国密SSL证书在等保、关保、密评合规建设中的应用
2024/04/22
在等保、关保、密评等合规建设中,网络和通信安全方面的建设是非常重要的部分,需要实现加密保护和安全认证,确保传输数据机密性、完整性以及通信主体可信认证。国密SSL证书应用于等保、关保和密评合规建设中,不仅能够提升网络信息系统的安全性,同时满足我国网络安全和密码应用的各项法规要求。
一、等保、关保、密评的概念及相关政策
1.1等保制度及相关政策法规
网络安全等级保护(简称“等保”)是我国网络安全的基本制度,旨在对国家重要信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。网络运营者应当按照网络安全等级保护制度的要求,履行安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。
基础信息网络、云计算平台/系统、大数据应用/平台/资源、物联网、工业控制系统和采用移动互联技术的系统等都是等级保护对象,根据其在国家安全、经济建设、社会生活中的重要程度,遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等,由低到高被划分为五个安全保护等级。
《网络安全法》、《密码法》、《数据安全法》及《网络安全等级保护条例》,为等级保护提供政策法规层面的法律基础和监管依据;《GB/T22239-2019 信息安全技术 网络安全等级保护基本要求》等指导标准,则为具体工作提供指引。
1.2关保制度及相关政策法规
关键信息基础设施安全保护(简称“关保”)是在网络安全等级保护制度的基础上,针对国家关键信息基础设施实行重点保护。关键信息基础设施,是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。
《网络安全法》、《密码法》、《数据安全法》及重要配套法规《关键信息基础设施安全保护条例》,为关基保护提供政策法规层面的监管依据;关保国家标准GB/T 39204-2022《信息安全技术 关键信息基础设施安全保护要求》等指导标准为保护工作部门、关键信息基础设施运营者、网络安全服务机构等开展安全保护工作提供指引。
1.3密评制度及相关政策法规
商用密码应用安全性评估(简称“密评”)是针对采用商用密码技术、产品和服务的网络和信息系统,对其密码应用进行合规性、正确性和有效性评估,旨在确保网络和信息系统中商用密码的应用满足国家安全标准,保障信息安全。
《密码法》、《网络安全法》、《数据安全法》以及《商用密码管理条例》等法律法规都对商用密码应用提出要求,并强调了密评的重要性。GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》等商用密码应用及评估相关标准,为商用密码应用和评估提供指引。
二、国密SSL证书在等保、关保、密评合规建设中的应用
2.1落实等保2.0、关保安全通信设计要求
《信息安全技术-网络安全等级保护安全设计技术要求》(GB/T 25070-2019)对不同等级的信息系统提出了不同 要求。第一级只需采用常规校验机制验证数据传输的完整性;第二级及以上需要采用密码技术保护数据传输的完整性及保密性;第三级及以上需要采用密码技术确保通信可信接入。
国密SSL证书通过SSL/TLS协议的加密认证机制,建立安全的网络连接并校验通信方的真实身份,实现网络传输的保密性、完整性,确保通信双方身份可信,可助力等保二级及以上信息系统以及关键信息基础设施信息系统满足等保2.0安全通信设计要求。
2.2落实密码应用合规要求
国家密码管理局公布《商用密码应用安全性评估管理办法》规定,法律、行政法规和国家有关规定要求使用商用密码进行保护的网络与信息系统,其运营者应当使用商用密码进行保护,重要网络与信息系统每年至少开展一次商用密码应用安全性评估。
GB/T 39786-2021《信息安全技术信息系统密码应用基本要求》规定了信息系统在网络和通信安全层面的密码应用技术要求,通信主体、信息系统与网络边界外建立的网络通信信道,应采用密码技术保护通信信道传输安全。商用密码安全性测评中,网络和通信安全层面主要测评对象是针对跨网络访问的通信信道,涉及不同网络类型和通信主体在建立通信通道时的HTTPS协议、SSL VPN协议、IPSec协议等通信协议的密码应用情况。
国密SSL证书支持SM2/SM3/SM4国产密码算法和国密安全协议,实现基于国密算法的HTTPS协议、SSL VPN协议,保障通信信道的数据传输安全,可帮助信息系统实现网络和通信安全层面的密码应用技术要求。
三、沃通国密RSA双证书应用,全球信任、国密合规
在SSL/TLS传输层实现商用密码应用,是实现网络信息系统自主可控的关键一环。沃通国密SSL证书是国密合规的SSL证书产品,支持SM2/SM3/SM4国产密码算法和国密安全协议,兼容360浏览器、沃通国密浏览器、红莲花浏览器、 赢达信浏览器、零信浏览器等主要国密浏览器,兼容安恒WAF等支持国密算法的网络安全产品;采用自主可控密码技术保护数据机密性、完整性,防止数据在传输过程中被窃取或篡改,并确保通信主体身份真实性。
为应对国密算法兼容性问题,沃通独家首推“SM2/RSA双证书”部署模式,在国密网关或中间件部署SM2/RSA双SSL证书,服务器端可自动识别浏览器,与国密浏览器采用国密HTTPS加密、与国际通用浏览器采用RSA HTTPS加密,自适应兼容所有浏览器,兼顾国密合规性和全球通用性,有效解决国密SSL证书浏览器兼容性问题。
国密SSL证书在网络安全等级保护和关键基础设施保护中中发挥着至关重要的作用。它不仅满足了网络安全通信设计的技术要求,还可在商用密码评估和密码改造中助力密码应用合规。沃通CA是依法设立的第三方电子认证服务机构,获得工信部颁发《电子认证服务许可证》、国密局颁发《电子认证使用密码许可证》、获批电子政务电子认证服务资质,提供全球信任的SSL证书以及国密SSL证书产品,以数字证书产品结合时间戳、电子签章、签名验签、服务器密码机、安全网关等软硬件产品,助力我国重要信息系统安全合规建设。