目前大部分的系统定级都在二级或者三级,在商用密码应用安全性评估(密评)中,二级系统和三级系统的改造要求存在巨大的“鸿沟”。三级系统追求的是“强制合规、严防死守”,而二级系统更偏向于“基础防护、风险可控”。
以下是密评中三级系统与二级系统改造要求的核心差异列表:
🛡️ 1. 身份鉴别(登录认证)
三级系统(强制强认证):必须采用密码技术进行强身份鉴别。通常要求使用基于 SM2 算法的国密数字证书(如 UKey、手机盾、国密VPN证书等)进行双因子或多因子认证,严防身份伪造。
二级系统(基础认证即可):不强制要求使用国密数字证书。通常只要具备基础的账号密码复杂度要求、定期更换密码以及基本的权限分离即可。
💡 改造差异:三级系统必须采购和部署国密证书认证体系;二级系统通常不需要额外改造,沿用现有的账号密码体系即可。
💾 2. 重要数据存储机密性(防泄密)
三级系统(强制加密):对于重要数据(如用户隐私信息、业务核心数据、服务端敏感日志等),在落盘存储时必须(应)采用密码技术(如 SM4 算法)保证其机密性。
二级系统(非强制加密):对数据存储的机密性通常没有强制的“应”要求,更多是建议性(“宜”)要求。
💡 改造差异:三级系统必须引入密码机或密钥管理系统,对数据库、文件块等进行 SM4 加密(如 TDE 透明加密);二级系统可以保持明文存储,不需要强制做存储加密改造。
🌐 3. 数据传输机密性(防窃听)
三级系统(强制国密通道):通信过程中必须(应)采用合规的密码技术保证数据的机密性和完整性。这意味着必须建立基于国密算法套件(SM2/SM3/SM4)的加密通道(如国密 SSL VPN、国密 HTTPS)。
二级系统(非强制国密):对通信数据的机密性保护通常是“宜”或“可”的级别,使用普通的国际算法 HTTPS(RSA/AES)通常也能被接受。
💡 改造差异:三级系统必须替换国际算法证书,部署国密 SSL 证书或强制流量走国密 VPN;二级系统不需要强制替换为国密传输通道。
📝 4. 完整性保护与审计(防篡改)
三级系统(强制防篡改):要求对通信数据、系统访问控制信息、重要日志记录等进行完整性保护(如使用 SM3 算法做数字签名或哈希校验),且审计日志必须集中存储、防篡改并留存 6 个月以上。
二级系统(基础记录即可):对完整性保护和日志审计的要求非常宽松,日志通常只需本地存储,没有强制的防篡改和长周期留存要求。
💡 改造差异:三级系统必须部署日志审计平台并引入签名验签机制;二级系统不需要专门为了防篡改去改造日志系统。
🔑 5. 密钥管理(核心底座)
三级系统(全生命周期管控):必须建立完善的密钥管理系统,对密钥的生成、存储、分发、更新、归档、销毁进行全生命周期的安全管控,且必须使用经过国家认证的合规密码产品(如服务器密码机)。
二级系统(基础管控):密钥管理要求较低,通常只需保证密钥不明文硬编码在代码中,进行基础的妥善保管即可。
💡 改造差异:三级系统必须采购硬件密码机或合规的云密码服务;二级系统不需要强制采购昂贵的硬件密码设备。
| 核心改造环节 | 三级系统要求(强制合规) | 二级系统要求(基础防护) |
|---|---|---|
| 身份鉴别 | 必须使用国密数字证书(SM2)强认证 | 基础账号密码即可,不强制证书 |
| 数据存储 | 必须使用 SM4 加密重要数据 | 可不加密,明文存储通常合规 |
| 数据传输 | 必须建立国密(SM2/3/4)加密通道 | 普通 HTTPS 即可,不强制国密 |
| 日志审计 | 必须集中存储、SM3防篡改、留存≥6个月 | 本地存储即可,无强制防篡改要求 |
| 密钥管理 | 必须使用合规密码机全生命周期管控 | 基础妥善保管,不强制硬件设备 |
评论列表