DB32T-政务“一朵云”安全管理体系规范 第2部分 政务云密码应用技术要求编制说明

DB32/TXXXX—XXXX《政务“一朵云”安全管理体系规范第2部分：政务云密码应用技术要求》（征求意见稿）编制说明目的意义产业发展现状近年来，党和国家高度重视密码技术在网络安全工作中的应用。2020年实施的《中华人民共和国密码法》指出，需使用商用密码保护相关关键信息基础设施。《商用密码应用安全性评估管理办法》《国家政务信息化项目建设管理办法》《江苏省省级政务信息化项目建设管理办法》等相关文件也强调了信息系统密码应用的必要性。当前，在国家大力引导和各界的共同推动下，我国政务云行业发展迅猛，在助力政务建设、打破信息孤岛、实现数据共享共治方面效果显著。政务云运用云计算技术，统筹使用政府已有的机房、计算、存储、网络、安全、应用支撑、信息数据等资源，发挥云计算虚拟化、高可靠性、高通用性、高可扩展性以及快速、按需、弹性服务的特征，运行了很多关系国计民生的业务系统，存储、流转大量敏感数据和个人隐私信息。保障政务云平台安全对我国政治、经济、生产和生活等各方面至关重要，密码技术作为保障云安全的重要技术，将密码能力变成云中的一种资源服务，在云服务体系中具有十分重要的地位和作用。2021年3月9日，国家标准GB/T39786-2021《信息安全技术信息系统密码应用基本要求》发布，指导商用密码应用与安全性评估工作，对于规范和引导信息系统合规、正确、有效应用密码，切实维护国家网络与信息安全具有重要意义。该标准从物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全等四个方面提出了密码应用技术要求，以及管理制度、人员管理、建设运行、应急处置等密码应用管理要求。2023年10月31日，江苏省人民政府办公厅发布了《江苏省政务“一朵云”建设总体方案》，计划到2027年底，集约共享、融合创新、智能敏捷、安全可控、高效服务的全省政务“一朵云”体系全面建成。达成云资源规模满足需求、云技术应用先进成熟、云服务种类丰富多样、云安全体系自主可控、云使用效能显著提高的目标。2024年4月15日，中国密码学会发布了《政务领域政务服务平台密码应用与安全性评估实施指南》《政务领域政务云密码应用与安全性评估实施指南》，文件依据国家密码政策要求和标准规范制定，促进政务领域政务服务平台场景中商用密码的合规、正确、有效应用，同时可用于指导各级政务服务平台相关系统建设单位和使用单位以及商用密码应用安全性评估机构规范开展商用密码应用和安全性评估工作。必要性政务云作为大数据背景下电子政务集约化发展的支撑，在提高效率、降低成本、资源共享、互联互通、业务协同等方面具有先天优势，与此同时，云上应用系统和海量数据的安全问题相伴而生、日益突出。密码作为保障网络安全的核心技术和基础支撑，在身份识别、安全隔离、信息加密、完整性保护和抗抵赖性等方面发挥着不可替代的重要作用。运用密码技术，推进密码技术和云计算技术的融合发展，是建设安全可信政务云平台的必由之路。政务云安全隐患主要分为两个层面：一是系统的安全，包括云主机安全、中间件安全、操作系统安全、网络安全、应用安全等；二是数据的安全，在政务云数据聚集化的趋势下，集中后的数据如何安全地存储、传输和使用也是个挑战。政务云平台密码应用设计构建以商用密码为核心的云安全保障体系，通过构建底层基础设施统一密码服务平台提供大规模密钥管理能力，集中对硬件密码资源统一调度分配，对外提供通用与典型密码应用，实现按需扩展、灵活配置。研究以商用密码作为核心技术基础支撑，提升政务云平台网络安全保障能力，最终实现商用密码在政府关键重要领域的全面落地，是迫切需要的。可行性2020年1月1日，《中华人民共和国密码法》正式施行，其中第二十七条规定“法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施，其运营者应当使用商用密码进行保护，自行或者委托商用密码检测机构开展商用密码应用安全性评估”。2021年10月1日，《信息安全技术信息系统密码应用基本要求》（GB/T39786-2021）正式实施，从国家标准层面积极推动商用密码技术应用，结合各行业领域密码应用需求，指导规范信息系统密码应用，提供密码应用安全保障。江苏省人民政府办公厅发布了《江苏省省级政务信息化项目建设管理办法》等相关政策文件，省财政和地方各级政府按照预算管理要求保障密码应用工作开展，为我省商用密码应用推动工作规范有序的进行打造了良好的环境。预期经济社会效益以商用密码作为核心技术支撑政务云平台可为政务云上应用系统信息安全提供密码资源调配、密钥全生命周期托管、基础密码运算等密码应用整体解决方案，相比传统单一的密码应用改造，具有集约化、安全化、快速化等创新特点。依托平台云密码服务模式，无需再单独采购密码硬件设备进行密码改造，并可对各类业务应用系统批量处理，后期统一集中运维管理，可节省密码应用、运维成本，避免重复建设、资源浪费、信息泄露等问题，具有明显的经济效益。“数字中国”战略全面推进，数字经济的高质量、跨越式发展，需切实增强网络安全防护能力。密码技术作为网络与信息安全保障的核心技术，提供了不可替代的基础支撑手段，为引领产业数字化转型发展发挥着积极的基础核心作用。以商用密码作为核心技术基础支撑的政务云平台建设为推进密码应用发挥了显著的社会效益。任务来源2023年7月10日，由江苏省电子信息产品质量监督检验研究院（江苏省信息安全测评中心）申请地方标准的立项，根据江苏省市场监督管理局下达的2023年度拟立项地方标准项目的公示，批准《政务云平台商用密码应用技术规范》地方标准的制定，标准起草单位包括江苏省电子信息产品质量监督检验研究院（江苏省信息安全测评中心）、江苏省国家密码管理局、无锡航天江南数据系统科技有限公司、江苏意源科技有限公司。标准编制启动后，标准起草组广泛听取了行业主管部门、政务云运营单位以及密码行业专家的意见，为使标准内容更加准确符合指导政务“一朵云”安全运行的实际定位，结合《江苏省政务“一朵云”建设总体方案》中的工作计划和目标，将标准名称修改为《政务“一朵云”安全管理体系规范》。本次立项的《政务“一朵云”安全管理体系规范》共有3个部分，本标准文件是第2部分“政务云密码应用技术要求”，标准的编制周期为1年。编制过程成立标准起草组2023年7月标准起草单位组织专业力量编制形成《政务云平台商用密码应用技术规范》，规范规定了政务云平台商用密码应用总体技术框架、密码资源池和接口规范的技术要求。为确保标准内容更加完善，覆盖范围更加全面，2023年9月11日，经行业推荐主管单位江苏省国家密码管理局同意，在原有单位基础上吸纳了江苏省大数据管理中心、江苏省商用密码产业协会、中电科网络安全科技股份有限公司、中国电信股份有限公司江苏分公司、江苏省国信数字科技有限公司、江苏航天七零六信息科技有限公司、乾讯信息技术（无锡）有限公司、江苏先安科技有限公司、江苏信创密码技术有限公司、华为技术有限公司、南京三未信安信息技术有限公司一同参与标准编制工作，共同组建标准起草组，对标准不同章节的内容进行认领分工。2.起草、征求意见与修订2023年11月17日，各参编单位完成相应的内容编制工作后，召开标准修订研讨会，会上对草案提出修订建议24条，其中采纳14条，未采纳10条，建议主要集中在增加密钥管理部分场景。2024年1月19日，标准起草组召开标准修订研讨会，会上共提出修改建议74条，其中采纳27条，部分采纳19条，未采纳28条。主要修改意见集中在标准正文中图1的政务云密码应用总体架构以及密码功能类型。2024年3月9日，标准起草组邀请国家密码管理局商用密码应用技术体系研究总体组组长刘平、中国密码学会物联网密码专委会副主任委员丁余泉对标准提出修改意见。主要修改意见集中在第五章总体架构的总体架构图部分以及第六章的建设要求部分，该部分内容基于GBT39786-2021《信息安全技术信息系统密码应用基本要求》，结合江苏省政务云特点提出了创新要求，更有效保障政务云密码安全，方便政务云和云租户的密码建设。2024年3月29日组织专家召开地方标准评审会，评审专家包括国家密码管理局商密办副主任许长伟，航天信息股份有限公司科技委原主任、研究员郭宝安，南京理工大学数学与统计学院副院长、教授许春根，中国密码学会物联网密码专委会副主任委员丁余泉，北京数字认证股份有限公司董事长詹榜华等，专家组一致同意《政务云平台商用密码应用技术规范》地方标准通过评审，同时提出标准内容偏向密码技术要求，考虑沿用国标GB/T39786-2021《信息安全技术信息系统密码应用基本要求》的命名形式，建议将标准名称修改为《政务云密码应用技术要求》。3.初审与修订2024年5月16日，江苏省软件和信息技术服务标准化技术委员会将标准草案通过微信公众号发布标准，广泛征求意见。共征集到修改意见六条，采纳其中四条，修改意见多集中在文本格式。4.标准审查与报批阶段2024年8月，标准起草组根据各方意见对地方标准进行修改完善后，与编制说明、有关行政主管部门意见、征求意见采纳情况等材料一并报送标准化行政主管部门（江苏省市场监督管理局）进行技术审查。主要内容及技术指标确立标准起草组结合江苏省政务“一朵云”实际需求和密码应用工作进行了大量细致调研，通过实地调研、专家研讨和文件查阅等方式，确定了标准的主要内容和相关的技术指标。规范分为八个部分：范围、规范性引用文件、术语和定义、缩略语、总体架构、建设要求、密码资源池和附录。总体架构介绍了政务“一朵云”密码应用的总体架构，从上到下包括密码应用、密码资源池和密码基础设施三个部分，密码应用包括业务终端密码应用、网络边界密码应用和业务密码应用。密码资源池基于密码基础支撑设施、密码资源、密码服务功能、密码服务管理、密码服务中间件，实现密码资源的动态调整和灵活调度，提供按需高效、弹性可扩展的密码服务。密码基础设施包括电子认证基础设施和密钥管理基础设施。建设要求按照相关标准对计算平台、密码支撑平台、业务应用等提出的设计要求，对总体要求、物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全、密钥管理等层面采用密码技术保护。密码资源池政务“一朵云”密码服务应基于密码资源池中的密码资源及其管理平台，提供数据加解密服务、数据完整性计算和验证服务、签名验签服务、时间戳服务、证书管理服务、电子签章服务、密码服务中间件和其他密码服务等密码服务能力。密码资源管理平台应具有密码相关的设备管理、配置管理、运行管理、租户管理、应用管理、异常监测及预警告警功能。响应时间、负载以及并发要求应满足相关要求。与相关法律法规和标准的关系本标准遵守现行法律法规，并和强制性标准相协调一致。本标准制定中未采用国际标准，文中规范性引用的国家标准、行业标准均为政务“一朵云”密码应用技术要求提供了相关依据。江苏省地方标准《政务“一朵云”安全管理体系规范第2部分政务云密码应用技术要求》（DB32/TXXX—2024）规定了政务“一朵云”运行管理机构开展政务云商用密码建设的内容，提出了密码资源池的建设要求，为保障政务云安全稳定运行提供指导。作为推荐性或强制性标准的建议建议作为推荐性标准发布实施。推广实施建议建议标准发布后，及时组织开展宣贯和培训。通过在省级、设区市政务云建设过程中进行应用，加大示范和宣传力度，加快推进本标准的实施。召开全省政务云密码应用建设