◆高炽扬 罗文兵 徐海波

商用密码应用安全性检测平台建设研究

◆高炽扬 罗文兵 徐海波

（北京赛迪软件测评工程技术中心有限公司 北京 100000）

本文探讨如何构建一个通用的商用密码基础检测平台，以实现对重要领域信息系统应用商用密码的合规性和有效性进行检测，介绍了通用的商用密码应用安全性检测平台的建设内容、可提供的检测服务等，可供相关单位开展应用安全性检测平台建设参考。

商用密码；密码检测；检测平台

1 引言

近些年来，物联网、工业互联网、智能制造、云计算等技术的飞速发展激发了前所未有的科技创新动力，世界科技创新版图正在被重塑，万物互联、天地一体成为必然趋势。与此同时，网络威胁泛在化和复杂化程度不断加深，被动式防御、增量式修补、局部式治理已不能适应严峻多变的网络安全形势，必须建立起一个足够强大的自主可控安全防御体系。密码作为保障网络与信息安全的核心技术和基础支撑，是重要的国家战略资源，事关国家政治安全、经济安全、文化安全、社会安全和生态安全。

随着我国密码法的正式颁布实施，加强商用密码应用安全性检测工作也有了明确的法律依据，在密码法第二十七条中明确规定：法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施，其运营者应当使用商用密码进行保护，自行或者委托商用密码检测机构开展商用密码应用安全性评估。

因此，建设商用密码应用安全性检测平台正是深入实施密码法的客观要求，可以有效促进我国商用密码的推进应用，为商用密码深入发展提供可持续的技术支撑和保障。

2 建设需求分析

商用密码应用安全性检测平台应着眼于商用密码应用核心场景，重点针对商用密码应用核心技术，围绕身份鉴别、信息加密、安全隔离、数据安全、完整性保护、操作抗抵赖、可用性等方面形成有效的检测评估能力。

根据国家有关密码检测标准和规定，信息系统密码测评应全面包括密码算法合规性、密码技术合规性、密码产品合规性、密码服务合规性以及密钥管理安全性等内容。

因此，密码应用安全性检测平台也应覆盖各类通用和专用商用密码检测工具，以实现对密码产品和设备、密码应用的全面测评。

本文即从实际应用需求出发，探讨如何构建一个通用的商用密码基础检测平台，以实现对重要领域信息系统应用商用密码的合规性和有效性进行全面检测。

3 平台构成研究

商用密码应用安全性检测平台的建设应服务于对信息系统中所使用的商用密码进行系统、全面的检测。根据国家相关商用密码应用安全性技术要求，针对信息系统中商用密码的应用安全性测评应按照信息系统的不同等级实施不同的测评要求，并至少包括密码算法和密码技术合规性、密钥管理安全性等，同时，针对不同等级信息系统，进一步提出物理和环境安全、网络和通信安全、设备和计算安全以及应用和数据安全四个技术层面的具体内容。

由于其定位于中高端消费，且配送范围只有3千米，所以盒马鲜生在选址上面临着比一般商超更高的要求。这样看来，盒马鲜生试图通过门店与仓储合一的模式降低成本，实则是走到了事情的反面。

因此，作为商用密码应用安全性检测平台，其检测对象将必须包含各类密码设备和应用商用密码实施网络保护的各类信息系统。而能够开展测评服务的基础是其必须建设符合要求的各类密码应用测评专用检测工具和通用检测工具。

一个典型的商用密码应用安全性检测平台构成如图1所示。

图1 商用密码应用安全性检测平台逻辑架构图

商用密码应用安全性检测平台以构建各类密码应用专用检测工具和通用检测工具为基础，辅以必要的检测信息管理系统，对外提供商用密码应用安全性检测服务，包括但不限于密码设备检测服务、信息系统密码应用安全检测服务等。

密码设备检测：依托平台建设的各类专用检测工具，主要开展密码设备合规性和有效性检测。密码设备检测主要服务内容包括：密码算法正确性检测、接口合规性检测、密码算法性能检测、随机数检测、密码安全协议检测、密钥安全性检测、密码设备管理检测等。

密码应用测评：依托平台建设的各类专用和通用检测工具，主要针对被测应用系统中商用密码应用的合规性和有效性开展检测服务，可直观反映被测系统密码算法和密码协议应用是否合规、正确有效，是商用密码应用安全性检测中现场测评工作的重要组成部分。其测评内容主要包括：物理和环境安全测评、网络和通信安全测评、设备和计算安全测评、应用和数据安全测评等。

专用测评工具：是开展商用密码应用安全性测试服务的基础，主要用于对被测应用系统商用密码应用的符合性、正确性、有效性进行检测与分析。专用测评工具的检测结果可作为密码应用是否正确、合规、有效的可信依据。专用测评工具包括：密码算法检测工具、随机性检测工具、IPSEC/SSL协议检测工具、数据存储安全性检测工具、流程不可抵赖性检测工具、密码实现漏洞扫描工具、密码安全配置检查工具、密码性能检测工具、服务器数字证书检测工具等。

通用测评工具：是开展商用密码应用安全性测试服务过程中，不限定应用于某一领域或行业，具有一定普适性的检测工具。通用测评工具不直接分析密码算法、密码协议和密码产品的符合性、正确性和有效性，而是从应用安全的角度出发，对被测应用系统可能面临的安全风险和威胁进行测试和评估。通用测评工具包括：协议分析工具、端口扫描工具、逆向分析工具和渗透测试工具等。

污水源热泵系统，是一种以城市污水为低位热源，利用污水换热器、水源热泵机组，为散热器或地板采暖等末端设备提供热水，实现居民冬季采暖的系统形式。具体系统如下：

（3）IPSEC/SSL协议检测工具：主要功能为通过后端的标准设备完成配置，检测与被测设备是否能够互通。

4 建设内容研究

系统管理：主要功能是实现检测记录管理、检测工具管理、检测数据展示及检测评分管理。检测平台涵盖了开展商用密码应用安全性检测所需的全部工具，并能够根据不同的被测系统制定合理地检测服务项目，检测完成后，平台可根据设定的评分体系为检测完成的信息系统进行评分，并给出改造意见。

平台核心建设内容及可提供的检测服务设计如下：

4.1 密码设备检测服务

此部分主要围绕商用密码设备提供检测服务，主要检测相关密码设备能否按照国家有关要求提供商用密码算法和安全管理服务。

检测的主要方式为通过检测平台界面配置被测密码设备的IP、算法类型和其他参数，调用对应的设备接口，连接密码设备并检测密码设备的运算结果。

在检测过程中，密钥配置为外带密钥，由检测平台生成，部分调用接口也可由密码设备厂商提供，检测的商用密码算法应包括：SM1、SM2、SM3、SM4、SM9等常用商用密码算法。

具体而言，商用密码设备检测内容包括如下：

（1）密码算法正确性检测：主要对密码设备提供的各类商用密码算法进行功能性测试，以检测其密码算法功能实现的正确性。

（2）接口合规性检测：主要对密码设备提供的各类算法接口进行测试，以确认其提供的接口符合相关国家标准要求。

2)当(y1+y′1)tan(45°+φ/2)>b，且y1tan(45°+φ/2)

（3）密码算法性能检测：主要对密码设备提供的各类算法服务的计算性能进行测试，通过实施大批量的数据加解密测试，计算被测密码设备的性能指标，为设备投入实际应用提供计算能力参考。

（4）应用和数据安全测评：主要针对应用系统中有关应用和数据安全中商用密码应用情况进行测评，包含身份鉴别、访问控制、数据传输机密性、数据存储机密性、数据传输完整性、数据存储完整性、日志记录完整性、抗抵赖、硬件密码模块的应用和数据安全等测评。

（5）密码安全协议检测：主要对IPSECVPN设备、SSL VPN设备等相关设备的协议符合性进行检测。

此部分围绕国家有关密码应用测评要求，以本平台建设的专用和通用测试工具为基础，针对信息系统的物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全四个技术层面开展测评服务。

笔者结合具体的实践案例，从“写教学设计、写案例叙事、写预设生成、写解题体会、写听课感悟”等五个方面对初中数学青年教师教研论文撰写的角度进行了简单的介绍，当然这五个方面都是立足于课堂的，都是以课堂为主阵地的，相信，初中数学青年教师只要能够站稳主阵地，结合自己的教学实践，随时记录自己课堂教学中的点滴，借助“教科研+”这股“东风”，必会走上自己专业成长的快车道.

4.2 密码应用测评服务

（6）密钥安全性检测：主要对密码设备的密钥安全性管理能力进行测试，密钥需存放在密码设备的安全存储区域中，外部设备或系统应通过密钥索引使用密钥。

（1）物理和环境安全测评：主要针对应用系统物理和环境安全中的商用密码应用情况进行测评，包含身份鉴别、电子门禁记录数据完整性、视频记录完整性校验以及硬件密码模块使用合理性检测等测评。

（2）网络和通信安全测评：主要针对应用系统网络和通信安全中的商用密码应用情况进行测评，包含身份鉴别、访问控制信息完整性、通信数据完整性、通信数据机密性、集中管理通道安全等测评。

在语言学大师索绪尔的眼中，符号是由 “能指”（signifier）与“所指”（signified）构成的二元实体。[8]商标犯罪侵犯的是社会主义市场经济秩序。细言之，以商业利用的方式而假冒他人的注册商标应用在自己的商品或者服务上，造成消费者对相关商品或者服务的混淆，从而无法清晰分辨各个商标所施指的商品或服务，致使商标指示市场的混乱。

（3）设备和计算安全测评：主要针对应用系统设备和计算安全中的商用密码应用情况进行测评，包含身份鉴别、远程管理身份鉴别安全、访问控制信息完整性、敏感标记完整性、重要程序或文件完整性、日志记录完整性、硬件密码模块的计算安全等测评。

在某公路工程勘查实例中，对原始地震记录进行了面波提纯、相速度频散曲线提取和半波长解释，依据半波长解释结果对工区进行了分层，且分层结果与钻孔地质资料吻合，取得了良好的应用效果。

(3)发展煤炭洗选需要全社会的广泛参与、理解和支持。煤炭洗选加工既是煤炭企业推进节能减排、发展循环经济的重要抓手，同时也是全社会节能减排的重要途径，需要政府、企业、用户等各个方面的通力配合，一方面通过政府出台政策法规、制定相关标准规范引导企业多洗煤，敦促煤炭用户使用洗选精煤；另一方面企业加大洗选投入，降低原煤直接入市；煤炭用户也配合建设、完善洗选煤优质优价市场，逐步带动原煤入选。

（4）随机数检测：主要对密码设备的随机数生成能力进行测试，以确保其随机数生成符合相关规定。

4.3 专用检测工具建设

此部分主要建设与商用密码直接相关的专业检测工具，以实现对商用密码的合规性和有效性检测服务。

（1）密码算法检测工具：主要功能为通过配置的参数信息连接被测密码设备，接收密码设备的运算结果，并检测其结果是否符合相关规定。

作为21世纪的女生，我深刻明白一个道理，人气都是被捧出来。自怨自艾地写几首诗，还玩匿名，放在水中漂流而下，就是李白也红不了。要让别人承认你才女的名声，得制造轰动效应，名人效应+坊间八卦+美女经济。

（2）随机性检测工具：主要功能为通过配置的参数信息连接被测密码设备，抓取密码设备生成的随机数，并完成随机性检测。

通用硬件：是建设商用密码应用安全性测试平台的底层硬件基础，用于构建商用密码应用安全性检测的各类检测环境，部署各类检测工具等，包括各类应用服务器、数据库服务器、笔记本电脑、台式电脑、交换机、服务器密码机、签名验签服务器、时间戳服务器等。

（4）数据存储安全性检测工具：主要功能为检测数据存储加密的完整性和安全性，通过标准数据加密后对比，检测被测设备数据存储加密功能实现是否符合规定。

（5）流程不可抵赖性检测工具：检测被测系统是否具有流程不可抵赖性的功能，可通过待检测数据提供的数据明文、公钥证书和签名值完成验签进行验证等。

综上所述，很多中国公司要想在未来社会的发展中不被时代所抛弃，从而在发展中更好地提高公司的经济利益，以及扩大公司规模，公司的财务会计部门需要开始对管理会计部门进行改革。在未来的发展过程中，通过获取这些资金风险数据的深层信息，以及公司的信息管理水平也是公司未来发展的关键。时代在进步，传统企业财务会计的发展势必会被管理型会计所取代。因此，企业的财务型会计必须通过相应的转型，向管理型会计发展。毕竟企业未来的发展，不仅仅只体现在数据信息的处理层次，还需要通过财务信息对企业面临的风险进行安全预测，尽量避免企业危机。

（7）密码设备管理检测：密码设备的操作需由授权管理员进行，操作需使用访问介质。

（6）密码实现漏洞扫描工具：对被测系统中的密码算法工程实现过程中产生的漏洞进行检查，提供检测结果。

1) 浙江段“十三五”期计划建设三级航道整治工程，其中杭州段“四改三”34 km和二通道新开挖段26.4 km，航道整治后全线达到三级航道标准。

心肺耐力是指持续体力活动中循环和呼吸系统的供氧能力，是健康相关体适能的重要组成部分。心肺耐力水平低与早期全因死亡风险明显增加有关，特别是心血管疾病所致的死亡相关[1]。本研究入选99例来我院体检的北京白领人群，通过测定其peakVO2以了解心肺耐力水平，并探讨影响心肺耐力的相关因素，以警示白领人群对健康生活方式的重视。

另外，白矾掺伪造假行为不仅影响其临床有效性，还有可能产生用药安全性问题。为了加强白矾的质量，严厉打击生产、经营、销售劣质白矾的行为，建议对涉嫌掺伪造假的白矾生产企业加强检查和监管，督促其规范白矾饮片生产，加强质量控制，从源头上保证白矾饮片的用药安全和有效。

（7）密码安全配置检查工具：主要功能为对被测设备的密码相关配置信息进行检测，确认有关配置符合要求，可通过采集被测密码设备和产品的配置信息，根据预定义的规则进行配置检查实现。

（8）密码性能检测工具：主要功能为对被测设备的密码算法性能进行测试，验证密码运算平均响应时间、最大并发量、最大连接数、数字证书签发速度、数字签名速度、签名验证速度、证书验证速度及加解密速度等指标。

（9）服务器数字证书检测工具：主要功能是对被测系统是否应用数字证书进行检测，可通过对固定IP、网段和域名进行扫描，自动识别国际主流CA机构证书品牌及产品，检测内容包括证书信息、证书链信息、协议及加密套件信息、安全分析等。

4.4 通用检测工具建设

此部分建设的测试工具，不限定应用于某一领域或行业，是对整个网络安全具有一定普适性的检测工具。这些工具不直接分析密码算法、密码协议和密码产品的符合性、正确性和有效性，而是从应用安全的角度出发，对被测应用系统可能面临的安全风险和威胁进行测试和评估。

（1）协议分析工具：主要用于对常见的网络传输协议、串口通讯协议、蓝牙协议、无线通信协议、无线局域网络协议等进行抓包解析分析。

（2）端口扫描工具：主要用于对操作系统、Web应用、数据库、网络设备、网络安全设备及应用的端口服务进行自动化探测和识别。

（3）逆向分析工具：主要用于对应用系统软件进行动态和静态的逆向检测分析，检查和分析密钥在存储、应用过程中存在的安全性和脆弱性问题。

（4）渗透测试工具：主要用于对应用系统软件进行漏洞攻击和渗透，检测系统、设备、应用的漏洞深度分析和危害验证。

（5）应用安全检测工具：主要用于对分布式网络应用和 Web Services 进行自动化安全扫描，简化企业发现和修复分布式网络应用安全隐患的过程，并根据发现的安全隐患，提出针对性的修复建议等。

（6）数据库安全检测工具：主要用于对应用系统所使用的数据库安全进行评估，包括数据库弱点检查、弱口令检查、扫描策略管理等功能。

评定患者焦虑情况(利用焦虑自评量表);对比两组患者护理满意度,具体包括术前的访视、态度、语言、手术指导、隐私保护、心理支持、手术指导及术后回访等;手术医师满意度,包括手术前的器械准备工作,手术操作与配合熟练程度、病情处理、协作沟通等。分为不满意、基本满意、满意共三个项目[3]。

5 后续工作及展望

商用密码已广泛用于通信、金融、税控、社保、能源等重要领域，在维护国家安全、促进经济发展、保护人民群众利益中发挥不可替代的作用，积极开展商用密码应用安全性检测工作是推进商用密码在重要领域信息系统深入应用的有效手段，对此，我们必须充分意识到建设商用密码应用检测平台的重要性，力争用规范化的手段确保检测的科学性和有效性，这也是后续我们关注的重点。

在后续工作中，我们将在现有平台研究基础上，积极开展密码应用自主检测工具研究和应用，并与重点领域商用应用推进试点示范相结合，“以测促用”，推进我国商用密码应用向更深层次发展。

[1]肖志宏.我国密码法律体系架构研究[J].信息安全研究，2018（9）.

[2]崔光耀.推进商用密码在新技术环境下的广泛应用[J]. 中国信息安全，2018（8）.

[3]马奇学.坚定不移推进密码应用[J]. 信息安全与通信保密，2018（5）.

[4]张智军，薛子育，沈阳.探讨广播电视商用密码应用安全性测评[J]. 广播电视信息，2019（8）.