商用密碼應用安全性評估

隨著信息化快速發展，網絡與信息系統安全事件呈現快速增長趨勢，密碼作為保護網絡與信息系統安全的重要手段，在身份識別、信息加密、完整性保護和抗抵賴性等方面發揮著不可替代的重要作用。網絡運營者應當按照國家網絡安全等級保護制度，使用商用密碼保護網絡安全。

天融信依據GB/T 39786—2021《信息安全技術 信息系統密碼應用基本要求》從物理和環境安全、網絡和通信安全、設備和計算安全、應用和數據安全四個技術層面，以及管理制度、人員管理、建設運行、應急處置四個管理層面，充分結合客戶信息系統實際需求和網絡安全等級保護要求，采用“三同步一評估”原則，為客戶提供密碼保障體系建設和密評改造方案。

在系統所在機房重要物理區域部署國產密碼算法的安全電子門禁和視頻監控系統，通過調用服務器密碼機進行身份鑒別。
通過調用服務器密碼機的SM3-HMAC實現對門禁數據和視頻數據進行完整性保護。

通過部署國密SSL/IPSEC VPN確保人員身份的真實性。
建立國密SSL通道通過SM3-HMAC運算保障通信數據完整性，并且通過SM4運算保障通信數據機密性。
SSL/IPSEC VPN通過SM3-HMAC對自身網絡邊界訪問控制信息進行完整性保護。
通過SSL/IPSEC VPN的控制策略對外部接入設備進行權限認證。

通過智能密碼鑰匙+數字證書確保登錄系統的客戶端身份鑒別。
通過SSL/IPSEC VPN建立遠程管理通道，確保遠程管理通道安全性。
通過調用服務器密碼機對系統資源訪問控制信息和重要信息資源安全標記進行完整性保護。
通過調用服務器密碼機的SM3-HMAC實現日志記錄完整性并保護。
根據應用程序的報備審核和發布系統查驗應用程序信息，并向簽名驗簽服務器申請應用程序簽名，通過調用簽名驗簽服務器實現對重要可執行程序完整性和來源真實性進行保護。

依托智能密碼鑰匙、國密瀏覽器和SSL VPN進行應用層人員身份鑒別
統一身份認證網關通過SM3-HMAC對自身訪問控制信息進行完整性保護
通過國密瀏覽器與SSL/IPSEC VPN之間建立國密SSL通道保障數據傳輸機密性、完整性。
通過數據庫加密機進行透明加密保護或調用硬件密碼模塊標準國密接口進行數據存儲的機密性、完整性保護。
通過調用時間戳服務器、電子簽章系統進行有效簽名，確保原發證件、接收證據行為的不可否認性