fā)揮商用密碼在推進(jìn)傳統(tǒng)產(chǎn)業(yè)數(shù)字化轉(zhuǎn)型、促進(jìn)數(shù)據(jù)要素安全有限高效流動(dòng)等方面的重要作用,促進(jìn)商用密碼與新一代信息網(wǎng)絡(luò)、量子信息、人工智能、物聯(lián)網(wǎng)、先進(jìn)制造、工業(yè)控制、區(qū)塊鏈、智能網(wǎng)聯(lián)汽車等融合創(chuàng)新。

密評(píng)有效規(guī)范和促進(jìn)密碼應(yīng)用

密碼應(yīng)用安全需要相關(guān)技術(shù)人員具有一定的密碼知識(shí)儲(chǔ)備,包括密碼算法、密碼協(xié)議、密碼產(chǎn)品、密鑰管理等多個(gè)方面,否則會(huì)導(dǎo)致密碼錯(cuò)用、誤用,如系統(tǒng)中使用了已被破解的密碼算法、使用存在安全漏洞的密碼協(xié)議、密碼算法相關(guān)參數(shù)使用不安全、數(shù)字證書簽發(fā)及有效性驗(yàn)證過程不規(guī)范等。

密評(píng)是評(píng)判系統(tǒng)是否合規(guī)、正確、有效使用密碼的標(biāo)尺,通過不同技術(shù)層面,密評(píng)全方位評(píng)估密碼使用,并從管理層面評(píng)估密碼管理手段,是一項(xiàng)專業(yè)性強(qiáng)、覆蓋面廣、技術(shù)要求高且需對(duì)系統(tǒng)和密碼應(yīng)用理解深入的工作。密評(píng)依據(jù)科學(xué)全面的測(cè)評(píng)標(biāo)準(zhǔn),通過專業(yè)的技術(shù)人員和技術(shù)手段,對(duì)信息系統(tǒng)密碼應(yīng)用情況做出評(píng)價(jià),對(duì)密碼應(yīng)用問題給出專業(yè)、可行的改進(jìn)建議,為網(wǎng)絡(luò)運(yùn)營(yíng)者掌握系統(tǒng)密碼應(yīng)用情況并開展進(jìn)一步密碼應(yīng)用改造提供支撐。通過密評(píng),可有效規(guī)范和促進(jìn)密碼應(yīng)用,“以評(píng)促建、以評(píng)促用、以評(píng)促改”,推動(dòng)密碼技術(shù)、產(chǎn)品和服務(wù)在信息系統(tǒng)的網(wǎng)絡(luò)安全規(guī)劃、建設(shè)、運(yùn)行中發(fā)揮強(qiáng)有力的保障作用,從而構(gòu)建起基于密碼技術(shù)的網(wǎng)絡(luò)安全保障體系。

密評(píng)在工業(yè)互聯(lián)網(wǎng)安全中的實(shí)踐

根據(jù)GB/T 39786-2021《信息安全技術(shù)信息系統(tǒng)密碼應(yīng)用基本要求》,密評(píng)需要在密碼應(yīng)用的技術(shù)層面和管理層面,對(duì)網(wǎng)絡(luò)和信息系統(tǒng)密碼應(yīng)用的合規(guī)性、正確性和有效性進(jìn)行評(píng)估。

技術(shù)層面包括物理和環(huán)境安全、網(wǎng)絡(luò)和通信安全、設(shè)備和計(jì)算安全、應(yīng)用和數(shù)據(jù)安全,在測(cè)評(píng)過程中需要獲取一系列證據(jù)形成有效的證據(jù)鏈來支撐測(cè)評(píng)結(jié)論。每個(gè)測(cè)評(píng)指標(biāo)從密碼使用有效性、密碼算法/技術(shù)合規(guī)性、密鑰管理安全3個(gè)方面進(jìn)行考量。一是識(shí)別密碼技術(shù)是否被正確、有效使用,以提供機(jī)密性、完整性、真實(shí)性和不可否認(rèn)性保護(hù)。如信息系統(tǒng)部署了SSL VPN設(shè)備,但是在實(shí)際使用中被旁路,未起到保障通信鏈路安全的作用。二是識(shí)別系統(tǒng)使用的密碼算法、密碼技術(shù)是否合規(guī)。如是否使用符合要求的商用密碼算法和協(xié)議,包括SM2、SM3、SM4算法以及國(guó)密SSL、IPsec協(xié)議等。三是密鑰管理的全生命周期是否安全。識(shí)別用于密碼計(jì)算或密鑰管理的密碼產(chǎn)品、密碼服務(wù)是否安全,如三級(jí)系統(tǒng)使用二級(jí)密碼模塊進(jìn)行密鑰存儲(chǔ)。

安全管理測(cè)評(píng)從管理制度、人員管理、建設(shè)運(yùn)行和應(yīng)急處置4個(gè)方面,對(duì)被評(píng)估系統(tǒng)的密碼安全管理進(jìn)行商用密碼應(yīng)用安全性管理測(cè)評(píng)。密碼應(yīng)用安全管理制度應(yīng)主要從密鑰管理、人員管理、建設(shè)運(yùn)行、事件應(yīng)急處置、密碼軟硬件及介質(zhì)管理制度等方面開展檢測(cè)評(píng)估。人員管理應(yīng)主要評(píng)估是否設(shè)置密鑰管理員、密碼安全審計(jì)員、密碼操作員等關(guān)鍵安全崗位,是否對(duì)相關(guān)人員開展定期培訓(xùn)考核等。建設(shè)運(yùn)行主要評(píng)估是否根據(jù)密碼相關(guān)標(biāo)準(zhǔn)和密碼應(yīng)用需求制定密碼應(yīng)用方案,確定系統(tǒng)涉及的密鑰種類、體系及生存周期,系統(tǒng)投入運(yùn)行前是否進(jìn)行密碼應(yīng)用安全性評(píng)估等。事件應(yīng)急處置主要評(píng)估是否制定應(yīng)急處置策略,在密碼應(yīng)用安全事件發(fā)生時(shí)是否遵照?qǐng)?zhí)行所制定的應(yīng)急處理流程等。

技術(shù)層面的物理和環(huán)境安全主要由信息系統(tǒng)所在機(jī)房的依賴設(shè)備來實(shí)現(xiàn),管理層面主要關(guān)注系統(tǒng)責(zé)任單位的相關(guān)管理措施,不在本文討論范圍內(nèi)。以下主要從基于PaaS平臺(tái)的網(wǎng)絡(luò)和通信安全、應(yīng)用和數(shù)據(jù)安全層面展開。

工業(yè)互聯(lián)網(wǎng)平臺(tái)密碼應(yīng)用典型場(chǎng)景

工業(yè)互聯(lián)網(wǎng)平臺(tái)是面向制造業(yè)數(shù)字化、網(wǎng)絡(luò)化、智能化需求,構(gòu)建基于海量數(shù)據(jù)采集、匯聚、分析的服務(wù)體系,支撐制造資源泛在連接、彈性供給、高效配置的工業(yè)云平臺(tái)。工業(yè)互聯(lián)網(wǎng)云平臺(tái)為工業(yè)企業(yè)提供先進(jìn)智能制造、設(shè)備遠(yuǎn)程運(yùn)維、安全生產(chǎn)監(jiān)控等工業(yè)互聯(lián)服務(wù)能力,實(shí)現(xiàn)各類設(shè)備的云端接入、數(shù)據(jù)采集、統(tǒng)計(jì)分析、反饋控制、邊緣計(jì)算等功能。典型工業(yè)互聯(lián)網(wǎng)平臺(tái)密碼應(yīng)用場(chǎng)景如圖1所示。

圖1典型工業(yè)互聯(lián)網(wǎng)平臺(tái)密碼應(yīng)用場(chǎng)景

1. 密碼資源池

云平臺(tái)為租戶提供加解密、簽名驗(yàn)簽等云密碼服務(wù)。在實(shí)際中,不可能為每個(gè)租戶配置相應(yīng)的物理密碼產(chǎn)品。當(dāng)業(yè)務(wù)擴(kuò)展時(shí),通常需要添加或者升級(jí)新的密碼設(shè)備。然而,在面臨頻繁變化的應(yīng)用時(shí),傳統(tǒng)依靠增加密碼設(shè)備的擴(kuò)展方案難度較大,無法做到按需彈性擴(kuò)展。因此,通常在云平臺(tái)建設(shè)過程中,搭建密碼資源池,統(tǒng)一為云平臺(tái)和云上應(yīng)用提供密碼計(jì)算、密碼服務(wù)等資源,實(shí)現(xiàn)加解密、身份鑒別、簽名驗(yàn)簽、密鑰管理等功能。

2. 統(tǒng)一密碼服務(wù)平臺(tái)

云租戶業(yè)務(wù)應(yīng)用種類繁多,用戶量大,關(guān)鍵數(shù)據(jù)復(fù)雜多樣,安全機(jī)制不一致,這也為密碼應(yīng)用和管理帶來難度。因此,密碼資源池需要對(duì)云平臺(tái)上所有業(yè)務(wù)應(yīng)用系統(tǒng)提供統(tǒng)一的密碼服務(wù),提供多租戶的密碼服務(wù)能力,對(duì)各類密碼服務(wù)接口、服務(wù)訂購(gòu)、應(yīng)用調(diào)用、應(yīng)用認(rèn)證、平臺(tái)運(yùn)行等進(jìn)行管理,提供多租戶管理、密碼資源管理等服務(wù)。

密碼管理平臺(tái)是對(duì)若干臺(tái)密碼設(shè)備的統(tǒng)一調(diào)度管理平臺(tái),在對(duì)云平臺(tái)密碼資源池里的密碼設(shè)備進(jìn)行運(yùn)維管理的同時(shí),建立統(tǒng)一的密碼服務(wù)接口,面向云平臺(tái)上的所有應(yīng)用系統(tǒng)提供密碼接口服務(wù),為云上租戶密碼應(yīng)用帶來便捷。

3. 安全接入網(wǎng)關(guān)

云平臺(tái)網(wǎng)絡(luò)邊界部署SSL VPN網(wǎng)關(guān),實(shí)現(xiàn)設(shè)備和用戶數(shù)據(jù)的傳輸安全。與之相應(yīng)的,管理面用戶側(cè)部署USB Key、國(guó)密瀏覽器密碼模塊與SSL VPN網(wǎng)關(guān),建立安全的傳輸通道。設(shè)備側(cè)由于工業(yè)設(shè)備類型多,協(xié)議、接口復(fù)雜,且密碼的自主知識(shí)產(chǎn)權(quán)較少,因此,短時(shí)間內(nèi)商用密碼替代難度大。本文所述場(chǎng)景下,設(shè)備側(cè)通過終端加密網(wǎng)關(guān),一方面能夠讓工業(yè)設(shè)備與工業(yè)互聯(lián)網(wǎng)接入?yún)^(qū)的SSL VPN網(wǎng)關(guān)之間,建立基于商用密碼算法的安全通信鏈路,另一方面終端加密網(wǎng)關(guān)可以讓各種工業(yè)設(shè)備接口、協(xié)議實(shí)現(xiàn)統(tǒng)一,有利于工業(yè)互聯(lián)網(wǎng)平臺(tái)與工業(yè)設(shè)備之間的快速、便捷連接。

工業(yè)互聯(lián)網(wǎng)云平臺(tái)密碼應(yīng)用安全性評(píng)估

工業(yè)互聯(lián)網(wǎng)平臺(tái)本質(zhì)上是云平臺(tái),其密碼應(yīng)用安全性評(píng)估應(yīng)首先遵循云平臺(tái)的密評(píng)原則。云平臺(tái)密碼應(yīng)用分為兩個(gè)層面,一是云平臺(tái)為滿足自身安全需求所采用的密碼技術(shù),二是云平臺(tái)上的租戶需要通過調(diào)用平臺(tái)提供的密碼服務(wù),為自身業(yè)務(wù)應(yīng)用提供密碼保障。因此,云平臺(tái)密碼應(yīng)用和安全性評(píng)估一方面要考慮云平臺(tái)本身的密碼應(yīng)用需求,另一方面也要考慮為云上應(yīng)用提供密碼支撐能力。基于以上分析,工業(yè)互聯(lián)云平臺(tái)密碼應(yīng)用安全性評(píng)估參考方案如下。

1. 網(wǎng)絡(luò)和通信安全層面

根據(jù)GM/T 0025-2014《SSL VPN網(wǎng)關(guān)產(chǎn)品規(guī)范》,客戶端和服務(wù)端建立基于國(guó)密算法的SSL安全通道,對(duì)通信雙方進(jìn)行身份鑒別,保證通信數(shù)據(jù)的機(jī)密性、完整性。

SSL協(xié)議通過握手協(xié)議進(jìn)行通信雙方的身份鑒別,并協(xié)商出連接會(huì)話所需密碼套件。密碼套件包括公鑰密碼算法、對(duì)稱密碼算法和密碼雜湊算法。SSL握手協(xié)議過程如圖2所示。客戶端發(fā)送ClientHello消息,攜帶客戶端支持的密碼套件,服務(wù)端回應(yīng)ServerHello消息確認(rèn)使用的密碼套件。接著服務(wù)端發(fā)送ServerCertificate簽名證書和加密證書,客戶端通過驗(yàn)簽對(duì)服務(wù)端進(jìn)行身份鑒別。

圖2SSL握手協(xié)議過程

網(wǎng)絡(luò)和通信層面的測(cè)評(píng)對(duì)象主要是工業(yè)互聯(lián)網(wǎng)云平臺(tái)、管理用戶和設(shè)備終端加密網(wǎng)關(guān)之間的通信信道。值得注意的是,租戶管理員對(duì)所分配的云資源有較高的管理權(quán)限,作為云平臺(tái)的用戶進(jìn)行測(cè)評(píng)。

在用戶客戶端和終端加密網(wǎng)關(guān)通過網(wǎng)絡(luò)抓包工具抓取通道建立過程的通信數(shù)據(jù)包,分析數(shù)據(jù)包中采用的通信協(xié)議,如圖3所示。服務(wù)端ServerHello消息中協(xié)商確認(rèn)的密碼套件為ECC_SM4_SM3,說明本次建立的通道采用SM4算法保證數(shù)據(jù)傳輸機(jī)密性,并用SM3算法保證數(shù)據(jù)傳輸完整性。

圖3SSL握手協(xié)議密碼套件協(xié)商過程數(shù)據(jù)包分析

提取數(shù)據(jù)包中的服務(wù)端數(shù)字證書,如圖4所示。數(shù)字證書中的簽名算法OID為1.2.156.10197.1.501,說明采用基于SM2算法和SM3算法的數(shù)字簽名進(jìn)行服務(wù)端身份鑒別。

圖4SSL握手協(xié)議數(shù)字證書分析

2. 應(yīng)用和數(shù)據(jù)安全層面

云平臺(tái)和應(yīng)用系統(tǒng)通過統(tǒng)一密碼服務(wù)平臺(tái)調(diào)用密碼資源,對(duì)用戶身份鑒別數(shù)據(jù)、平臺(tái)重要數(shù)據(jù)進(jìn)行傳輸、機(jī)密性存儲(chǔ)、完整性保護(hù),防止這些數(shù)據(jù)被竊取和篡改。使用HMAC-SM3對(duì)應(yīng)用日志記錄進(jìn)行完整性保護(hù),防止應(yīng)用日志記錄被非授權(quán)篡改。

身份鑒別需要重點(diǎn)查看用戶智能密碼鑰匙中存儲(chǔ)的數(shù)字證書是否合規(guī),在用戶登錄過程中,云平臺(tái)是否調(diào)用簽名驗(yàn)簽服務(wù)器對(duì)用戶進(jìn)行身份鑒別。為保證數(shù)據(jù)存儲(chǔ)機(jī)密性和完整性,需要重點(diǎn)查看重要數(shù)據(jù)是否加密存儲(chǔ),如果是明文存儲(chǔ),說明未采用密碼算法進(jìn)行數(shù)據(jù)存儲(chǔ)機(jī)密性和完整性保護(hù)。如果是密文存儲(chǔ),需要分析密文長(zhǎng)度是否符合規(guī)定的密碼算法輸出長(zhǎng)度,如果密文長(zhǎng)度不符合,說明未采用合規(guī)的密碼算法;如果密文長(zhǎng)度符合,需要查看日志記錄、流量數(shù)據(jù)顯示是否調(diào)用密碼設(shè)備,如果無相關(guān)日志和流量,則證據(jù)不充分,不宜判定為符合,如果日志和流量顯示調(diào)用了密碼設(shè)備,還可以查看密鑰表中存儲(chǔ)的密鑰是否與密碼設(shè)備一致、密碼設(shè)備配置的KEK是否為合規(guī)的密碼算法等,以輔助證明數(shù)據(jù)存儲(chǔ)進(jìn)行了機(jī)密性和完整性保護(hù)。

3. 密碼管理平臺(tái)作為應(yīng)用系統(tǒng)進(jìn)行測(cè)評(píng)

密碼管理平臺(tái)是對(duì)若干臺(tái)密碼設(shè)備的統(tǒng)一調(diào)度管理平臺(tái),在對(duì)云平臺(tái)密碼資源池里的密碼設(shè)備進(jìn)行運(yùn)維管理的同時(shí),建立統(tǒng)一的密碼服務(wù)接口,面向云平臺(tái)上的所有應(yīng)用系統(tǒng)提供密碼接口服務(wù);業(yè)務(wù)邏輯復(fù)雜,是云上系統(tǒng)實(shí)現(xiàn)密碼應(yīng)用的重要支撐,故應(yīng)將其作為應(yīng)用和數(shù)據(jù)安全層面的一個(gè)管理類應(yīng)用系統(tǒng)進(jìn)行測(cè)評(píng)。

4. 云平臺(tái)為云上應(yīng)用提供密碼支撐能力

云上應(yīng)用的部分測(cè)評(píng)結(jié)論需要依賴于云平臺(tái)的測(cè)評(píng)結(jié)果。云平臺(tái)需為云上應(yīng)用提供GB/T 39786中的物理和環(huán)境安全、網(wǎng)絡(luò)和通信安全、設(shè)備和計(jì)算安全,甚至應(yīng)用和數(shù)據(jù)安全等層面的密碼支撐。

(1)被完全評(píng)估的支撐能力

被完全評(píng)估的支撐能力指云平臺(tái)的某些測(cè)評(píng)對(duì)象同時(shí)支撐云平臺(tái)和云上應(yīng)用,同時(shí)將云平臺(tái)和云上應(yīng)用作為測(cè)評(píng)對(duì)象。如果云上應(yīng)用被完全評(píng)估的支撐能力所支撐,此時(shí)云上應(yīng)用相應(yīng)測(cè)評(píng)對(duì)象的測(cè)評(píng)結(jié)論完全被云平臺(tái)覆蓋,如果云平臺(tái)已經(jīng)通過密評(píng)且安全等級(jí)不低于云上應(yīng)用,則云上應(yīng)用測(cè)評(píng)對(duì)象的測(cè)評(píng)結(jié)論可視為不適用。

(2)被部分評(píng)估的支撐能力

被部分評(píng)估的支撐能力指云平臺(tái)提供的支撐服務(wù)僅用于云上應(yīng)用而不用于云平臺(tái),或者將服務(wù)于云平臺(tái)和云上應(yīng)用作為不同測(cè)評(píng)對(duì)象。如果云上應(yīng)用被部分評(píng)估的支撐能力所支撐,那么需要結(jié)合“云平臺(tái)支撐能力說明”對(duì)云上應(yīng)用測(cè)評(píng)對(duì)象進(jìn)行充分測(cè)評(píng)并給定結(jié)果。

結(jié) 語

本文闡述了工業(yè)互聯(lián)網(wǎng)面臨的安全風(fēng)險(xiǎn),提出了工業(yè)互聯(lián)網(wǎng)平臺(tái)密碼應(yīng)用場(chǎng)景,并基于該場(chǎng)景分析了密評(píng)如何開展,為工業(yè)互聯(lián)網(wǎng)密碼應(yīng)用及安全性評(píng)估工作提供參考。

關(guān)鍵詞:

 

網(wǎng)站介紹  |  版權(quán)說明  |  聯(lián)系我們  |  網(wǎng)站地圖 

星際派備案號(hào):京ICP備2022016840號(hào)-16 營(yíng)業(yè)執(zhí)照公示信息版權(quán)所有 郵箱聯(lián)系:920 891 263@qq.com