1 方案背景
當前我國進入“十四五”建設新征程���,以數字經濟為代表的新經濟成為經濟增長新引擎��,數據作為核心生產要素成為基礎戰略資源��,數據安全的基礎保障作用也越來越重要�����,隨之而來的數據安全風險也日益增加�,隨著《中國人民共和國數據安全法》�、《中國人民共和國個人信息保護法》等相關法律的相繼正式實施��,將單位對包括個人信息在內的數據進行安全保護����,作為企業的重要職責����。如何保障信息系統存儲的敏感數據��、用戶隱私信息的私密性����、完整性�����,是信息系統建設的關鍵安全需求����。
2 方案目標
本方案基于密碼技術��,解決信息系統存儲的敏感數據��、用戶隱私信息的私密性���、完整性問題�。
3 方案概述
1. 業務系統在敏感數據寫入數據庫前�,調用指定密鑰����,對明文數據進行SM3 HMAC進行完整性保護�;
2. 服務器密碼機返回MAC值�����;
3. 業務系統根據業務規則判斷該字段是否需要私密性保護���,若是�,進行下一步�����;否則跳到第6步��;
4. 業務系統調用指定密鑰�����,對明文+MAC進行SM4加密����;
5. 服務器密碼機返回密文����;
6. 業務系統判斷該數據是否需要加密���,若否�����,則把明文+MAC Base64編碼后寫入相應字段���;若是����,則把密文Base64編碼后寫入相應字段
對于用戶口令的保護�����,可以更簡單�。以用戶ID和賬號作為鹽值����,對登錄口令進行SM3數字摘要再保存����。
4 網絡部署
5 方案價值
1.保障敏感數據的私密性��,可有效防止拖庫攻擊���;
2.保障敏感數據的完整性�����,可抵御攻擊者的篡改����、偽造行為���;
6 項目案例
某行政管理綜合業務系統密碼應用改造項目
某養老保險業務信息系統密碼應用建設項目
