信息系统密码应用安全性评估应用和数据安全的免改造方案

在密码应用安全性评估（简称“密评”）中，应用和数据安全的免改造方案旨在通过最小化或避免对现有系统架构进行大规模改造，快速满足密评要求（尤其是GB/T 39786-2021标准），同时保障应用层和数据层的安全性。以下是一个针对应用和数据安全免改造的合规方案框架：

一、免改造方案的核心思路

1. 分层防护：在现有系统架构之外，叠加安全层（如网关、代理、加密中间件等），实现传输加密、存储加密、访问控制等功能。
2. 国密算法兼容：通过支持SM2/SM3/SM4等国密算法的硬件或软件模块，替换或兼容原有非国密协议。
3. 透明化改造：利用流量劫持、数据脱敏等技术，实现业务无感知的安全加固。

二、应用层安全免改造方案

1. 传输加密

• SSL/TLS网关代理：
• 在应用前端部署支持国密算法的SSL/TLS卸载网关，将HTTP流量自动升级为HTTPS（国密SM2/SM9证书）。
• 无需修改应用代码，仅需配置证书和加密策略。
• API网关加密：
• 通过API网关对敏感接口调用进行国密算法加密（如SM4-CBC），并对请求/响应内容进行签名（SM3）。

2. 身份认证与访问控制

• 统一身份认证平台：
• 部署独立的认证中心（支持国密算法），对接现有应用的登录模块，实现强身份认证（如SM2数字证书、动态令牌）。
• 通过反向代理或单点登录（SSO）集成，避免修改业务系统代码。
• 动态权限控制：
• 利用微服务网关或API管理平台，基于角色动态拦截未授权访问请求。

3. 日志与审计

• 旁路日志采集：
• 通过流量镜像或日志代理，将应用日志传输至独立的安全审计平台，实现操作留痕和异常行为检测。
• 支持日志国密签名（SM3）确保完整性。

三、数据层安全免改造方案

1. 数据存储加密

• 数据库透明加密（TDE）：
• 使用支持国密算法的数据库加密中间件（如MySQL Proxy、Oracle TDE插件），对敏感字段（如身份证号、手机号）进行透明加密。
• 无需修改业务逻辑，仅配置加密策略。
• 文件存储加密：
• 通过存储网关或分布式文件系统（如HDFS加密层），自动对文件进行分块加密（SM4）。

2. 数据脱敏与防泄漏

• 动态数据脱敏：
• 在数据库与应用层之间部署数据脱敏网关，根据用户权限实时屏蔽敏感数据（如手机号中间四位替换为*）。
• 支持规则引擎灵活配置脱敏策略。
• 静态数据水印：
• 对导出的文件（如Excel、PDF）添加隐形水印（基于SM3哈希），追踪数据泄露源头。

3. 数据备份与恢复

• 加密备份存储：
• 使用支持国密算法的备份工具（如Veritas、国产备份软件），对备份数据加密后存储至异地容灾中心。
• 密钥通过硬件加密机（HSM）管理。

四、关键技术工具

1. 国密算法中间件：
2. 如密码卡、加密SDK、国密SSL加速卡，提供标准接口供应用调用。
3. 安全网关类产品：
4. SSL卸载网关、API网关、数据库防火墙等，支持国密协议和流量加密。
5. 云原生安全服务：
6. 云平台提供的密钥管理服务（KMS）、透明加密存储（如阿里云TDE）、国密证书服务。

五、实施步骤

1. 现状评估：
2. 梳理现有系统的密码应用薄弱点（如明文传输、弱算法、密钥硬编码）。
3. 方案设计：
4. 根据业务场景选择叠加式安全组件（如网关、代理、加密中间件）。
5. 部署与联调：
6. 部署安全组件并配置策略，确保与现有系统兼容（如HTTPS证书替换、数据库驱动更新）。
7. 测试验证：
8. 通过渗透测试、合规性检测工具（如密评测评工具）验证安全性。
9. 持续运维：
10. 监控加密性能，定期更新密钥和证书。

六、优势与注意事项

优势

• 低成本：避免大规模代码重构，降低开发周期和风险。
• 快速合规：通过标准化安全组件快速满足密评要求。
• 业务无感：用户和业务流程无需适应新变化。

注意事项

• 性能影响：加密/解密可能增加延迟，需通过硬件加速（如密码卡）优化。
• 兼容性风险：部分老旧系统可能不支持国密协议，需针对性适配。
• 长期规划：免改造方案为过渡手段，建议逐步推动系统原生密码能力升级。

通过以上方案，企业可以在最小化改造现有系统的前提下，快速构建符合密评要求的应用和数据安全防护体系，同时为后续的深度密码化改造奠定基础。