1 方案背景
當前我國進入“十四五”建設新征程�,以數字經濟為代表的新經濟成為經濟增長新引擎����,數據作為核心生產要素成為基礎戰(zhàn)略資源��,數據安全的基礎保障作用也越來越重要����,隨之而來的數據安全風險也日益增加,隨著《中國人民共和國數據安全法》���、《中國人民共和國個人信息保護法》等相關法律的相繼正式實施�����,將單位對包括個人信息在內的數據進行安全保護��,作為企業(yè)的重要職責�����。如何保障信息系統(tǒng)存儲的敏感數據��、用戶隱私信息的私密性��、完整性��,是信息系統(tǒng)建設的關鍵安全需求��。
2 方案目標
本方案基于密碼技術���,解決信息系統(tǒng)存儲的敏感數據����、用戶隱私信息的私密性��、完整性問題����。
3 方案概述
1. 業(yè)務系統(tǒng)在敏感數據寫入數據庫前,調用指定密鑰�����,對明文數據進行SM3 HMAC進行完整性保護�����;
2. 服務器密碼機返回MAC值�����;
3. 業(yè)務系統(tǒng)根據業(yè)務規(guī)則判斷該字段是否需要私密性保護�,若是,進行下一步���;否則跳到第6步�����;
4. 業(yè)務系統(tǒng)調用指定密鑰���,對明文+MAC進行SM4加密;
5. 服務器密碼機返回密文�;
6. 業(yè)務系統(tǒng)判斷該數據是否需要加密,若否�,則把明文+MAC Base64編碼后寫入相應字段;若是����,則把密文Base64編碼后寫入相應字段
對于用戶口令的保護,可以更簡單����。以用戶ID和賬號作為鹽值,對登錄口令進行SM3數字摘要再保存���。
4 網絡部署
5 方案價值
1.保障敏感數據的私密性��,可有效防止拖庫攻擊�����;
2.保障敏感數據的完整性���,可抵御攻擊者的篡改�����、偽造行為����;
6 項目案例
某行政管理綜合業(yè)務系統(tǒng)密碼應用改造項目
某養(yǎng)老保險業(yè)務信息系統(tǒng)密碼應用建設項目
