随着我国“互联网+政务服务”的持续推进,政务信息系统和APP逐步实现了海量的个人信息数据归集,在帮助政府部门实现业务流程再造方便了广大群众的同时,也面临着前所未有的网络安全风险。
从近日俄罗斯的“断网”风波,到国内外频发的网站数据泄露事件,说明当前的网络安全形势不容乐观,尤其是RSA算法后门事件的爆出,更直接表明了即便安装国际通用加密算法证书也无法保证绝对的安全。
政策推进,技术成熟,国密算法改造势在必行
密码技术是信息安全保障的核心,为确保密码算法的自主可控,降低敏感信息泄露和信息系统遭受攻击的风险,国家层面一直大力推进国产密码在政务、金融等关键领域的应用、升级、改造工作。
2018年国家密码管理局制定并发布了国产密码算法及相关密码行业标准《信息系统密码应用基本要求》(GM/T 0054-2018),明确了等级保护不同级别的密钥管理和安全管理的要求。2020年1月《中华人民共和国密码法》正式施行,意味着国产密码算法以及相对应的产品应用将成为各级政府机关网站和各类企业网站的安全标配。
就技术层面而言,以应用较为广泛的SM2、SM3、SM4三种国产密码为例,国密算法在加密强度或运算性能上都优于同类国际通用算法。尤其是非对称加密算法SM2,密码复杂度高、处理速度快、机器性能消耗小,因而也更加的安全和优越,是政务单位、金融机构进行国密改造的绝佳选择。
双算法证书方案,自适应切换保障业务连续性
作为国家授权的电子认证服务机构,天威诚信积极响应国家政策,自主研发了支持国密SM算法的vTrus 系列SSL证书,且已全部通过国家密码管理局的安全性审查,并率先在政务领域开展信息系统国产密码算法升级改造的服务。
政务信息系统承载着亿万公民的身份信息和各企事业单位的数据资料,为加强网络安全保障,在改造过程中,天威诚信结合政务单位的实际情况,充分利用其现有的软、硬件资源,从信息系统物理环境、网络通信、计算设备、应用数据、密钥管理、安全管理等维度开展国密算法HTTPS加密升级改造,全方位保障密码应用安全。
天威诚信为政务信息化系统部署的vTrus 国密SSL证书,参考国际标准中的OV企业级身份验证标准,支持在国密浏览器中显示安全锁及单位名称,帮助用户轻松识别网站真实身份,同时判断网站连接的安全状态。
为保障业务的稳定性和连续性,天威诚信可在政务网络系统关键设备上采用“SM2/RSA双算法证书”部署模式,防止密码服务在发生问题时影响业务的连续性。
双算法证书可自适应兼容所有浏览器和移动终端,兼顾国密合规性和全球通用性,可平滑实现网站国密算法升级改造。
此外,天威诚信可为政务信息系统免费提供自主研发的CIM证书管理平台,通过证书集中管理、证书状态自动分析和报告、消息及时通知等功能,防止证书过期,实现证书的全生命周期管理。
当前,加快电子政务建设,提升政务服务水平是国之大事,国务院近期印发的《“十四五”推进国家政务信息化规划》以及“两会”期间的政府工作报告中,都明确提出持续提升公共服务数字化水平,提高“互联网+政务服务”效能。
自推行国密算法改造以来,天威诚信已独立承担多个电子政务领域国密升级改造项目,切实推动“互联网+政务服务”的深度融合与创新。随着电子政务的深入推进,天威诚信将持续与生态伙伴深化合作,通过更深度的产品集成,基于电子政务业务场景,为更多政务网站提供更有价值的国密改造方案,为推动我国密码技术和网络安全的自主可控注入强大动力。