1、世平信息商用密码应用检查系统发布Crypto Inspesction System王世晞董事长/CEO杭州世平信息科技有限公司Shiping Information Technologies Co.,Ltd.2022WESTLAKECYBERSECURITYCONFERENCECONTENTS目 录01.产品背景02.产品介绍01产品背景应对法规要求，形成检查监管01.产品背景-密码应用背景密码是重要领域网络和信息系统关键设备自主可控的必选项，不用密码，或者不用自主可控的密码，就好比一个房子，其他部分建得再牢，但锁是简易锁，或者钥匙是别人的，不可能安全可控。重要性主席令五十三号中华人民共和国网

2、络安全法主席令三十五号中华人民共和国密码法主席令二十八号中华人民共和国保守国家秘密法操作性基础性密码技术网络安全监管方：商用密码应用监管检查测评方：商用密码应用安全性评估建设方：商用密码应用安全性自查数据安全应用安全01.产品背景-商用密码应用现状2018年商用密码应用安全性评估联合委员会对一万余个等保三级及以上的信息系统进行普查结果显示，超过75%的系统没有使用密码，存在巨大安全风险。密码应用普及度些单位重信息化建设、轻信息安全保护，普查中对第一批118个重要领域的信息系统进行安全性测评发现，不符合规范的比例达到85%。密码应用合规度现有量应用系统依旧在使MD5、SHA-1、RSA-512、

3、RSA-1024、DES等已被警示有险的密码算法，应系统未按规范要求使密码服务或者错误调密码应接。密码应用安全度01.产品背景-法律要求二十七条：法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施，其运营者应当自行或者委托商用密码检测机构开展商用密码应用安全性评估。中华人民共和国密码法三十一条：密码管理部门和有关部门建立日常监管和随机抽查相结合的商用密码事中、事后监管制度，建立统一的商用密码监督管理信息平台。密评及自评法律依据常态化检查法律依据01.产品背景-需求分析亟需有一款可以对密码应用建设单位现场检查的工具，对建设单位商用密码应用与安全性是否合规得出定性判断。各级密码

4、行政管理部门对各种密码应用场景进行技术分析，并依据商用密码应用安全性评估量化评估规则生成定量报告。各密评机构依据商用密码应用安全性评估量化评估规则进行自评，查漏补缺，得出差距分析报告，进而方便进行针对性的密码体系建设方案的设计。各级机关单位监管方测评方建设方非涉密的关键信息基础设施、网络安全等级保护第三级以上网络、国家政务信息系统等网络与信息系统。01.产品背景-对象和目标检查对象检查目的 商用密码管理条例（征求意见稿）核查检查对象在日常工作中是否正确使用商用密码；自行开展的商用密码应用安全性评估是否准确；帮助密码行政管理部门履行法律所赋予的日常监督和随机抽查职能。02产品介绍聚焦高风险项，快

5、速检查分析02.产品介绍-产品定位SIMP-CIS商用密码应用检查系统检查对象：政务信息系统密码应用检查内容：信息系统商用密码应用安全性评估相关标准要求信息收集资产发现一款依据国家法律规范，结合商用密码应用安全检查实际工作经验开发的自动/半自动软硬件检查工具。技术检查与分析检查报告生成02.产品介绍-技术架构用户界面端口监听特征识别服务探视特征库数据识别证书校验用户界面算法校验流量获取疑似检查数据解析问询表单用户角色数据权限数据规则安全策略登录认证功能权限系统日志流量解析证书还原端口识别数据包分析特征识别数据包检测主机数据库网络内容存储特征识别算法引擎接口检查解密还原应用解析数据保护检查报告应

6、用输出应用插件流量分析子模块权限管理基础平台应用解析子模块组件管理检查应用底层平台02.产品介绍-检查内容依据信息系统密码应用高风险判定指引重点检查信息系统密码应用过程中可能存在的高风险且无缓解措施的安全问题机密性是否使用加密技术保障数据传输安全通道安全是否采用指定国密算法保障VPN隧道安全安全性是否采用存在非安全协议或密码技术（TLS1.0等）身份验证是否采用密码技术对登录设备、通信双方的用户进行身份鉴别随机性验证被加密数据是否满足随机性算法验证02.产品介绍-主要功能02验证被检查系统生成或使用的证书格式是否符合标准；使用的算法是否为国密；验证证书链及签名数字证书检查04对被检查“密文”进

7、行单比特频数、块内频数、扑克检测、重叠子序列等15种随机性检查密文随机性检查05主动探测各系统节点自动发现疑似密码资产密码资产探测01分析、判断传输数据是否加密解析使用的密码算法是否为国密算法网络协议检查03发现流量中的明文个人信息直接发现密码应用违规现象明文个人信息检查主要功能内置电子化问询表单提供针对“密评”的全面问询评估能力法规符合性检查0602.产品介绍-工作流程1.检查通知：下发检查通知-收到信息并确认-手签回传-记录回执状态2.信息收集与分析：系统基本信息、密码管理策略、网络及系统部署、范围及边界、业务种类及重要性、业务流程、业务数据重要性以及相关密码产品、服务等认证情况以及用户手

8、册、接口规范等。3.检查内容确定：根据被检查系统实际情况，确定密码应用安全性检查内容。检查准备工作1.资源及表单准备：确定开展检查所需要时被检查单位所需提供的软硬件资源与环境，并签署密码安全性检查风险告知书、诚信书等。2.技术检测方案：明确检测对象和检测方式，获取网络流量、加密文件、证书文件等。检查方案制定1.检查时长限制：评估现场工作时间，时间不宜过长，建议1到2个小时，如果现场检测环境复杂，则考虑抽查形式。2.现场检查：开展包括实际部署密码产品与声称情况一致性确认、商用密码应用安全性工具检查等现场检查工作。3.上报与清理：检查结束后，归还检查过程中获得的相关文档资料。对需要由密码管理部门备

9、案保存的相关资料，由双方进行确认。将检查情况等相关信息汇总上报至国家密码管理部门密码应用监管平台，清除检查工具中可能残留的相关信息，将现场环境恢复至被检查之前状态，并由双方确认。检查实施过程1.检查报告输出：根据系统检查结果，参考调研问卷相关内容，对整体检查结果进行判定，输出包括密码应用整体应用情况、风险点提示、以及改进建议等内容的检查报告并由被检查单位确认。检查方案制定02.产品介绍-场景部署拓扑离线文件导入检查项：1.应用业务是否加密2.应用加密是否为国密算法3.加密证书是否合规4.是否采用安全加密协议和算法加密应用流量检查场景加密隧道流量检查场景离线数据导入分析检查场景检查项：1.隧道加密是否为国密算法2.加密证书是否合规3.是否传输明文个人信息检查项：1.过往加密流量是否合规2.所采用证书是否合规3.加密文件是否符合随机数算法02.产品介绍-提供价值监管方提供易操作的快速商用密码应用违规现象发现能力帮助监管单位依照法律履行相关职责助力法律监管体系落地测评机构提供“密评”相关技术检查项的自动技术分析，节约测评人力成本提供电子化问询表单，符合测评工作习惯、便利生成测评报告应用单位提供密码应用安全自评自测技术手段，便于形成自查体系快速发现、定位违规问题，降低单位合规成本2022 WEST LAKE CYBERSECURITYCONFERENCE谢 谢THANK U