1 方案背景
當(dāng)前我國(guó)進(jìn)入“十四五”建設(shè)新征程,以數(shù)字經(jīng)濟(jì)為代表的新經(jīng)濟(jì)成為經(jīng)濟(jì)增長(zhǎng)新引擎�,數(shù)據(jù)作為核心生產(chǎn)要素成為基礎(chǔ)戰(zhàn)略資源,數(shù)據(jù)安全的基礎(chǔ)保障作用也越來(lái)越重要����,隨之而來(lái)的數(shù)據(jù)安全風(fēng)險(xiǎn)也日益增加,隨著《中國(guó)人民共和國(guó)數(shù)據(jù)安全法》���、《中國(guó)人民共和國(guó)個(gè)人信息保護(hù)法》等相關(guān)法律的相繼正式實(shí)施����,將單位對(duì)包括個(gè)人信息在內(nèi)的數(shù)據(jù)進(jìn)行安全保護(hù)��,作為企業(yè)的重要職責(zé)����。如何保障信息系統(tǒng)存儲(chǔ)的敏感數(shù)據(jù)���、用戶(hù)隱私信息的私密性、完整性�,是信息系統(tǒng)建設(shè)的關(guān)鍵安全需求。
2 方案目標(biāo)
本方案基于密碼技術(shù)�����,解決信息系統(tǒng)存儲(chǔ)的敏感數(shù)據(jù)����、用戶(hù)隱私信息的私密性、完整性問(wèn)題���。
3 方案概述
1. 業(yè)務(wù)系統(tǒng)在敏感數(shù)據(jù)寫(xiě)入數(shù)據(jù)庫(kù)前�����,調(diào)用指定密鑰����,對(duì)明文數(shù)據(jù)進(jìn)行SM3 HMAC進(jìn)行完整性保護(hù)�����;
2. 服務(wù)器密碼機(jī)返回MAC值;
3. 業(yè)務(wù)系統(tǒng)根據(jù)業(yè)務(wù)規(guī)則判斷該字段是否需要私密性保護(hù)�����,若是����,進(jìn)行下一步�;否則跳到第6步;
4. 業(yè)務(wù)系統(tǒng)調(diào)用指定密鑰���,對(duì)明文+MAC進(jìn)行SM4加密�;
5. 服務(wù)器密碼機(jī)返回密文��;
6. 業(yè)務(wù)系統(tǒng)判斷該數(shù)據(jù)是否需要加密����,若否,則把明文+MAC Base64編碼后寫(xiě)入相應(yīng)字段��;若是�����,則把密文Base64編碼后寫(xiě)入相應(yīng)字段
對(duì)于用戶(hù)口令的保護(hù),可以更簡(jiǎn)單�。以用戶(hù)ID和賬號(hào)作為鹽值,對(duì)登錄口令進(jìn)行SM3數(shù)字摘要再保存����。
4 網(wǎng)絡(luò)部署
5 方案價(jià)值
1.保障敏感數(shù)據(jù)的私密性,可有效防止拖庫(kù)攻擊����;
2.保障敏感數(shù)據(jù)的完整性,可抵御攻擊者的篡改�����、偽造行為����;
6 項(xiàng)目案例
某行政管理綜合業(yè)務(wù)系統(tǒng)密碼應(yīng)用改造項(xiàng)目
某養(yǎng)老保險(xiǎn)業(yè)務(wù)信息系統(tǒng)密碼應(yīng)用建設(shè)項(xiàng)目
