系统商用密码应用方案v5-2024(新模版)

xx系统商用密码应用方案建设单位：xx编制日期：2024年 31.1建设规划、法律法规要求 31.2项目实施的必要性 4 4 4 42.1.2系统责任主体单位情况 52.1.3系统上线运行时间 5 52.1.5完成等保备案情况 62.1.6网络安全保护等级建设情况 62.1.7商用密码应用建设情况 62.2计算平台现状 6 72.3.1业务应用基本情况 72.3.2承载的业务情况 92.4密码应用现状 2.5密码应用管理现状 3密码应用需求分析 3.1计算平台风险控制需求 3.2业务应用风险控制需求 3.3安全管理 3.4密钥管理要求 4安全目标及设计原则 4.1安全目标 4.2设计原则与依据 5.1密码应用技术框架 5.2算法配用 5.3计算平台密码应用方案 5.5业务应用密码应用方案 5.6密码应用部署设计 6安全管理方案 6.1管理制度 6.2人员管理 6.3密码软硬件与介质管理 6.4运维管理 6.5其他 7安全与合规性分析 7.1密码应用合规性(技术)对照表 7.2密码应用合规性(管理)对照表 8实施保障方案 8.2实施计划 78 8.3保障措施 1.1建设规划、法律法规要求《中华人民共和国密码法》,于2020年1月1日正式施行，所1.2项目实施的必要性2系统概述2.1基本情况2.1.1系统名称2.1.2系统责任主体单位情况本次项目的建设单位为xx,地址位于xxx,归属密码管理部门2.1.3系统上线运行时间xx系统于2023年9月上线运行。2.1.4系统用户情况xx系统主要使用单位为xx。◆使用人员本系统使用人员包括系统管理人员、运维人员、业务人员。系统采用B/S架构，用户可使用PC终端通过Web浏览器访问。运维人员和管理人员在政务外网或互联网区域使用PC终端访问，采用HTTPS协议；运维人员通过SSLVPN接入管理。具体如下表所示：1系统管理人员系统人员管理于维护、账号权限分配、异常问题处置等账号密码或者是手机验证码登录12运维人员系统的日常维护和故障处置账号密码，通过SSLVPN接13业务人员处理企业认证、项目认证等流程审核、项目小组成立审核，项目监督流程审核、参与项目监督流程，并账号密码或者是手机验证码登录绿化监督项目流程信息等企业项目上报、企业新增、园林绿化项目新增等账号密码或者是手机验证码登录N维人员进行日常运行维护、业务人员(企业)提交和上报业务信息、2.2计算平台现状xx系统拟迁移部署至xx政务云(浪潮云)机房；系统所使用的和维护管理；xx政务云(浪潮云)机房位于xx武侯区益州大道中段2.3业务应用现状系统网络拓扑图成都市政务云(浪潮云)机房交换机能政务外网分为xx办公楼域、网络核心域、安全管理区域、业务应用注：xx系统迁移后将部署于“政务云(浪潮云)”云平台，系统系统软硬件构成xx系统拟迁移部署至xx政务云(浪潮云)机房，故本次项目建设中涉及的物理安防设施、基础安全设备均复用政务(浪潮云)平台现有设施，由云服务商提供，故本次方案中的对应部分为不涉及。.1物理安防设施.2密码产品属于新建系统(国产化改造后迁移上浪潮云),暂无密码安全产.3服务器/存储设备类别型号数量1务器机Java应用1非常重要2务器机redis中间件1非常重要3机数据库1非常重要4机S1重要.4安全设备.5数据库管理系统2.3.2承载的业务情况业务应用系统架构xx系统主要，由前端页面，后台应用程序和数据库三个方面组成，并且系统依赖于nginx做负载均衡和redis进行缓存管理。系业务应用系统功能业务应用流程证企业信息填写企业提交审核受理科科长审核建成功核核审核核审审审初复立立成关键数据类型1身份鉴别信息用户名、口令、等传输机密性、完整性；存储机密性、完整性结构化MySQL数据库2重要业务数据企业项目信息传输机密性、完整性；存储机密性、完整性结构化据库3访问控制数据结构化据库4管理日志数据登录日志、授权、创建用户、结构化据库5操作日志用户操作记录结构化MySQL数据库2.4密码应用现状2.5密码应用管理现状3密码应用需求分析3.1计算平台风险控制需求xx系统拟将部署于xx政务云(浪潮云)机房，因xx政务云(浪潮云)由其服务商建设运营，本系统对云平台物理机房环境及3.2业务应用风险控制需求根据GB/T39786-2021《信息安全技不涉及，本次系统迁移上云后复用xx政务云(浪潮云)机房环(单位业务、管理人员)访问的业务通道；二是外部业务访问通道；通信信道12外部业务通信信道2互联网区域及政务外网区域外部用户通过PC终端访问xx系统2运维通道通信信道3互联网区域及政务外网区域维管理安全风险分析(1)身份鉴别1)业务访问通道(通信信道1、通信信道2)业务人员、管理人员从互联网或电子政务外网P览器经身份认证后登录园林绿化监督业务时，未使用密码技术对通3)运维通道(通信信道3)运维人员在互联网或电子政务外网通过xx政务云(浪潮云)平台(2)通信数据完整性、机密性1)业务通道(通信信道1、通信信道2)业务人员、管理人员访问同一个URL,均从互联网或电子政务外AES、SHA算法保障数据的传输安全，未使用国家密码管理机构要求2)运维通道(通信信道3)运维人员从互联网或电子政务外网通过xx政务云(浪潮云)平台管理机构要求的密码技术对通信实体进行身份鉴别，存在数据被窃(3)访问控制信息完整性1)业务通道(通信信道1、通信信道2)经身份认证后访问园林绿化监督业务时，其访问控制都是通过浪潮云平台边界防火墙实现访问控制，未采用密码技术保证网络边界访2)运维通道(通信信道3)运维人员在互联网或电子政务外网通过xx政务云(浪潮云)平台提供的VPN接入；配合堡垒机进行远程维护，访问控制列表由堡垒机进行控制，现有堡垒机无商密产品证书，未采用密码技术对访问(4)安全接入认证风险根据GB/T39786-2021《信息安全技术信息系统密码应用基本要求》对等级保护第三级信息系统的密码应用技术要求，安全接入认证项应用要求为“可”,同时接入系统的设备无安全接入认证需密码应用需求分析(1)身份鉴别1)业务访问通道(通信信道1、通信信道2)业务人员、管理人员从互联网或电子政务外网PC端通过WEB浏HTTPS协议构建通信信道，由于国密浏览器适配难度大，本次证书采用RSA,密钥长度为2048bit,保证服务端身份的真实性，避免业务2)运维通道(通信信道3)需通过IPSEC/SSLVPN综合安全网关的客户端使用SSLVPN的方式连接到xx系统的网络，IPSEC/SSLVPN综合安全网关需具备商用密码产品认证证书，需采用SM2对运维人员进行身份鉴别，能够避免身份被仿冒。运维人员的数字证书由第三方合规数字证书认证系统(2)数据传输安全1)业务通道(通信信道1、通信信道2)业务人员、管理人员从互联网或电子政务外网PHTTPS协议构建通信信道，由于国密浏览器适配难度大，本次证书采用RSA,密钥长度为2048bit,通过采用安全级别在AES、SHA2以上2)运维通道(通信信道3)运维人员从互联网或电子政务外网通过PC终端进需使用IPSEC/SSLVPN综合安全网关的客户端通过SSLVPN的方式商用密码产品认证证书，已采用基于SM2算法的数字证书对运维人员进行身份鉴别，采用SM3、SM4算法对(3)网络边界访问控制完整性1)业务通道(通信信道1、通信信道2)业务人员、管理人员从互联网或电子政务外网通过PC端浏览器经身份认证后访问园林绿化监督业务时，其访问控制都是通过云平台边界防火墙实现访问控制，防火墙是安全整机产品，难以改造。2)运维通道(通信信道3)运维人员从互联网或电子政务外网通过PC终端进需使用IPSEC/SSLVPN综合安全网关的客户端通过SSLVPN的方式(4)安全接入认证园林绿化监督业务不存在从外部连接到内部网络的设备认证，3.2.3设备和计算安全安全风险分析(1)登录用户身份假冒1)服务器、数据库服务器、数据库由运维终端通过xx政务云(浪潮云)平台提供的2)堡垒机运维人员连接VPN后在本地通过运维终端使用“用户名+口令”的方式登录堡垒机，认证通过后开展对服务器、数据库等设备的运维工作，未使用密码技术对运维人员身份进行鉴别，存在身份被冒3)密码产品目前系统暂未配备相关密码设施，本次项目建设规划的密码设并为运维人员配发智能密码钥匙，基于SM2数字证书实现对运维人(2)访问权限篡改目前本系统的服务器、数据库、堡垒机均未使用密码技术对系统资源访问控制信息进行完整性保护，访问控制信息存在被篡改的其余于本项目配套的密码设施需具有商用密码产品认证证书，(3)远程管理风险1)数据库、服务器运维人员登录堡垒机后，在堡垒机登录数据库、服务器进行管理时，未使用国家密码管理机构要求的密码技术对通信实体进行身份鉴别和通道数据保护，存在身份被冒用，设备被非法人员登录，2)堡垒机要求的密码技术对通信实体进行身份鉴别，存在身份假冒、数据被3)密码产品(4)日志记录篡改服务器、数据库、堡垒机等设备的关键日志先以明文形式存储在设备本身上，未使用密码技术进行完整性保护，存在日志记录被其余与本项目配套的密码设施需具有商用密码产品认证证书，(5)重要可执行程序遭恶意篡改xx系统业务重要可执行程序来源不可信，在生成时未使用密码技术进行完整性保护，使用或读取这些程序时，未对其进行完整性其余于本项目配套的密码设施需具有商用密码产品认证证书，(6)重要信息资源安全标记风险对于重要信息资源安全标记完整性，由于在本系统中的服务器等不存在系统资源访问控制信息和设备中的重要信息资源安全标记，密码应用需求(1)登录用户身份鉴别1)服务器、数据库服务器、数据库等设备的身份鉴别依托于堡垒机实现身份鉴别，需具有商用密码产品认证证书，采用基于SM2的数字证书实现身份2)堡垒机运维人员登录堡垒机时，需为运维人员配发智能密码钥匙，基于SM2数字证书的方式实现对运维人员的身份鉴别，防止非授权人鉴于堡垒机是整机设备，难以进行改造，运维人员在登录堡垒机前，使用IPSEC/SSLVPN综合安全网关客户端以SSLVPN的方式堡垒机的身份鉴别依托IPSEC/SSLVPN综合安全网关实现。3)密码产品目前系统暂未配备相关密码设施，本次项目建设规划的密码设(2)访问控制信息完整性由于堡垒机、服务器、数据库都是成熟的产品，产品的相关访问控制信息完整性难以通过技术层面进行改造，可采取对访问角色其余于本项目配套的密码设施需具有商用密码产品认证证书，(3)远程管理通道安全1)数据库、服务器运维人员通过堡垒机登录服务器，由于目前尚未发布基于国密2)堡垒机堡垒机(浪潮云平台提供功能使用),运维人员从互联网或电子困难，因此本次改造使用RSA证书，密钥长度为2048bit,对通信实体进行单向身份鉴别。采用AES、SHA3等安全算法，屏蔽弱密码算鉴于堡垒机是整机设备，难以进行改造，运维人员在登录堡垒机前，使用IPSEC/SSLVPN综合安全网关客户端以SSLVPN的方式堡垒机的远程管理安全依托IPSEC/SSLVPN综合安全网关实现。3)密码产品(4)日志记录完整性对于堡垒机、服务器、数据库等设备的关键日志，由于其均为成熟的产品，产品的日志记录完整性难以通过技术层面进行改造，因此通过在堡垒机、服务器、数据库本身加访问控制列表的方式访问系统日志，从而降低因未采用密码技术对其余于本项目配套的密码设施需具有商用密码产品认证证书，(5)重要可执行程序完整性重要可执行程序需要经过代码安全审计或管理部门严格审批方能上线应用，通过加强风险评估和管理制度健全等手段，降低本项其余于本项目配套的密码设施需具有商用密码产品认证证书，(6)重要信息资源安全标记风险对于重要信息资源安全标记完整性，由于在本系统中无信息资3.2.4应用和数据安全应用和数据安全保护对象主要为业务重要数据，主要涉及企业安全风险分析(1)登录用户仿冒业务人员、管理人员从互联网或电子政务外网PC端通过WEB浏览器经身份认证后登录园林绿化监督业务时，未使用密码技术对通(2)访问控制信息被篡改xx系统通过“角色+权限”的方式对用户进行访问控制，访问控制信息未使用密码技术对访问控制信息进行完整性保护，存在被篡(3)数据传输风险传输的重要数据包括鉴别数据、重要业务数据、个人敏感信息xx系统通过PC端到服务端进行数据传输。在传输过程中，重要的数据如身份鉴别数据、个人敏感信息、业务数据等未使用密码技术进行传输机密性和完整性保护，存在敏感数据被窃取和非授权篡(4)数据存储风险xx系统中大量重要数据以明文的方式存储在数据库中，如重要业务数据、重要配置数据和个人敏感信息等，未使用密码技术进行(5)关键数据行为易否认该系统不涉及法律责任认定的场景，因此无不可否认需求，此(6)重要信息资源安全标记完整性本系统不对信息资源设定安全标记，本项的保护对象不存在，密码应用需求(1)用户身份鉴别业务人员、管理人员从互联网或电子政务外网PC端通过WEB浏览器经身份认证后登录园林绿化监督业务时，内部用户(xx用户)鉴别，防止非授权人员登录。业务人员、管理人员的数字证书需由第三方合规的数字证书认证系统签发。因本系统还涉及面向公众企业的外部用户，在不能使用智能密码钥匙进行人员进行身份鉴别的情况下，通过账户口令结合系统自带的手机验证码登录的方式降低(2)访问控制信息完整性xx系统通过“角色+权限”的方式对用户进行访问控制，并将访(3)数据传输风险业务人员、管理人员在PC端采用WEB浏览器经经身份认证后登信道，因国密浏览器适配困难，本次改造使用RSA证书，密钥长度(4)数据存储风险xx系统含有重要信息，如个人敏感信息、重要配置数据、重要业务数据等，详见2..4章节。(5)关键数据行为易否认该系统不涉及法律责任认定的场景，因此无不可否认需求，此(6)重要信息资源安全标记完整性本系统不对信息资源设定安全标记，本项的保护对象不存在，3.3安全管理3.4密钥管理要求3.5密码应用需求分析表密码应用基本要求(第三级)不适用说明物理和身份鉴别宜采用密码技术进行物理访问密码应用基本要求(第三级)不适用说明电子门禁记录数据存储宜宜采用密码技术保证电子门禁录数据存储宜宜采用密码技术保证视频监控音像记录数据的存储完整性。密码产品二级及以上以上采用的密码产品，应达到GB/T37092二级及以上安全要求。无网络和全身份鉴别应需部署符合GM/T0023《IPSecVPN网关产品规范》、要求的运维SSLVPN,基于SM2数字需采用基于TLS1.2的HTTPS协议建立通信信道，实现身份鉴别。无宜在网络边界区域部署符合GM/T0023《IPSecVPN网关产品规范》、GM/T0025《SSLVPN网关产品规范》和要求的SSLVPN,保障数据传输机密性、完整性。需部署符合GM/T0023《IPSecVPN网关产品规范》、要求的SSLVPN,保障数据传输机密性、完整性。需采用基于TLS1.2的HTTPS协性、完整性。无通信过程中重要数据的应无密码应用基本要求(第三级)不适用说明网络边界访问控制信息的完整性宜《IPSecVPN网关产品规范》、GM/T0025《SSLVPN网关产品规范》和GM/T0028《密码模块安全技术要求》要求的运维SSLVPN,由SSLVPN自身机制实现访问控制信息完整性保无密码产品二级及以上以上采用的密码产品，应达到GB/T37092二级及以上安全要求。无设备和计算安身份鉴别应网关产品规范》、GM/T0025《SSLVPN网关产品规范》和GM/T0028《密码模块安全技术要求》要求的SSLVPN,并为运维人员配发智能密码钥匙，基于SM2数字证书实现对运维人员的身无应部署符GM/T0023《IPSecVPN网关产品规范》、GM/T0025《SSLVPN网关产品规范》和GM/T0028《密码模块安全无系统资源访问控制信息宜由于堡垒机、数据库等设备属于第三方设备，难以改造，此项不适无重要信息资源安全标记宜用日志记录完宜据库属于成熟、开源的产品，无法改造。存储在数据库中的业务日志使用无性、重要可执行程序来宜重要可执行程序需要经过代码安全审用密码产品二级及以上以上采用的密码产品，应达到无数据安身份鉴别应为管理人员、业务人员配发智能密码钥匙，需使用数字证书的技术实现身份鉴别。为无法配发智能密码钥匙的用户，通过增加手机验证码的无密码应用基本要求(第三级)不适用说明访问控制信息完整性宜需采用SM4-MAC等密码技术，对访问无重要信息资完整性宜无用。本系统无重要信息资源安全标记应建立通信信道，采用RSA证书，密钥长度为2048位，并使用AES、SHA3等算法保护传输数据的机密性、完整无应无宜用SM4、SM4-MAC等算法保障重要数无宜无宜宜采用密码技术提供数据原发证据和数据接收证据，实现数据原发行为的不可否认性和数据接收行为的不可否用。该系统责任认定的场景，因此无不可否认需求，此项密码产品二级及以上以上采用的密码产品，应达到GB/T37092二级及以上安全要求。无4.1安全目标密码法》、《信息安全技术信息系统密码应用基本要求》(GB/T39786)等要求，设计正确、合规有效的密码应用方案，满足《基本要求》三级要求，并为通过密码应用安全性评估奠定基础。为应用系统构建一个基于国产密码算法的，可提供身份认证、数据机密性5、实现基于国产密码算法的访问控制信息4.2设计原则与依据4.2.1设计原则密码在信息系统中的应用不是孤立的，必须与信息系统的业务相结合才能发挥密码的作用。密码应用方案应做好顶层设计，明确应用需求和预期目标，与信息系统整体安全保护等级相结合，通过系统总体方案和密码支撑体系总体架构设计，来引导密码在信息系统中的应用。对于正在规划阶段的新建系统，应同时设计系统总体GB/T39786-2021《信息安全技术信息系统密码应用基本要求》是密码应用的通用要求，在应用方案设计时不能机械照搬，或简单地对照每项要求堆砌密码产品，应通过成体系、分层次的设计，形成包括密码支撑体系总体架构、密码基础设施建设部署、密钥管理体系构建、密码服务等内容的总体方案。通过密码应用方案设计，为实现GB/T39786-2021《信息安全技术信息系统密码应用基本要安全风险均有可能导致信息系统安全防护体系的崩塌。密码应用方案设计，应按照GB/T39786-2021《信息安全技术信息系统密码应用基本要求》对密码技术应用(包括物理和环境安全、网络和通信密码应用方案设计需进行可行性论证，在保证信息系统业务正常运行的同时，综合考虑信息系统的复杂性、兼容性及其他保障措施等因素，保证方案切合实际、合理可行。要科学评估密码应用解决方案和实施方案，可采取整体设计、分期建设、稳步推进的策略，4.2.2遵循依据2《中华人民共和国密码法》3《网络安全等级保护条例(征求意见稿4GB/T39786-2021《信息安全技术信息系统密码应用基本要6GM/T0036-2014《采用非接触卡的门禁系统密码应用技术7GM/T0002-2012《SM4分组密码算法》9GM/T0004-2012《SM3密码杂凑算法》17GB/T20518《信息安全技术公钥基础设施数字证书格式规5密码应用设计5.1密码应用技术框架园林绿化监督系统园林绿化监督系统密码应用 能力密码接口密码设施应用与数据密码应用设备与计算密码应用物理与环境密码应用密码设施网络和通信密码应用用户终端密码应用安通护备组成基础密码设施，通过API接口的方式为xx系统提供密码能2、密码应用(1)用户终端密码应用(2)物理与环境密码应用xx系统拟将部署于xx政务云(浪潮云)机房，、本次建设复用(3)网络与通信密码应用书进行通信实体身份鉴别，密钥为2048bit;采用采用安全级别在(4)设备与计算密码应用(5)应用与数据密码应用5.2算法配用xx系统共配置6种合规的密码算法，其中密码算法的名称、用码机、数字证书认证系统、时间戳身份认证通道保护公钥：512bit私钥：256bit完整性保护护密钥：128bit分组：128bit身份认证通道保护 2048bit及以上性保护128位及以上完整性保护 摘要值：大于等于224bit5.3计算平台密码应用方案5.4密码支撑平台方案5.5业务应用密码应用方案5.5.1物理和环境安全5.5.2网络和通信安全xx系统涉及2类网络边界的通信信道。一是业务人员、管理人鉴别安全的完整性1内部业务访问通道通信信道1政务外内部单位用户通过改造改造改造2外部业务访问通道通信信道2外部用户通过PC终端访问xx系统改造改造不适用3道通信信道3通过本地运维终端接入业务系统，进行运维管理改造改造改造内部业务人员业务终端外部业务人员(③运维通道)身份鉴别(1)业务通道(通信信道1、通信信道2)1)业务通道览器经身份认证后登录xx系统业务时，采用基于TLS1.2的HTT密钥长度为2048bit,保证服务端身份的真实性，避免业务人员、管理人员访问非法钓鱼网站。由具有运营资质的合规CA机构颁发站点注：内部业务用户可采用运维通道(通信信道3)的接入方式实现身份鉴别，本次项目内部业务用户采用运维通道3接入。(2)运维通道(通信信道3)通过IPSEC/SSLVPN综合安全网关的客户端使用SSLVPN的方式连接到xx系统的网络，IPSEC/SSLVPN综合安全品认证证书，采用SM2对运维人员进行身份鉴别，能够避免身份被数据传输安全1)业务通道(通信信道1、通信信道2)业务人员、管理人员从互联网或电子政务外网PC端通过WEB浏览器经身份认证后登录园林绿化监督业务时，采用基于TLS1.2的HTTPS协议构建通信信道，由于国密浏览器适配难度大，本次证书采用RSA,密钥长度为2048bit,通过采用安全级别在AES、SHA2以上注：内部业务用户可采用运维通道(通信信道3)的接入方式实现数据传输安全保障，本次项目内部业务用户采用运维通道3接入。2)运维通道(通信信道3)使用IPSEC/SSLVPN综合安全网关的客户端通过SSLVPN的方式连接到园林绿化监督业务的网络，IPSEC/SSLVPN综合安全网关具备商用密码产品认证证书，已采用基于SM2算法的数字证书对运维人员网络边界访问控制完整性1)业务通道(通信信道1、通信信道2)经身份认证后访问园林绿化监督业务时，其访问控制都是通过云平台边界防火墙实现访问控制，防火墙是安全整机产品，难以改造。注：内部业务用户可采用运维通道(通信信道3)的接入方式实现实现访问控制信息完整性保护，本次项目内部业务用户采用运维通道3接入。2)运维通道(通信信道3)使用IPSEC/SSLVPN综合安全网关的客户端通过SSLVPN的方式连有商用密码产品认证证书的产品，设备自身能够实现访问控制信息5.5.3设备和计算安全(浪潮云)机房本地运维园林绿化监督业务堡垫机远程运维(云平台提供)数据库服务器应用服务器(云平台提供)数字证书身份鉴别1)服务器、数据库服务器、数据库等设备的身份鉴别依托于IPSEC/SSLVPN综合安全网关和堡垒机实现身份鉴别，IPSEC/SSLVPN综合安全网关实现基于国密算法的初次用户的身份认证，然后再登录堡垒机实现二次身份鉴别；鉴于服务器、数据库属于成熟产品，难以改造，本次通过增加管理措施等手段降低不进行密码改造带来的风险。2)堡垒机鉴于堡垒机是整机设备，难以进行改造，运维人员在登录堡垒机前，使用IPSEC/SSLVPN综合安全网关客户端以SSLVPN的方式登录IPSEC/SSLVPN综合安全网关，再登录堡垒机对设备进行运维。堡垒机的身份鉴别依托IPSEC/SSLVPN综合安全网关实现。IPSEC/SSLVPN综合安全网关采购具有商用密码产品认证证书的产品，采用基于SM2的数字证书实现身份鉴别。数字证书第三方合规的数3)密码产品本次项目建设规划的密码设施(服务器密码机、智能密码钥匙、IPSEC/SSLVPN安全网关等)具有商用密码产品认证证书；采用基运维。符合GB/T39786-2021《信息系统密码应用基本要求》中“设备与计算安全”中的“应采用密码技术对登录设备的用户进行身份访问控制信息完整性由于堡垒机、服务器、数据库都是成熟的产品，产品的相关访问控制信息完整性难以通过技术层面进行改造，本次项目采取对访问角色进行严格控制的访问控制措施来降低未使用密码技术带来的本次项目建设规划的密码设施(服务器密码机、智能密码钥匙、IPSEC/SSLVPN安全网关等)具有商用密码产品认证证书，通过自身远程管理通道安全1)数据库、服务器运维人员通过堡垒机登录服务器，由于目前尚未发布基于国密2)堡垒机堡垒机(浪潮云平台提供功能使用),运维人员从互联网或电子难，因此本次改造使用RSA证书，密钥长度为2048bit,对通信实体鉴于堡垒机是整机设备，难以进行改造，运维人员在登录堡垒机前，使用IPSEC/SSLVPN综合安全网关客户端以SSLVPN的方式堡垒机的远程管理安全依托IPSEC/SSLVPN综合安全网关实现。IPSEC/SSLVPN综合安全网关具有商用密码产品认证证书，采用基于3)密码产品日志记录完整性对于堡垒机、服务器、数据库等设备的关键日志，由于其均为成熟的产品，产品的日志记录完整性难以通过技术层面进行改造，因此通过在堡垒机、服务器、数据库本身加访问控制列表的方式访问系统日志，从而降低因未采用密码技术对其余与本项目配套的密码设施(服务器密码机、智能密码钥匙、IPSEC/SSLVPN安全网关等)具有商用密码产品认证证书，通过设备重要可执行程序完整性(1)堡垒机堡垒机的执行程序需要经过原厂商代码安全审计或管理部门严格审批方能上线应用，通过加强风险评估和管理制度健全等手段，(2)服务器、数据库重要可执行程序需要经过原厂商代码安全审计或管理部门严格审批方能上线应用，通过加强风险评估和管理制度健全等手段，降(3)密码产品其余与本项目配套的密码设施(服务器密码机、智能密码钥匙、IPSEC/SSLVPN安全网关等)具有商用密码产品认证证书，可以基于园林绿化监督业务外密码服务区防灭墙(云平台提供)密码机身份鉴别访问控制信息完整性重要数据传输机密性与完整性重要数据存储机密性与完整性配置数据、重要业务数据等(详见2.4章节),使用服务器密码机为数据库中的重要数据提供加解密支撑，采用国家密码管理机构核准的SM4算法实现对存储数据的机密性务器密码机自带的密钥管理功能获取。系统通过调用服务器密码机具体改造中，相关加密字段应为字符型且不参与聚集函数运算(2)服务端重要数据存储完整性保护对xx系统存储在数据库中的身份鉴别数据、访要业务数据、重要配置数据、系统操作日志数据等关键数据，采用5.6密码应用部署设计5.6.1设备选型原则2、先进性原则在满足系统密码需要的前提下，要求其性能指标保持先进水平，3、经济性原则要求设备价格合理，在使用过程中能耗、维护费用低。设备选型首先应考虑的是生产上适用，只有应用场景上适用的设备才能发挥其投资效果；其次是技术上先进，技术上先进必须以适用应用场景为前提，以获得最大经济效益为目的；最后，把应用场景上适用、一旦设备出现故障时，应保障设备及时得到维修，以保持设备5.6.2软件硬件设备清单备注1利旧包括数据加解密、签名验证、供密钥管理和密码运算服务。具备国家密码管理局商用密码检测中心颁发的《商用密码产品认证2VPN综合安全网关2分别部署于电子政务外网和互联网；采用国密SM2\SM3\SM4等国密算法，提供机密性、完整性保护、数据源认证等安全防护功能，通过身份认证、访问控制及终端安全接入技术，保障传输安全，为用户访问内部网络和应用提供安全接入功能。具备国家密码管理局商用密码检测中心颁发利旧3智能密码钥匙提供认证、消息摘要等密码服务，需配套第三方合规机构颁发4堡垒机提供运维操作审计、集中管控等功能5.6.3部署示意图及说明政务外网区互联网区书(新增)网络核心域其他业务用户防火墙单位办公业务用户匙+数字证VPN综合安单位远程办公业务匙+数字证互联网业务域运维人员互联网安全管理域网关密码产品。服务器密码机为xx系统提供底层密码资源，通过5.7密钥管理序号密钥类型使用算法密钥作用密钥归档1SSLVPN安全网关签名密钥对非对称身份鉴别成SSLVPN安全网关存储网关重新生成安全网关备份恢复2对非对称身份鉴别安全网关备份恢复3SSLVPN安全网关加密密钥对非对称密钥成SSLVPN安全网关存储安全导入到SSL税务电子证书管理中心产生导入安全网关备份恢复密钥管理系统归档书管理中心4SSLVPN安全网关加密密钥对非对称密钥服务器密系统安全导入到安全网关备份恢复归档5会话密钥对称加密保护通信数据全网关与不存储新序号密钥类型使用密钥作用密钥复密钥归档1身份鉴别密钥对非对称用于用户登录应用系统时进行身份鉴别用户Ukey安不支持成备份与恢复不支持服务器密2数据存储加密密钥服务器密安全存储不支持备份恢复不支持服务器密3数据存储完整非对称服务器密不支持备份恢复不支持服务器密6安全管理方案6.1管理制度根据GB/T39786-2021《信息安全技术信息系统密码应用基本要求》中安全管理制度方面的要求，制定与本系统相适应的密码安全管理制度和操作规范，内容至少包含密码设计、建设、运维、人员、设备、密钥等6个方面，并同步在单位现有的制度发布流程中补充密码相关管理制度发布流程，待新制定的密码安全管理制度和操作规范内部评审通过后，按照密码相关管理制度发布流程予以发按照本系统设计的密码应用，梳理应用系统密钥体系，并制定相应的密钥管理规则，需涵盖密钥的产生、分发、存储、使用、更6.2人员管理6.2.1人员组织单位内部设立密码应用领导工作组，并成立密码应用工作运维各成员应该了解并遵守密码相关法律法规、密码应用安全管理6.2.2岗位管理(1)各信息系统应规范密码应用岗位工作，设置密钥管理员、密码安全审计员、密码操作员等关键安全岗位，根据系统实际情况，(2)对关键岗位建立多人共管机制。(3)密钥管理、密码安全审计、密码操作人员职责互相制约互相监督，其中密码安全审计员岗位不可与密钥管理员、密码操作员(4)相关设备与系统的管理和使用账号不得多人共用。2、岗位人员管理(1)对关键人员应签订保密合同，承担保密义务。(2)保密对象包括：安全管理制度类文档和记录表单类文档；保密人员包括：系统负责人、安全主管、密钥管理员、密码审计员、(3)密码岗位人员离岗时，应及时终止离岗人员的所有密码应6.2.3职责和权限领导工作组负责系统密码应用统筹管理工作，监督、管理与考运维组负责密码系统、密码产品具体运维管理工作，协助各系每一个系统应确定一个密码应用运维工作组，每个密码应用运维工作组成员应包括：系统负责人、安全主管、密钥管理员、密码审计员、密码操作员等。各系统运维工作组成员由密码应用领导工(1)系统负责人：云上业务系统总负责人，负责云上业务系统(2)安全主管：负责云上业务系统密码应用的具体工作，制定工作方案，工作任务分配和人员管理。协助项目实施及应用处置工(3)密钥管理员：负责密码应用平台中各种密码设备的密钥管理和证书管理，各系统应配备2名以上密钥管理员，并互为AB角。(4)密码安全审计员：负责对系统密码应用、密码设备的操作及记录进行审计，审计操作有否违规情况，各项操作是否有依据，操作记录是否清晰完整等，各系统应配备2名以上密码安全审计员，(5)密码操作员：负责系统密码应用、密码设备的具体操作、管理与运维，以及相关日志、配置等信息和文件的备份，定期上传完整性保护系统进行完整性保证校验等工作。每个设备应配置2名专家组在系统所属方的指导下组建，给客户、各系统建设开发设计单位提供密码技术专业意见，在项目初步设计评审中指导审核密码应用设计方案。协助建设方开展密码运行应急处置、培训等工专家组组长及其成员在行业协会、专业研究机构、测评机构中6.2.4培训应每年制定针对涉及密码的操作和管理的人员的培训计划对密码应用岗工作人员，应进行专门培训，确保其具备岗位所需专业技培训对象包括：系统负责人、安全主管、密钥管理员、密码审每次培训都应有详细记录，并对培训资料、培训情况、表单文6.2.5建设运行完成本方案编制后，委托密评机构对本方案进行评估，评估通过后，将本系统密码应用方案向xx密码管理局备案，并同步对本系统进行密码应用建设，选用通过检测认证合格的密码服务，合规、依据评估通过的密码应用方案在建设完成后，委托密评机构对本系统进行密码应用安全性评估，密码应用安全性评估通过后上线6.2.6应急处置根据信息系统实际，制定密码应用应急处置方案，方案内容包括：潜在的安全事件分析、应急处置组织机构与职责、应急处置预潜在的安全事件分析.1事件分类按项目时间周期划分，对系统可用性、安全性会造成影响的密①项目实施过程中的安全事件，主要包括：因业务系统开发商的工作疏忽或对密码产品接口掌握不全，造成业务系统无法正常使用密码产品的事件；因密码产品实施人员工作疏忽，造成密码产品无法正常工作的事件；因业务系统开发商的工作疏忽或对密码产品②密码运行过程中出现的安全事件，主要包括：办公用户证书失效，造成办公用户无法正常登录业务系统进行维护和管理工作，对业务系统的可用性可能会造成影响；业务系统服务器证书失效，造成服务器证书验证失败，影响业务系统的正常访问；服务端密钥泄露，造成关键敏感数据存储与传输的私密性、完整性被破解；服务端密码设备故障，造成业务系统身份鉴别、数据安全存储、数据安全传输等功能异常；密码设备的安全漏洞，造成密码设备可以被应急处置组织机构与职责码服务的专业技术支持，参与和协助商用密码服务应急响应计划的应急处置预案设计.1系统密码应用集成故障应急处置出现问题的原因因业务系统开发商的工作疏忽或对密码产品接口掌握不全，造成业务系统无法正常使用密码产品的事件。问题影响密码应用在业务的生产系统验证失效。事前防范①进行密码应用算法回退；①校验模拟系统和生产系统间的差异；②充份分析所遇到的问题细节；③待所有问题解决后再进行二次上线验证。出现问题的原因因密码产品实施人员工作疏忽，造成密码产品无法正常问题影响事前防范上线生产前充份验证设备配置文档，并且多次的压力测试和功能测试。①进行密码应用算法回退；②密码产品部署回退，定位问题。①分析模拟系统和生产系统间的差异；②全面分析失败上线的原因；出现问题的原因统密码应用存在漏洞的事件，典型的有：身份鉴别时对证书有效性验证不严谨，造成已过期的、被注销的、非受信CA颁发的证书可以通过认证；身份鉴别时没有采用随机数签名，造成身份鉴风险影响有心攻击信息的黑客很容易蒙混到信息系统内部事前防范①技术上对认证的原理进行了理论性的认证，并②可复制参考的集成示例，接口介绍文档；③宽且广的测试案例的覆盖。①系统全面回退到使用证书登录前的状态；①开发人员重新参考方案，做原理层的深入了解，充份理解示例代码，接口说明文档；②重新做证书认证产品的接入；③宽且广的测试案例的覆盖，β测试。延误了强身份认证的上线进度，给系统安全性存在身份认证方面的不足，容易受到黑客密码穷举，撞库等方面的攻击，存在内部信息泄漏的风险。出现问题的原因办公用户证书在过期前没有及时去续期、办公用户证书介质PIN锁死或介质损坏。风险影响办公用户无法正常登录业务系统进行维护和管理工作，对业务系统的可事前防范设立规范制度要求：管理员每个月定期查看办公用户证书的有效时间，设置两个管理证书介质互为备份。①采用备份的管理证书介质登录系统；①加强规范制度的落实措施；②强调备份的重要性，备份的使用周期要比应用中的产品周期长1.5-2管理员登录不及时导致系统维护不及时，造成密码服务的连续性服务中断。出现问题的原因①业务系统的服务器证书在过期前没有及时去续期；②业务系统IP或域名修改没有及时申请新的IP或域名证书。风险影响服务器证书验证失败，影响业务系统的正常访问。事前防范务器证书可继续服务的时间；②系统的任意修改需要做出风险评估后，落实准备改。①针对证书过期问题，一方面管理员需要尽快为期；另一方面向CA机构申请临时服务器证书过渡网站正常应用；②没有及时申请新问题，采用IP或域名回退机制，后再做IP或域名的切换。①加强规范制度的落实措施；①影响信息系统的IP或域名切换进度；②临时证书申请过程和机制回退造成密码服务的连续性服务中出现问题的原因服务端的密码设备里的密钥(包括私钥、对称密钥、风险影响关键敏感数据存储与传输的私密性、完整性被破解。事前防范①密钥对应的信息系统应用模块做好登记；①评估密钥泄漏可能波及到的系统范围；②在密码服务系统中采用新的一套密钥；③信息系统尽快做好密钥切换工作与新密钥验证；④销毁旧密钥，做好新密钥的备份措施和安全控制措施。①追踪密钥外泄的原因；②加强制度的管理；③强化密钥管理安的全意识。密钥外泄的信息系统数据存在泄漏的风险。出现问题的原因服务端的密码设备故障事件。风险影响业务系统身份鉴别、数据安全存储、数据安全传输等功能异常。事前防范①做好密码服务设备的双套运行备份；②做好密码服务设备的密钥备份。事中处理①马上使用备用设备替换现有密码服务系统设备，隔离出问题的密码服务系统设备；存有关记录及日志或审计记录；③如果满足下列情况之一的，应立即向信息中心负责人通报情况，申请由应急响应小组协助处理：密码服务系统设备在2小时内无法处理完毕的；密码服务系统设备涉临淘汰，市场上无法找到替代密码服务的设④在应急响应小组协助修复设备后，进行密码系统和相关数据恢复，检查密码系统数据的完整性；⑤相关密码服务故障事件处理完毕，重新接入网络。事后处置①总结事件处理情况，将有关情况向安全领导小组领导汇报有关情况，并提出防范再度爆发的解决方案；②配合应急响应小组实施必要的安全加固。损失评估出现问题的原因风险影响事前防范①及时根据密码服务设备厂家发布的漏洞进行补丁修复；②定期观查密码服务器的运行日志，把握密码设备①加强与密码设备厂家的沟通，尽可能在漏洞公②评估漏洞事件可能带来的系统风险。密码设备可以被非法访问、私钥可被猜测等安全信息公告流程.1事件发生后①在发生信息安全事故后，各部门应在发生事故最短时间内报②由信息中心负责人组织人员与相关的技术支持单位联系，进③确认安全事故处理责任人，较大的事件需要及时上报到应急⑥事件处理后需要对本次发现的事件进行总结，汲取教训，加.2事件处置完成后事件处置完成后及时向同级的密码主管部门报告事件发生情况①汇总应急事件可能波及到的外部机构、互联的单位系统以及④整理应急事件的处理过程以及防范措施等相关材料与所有报损失评估安全事件发生后，安全应急分管领导迅速与损失评估小组联系，确定损失评估小组的人员名单，下发通知到需要应急处置的应用部门，尽快为损失评估小组开通机房门禁，系统登录，检视设备等的权限。应用部门负责核实损失评估人员身份，配合损失评估小组提损失评估小组到达现场，执行损失分析评估工作。损失评估主要从事件发生后，造成的信息资产损失、服务中断造成的社会经济最后，损失评估小组根据对安全事件的分析评估，制定出损失评估报告。损失评估报告的要点主要包括：评估目的、评估范围和预案激活条件6.3密码软硬件与介质管理2、支撑服务2、文档和介质管理人员：负责密钥管理、信任服务等业务开展过程中接收或形成的各类文档、资料等保管工作；负责密码密钥介6.4运维管理6.4.1运维工作总体要求运维团体职责是保障系统密码应用支撑平台能够正常运行、业(1)保证密码支撑平台的正常运行；(2)规范运行维护操作流程，制定相关管理守则，做好维护管(3)定期对密码支撑平台相关的系统进行系统自检和安全性自(4)定期对关键数据进行备份并妥善保管，定期对备份设备可(5)按照操作规程，定期将日志文件、控制信息文件提交完整6.5其他6.5.2制度发布7安全与合规性分析7.1密码应用合规性(技术)对照表适用)说明施)通过)物理和环境安全身份鉴别宜适用/电子门禁记录数宜适用/宜适用/网络和通信安全身份鉴别应适用1、业务人员、管理人员从互联网或电子政务外网PC端通过WEB浏览器经身份认证后登录xx系统业务时，采用基于TLS1.2的HTT道，证书采用RSA,密钥长度为2048bit,保证服务端身份的真实性；2、运维人员从互联网或电子政务外网通过PCIPSEC/SSLVPN综合安全网关的客户端使用SSLVPN的方式连接到xx系统的网络，采用SM2对运维人员进行身份鉴别，运维人员的数字证书由第三方合/宜适用1、运维人员从互联网或电子政务外网通过PC终端进行远程访问时，使用IPSEC/SSLVPN综合安全网关的客户端通过SSL绿化监督业务的网络，访问控制列表由IPSEC/SSLV/2、业务人员和管理人员从互联网或电子政身份认证后访问园林绿化监督业务时，其访问控制都建立IP+MAC地址绑定的访问控制列表，从而降低网络边界未采用密码技术应适用1、业务通道业务人员、管理人员从互联网或电子政务外网PC端通过W览器经身份认证后登录园林绿化监