保險(xiǎn)投保系統(tǒng)密碼應(yīng)用方案研究與設(shè)計(jì)

李尚則，楊璐菡，文柯淳，劉紹廉，張文科

（1.成都創(chuàng)信華通信息技術(shù)有限公司，四川 成都 610093；2.工業(yè)信息安全（四川）創(chuàng)新中心有限公司，四川 成都 610213）

0 引言

隨著信息時(shí)代的到來，計(jì)算機(jī)在各行各業(yè)的運(yùn)用已經(jīng)得到了普及，原始的手工記錄方式已經(jīng)被社會(huì)淘汰，信息化管理應(yīng)運(yùn)而生。保險(xiǎn)行業(yè)也不例外，在線投保有著超越時(shí)空限制性、便捷性、自由性等特點(diǎn)，每年的在線投保交易增長(zhǎng)量幾乎呈直線上升狀態(tài)，這是因?yàn)榫W(wǎng)上投保的方便快捷以及規(guī)范安全使得人們對(duì)它信賴有加。投保系統(tǒng)實(shí)現(xiàn)了公共資源交易平臺(tái)與電子保單業(yè)務(wù)的對(duì)接，它的核心功能上承保險(xiǎn)公共資源交易平臺(tái)，下接保險(xiǎn)公司系統(tǒng)，實(shí)現(xiàn)了包括保單申請(qǐng)、信息確認(rèn)、保單下載、發(fā)票申請(qǐng)/下載、退費(fèi)、理賠等功能，然而此過程中所涉及的眾多敏感數(shù)據(jù)吸引了網(wǎng)絡(luò)攻擊者的目光，投保系統(tǒng)的信息安全顯得尤為重要。而在2015年，檢測(cè)中發(fā)現(xiàn)約20家互聯(lián)網(wǎng)保險(xiǎn)機(jī)構(gòu)存在信息泄露的安全隱患[1]。

中共中央辦公廳和國(guó)務(wù)院辦公廳印發(fā)的《金融和重要領(lǐng)域密碼應(yīng)用與創(chuàng)新發(fā)展工作規(guī)劃（2018—2022年）》的通知中明確說明，金融和基礎(chǔ)信息網(wǎng)絡(luò)、重要信息系統(tǒng)、重要工業(yè)控制系統(tǒng)及面向社會(huì)服務(wù)的政務(wù)信息系統(tǒng)等重要領(lǐng)域的網(wǎng)絡(luò)安全，事關(guān)國(guó)家政治安全、經(jīng)濟(jì)安全、文化安全、社會(huì)安全和生態(tài)安全。近年來，網(wǎng)絡(luò)與信息安全事故頻發(fā)，網(wǎng)絡(luò)安全已成為海、陸、空、天以外的第五主權(quán)空間[2]。而密碼技術(shù)正是保障網(wǎng)絡(luò)安全的核心技術(shù)和基礎(chǔ)支撐，習(xí)近平主席指出：“安全是發(fā)展的前提，發(fā)展是安全的保障，安全和發(fā)展要同步推進(jìn)。”密碼在數(shù)據(jù)加密、身份鑒別、訪問控制等方面發(fā)揮著難以替代的重要作用[3]。

同時(shí)，GB/T 22239—2019《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》、GB/T 25070—2019《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》、GB/T 39786—2021《信息安全技術(shù)信息系統(tǒng)密碼應(yīng)用基本要求》中也針對(duì)不同安全保護(hù)等級(jí)的信息系統(tǒng)，從物理和環(huán)境、網(wǎng)絡(luò)和通信、應(yīng)用和數(shù)據(jù)、安全管理制度等多個(gè)層面提出了相應(yīng)的密碼應(yīng)用技術(shù)要求。

在信息安全管理標(biāo)準(zhǔn)BS7799中，信息安全管理采用“計(jì)劃（Plan）—實(shí)施（Do）—檢查（Check）—改進(jìn)（Action）”循環(huán)，即PDCA管理循環(huán)保證管理體系持續(xù)改進(jìn)[4]。同樣，密碼應(yīng)用管理過程應(yīng)遵循信息安全管理科學(xué)規(guī)律，采用“計(jì)劃—實(shí)施—檢查—改進(jìn)”循環(huán)，以保證密碼應(yīng)用管理體系的持續(xù)改進(jìn)。在計(jì)劃（Plan）階段，應(yīng)詳細(xì)梳理分析信息系統(tǒng)所包含的網(wǎng)絡(luò)平臺(tái)、應(yīng)用系統(tǒng)和數(shù)據(jù)資源的信息保護(hù)需求，定義密碼應(yīng)用安全需求，設(shè)計(jì)密碼應(yīng)用總體架構(gòu)和詳細(xì)方案，也就是設(shè)計(jì)出具體的密碼應(yīng)用方案，包括擬使用的密碼組件、密碼產(chǎn)品、協(xié)議、服務(wù)等密碼支撐資源。

根據(jù)《商用密碼應(yīng)用安全性評(píng)估管理辦法》的要求，在信息系統(tǒng)規(guī)劃階段，信息系統(tǒng)責(zé)任方應(yīng)當(dāng)依據(jù)密碼技術(shù)標(biāo)準(zhǔn)，制訂密碼應(yīng)用方案，組織專家或委托具有相關(guān)資質(zhì)的測(cè)評(píng)機(jī)構(gòu)進(jìn)行評(píng)估。對(duì)密碼應(yīng)用方案的評(píng)估是保證計(jì)劃（Plan）階段有效性（密碼應(yīng)用方案的合理性）的必要手段，密碼應(yīng)用方案經(jīng)過評(píng)估或者整改通過后，可進(jìn)入系統(tǒng)建設(shè)階段，也就是信息安全管理的實(shí)施（Do）階段。

本文對(duì)投保系統(tǒng)進(jìn)行密碼應(yīng)用需求分析，設(shè)計(jì)并評(píng)審密碼應(yīng)用方案，健全了投保信息系統(tǒng)網(wǎng)絡(luò)安全保障體系，完善了密碼基礎(chǔ)設(shè)施，提升了密碼管理水平，推進(jìn)了密碼在投保系統(tǒng)的身份認(rèn)證、安全隔離、信息加密、信息數(shù)據(jù)保護(hù)等方面的應(yīng)用，保證信息系統(tǒng)的安全應(yīng)用，解決數(shù)據(jù)存儲(chǔ)、網(wǎng)絡(luò)傳輸、身份認(rèn)證、數(shù)據(jù)完整性等安全問題。

1 投保系統(tǒng)密碼應(yīng)用需求分析

1.1 物理和環(huán)境安全

為保障投保系統(tǒng)重要資產(chǎn)安全，投保系統(tǒng)需采用能夠正確識(shí)別進(jìn)入且記住重要區(qū)域人員的視頻記錄數(shù)據(jù)和電子門禁系統(tǒng)數(shù)據(jù)的密碼技術(shù)。

1.2 網(wǎng)絡(luò)和通信安全

網(wǎng)絡(luò)和通信安全層主要關(guān)注網(wǎng)絡(luò)通信信道，投保系統(tǒng)的重要數(shù)據(jù)可能在通信過程中泄露或被篡改，造成安全風(fēng)險(xiǎn)，應(yīng)采用密碼技術(shù)保障網(wǎng)絡(luò)和通信安全層的通信數(shù)據(jù)完整性和機(jī)密性。

1.3 設(shè)備和計(jì)算安全

設(shè)備和計(jì)算安全層主要關(guān)注支撐投保系統(tǒng)運(yùn)行的服務(wù)器、操作系統(tǒng)及數(shù)據(jù)庫等基礎(chǔ)設(shè)備，面臨的安全威脅主要來自系統(tǒng)內(nèi)部，如內(nèi)部人員對(duì)上述設(shè)備的非授權(quán)管理或數(shù)據(jù)篡改。為防止以上威脅發(fā)生，應(yīng)采用密碼技術(shù)保障設(shè)備和計(jì)算安全層的遠(yuǎn)程管理通道安全、系統(tǒng)訪問控制信息完整性和日記記錄完整性。

1.4 應(yīng)用和數(shù)據(jù)安全

應(yīng)用和數(shù)據(jù)安全層主要關(guān)注投保系統(tǒng)傳輸和存儲(chǔ)的應(yīng)用數(shù)據(jù)安全，重要數(shù)據(jù)的安全保護(hù)主要也在該層面實(shí)現(xiàn)。由于涉及的應(yīng)用數(shù)據(jù)中包含重要數(shù)據(jù)，易被竊聽、篡改等，對(duì)數(shù)據(jù)的機(jī)密性、完整性、操作的不可否認(rèn)性等都有很高的安全需求，故要求系統(tǒng)在應(yīng)用和數(shù)據(jù)安全層應(yīng)具備身份認(rèn)證、數(shù)據(jù)加密、數(shù)據(jù)防篡改等安全機(jī)制，投保系統(tǒng)責(zé)任單位應(yīng)采用密碼技術(shù)實(shí)現(xiàn)這些安全機(jī)制。

1.5 密鑰管理

密鑰管理也是密碼應(yīng)用方案的組成部分。如果公鑰被篡改，那么攻擊者就可以偽造數(shù)字簽名[5]，從而產(chǎn)生風(fēng)險(xiǎn)。因此，需進(jìn)行正確的密鑰管理，確認(rèn)是由合規(guī)的密碼產(chǎn)品或密碼模塊實(shí)現(xiàn)所有關(guān)于密碼管理的操作，然后理清密鑰之間的關(guān)系，檢查投保系統(tǒng)內(nèi)密鑰的安全性，根據(jù)生命周期查看密鑰生成、存儲(chǔ)、分發(fā)、導(dǎo)入與導(dǎo)出、使用、備份與恢復(fù)、歸檔、銷毀的過程，并核實(shí)是否符合相應(yīng)標(biāo)準(zhǔn)。

2 現(xiàn)行投保系統(tǒng)密碼應(yīng)用現(xiàn)狀

圖1列舉了現(xiàn)行投保系統(tǒng)普遍的網(wǎng)絡(luò)拓?fù)淝闆r。如圖1所示，網(wǎng)絡(luò)環(huán)境可以劃分為4個(gè)區(qū)域，包括運(yùn)維管理區(qū)、邊界防護(hù)區(qū)、應(yīng)用服務(wù)區(qū)和安全管理區(qū)。投保系統(tǒng)部署在應(yīng)用服務(wù)區(qū)，整個(gè)環(huán)境中未部署安全認(rèn)證網(wǎng)關(guān)，服務(wù)器也未部署國(guó)密安全套接字協(xié)議（Secure socket layer，SSL）證書進(jìn)行數(shù)據(jù)傳輸機(jī)密性、完整性保護(hù)，沒有使用符合國(guó)家密碼管理部門認(rèn)證的密碼產(chǎn)品或技術(shù)實(shí)現(xiàn)可靠的身份鑒別和安全的數(shù)據(jù)傳輸。

圖1 現(xiàn)行投保系統(tǒng)網(wǎng)絡(luò)拓?fù)?/p>

2.1 物理和環(huán)境安全密碼應(yīng)用現(xiàn)狀

物理和環(huán)境安全性的要求有兩點(diǎn)：一是對(duì)于物理和環(huán)境的訪問控制，二是對(duì)各類物理和環(huán)境的監(jiān)控信息的完整性保護(hù)。

現(xiàn)行投保系統(tǒng)部署機(jī)房的方式有兩種：一是自行部署機(jī)房，二是部署在云平臺(tái)上。兩種方式對(duì)于進(jìn)出人員的身份鑒別都依賴于門禁系統(tǒng)，而采用密碼技術(shù)的門禁系統(tǒng)較少，門禁卡可被復(fù)制的情況普遍存在。電子門禁記錄數(shù)據(jù)和視頻監(jiān)控記錄數(shù)據(jù)明文存儲(chǔ)，無完整性校驗(yàn)字段，未采用密碼算法進(jìn)行完整性保護(hù)。

2.2 網(wǎng)絡(luò)和通信安全密碼應(yīng)用現(xiàn)狀

針對(duì)網(wǎng)絡(luò)和通信安全層面，密碼應(yīng)用包括通信實(shí)體的身份鑒別，以及保障通信數(shù)據(jù)完整性、通信重要數(shù)據(jù)機(jī)密性、訪問控制邊界完整性和網(wǎng)絡(luò)安全接入。

現(xiàn)行投保系統(tǒng)分布在互聯(lián)網(wǎng)中，網(wǎng)絡(luò)通信信道可分為普通用戶和業(yè)務(wù)管理員訪問應(yīng)用系統(tǒng)的信道以及運(yùn)維終端到堡壘機(jī)通信信道，主要采用安全傳輸層協(xié)議（Transport Layer Security，TLS）、互聯(lián)網(wǎng)安全協(xié)議（Internet Protocol Security，IPSec）、超文本傳輸協(xié)議（Hyper Text Transfer Protocol，HTTP）進(jìn)行通信。TLS協(xié)議采用基于公鑰密碼的數(shù)字簽名技術(shù)對(duì)通信實(shí)體進(jìn)行身份鑒別，主要使用RSA1024、RSA2048、SHA-256等算法，IPsec協(xié)議采用基于對(duì)稱密碼算法的預(yù)共享密鑰的認(rèn)證方式對(duì)通信實(shí)體進(jìn)行身份鑒別，HTTP協(xié)議不具有身份鑒別機(jī)制。TLS協(xié)議和IPsec協(xié)議通常采用AES128等對(duì)稱密鑰算法實(shí)現(xiàn)通信數(shù)據(jù)傳輸過程的機(jī)密性，采用HMAC-SHA-1、HMAC-SHA-256等哈希算法來保護(hù)通信過程數(shù)據(jù)傳輸?shù)耐暾?。身份鑒別、機(jī)密性、完整性的實(shí)現(xiàn)都未采用符合國(guó)家規(guī)定的SM2、SM3、SM4等商用密碼算法來保障傳輸通道的安全性。信息系統(tǒng)網(wǎng)絡(luò)邊界訪問控制信息的完整性未采用密碼技術(shù)或者算法來進(jìn)行保護(hù)。

2.3 設(shè)備和計(jì)算安全密碼應(yīng)用現(xiàn)狀

設(shè)備和計(jì)算安全對(duì)登錄設(shè)備的用戶身份鑒別信息、訪問控制信息、日志記錄、重要程序或文件、重要信息資源敏感標(biāo)記等提出了安全要求。

現(xiàn)行投保系統(tǒng)中，運(yùn)維人員遠(yuǎn)程訪問管理服務(wù)器，通過用戶名和口令的方式對(duì)登錄用戶進(jìn)行身份鑒別，未采用國(guó)產(chǎn)密碼技術(shù)提供可靠的身份鑒別，用戶身份真實(shí)性無法得到可靠認(rèn)證。在遠(yuǎn)程管理服務(wù)器等資產(chǎn)的過程中，通道未使用經(jīng)認(rèn)證或滿足安全等級(jí)要求的密碼產(chǎn)品建立安全傳輸，存在通信數(shù)據(jù)在信息系統(tǒng)外部被非授權(quán)截取、非授權(quán)篡改的風(fēng)險(xiǎn)。系統(tǒng)資源訪問未采用密碼技術(shù)保護(hù)系統(tǒng)資源訪問信息的完整性。系統(tǒng)日志信息通常由操作系統(tǒng)、數(shù)據(jù)庫自身相關(guān)安全機(jī)制確保日志記錄完整性，且僅有具備權(quán)限受控運(yùn)維人員才能讀取，日志記錄被非授權(quán)用戶篡改的風(fēng)險(xiǎn)較小。目前未采用密碼技術(shù)對(duì)重要可執(zhí)行程序進(jìn)行真實(shí)性、完整性保護(hù)，只有受控用戶才能進(jìn)行可執(zhí)行程序的安裝、卸載，執(zhí)行非法程序的風(fēng)險(xiǎn)較小。

2.4 應(yīng)用和數(shù)據(jù)安全密碼應(yīng)用現(xiàn)狀

應(yīng)用和數(shù)據(jù)安全層主要關(guān)注的是投保系統(tǒng)交易軟件傳輸和存儲(chǔ)的應(yīng)用數(shù)據(jù)，身份鑒別數(shù)據(jù)、賬戶信息、資金信息等敏感數(shù)據(jù)的安全保護(hù)主要在該層面實(shí)現(xiàn)，也是密碼技術(shù)發(fā)揮網(wǎng)絡(luò)安全保障作用的最終目標(biāo)。

GB/T 39786—2021《信息系統(tǒng)密碼應(yīng)用基本要求》要求使用密碼技術(shù)或產(chǎn)品來實(shí)現(xiàn)業(yè)務(wù)應(yīng)用中登錄用戶身份鑒別、訪問控制信息完整性、數(shù)據(jù)傳輸以及存儲(chǔ)的完整性和機(jī)密性、日志記錄完整性、不可否認(rèn)性等安全需求。

目前，現(xiàn)行投保系統(tǒng)常存在以下問題：

（1）對(duì)于用戶的身份鑒別主要采用用戶名和靜態(tài)口令的認(rèn)證方式，認(rèn)證安全級(jí)別較低，存在非法訪問、用戶名及密碼被盜取、操作行為抗抵賴等風(fēng)險(xiǎn)；

（2）用戶訪問控制信息未采用密碼技術(shù)保證其完整性，存在應(yīng)用資源被非授權(quán)用戶獲取、篡改的風(fēng)險(xiǎn)；

（3）用戶訪問相關(guān)服務(wù)器傳輸過程中，重要數(shù)據(jù)包括線下支付確認(rèn)、退費(fèi)，執(zhí)行重要數(shù)據(jù)內(nèi)容在傳輸時(shí)通常為明文傳輸，未采用密碼技術(shù)進(jìn)行加密處理和完整性保護(hù)，無法保障其傳輸機(jī)密性和完整性，存在數(shù)據(jù)被非法竊取和篡改的風(fēng)險(xiǎn)；

（4）重要數(shù)據(jù)包括身份鑒別信息、用戶個(gè)人信息等在存儲(chǔ)過程中未采用密碼技術(shù)進(jìn)行加密處理和完整性保護(hù)，無法保障其存儲(chǔ)安全性，存在數(shù)據(jù)被非法竊取和篡改的風(fēng)險(xiǎn)。

3 投保系統(tǒng)密碼應(yīng)用總體設(shè)計(jì)

3.1 設(shè)計(jì)目標(biāo)

為提高投保系統(tǒng)安全水平，建立健全完整的投保系統(tǒng)結(jié)構(gòu)，滿足基礎(chǔ)安全要求[6]，需要提出投保系統(tǒng)密碼應(yīng)用體系建設(shè)的設(shè)計(jì)目標(biāo)：依據(jù)國(guó)家相關(guān)法律、法規(guī)及技術(shù)標(biāo)準(zhǔn)，按照國(guó)家密碼局的要求，統(tǒng)一技術(shù)方案和管理規(guī)定，結(jié)合保險(xiǎn)投保系統(tǒng)實(shí)際情況，制訂實(shí)施方案，建立相關(guān)管理制度，為投保系統(tǒng)提供集中化、透明化的密碼應(yīng)用服務(wù)，解決網(wǎng)絡(luò)通道傳輸機(jī)密性、數(shù)據(jù)完整性等安全問題。

通過密碼技術(shù)的應(yīng)用，減少或消除投保系統(tǒng)中存在的安全風(fēng)險(xiǎn)。對(duì)于未采用密碼技術(shù)保護(hù)的，采用商用密碼技術(shù)進(jìn)行保護(hù)；對(duì)于已采用國(guó)外密碼技術(shù)進(jìn)行保護(hù)的，替換為自主可控的商用密碼技術(shù)進(jìn)行保護(hù)。應(yīng)充分考慮國(guó)家法律法規(guī)、行業(yè)規(guī)范等政策需求，積極響應(yīng)國(guó)家號(hào)召，促進(jìn)投保系統(tǒng)建設(shè)與互聯(lián)網(wǎng)融合發(fā)展。

3.2 設(shè)計(jì)原則

投保系統(tǒng)密碼應(yīng)用方案遵循的設(shè)計(jì)原則如下：

（1）統(tǒng)一設(shè)計(jì)原則：統(tǒng)籌規(guī)劃和統(tǒng)一設(shè)計(jì)系統(tǒng)結(jié)構(gòu)。

（2）先進(jìn)性原則：密碼應(yīng)用必須采用具有國(guó)內(nèi)先進(jìn)水平，并符合國(guó)際發(fā)展趨勢(shì)的技術(shù)、軟件產(chǎn)品和設(shè)備。

（3）高可靠/高安全性原則：密碼應(yīng)用設(shè)計(jì)和數(shù)據(jù)架構(gòu)設(shè)計(jì)中充分考慮投保系統(tǒng)的安全可靠，算法為自主可控的密碼算法。

（4）標(biāo)準(zhǔn)化原則：密碼應(yīng)用各項(xiàng)技術(shù)遵循國(guó)際標(biāo)準(zhǔn)、國(guó)家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)和相關(guān)規(guī)范。

（5）成熟性原則：密碼應(yīng)用要采用國(guó)際主流、成熟的體系架構(gòu)來構(gòu)建。

（6）適用性原則：密碼應(yīng)用應(yīng)結(jié)合投保系統(tǒng)的實(shí)際情況，充分利用投保系統(tǒng)現(xiàn)有的資源。

（7）可擴(kuò)展性原則：密碼應(yīng)用設(shè)計(jì)要考慮到業(yè)務(wù)未來發(fā)展的需要，盡可能設(shè)計(jì)簡(jiǎn)明，并充分考慮兼容性。

3.3 總體框架設(shè)計(jì)

投保系統(tǒng)密碼應(yīng)用架構(gòu)整體設(shè)計(jì)結(jié)合了信息化發(fā)展趨勢(shì)，兼顧了當(dāng)前投保系統(tǒng)密碼應(yīng)用需求。本次的設(shè)計(jì)和建設(shè)部分包含密碼服務(wù)體系的建設(shè)，以及終端密碼應(yīng)用、網(wǎng)絡(luò)傳輸密碼應(yīng)用、運(yùn)維體系密碼安全應(yīng)用的建設(shè)。總體框架如圖2所示。

圖2 總體框架

3.4 密碼應(yīng)用總體部署方案

根據(jù)投保系統(tǒng)應(yīng)用現(xiàn)狀，結(jié)合上述密碼應(yīng)用需求分析，在滿足統(tǒng)一設(shè)計(jì)、先進(jìn)性、高可靠/高安全性、標(biāo)準(zhǔn)化、成熟性、適用性、可擴(kuò)展性原則的基礎(chǔ)上，提供如下密碼服務(wù)，以滿足投保系統(tǒng)的密碼應(yīng)用需求?？傮w部署方案如圖3所示。

圖3 總體部署

密碼保障系統(tǒng)（SSL/IPSEC VPN網(wǎng)關(guān)、簽名驗(yàn)簽服務(wù)器、服務(wù)器密碼機(jī)）均部署于托管區(qū)，為平臺(tái)提供通道加密服務(wù)、身份認(rèn)證服務(wù)、簽名驗(yàn)簽服務(wù)、服務(wù)器加密機(jī)服務(wù)、數(shù)字信封服務(wù)、密鑰管理服務(wù)。

3.4.1 物理和環(huán)境安全

在機(jī)房中單獨(dú)劃分一個(gè)區(qū)域?qū)ｉT用于密碼資源設(shè)備的部署，投保系統(tǒng)網(wǎng)絡(luò)通過安全配置策略調(diào)用密碼資源設(shè)備。密碼資源的基礎(chǔ)硬件設(shè)施部署在獨(dú)立的物理機(jī)柜中，物理安全和網(wǎng)絡(luò)安全隔離設(shè)施統(tǒng)一部署，遵循現(xiàn)行的相關(guān)功能、協(xié)議和安全要求。通過在機(jī)房部署服務(wù)器加密機(jī)、SSL安全網(wǎng)關(guān)等設(shè)備，實(shí)現(xiàn)身份鑒別、傳輸機(jī)密性、完整性、日志存儲(chǔ)完整性等保護(hù)功能。

3.4.2 網(wǎng)絡(luò)和通信安全

訪問托管區(qū)密碼設(shè)備（IPSEC/SSLVPN安全網(wǎng)關(guān)、簽名驗(yàn)簽服務(wù)器、服務(wù)器密碼機(jī)）：均通過UKEY配合第三方CA數(shù)字證書，基于國(guó)密數(shù)字簽名技術(shù)，進(jìn)行身份鑒別。通信數(shù)據(jù)完整性和機(jī)密性由SSL VPN安全網(wǎng)關(guān)、第三方站點(diǎn)證書在網(wǎng)絡(luò)層面共同完成。若投保系統(tǒng)為B/S架構(gòu)，則采用由第三方站點(diǎn)證書機(jī)構(gòu)，網(wǎng)站服務(wù)器頒發(fā)國(guó)密SSL服務(wù)器證書，導(dǎo)入證書到SSL VPN中，然后通過SSL VPN安全網(wǎng)關(guān)實(shí)現(xiàn)基于國(guó)密TLS的VPN安全通道，從而采用SM4/CBC算法和SM4/CBC-HMAC算法實(shí)現(xiàn)對(duì)傳輸數(shù)據(jù)進(jìn)行保密性和完整性保護(hù)。

3.4.3 設(shè)備和計(jì)算安全

運(yùn)維管理員使用用戶名、口令和短信的方式訪問，對(duì)登錄堡壘機(jī)的用戶進(jìn)行身份鑒別，防止非授權(quán)人員非法登錄、訪問，降低身份鑒別安全風(fēng)險(xiǎn)。對(duì)新增的IPSEC/SSLVPN安全網(wǎng)關(guān)、簽名驗(yàn)簽服務(wù)器、服務(wù)器密碼機(jī)等設(shè)備訪問，管理員均采用UKEY進(jìn)行登錄認(rèn)證。先登錄IPSEC/SSLVPN安全網(wǎng)關(guān)后，再訪問簽名驗(yàn)簽服務(wù)器、服務(wù)器密碼機(jī)。針對(duì)所有的密碼設(shè)備，配備了設(shè)備數(shù)字證書，進(jìn)行設(shè)備身份鑒別。運(yùn)維管理員通過托管區(qū)的國(guó)密算法IPSEC/SSLVPN安全網(wǎng)關(guān)和SSL服務(wù)器證書建立國(guó)密SSL加密管理通道，確保訪問通道的安全性。

運(yùn)維管理員訪問托管區(qū)密碼設(shè)備路徑：互聯(lián) 網(wǎng)→邊界防護(hù)區(qū)→托管區(qū)（網(wǎng)關(guān)）→簽名驗(yàn)簽服務(wù)器/服務(wù)器密碼機(jī)。

3.4.4 應(yīng)用和數(shù)據(jù)安全

在托管區(qū)部署簽名驗(yàn)簽服務(wù)器、服務(wù)器密碼機(jī)等設(shè)備，為投保系統(tǒng)提供身份鑒別、傳輸和存儲(chǔ)機(jī)密性、完整性保護(hù)。

為業(yè)務(wù)系統(tǒng)管理員頒發(fā)SM2國(guó)產(chǎn)密碼算法UKEY和數(shù)字證書，服務(wù)端部署簽名驗(yàn)簽服務(wù)器支撐UKEY證書的登錄認(rèn)證，實(shí)現(xiàn)可靠身份鑒別。通過投保系統(tǒng)與服務(wù)器密碼機(jī)對(duì)接，采用服務(wù)器密碼機(jī)提供的HMAC-SM3算法能力對(duì)系統(tǒng)業(yè)務(wù)管理員用戶訪問權(quán)限控制信息進(jìn)行完整性保護(hù)，防止應(yīng)用資源被非授權(quán)用戶篡改。

在網(wǎng)絡(luò)層面，采用SSL加密通報(bào)保證數(shù)據(jù)傳輸機(jī)密性、完整性；在應(yīng)用和數(shù)據(jù)層面，通過投保系統(tǒng)與簽名驗(yàn)簽服務(wù)器對(duì)接，利用簽名驗(yàn)簽服務(wù)器和客戶端UKEY，基于數(shù)字信封機(jī)制，實(shí)現(xiàn)數(shù)據(jù)傳輸機(jī)密性。通過投保系統(tǒng)與服務(wù)器密碼機(jī)對(duì)接，并通過支持國(guó)產(chǎn)密碼算法的服務(wù)器密碼機(jī)，采用SM4對(duì)稱密鑰算法對(duì)重要數(shù)據(jù)、隱私信息、敏感字段信息進(jìn)行加密保護(hù)，確保數(shù)據(jù)存儲(chǔ)機(jī)密性。服務(wù)器密碼機(jī)采用SM3算法對(duì)數(shù)據(jù)進(jìn)行國(guó)密運(yùn)算，通過校驗(yàn)，確保數(shù)據(jù)的完整性。服務(wù)器密碼機(jī)采用HMAC-SM3算法對(duì)數(shù)據(jù)進(jìn)行國(guó)密運(yùn)算，哈希值存放在數(shù)據(jù)庫中，通過校驗(yàn)，確保數(shù)據(jù)的完整性。

3.5 改進(jìn)建議

在整個(gè)投保系統(tǒng)的設(shè)計(jì)過程中，針對(duì)密碼應(yīng)用方案中常見的實(shí)際問題和實(shí)際需求，密切結(jié)合信息化建設(shè)過程中所面臨的實(shí)際問題，設(shè)計(jì)開發(fā)的最終產(chǎn)品既與目前的主流計(jì)算技術(shù)相兼容，又考慮了對(duì)用戶已有投資的保護(hù)以及數(shù)據(jù)資源的充分利用，能為服務(wù)體系信息化建設(shè)提供有力的技術(shù)支持。

在機(jī)房部署具有商用密碼產(chǎn)品認(rèn)證證書的電子門禁系統(tǒng)、服務(wù)器密碼機(jī)，門禁卡（一卡一密），并基于合規(guī)的密碼算法對(duì)人員身份進(jìn)行鑒別和對(duì)電子門禁系統(tǒng)記錄和視頻監(jiān)控?cái)?shù)據(jù)進(jìn)行存儲(chǔ)完整性保護(hù)。

業(yè)務(wù)終端與應(yīng)用系統(tǒng)之間應(yīng)使用合規(guī)的國(guó)密GMSSL協(xié)議建立連接，采用基于公鑰密碼算法的數(shù)字簽名機(jī)制等密碼技術(shù)實(shí)現(xiàn)通信實(shí)體的身份鑒別，使用合規(guī)的密碼算法保護(hù)通信過程中數(shù)據(jù)的完整性、機(jī)密性。還可以在用戶終端部署國(guó)密瀏覽器[7,8]。

在系統(tǒng)邊界部署具有商用密碼產(chǎn)品認(rèn)證證書的SSL/IPSec VPN設(shè)備，采用證書方式實(shí)現(xiàn)通信實(shí)體的身份鑒別；使用合規(guī)的密碼算法保護(hù)通信過程中數(shù)據(jù)的完整性；使用合規(guī)的密碼算法保護(hù)通信過程和存儲(chǔ)過程中數(shù)據(jù)的完整性、機(jī)密性；使用符合法律、法規(guī)規(guī)定或經(jīng)國(guó)家密碼管理局核準(zhǔn)的密碼產(chǎn)品對(duì)網(wǎng)絡(luò)邊界訪問控制信息、系統(tǒng)資源訪問控制信息、日志記錄、應(yīng)用訪問控制信息進(jìn)行完整性保護(hù)。

為實(shí)現(xiàn)防篡改，應(yīng)將服務(wù)器部署在局域網(wǎng)中，使整體局域網(wǎng)運(yùn)行環(huán)境較安全，并安裝相應(yīng)程序，為運(yùn)行管理提供保障，尤其是對(duì)網(wǎng)頁源代碼的處理以及更改，合理提高源文件的應(yīng)用效率[9]。依托網(wǎng)頁應(yīng)用層防火墻技術(shù)對(duì)相應(yīng)的信息進(jìn)行篩查和處理，確保安全檢測(cè)工作的全面升級(jí)，為后續(xù)應(yīng)用效果的全過程優(yōu)化奠定基礎(chǔ)[10]。在服務(wù)區(qū)部署具有商用密碼產(chǎn)品認(rèn)證證書的簽名驗(yàn)簽服務(wù)器，在用戶進(jìn)行重要操作時(shí)，終端和服務(wù)端分別調(diào)用合規(guī)的數(shù)字證書和簽名驗(yàn)簽服務(wù)器，進(jìn)行簽名驗(yàn)簽實(shí)現(xiàn)操作行為的不可否認(rèn)性。

4 結(jié)語

隨著《中華人民共和國(guó)密碼法》的發(fā)布和施行，我國(guó)密碼技術(shù)的應(yīng)用進(jìn)入了新階段，而密碼應(yīng)用方案則是推進(jìn)密碼應(yīng)用的起點(diǎn)，是保障信息系統(tǒng)的重要環(huán)節(jié)。因此對(duì)于信息系統(tǒng)的密碼應(yīng)用研究，需按照《信息系統(tǒng)密碼應(yīng)用基本要求》進(jìn)行分析，結(jié)合信息系統(tǒng)的實(shí)際情況設(shè)計(jì)應(yīng)用方案，并保證其具有總體性、科學(xué)性、完備性和可行性，從而有效解決身份認(rèn)證、機(jī)密傳輸、數(shù)據(jù)完整性等安全問題。保險(xiǎn)行業(yè)作為我國(guó)金融行業(yè)的重要組成部分，對(duì)社會(huì)和個(gè)人都有著重要作用，它發(fā)揮各系統(tǒng)、各部門、各環(huán)節(jié)的功能，從而實(shí)現(xiàn)社會(huì)關(guān)系和諧、整個(gè)社會(huì)良性運(yùn)行和有效管理，幫助個(gè)人規(guī)避風(fēng)險(xiǎn)，在醫(yī)療、生活等方面填補(bǔ)費(fèi)用，保證我國(guó)國(guó)民的平穩(wěn)生活。因此，投保信息系統(tǒng)的安全性要求要比一般信息系統(tǒng)更高。無論是軟件開發(fā)商、系統(tǒng)維護(hù)人員，還是行業(yè)機(jī)構(gòu)、主管部門，都應(yīng)該一起主動(dòng)積極地推進(jìn)密碼技術(shù)在行業(yè)信息系統(tǒng)的應(yīng)用，保障技術(shù)應(yīng)用的廣泛性、合規(guī)性、安全性，并推進(jìn)技術(shù)的應(yīng)用領(lǐng)域，提高金融行業(yè)投保系統(tǒng)的安全風(fēng)險(xiǎn)抵御能力，保障公民的金融信息安全。