1 方案背景
當前我(wo)國(guo)(guo)進入(ru)“十四五”建設(she)新征程,以數(shu)(shu)(shu)(shu)字經濟為代表的(de)新經濟成(cheng)為經濟增長新引擎,數(shu)(shu)(shu)(shu)據作為核心生(sheng)產要素成(cheng)為基(ji)礎戰略資(zi)源,數(shu)(shu)(shu)(shu)據安全(quan)的(de)基(ji)礎保障作用也(ye)越(yue)來(lai)越(yue)重要,隨(sui)之而來(lai)的(de)數(shu)(shu)(shu)(shu)據安全(quan)風險(xian)也(ye)日益增加(jia),隨(sui)著《中國(guo)(guo)人(ren)民(min)共和國(guo)(guo)數(shu)(shu)(shu)(shu)據安全(quan)法(fa)》、《中國(guo)(guo)人(ren)民(min)共和國(guo)(guo)個(ge)(ge)人(ren)信息保護(hu)法(fa)》等相關法(fa)律的(de)相繼正式(shi)實施,將單位對包(�����bao)括個(ge)(ge)人(ren)信息在內的(de)數(shu)(shu)(shu)(shu)據進行安全(quan)保護(hu),作為企業的(de)重要職責。如何保障信息系統(tong)存(cun)儲(chu)的(de)敏感數(shu)(shu)(shu)(shu)據、用戶隱私信息的(de)私密(mi)性、完整性,是信息系統(tong)建設(she)的(de)關鍵安全(quan)需求(qiu)。
2 方案目標
本方案基于密碼技術,解決信息系統存儲的敏感數據、用戶隱私信息的私密性、完整性問題。
3 方案概述
1. 業(ye������)務(wu)系統在(zai)敏感數(shu)據(ju)寫入數(shu)據(ju)庫前,調用指(zhi)定密鑰,對明文數(shu)據(j������u)進行(xing)(xing)SM3 HMAC進行(xing)(xing)完整性保護;
2. 服務器(qi)密碼機返回(hui)MAC值;
3. 業務系統(tong)根據業務�������規則判(pan)斷該字段是否需(xu)要私密性保護,若是,進行下一步;否則跳到第6步;
4. 業(ye)�������務(wu)系統調�������用指定密(mi)鑰,對明文+MAC進行(xing)SM4加密(mi);
5. 服務器密碼機返回密文;
6. 業務(wu)系統判(pan)斷該數據是否需要加(jia)密,若否������,則把(ba)明文+MAC Base64編(bian)碼(ma)(ma)后寫入相應(ying)字(zi)(zi)段;若是,則把(ba)密文Base64編(bian)碼(ma)(ma)后�����寫入相應(ying)字(zi)(zi)段
對于(yu)用戶(hu)口令的(de)保護,可以(yi)更(geng)簡單(dan)。以(yi)用戶(hu)ID和賬號作為(wei)鹽值,對登(deng)錄口令進(jin)行SM3數字摘要再保���存。
4 網絡部署
5 方案價值
1.保障敏感數(shu)據的私密性,可有效防止拖(tuo)庫(ku)攻擊;
������2.保(bao)障敏感(gan)數據的(de)完整性,可(ke)抵御攻(�������gong)擊者的(de)篡改、偽造行為(wei);
6 項目案例
某行政管(guan)理綜合業(ye)務系統密碼(ma)應用改造項目
某養(yang)老保險業務信息系統密碼應用建設項目
