1、Web应用国密改造方案国密改造的背景一、网络安全形势不容乐观1）网络安全事件日趋严重，HTTP网站存在被伪造、中间人劫持等安 全风险-美国白宫通过2015年HTTPS-ONLY备忘录达到政府类网站全覆 盖，而我国政府类网站HTTPS的覆盖率仅有47% （360数据）-英国：要求所有政府网站在2016年10月之前实现强制HTTPS加 密-据国家互联网应急中心2020年中国互联网网络安全报告报告 统计，2020年，我国境内被篡改的网站约10万个，其中被篡改的政府 网站有494个，针对网上行政审批的仿冒页面数量大幅上涨2）国际通用加密算法存在安全风险-RSA算法后门事件的爆出说明美国可以用较短时间解2、密RSA加密数 据3）我国网站99%使用国外CA厂商非国密数字证书，存在系统性风险-比如，2016年10月，美国GlobalSign的一个误操作导致淘宝、 京东、天猫等网站无法访问，直接影响我国6亿网购用户二、国家在大力推进商用密码应用(1) 2011年，国密局字201150号“关于做好公钥密码算法升级工 作的通知”，要求新投入运行并使用公钥密码的信息系统，应使用SM2 椭圆曲线密码算法，已投入运行并使用公钥密码的信息系统，应尽快进 行系统升级，并使用SM2椭圆曲线密码算法；(2) 2012年以来，国家密码管理局以中华人民共和国密码行业标 准的方式，陆续公布了 SM2/SM3/SM4等密码算法3、标准及其应用规范；(3)2014年，国办发2014 6号文国务院办公厅关于转发密码局 等部门金融领域应用指导意见的通知 要求率先在金融领域实现国产 密码应用突破，力争到2020年实现密码全面应用；(4)国务院办公厅【2018】36号文，要求金融和重要领域在2022 年前落实并完成国产密码改造工作；(5) 密码法2020年1月1日式实行，标志着国家在规范密码应 用和管理，促进密码事业发展，保障网络与信息安全，维护国家、社会、 保护公民、法人、其他组织合法权益的决心；(6) 密码测评在各类信息化项目中开展，遵循2018年2月8日信 息系统密码应用基本要求，符合信息系统密码应用测评要求；(7) 信息4、安全技术 网络安全等级保护基本要求即等保2.0,强 化了密码技术的应用和管理要求，包括通信传输、数据存储、身份鉴别、 产品采购、使用和密钥管理中均有密码相关的要求Web应用国密改造方案我们国家最新发布的信息系统密码应用基本要求(GB/T 39786-2021) 中，对密码技术应用的要求分为四大块，分别是：物理和环境的安全、 设备和计算的安全、网络和通信的安全、应用和数据的安全。在“网络 和通信的安全”方面，要求采用密码技术保证通信过程数据的机密性、 完整性、通信主体身份真实性等安全目标。网络通信层面的国密算法改 造不仅仅是单一的信息系统改造，而是需要实现从客户端、服务端到数 字证书的生态改造，5、涉及“国密四要素的升级改造和应用。Web应用国密改造方案是沃通CA提供的成熟实践方案，面向Web 应用实现网络通信层面的国密算法改造。沃通CA提供国密SSL证书、 国密客户端证书等国密数字证书产品，结合支持国密算法的国密浏览器(客户端)、国密网关(服务器端)、国密Ukey构成“国密四要素，通 过“国密四要素的应用实现HTTPS国密通信加密，保证通信过程数据 的机密性、完整性及通信主体身份真实性。国密证书提供国密SSL证书、国密客户端证书等国密数字证书产品，支持 SM2/SM3/SM4等国产密码算法和国密安全协议。国密浏览器提供适配国密证书的国密浏览器（360浏览器、沃通国密浏览器等），支持国产密码算法和国密安全协议，实现浏览器端的国密算法升级改造。国密Ukey提供适配国密客户端证书的国密UKey,用作数字证书和私钥的安全 存储硬件载体，保护私钥安全。国密网关国密网关支持国产密码算法和国密安全协议，适配沃通国密证书产 品，实现服务器端的国密算法升级改造。典型的Web国密改造方案备注：国密Key只有需要双向认证时才需要，根据客户安全等级要 求来定