xx单位政务云商用密码应用方案V2.0

I背景政策、法规要求密码技术作为网络与信息安全保障的核心技术和基础支撑，在身份认证、信息加密、安全隔离、完整性保护和操作抗抵赖等方面发挥着不可替代的作用。《关于加强信息安全保障工作的意见》（〔2003〕27号）提出“加强以密码技术为基础的信息保护和网络信任体系建设，要建立协调管理机制，规范和加强以身份认证、授权管理、责任认定等为主要内容的网络信任体系建设”。《关于大力推进信息化发展和切实保障信息安全的若干意见》（〔2012〕23号）也提出“加强网络信任体系建设和密码保障，强化密码在保障电子政务、电子商务安全和保护公民个人信息等方面的支撑作用”。2019年10月26日，第十四次会议通过《密码法》，签署予以公布，于2020年1月1日起正式实施。密码法的出台，为密码科技实现跨越式发展、密码科技创新再上新台阶提供了宝贵的战略机遇和发展契机。当今以数字化、网络化、智能化为特征的信息技术日新月异，围绕5G、大数据、区块链等技术应用带来了大量的新的安全问题。密码技术是解决当前安全问题，保障信息安全最有效的关键核心技术。2019年年底，xxx印发《国家政务信息化项目建设管理办法》，明确提出不符合密码应用和网络安全要求等情况的政务信息系统，不安排运行维护经费。项目建设单位应当落实国家密码管理有关法律法规和标准规范的要求，同步规划、同步建设、同步运行密码保障系统并定期进行评估。大数据、云计算、人工智能、区块链等科技发展日新月异，信息技术应用创新（以下简称“信创”）已是当前经济社会发展的基石。信创产业涵盖芯片、操作系统、数据库、中间件、应用软件、网络安全、整机生产、系统集成等领域，是当前及未来几年信息化领域的重点建设任务。商用密码应用安全性评估主要对重要信息系统和关键信息基础设施的密码安全进行整体的专项测试和综合评估，以形成科学准确的评估结果，评估涉及密码算法、协议、产品、技术体系、密码管理、密码与应用结合等诸多方面。通过以评促改、以评促用，逐步规范网络运营者的密码使用和管理行为，最终确保密码在重要信息系统和关键信息基础设施中使用的正确、合规、有效。商用密码应用安全性评估工作是密码检测认证体系的重要组成部分，也是《密码法》和中央有关文件的明确要求，是落实总体国家安全观和网络强国战略的具体行动，是深入推进重要领域密码应用的必然要求。云平台密码应用方案背景xxx政务云平台是基于公有云成熟产品体系自主研发的企业级云平台，具有高可用、统一管控、安全合规的特点，提供数字化转型所需的云化技术、大数据、AI等全面能力。由于云环境的开放性，云上的基础设施安全、密钥安全体系、认证及授权、端到端传输安全、数据保护、大数据安全等面临很多的挑战。本方案旨在为xxx政务云平台提供密码应用安全保障依据，规划建设密码资源池，并为系统的密码应用安全性评估提供测评依据。本系统按照《信息安全技术信息系统密码应用基本要求》（GB/T39786-2021）第三级要求进行建设。系统概述承载的业务情况xxx云上业务系统部署于XX机房，可对云上业务系统提供密码资源服务，如数据加解密、安全通道传输、签名验签、数字证书签发等几大类服务，同时商用密码资源池也支持全面的业务运营、运维能力。云平台重要数据分析序号数据名称描述安全需求1镜像数据租户虚拟机镜像文件完整性2账号信息租户端和运营端口令、邮箱、手机号机密性、完整性3租户业务数据虚拟机迁移过程中的重要数据机密性、完整性4网络边界访问控制信息交换机、防火墙配置文件等机密性、完整性5应用访问控制信息租户端/运营端策略信息完整性6日志记录日志平台系统日志数据（服务器、交换机、防火墙）及租户端/运营端审计日志数据。完整性需求分析云平台密码应用需求分析物理和环境安全风险分析（1）身份鉴别：xxx政务云平台所在机房，若通过普通ID卡对进入机房人员进行身份鉴别，未使用合规的密码技术对进入人员进行身份鉴别，则存在非授权人员进入物理机房环境，对软硬件设备和数据进行直接破坏的风险。（2）门禁记录完整性：xxx政务云平台所在机房电子门禁记录若采用明文存储在门禁管理系统数据库中，未采用密码技术对存储的电子门禁记录进行完整性保护，则存在物理进出记录遭到非授权篡改，以掩盖非授权人员进出情况的风险。（3）视频记录完整性：xxx政务云平台所在机房视频监控数据若未使用密码技术进行存储完整性保护，则存在视频记录遭到非授权篡改，以掩盖非授权人员进出情况的风险。密码应用需求需在xxx政务云平台所在机房部署符合GM/T0036-2014标准要求的电子门禁系统对进出机房人员进行身份鉴别，对电子门禁系统进出记录数据进行存储完整性保护；需部署符合国密要求的视频监控系统，并对视频监控系统进出记录数据进行存储完整性保护。保证系统中使用的密码算法需符合法律、法规的规定和密码相关国家标准、行业标准的有关要求；保证系统中使用的密码技术需遵循密码相关国家标准和行业标准；保证系统中使用的密码产品均需符合GB/T37092的二级及以上的安全要求进行密钥的管理和密码运算。网络和通信安全风险分析互联网管理端与云平台之间、电子政务外网管理端与云平台之间、云平台管理端与云平台之间、运维PC端和云平台系统之间，未采用符合国密要求的密码技术对通信实体进行身份鉴别，未采用符合国密要求的密码技术对网络传输数据进行机密性和完整性保护，未采用符合国密要求的密码技术对网络边界访问控制信息完整性进行保护。xxx政务云平台的通道梳理如下表格所示：表3-1云平台网络与通信保护对象表序号网络类型通道通道名称1互联网业务通道互联网管理端与云平台之间的通信信道2电子政务外网业务通道电子政务外网管理端与云平台之间的通信信道3局域网业务通道云平台管理端与云平台之间的通信信道4局域网运维通道运维PC端与云平台系统之间的通信信道（1）身份鉴别：互联网管理端与云平台之间、电子政务外网管理端与云平台之间、云平台管理端与云平台之间、运维PC端和云平台系统之间的通信信道，若未使用符合国密局要求的密码算法，基于协议中的数字签名技术实现对服务端的通信实体进行身份鉴别，保证通信实体身份的真实性，则存在通信实体身份假冒的风险。（2）通信过程中重要数据的完整性：互联网管理端与云平台之间、电子政务外网管理端与云平台之间、云平台管理端与云平台之间、运维PC端和云平台系统之间的通信信道，若未使用符合国密局要求的密码算法进行通信过程中主要数据的完整性保护，存在重要数据被篡改的风险。（3）通信过程中重要数据的机密性：互联网管理端与云平台之间、电子政务外网管理端与云平台之间、云平台管理端与云平台之间、运维PC端和云平台系统之间的通信信道，若未使用符合国密局要求的密码算法进行通信过程中主要数据的机密性，存在重要数据被窃取的风险。（4）网络边界访问控制信息完整性：网络边界设备为xxx政务云平台所在机房提供的安全设备，包括所用的安全认证网关和防火墙，安全认证网关和防火墙若不是合规的产品，并且未采用密码技术保证网络边界访问控制信息的完整性，则存在边界访问控制信息被篡改的风险，导致网络边界访问控制手段失效。（5）安全接入认证：根据GB/T39786-2021《信息安全技术信息系统密码应用基本要求》对等级保护第三级信息系统的密码应用技术要求，安全接入认证项应用要求为“可”，同时接入系统的设备无安全接入认证需求，在本次密码应用建设及测评时，可作不适用项处理。密码应用需求（1）需部署安全认证网关，使用安全认证网关与终端的安全认证客户端建立互联网管理端与云平台之间、电子政务外网管理端与云平台之间、云平台管理端与云平台之间、运维PC端和云平台系统之间的通信信道，基于数字签名的方式实现对服务端身份鉴别，证书采用SM2算法证书，数字证书由所部署的合规的证书机构颁发，基于国密算法建立安全通信通道保证通信数据的传输机密性和完整性。（2）需通过部署安全认证网关，使用安全认证网关自身实现互联网管理端与云平台之间、电子政务外网管理端与云平台之间、云平台管理端与云平台之间、云平台运维PC端和云平台系统之间网络边界的访问控制信息的完整性。保证系统中使用的密码算法需符合法律、法规的规定和密码相关国家标准、行业标准的有关要求；保证系统中使用的密码技术需遵循密码相关国家标准和行业标准；保证系统中使用的密码产品均需符合GB/T37092的二级及以上的安全要求进行密钥的管理和密码运算。设备和计算安全风险分析（1）身份鉴别、远程管理通道安全：运维人员包括云平台和云租户的运维人员（一般包括管理员、开发人员、运维人员等）通过浏览器，使用口令登录堡垒机，与堡垒机之间建立连接，未使用密码技术对运维人员登录进行身份鉴别，未使用合规的密码技术对管理员登录身份鉴别信息进行传输机密性保护，存在设备被非授权人员登录、身份鉴别数据被非授权获取或非授权使用等风险。（2）访问控制信息完整性：运维人员的相关访问控制信息，未使用密码技术进行完整性保护，可能存在被篡改的风险。（3）重要信息资源安全标记完整性：对于重要信息资源安全标记完整性，由于云平台无重要信息资源安全标记需求，在本次密码应用建设及测评时，可作为不适用项。（4）日志记录完整性：系统应用服务器、数据库服务器、虚拟服务器、虚拟数据库服务器等设备管理日志、快照、镜像文件等重要信息数据，未使用密码技术进行完整性保护，存在设备日志记录被非授权篡改风险。（5）重要可执行程序完整性、重要可执行程序来源真实性：设备服务器、虚拟服务器中所有重要程序或文件在生成时，未使用密码技术进行完整性保护，使用或读取这些程序和文件时，未对其进行完整性校验，存在重要程序或文件被非授权篡改、来源不可信风险。密码应用需求（1）需部署安全认证网关，并向系统运维人员配发USBKEY，对登录堡垒机的用户进行身份鉴别和远程管理身份鉴别信息传输机密性保护，防止非授权人员登录、管理员远程登录身份鉴别信息被非授权窃取。（2）对用户访问控制信息进行完整性保护，需部署符合密码相关国家、行业标准要求的签名验签服务器，对应用服务器、数据库服务器、数据库、堡垒机等设备系统资源访问控制信息进行数字签名实现完整性保护。（3）需部署符合密码相关国家、行业标准要求的签名验签服务器，对应用服务器、数据库服务器等设备操作管理日志、快照、镜像文件等重要信息数据进行完整性安全保护。（4）需部署符合密码相关国家、行业标准要求的签名验签服务器，对应用服务器、数据库服务器、数据库、堡垒机等设备重要可执行程序进行数字签名实现完整性和来源的真实性保护。保证系统中使用的密码算法需符合法律、法规的规定和密码相关国家标准、行业标准的有关要求；保证系统中使用的密码技术需遵循密码相关国家标准和行业标准；保证系统中使用的密码产品均需符合GB/T37092的二级及以上的安全要求进行密钥的管理和密码运算。应用和数据安全风险分析（1）身份鉴别：xxx政务云平台租户端、运营端通过PC端浏览器访问方式，使用用户名+口令进行登录，均未使用密码技术对登录用户进行身份鉴别，存在应用被非授权人员登录风险。（2）访问控制信息完整性：xxx政务云平台未使用密码技术对系统用户访问权限控制列表进行完整性保护，存在应用资源被非授权用户获取的风险。（3）重要信息资源安全标记完整性：对于重要信息资源安全标记完整性，由于xxx政务云平台无重要信息资源安全标记需求，在本次密码应用建设及测评时，可作为不适用项。（4）重要数据机密性、完整性：xxx政务云平台重要数据均明文传输、存储，未使用密码技术进行传输、存储机密性、完整性保护，存在身份鉴别数据等关键数据被窃取和非授权篡改风险。（5）不可否认性：xxx政务云平台不涉及法律责任认定的密码应用场景，因此不适用。密码应用需求（1）身份鉴别：xxx政务云平台云租户、运营等PC端用户配发USBKey，内置合规的国密SM2算法证书，采用基于SM2算法的数字签名技术，实现对PC端登录应用用户的安全身份鉴别，防止非授权人员登录。（2）系统资源访问控制的完整性：需部署签名验签服务器，使用密码技术对云平台相关访问控制规则信息进行SM2签名、验签，从而实现完整性保护。（3）重要数据传输机密性/完整性：需部署符合密码相关国家、行业标准要求的安全认证网关，对租户、运营等PC端的重要数据进行传输机密性、完整性保护，实现重要数据在传输过程中的防窃取和防篡改保护。（4）重要数据存储机密性/完整性：需部署符合密码相关国家、行业标准要求的密码机、签名验签服务器，对xxx政务云平台的重要数据进行存储机密性、完整性保护。（5）不可否认性：云平台不涉及需要进行法律责任认定的行为。保证系统中使用的密码算法需符合法律、法规的规定和密码相关国家标准、行业标准的有关要求；保证系统中使用的密码技术需遵循密码相关国家标准和行业标准；保证系统中使用的密码产品均需符合GB/T37092的二级及以上的安全要求进行密钥的管理和密码运算。云租户密码应用需求分析根据GB/T39786《信息系统密码应用基本要求》，从物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全、管理制度、人员管理、建设运行、应急处置等层面，对云上业务系统进行风险分析，得出云上业务系统密码应用需求。物理和环境安全风险分析（1）身份鉴别：xxx政务云上业务系统所在的机房，通过普通ID卡对进入机房人员进行身份鉴别，未使用合规的密码技术对进入人员进行身份鉴别，存在非授权人员进入物理机房环境，对软硬件设备和数据进行直接破坏的风险。（2）门禁记录完整性：云上业务系统所在机房电子门禁记录明文存储在门禁管理系统数据库中，未采用密码技术对存储的电子门禁记录进行完整性保护，存在物理进出记录遭到非授权篡改，以掩盖非授权人员进出情况的风险。（3）视频记录完整性：云上业务系统所在机房视频监控数据未使用密码技术进行存储完整性保护，存在视频记录遭到非授权篡改，以掩盖非授权人员进出情况的风险。密码应用需求在xxx政务云上业务系统所在机房部署符合GM/T0036-2014标准要求的电子门禁系统对进出机房人员进行身份鉴别，对电子门禁系统进出记录数据进行存储完整性保护；部署符合国密要求的视频监控系统，并对视频监控系统进出记录数据进行存储完整性保护。保证系统中使用的密码算法需符合法律、法规的规定和密码相关国家标准、行业标准的有关要求；保证系统中使用的密码技术需遵循密码相关国家标准和行业标准；保证系统中使用的密码产品均需符合GB/T37092的二级及以上的安全要求进行密钥的管理和密码运算。网络和通信安全风险分析互联网/电子政务外网PC端和云上业务系统之间、互联网移动APP端和云上业务系统之间、互联网/电子政务外网运维PC端和云上业务系统之间与云上业务系统之间的通信信道，未采用符合国密要求的密码技术对通信实体进行身份鉴别，未采用符合国密要求的密码技术对网络传输数据进行机密性和完整性保护，未采用符合国密要求的密码技术对网络边界访问控制信息完整性进行保护。本系统的通道梳理如下表格所示：表3-2云上业务系统网络与通信保护对象表序号网络类型通道通道名称1互联网业务通道互联网PC端和云上业务系统之间的通信信道2业务通道互联网移动APP端和云上业务系统之间的通信信道3运维通道互联网运维PC端与云上业务系统之间的通信信道4电子政务外网业务通道电子政务外网PC端和云上业务系统之间的通信信道5运维通道电子政务外网运维PC端与云上业务系统之间的通信信道（1）身份鉴别：互联网/电子政务外网PC端和云上业务系统之间、互联网移动APP端和云上业务系统之间、互联网/电子政务外网运维PC端和云上业务系统之间的通信信道，未使用符合国密局要求的密码算法，基于协议中的数字签名技术实现对服务端的通信实体进行身份鉴别，保证通信实体身份的真实性，则存在通信实体身份假冒的风险。（2）通信过程中重要数据的完整性：互联网/电子政务外网PC端和云上业务系统之间的通信信道，互联网移动APP端和云上业务系统之间的通信信道，互联网/电子政务外网运维PC端和云上业务系统之间的通信信道，未使用符合国密局要求的密码算法进行通信过程中主要数据的完整性保护，存在重要数据被篡改的风险。（3）通信过程中重要数据的机密性：互联网/电子政务外网PC端和云上业务系统之间的通信信道，互联网移动APP端和云上业务系统之间的通信信道，互联网/电子政务外网运维PC端和云上业务系统之间的通信信道，未使用符合国密局要求的密码算法进行通信过程中主要数据的机密性，存在重要数据被窃取的风险。（4）网络边界访问控制信息完整性：网络边界设备为云平台提供的安全设备，包括所用的安全认证网关和防火墙，安全认证网关和防火墙若不是合规的产品，并且未采用密码技术保证网络边界访问控制信息的完整性，则存在边界访问控制信息被篡改的风险，导致网络边界访问控制手段失效。（5）安全接入认证：根据GB/T39786-2021《信息安全技术信息系统密码应用基本要求》对等级保护第三级信息系统的密码应用技术要求，安全接入认证项应用要求为“可”，同时接入系统的设备无安全接入认证需求，在本次密码应用建设及测评时，可作不适用项处理。密码应用需求需要在云平台数据接入区部署安全认证网关，结合客户端使用安全认证客户端，通过调用安全传输通道服务保证云上业务系统网络边界的访问控制信息的完整性，保证云上业务系统通信数据在传输过程中的机密性和完整性，保证外部连接到内部网络的设备身份的真实性；实现对应用系统的安全访问。（1）需部署安全认证网关，使用安全认证网关与终端的安全认证客户端建立互联网/电子政务外网PC端和云上业务系统之间、互联网移动APP端和云上业务系统之间、互联网/电子政务外网运维PC端和云上业务系统之间的通信信道，基于数字签名的方式实现对服务端身份鉴别，数字证书由合规的证书机构颁发，基于国密算法建立安全通信通道保证通信数据的传输机密性和完整性。（2）通过部署安全认证网关，使用安全认证网关自身实现云上业务系统用户终端与服务端之间、云上业务系统运维终端与服务端之间网络边界的访问控制信息的完整性。信息系统中使用的密码算法需符合法律、法规的规定和密码相关国家标准、行业标准的有关要求；信息系统中使用的密码技术需遵循密码相关国家标准和行业标准；信息系统中使用的密码服务平台需符合法律法规的相关要求并经商用密码认证机构认证合格的密码服务；信息系统中使用的密码产品均需符合GB/T37092的二级及以上的安全要求进行密钥的管理和密码运算。设备和计算安全风险分析（1）身份鉴别、远程管理通道安全：云上业务系统采用远程运维方式，运维人员在互联网/电子政务外网通过浏览器，使用用户名+口令的方式登录云上业务系统虚拟应用服务器、虚拟数据库服务器、数据库等虚拟机系统进行管理，使用静态口令方式登录虚拟机，未使用密码技术对运维人员登录进行身份鉴别，未使用合规的密码技术建立安全管理通道，存在设备被非授权人员登录、身份鉴别数据被非授权获取或非授权使用等风险。（2）访问控制信息完整性：云上业务系统所涉及的虚拟应用服务器、虚拟数据库服务器、数据库、堡垒机若均未使用密码技术对系统资源访问控制信息进行完整性保护，则存在访问控制信息被篡改的风险，导致非法用户登录、越权访问。（3）重要信息资源安全标记完整性：对于重要信息资源安全标记完整性，若云上业务系统无重要信息资源安全标记需求，在本次密码应用建设及测评时，可作为不适用项。（4）日志记录完整性：云上业务系统所涉及的虚拟应用服务器、虚拟数据库服务器、数据库日志均用明文进行存储，未使用密码技术进行完整性保护，则存在设备日志记录被非授权篡改风险。（5）重要可执行程序完整性、重要可执行程序来源真实性：应用服务器、数据库服务器、数据库等设备的程序未使用密码技术进行完整性保护，使用或读取程序时，未对其进行完整性来源真实性校验，则存在重要程序被非授权篡改、来源不可信的风险。密码应用需求（1）为云上业务系统运维管理人员PC端配发USB接口的智能密码钥匙（以下简称“USBKey”），采用密码技术对登录安全认证网关的运维人员进行身份鉴别。虚拟应用服务器、虚拟数据库服务器、数据库采用合规的密码技术对登录人员进行身份鉴别改造难度较大，则需采用合规的密码技术登录安全认证网关后建立集中管理通道降低此类设备的身份鉴别风险。（2）需部署安全认证网关，使用安全认证网关建立国密安全通道，保证运维人员与安全认证网关之间的通道安全；通过运维人员与安全认证网关之间的通道安全缓解安全认证网关与服务器、数据库之间的通道安全。（3）需部署签名验签服务器，使用签名验签服务器，对虚拟应用服务器、虚拟数据库服务器、数据库等虚拟机日志进行数字签名实现完整性保护。（4）需部署签名验签服务器，使用签名验签服务器，对虚拟应用服务器、虚拟数据库服务器、数据库等虚拟机系统资源访问控制信息进行数字签名实现完整性保护。（5）需部署签名验签服务器，使用签名验签服务器，对虚拟应用服务器、虚拟数据库服务器、数据库等虚拟机重要可执行程序进行数字签名实现完整性和来源的真实性保护。信息系统中使用的密码算法需符合法律、法规的规定和密码相关国家标准、行业标准的有关要求；信息系统中使用的密码技术需遵循密码相关国家标准和行业标准；信息系统中使用的密码服务平台需符合法律法规的相关要求并经商用密码认证机构认证合格的密码服务；信息系统中使用的密码产品均需符合GB/T37092的二级及以上的安全要求进行密钥的管理和密码运算。应用和数据安全风险分析（1）身份鉴别：云上业务系统用户在互联网/电子政务外网上通过PC端浏览器访问方式，使用用户名+口令进行登录；云上业务用户在互联网上通过移动端APP使用用户名+口令进行登录；均未使用密码技术对登录用户进行身份鉴别，存在应用被非授权人员登录风险。（2）访问控制信息完整性：云上业务系统未使用密码技术对系统用户访问权限控制列表进行完整性保护，存在应用资源被非授权用户获取的风险。（3）重要信息资源安全标记完整性：对于重要信息资源安全标记完整性，若云上业务系统无重要信息资源安全标记需求，在本次密码应用建设及测评时，可作为不适用项。（4）重要数据机密性、完整性：云上业务系统用户登录身份鉴别信息、在系统中流转的重要数据均明文传输、存储，未使用密码技术进行传输、存储机密性、完整性保护，存在身份鉴别数据等关键数据被窃取和非授权篡改风险。（5）不可否认性：根据云上业务系统实际需求，如有审批文件等的签章等行为，若未使用密码技术进行操作不可否认性保护，则存在人员否认所做操作的风险。密码应用需求（1）需在xxx政务云平台数据接入区部署符合密码相关国家、行业标准要求的安全认证网关，在PC端用户配发USBKey，内置合规的国密SM2算法证书，采用基于SM2算法的数字签名技术，实现对PC端登录云上业务系统用户的安全身份鉴别，防止非授权人员登录。（2）在云上业务系统移动APP端中部署符合密码相关国家、行业标准要求的移动端密码模块（二级）、在云平台互联网数据接入区部署符合密码相关国家、行业标准要求的安全认证网关、协同签名系统，配合合规的证书机构给移动端密码模块（二级）颁发合规的数字证书，采用基于SM2算法的数字签名技术实现登录应用用户的安全身份鉴别，防止非授权人员登录。（3）需部署签名验签服务器，对云上业务系统访问控制信息进行完整性保护，防止应用资源被非授权用户篡改。（4）需部署安全认证网关，对PC端涉及的重要数据进行传输机密性、完整性保护，实现重要数据在传输过程中的防窃取和防篡改保护。（5）需部署云密码机、签名验签服务器，对PC端涉及的重要数据进行存储机密性、完整性保护，实现重要数据在存储过程中的防窃取和防篡改保护。（6）需部署电子签章系统、时间戳服务器，使用SM2国密算法的签名技术实现数据原发行为的不可否认性和数据接收行为的不可否认性。信息系统中使用的密码算法符合法律、法规的规定和密码相关国家标准、行业标准的有关要求；信息系统中使用的密码技术遵循密码相关国家标准和行业标准；信息系统中使用的密码服务平台符合法律法规的相关要求并经商用密码认证机构认证合格的密码服务；信息系统中使用的密码产品均为符合GB/T37092的二级及以上的安全要求进行密钥的管理和密码运算。安全管理根据四川省密码管理局安全管理要求，应制定通用的《信息安全管理制度汇编》，该安全管理制度汇编内容涉及安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理等5个方面的安全管理要求。管理制度制定密码应用安全管理制度、密钥管理规则以及对管理人员或操作人员执行的日常管理操作建立操作规程，并定期对密码应用安全管理制度和操作规程的合理性和适用性进行论证和审定，对存在不足或需要改进之处进行修订，明确相关密码应用安全管理制度和操作规程的发布流程并进行版本控制，并对具有密码应用操作规程的相关执行记录并妥善保存。人员管理密码技术的信息系统的相关人员应了解并遵守密码相关法律法规、密码应用安全管理制度，建立密码应用岗位责任制度，明确各岗位在安全系统中的职责和权限，建立上岗人员培训制度，对于涉及密码的操作和管理的人员进行专门培训，确保其具备岗位所需专业技能，并定期对密码应用安全岗位人员进行考核，建立关键人员保密制度和调离制度，签订保密合同，承担保密义务。建设运行依据《基本要求》，制定基于租户系统密码应用改造方案，并根据密码应用改造方案，确定系统涉及的密钥种类、体系及其生命周期环节，并按照制定的密钥管理制度严格执行对各密钥种类、体系对密钥进行全生命周期的管理，并委托密评机构对密码应用改造方案进行评估，评估通过后，根据密码应用改造方案制定具体可行的系统实施方案并建设密码保障系统。密码保障系统建设完成之后，在投入运行前进行密码应用安全性评估，评估通过后系统方可正式运行。在运行过程中，严格执行上述的密码应用安全管理制度，并定期开展密码应用安全性评估及攻防对抗演习，并根据评估结果进行整改，保证密码应用系统的安全性。应急处置针对系统的密码应用方案，指定对应的应急处置方案，并做好应急资源准备，明确密码安全事件处理流程及其它管理措施。并在事件发生后，及时向信息系统主管部门进行报告，同时立即启动应急处置方案，结合实际情况及时处置，并在事件处置完成后，及时向信息系统主管部门及归属的密码管理部门报告事件发生情况及处置情况。密钥管理要求密钥生命周期管理系统密钥管理需求密钥产生密钥可以以随机产生、协商产生等不同的方式来产生，应在符合GB/T37092的密码产品中产生，产生的同时在密码产品中记录密钥关联信息，包括密钥种类、长度、拥有者、使用起始时间、使用终止时间等。密钥分发密钥分发是密钥从一个密码产品传递到另一个密码产品的过程，分发时要注意抗截取、篡改、假冒等攻击，保证密钥的机密性、完整性以及分发者、接收者身份的真实性等。密钥存储密钥不以明文方式存储在密码产品外部，需采取严格的安全防护措施，防止密钥被非授权的访问或篡改。密钥使用每个密钥应明确用途，并按用途正确使用。密钥使用环节需要注意：使用密钥前获得授权、使用公钥证书前对其进行有效性验证、采用安全措施防止密钥的泄露和替换等。另外，密钥应设定更换周期，并采取有效措施保证密钥更换时的安全性。密钥更新密钥更新发生在密钥超过使用期限、已泄露或存在泄露风险时，根据相应的更新策略进行更新。密钥归档如果信息系统中有密钥归档需求，则根据实际安全需求采取有效的安全措施，保证归档密钥的安全性和正确性。需要注意的是，归档密钥只能用于解密该密钥加密的历史信息或验证该密钥签名的历史信息。如果执行密钥归档，则必须生成审计信息，包括归档的密钥、归档的时间等。密钥撤销密钥撤销一般针对公钥证书所对应的密钥。当证书到期后，密钥自然撤销；也可以按需进行密钥撤销，撤销后的密钥不再具备使用效力。密钥备份对于需要备份的密钥，采用安全的备份机制对密钥进行备份是必要的，以确保备份密钥的机密性和完整性，这与密钥存储的要求是一致的。密钥备份行为是审计涉及的范围，有必要生成审计信息，包括备份的主体、备份的时间等。密钥恢复可以支持用户密钥恢复和司法密钥恢复。密钥恢复行为是审计涉及的范围，有必要生成审计信息，包括恢复的主体、恢复的时间等。密钥销毁如果系统中有销毁密钥的需要，则要注意密钥销毁要注意的是销毁过程的不可逆，即无法从销毁结果中恢复原密钥。设计目标及原则设计目标本方案设计目标为满足xxx政务云平台自身符合商用密码应用测评要求，为xxx政务云平台提供密码资源服务能力，使其能够通过密评。设计原则总体性原则密码在信息系统中的应用不是孤立的，必须与信息系统的业务相结合才能发挥密码的作用。密码应用方案应做好顶层设计，明确应用需求和预期目标，与信息系统整体安全保护等级相结合，通过系统总体方案和密码支撑体系总体架构设计，来引导密码在信息系统中的应用。对于正在规划阶段的新建系统，应同时设计系统总体方案和密码支撑体系总体架构；对于已建但未规划密码应用方案的系统，信息系统责任单位要通过调研分析，梳理形成系统当前密码应用的总体架构图，提炼密码应用方案，作为后续测评实施的基础。科学性原则GB/T39786-2021《信息安全技术信息系统密码应用基本要求》是密码应用的通用要求，在应用方案设计时不能机械照搬，或简单地对照每项要求堆砌密码产品，应通过成体系、分层次的设计，形成包括密码支撑体系总体架构、密码基础设施建设部署、密钥管理体系构建、密码产品部署及管理等内容的总体方案。通过密码应用方案设计，为实现《信息安全技术信息系统密码应用基本要求》在具体信息系统上的落地创造条件。完备性原则信息系统安全防护效果遵循“木桶原理”，即任何一个方面存在安全风险均有可能导致信息系统安全防护体系的崩塌。密码应用方案设计，应按照GB/T39786-2021《信息安全技术信息系统密码应用基本要求》对密码技术应用（包括物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全四个层面）、密钥管理和安全管理的相关要求，组成完备的密码支撑保障体系。可行性原则密码应用方案设计需进行可行性论证，在保证信息系统业务正常运行的同时，综合考虑信息系统的复杂性、兼容性及其他保障措施等因素，保证方案切合实际、合理可行。要科学评估密码应用解决方案和实施方案，可采取整体设计、分期建设、稳步推进的策略，结合实际情况制订项目组织实施计划。设计依据主要依据GB/T39786-2021《信息安全技术信息系统密码应用基本要求》（以下简称《基本要求》）《信息系统密码应用测评要求》《信息系统密码应用测评过程指南》《信息系统密码应用高风险判定指引》《商用密码应用安全性评估量化评估规则》密码相关政策法规《网络安全法》《密码法》《2006-2020年国家信息化发展战略》（中办发〔2006〕11号）2018年7月中共中央办公厅、xxx印发的《金融和重要领域密码应用与创新发展工作规划（2018-2022)》《国家政务信息化项目建设管理办法》（国办发〔2019〕57号）《政务信息系统密码应用与安全性评估工作指南》(2020版)密码相关标准规范GB/T35273-2020《信息安全技术个人信息安全规范》GM/T0054-2018《信息系统密码应用基本要求》《信息系统密码测评要求》（试行）《商用密码应用安全性评估测评过程指南》（试行）《商用密码应用安全性评估测评作业指导书》（试行）技术方案依据《基本要求》，制定xxx政务云平台密码应用方案，并委托密评机构对密码应用改造方案进行评估，评估通过后，建设密码保障系统，制定密码相关的管理制度，系统改造完成后，依据密码应用改造方案对xxx政务云平台进行密码应用安全性评估。云平台密码应用技术云平台密码支撑应用xxx政务云平台所在机房拟建设商用密码资源为xxx政务云平台提供密码服务，为云平台提供数字证书签发、安全传输通道、数据加解密、签名验签等密码服务。密码资源使用符合国家密码法规和标准规定的密码算法，使用经过国家密码管理局核准的密码产品，遵循等级保护和密评相关规范。结合第3章密码应用需求，设计密码应用技术框架如图5-1所示。图5-SEQ图5-\*ARABIC1密码应用总体框架图业务系统密码应用主要由密码资源、物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全、安全管理六大部分组成。物理和环境安全：主要是指xxx政务云平台所在机房电子门禁系统和机房视频监控设备安全，为xxx政务云平台所在机房负责建设。网络和通信安全：主要是指xxx政务云平台的远程访问通信，运程运维管理要采用密码技术实现身份鉴别、访问控制信息完整性保护、通信数据的机密性和完整性保护。本方案采用安全认证网关+安全认证客户端的模式，从网络层和应用层保障网络和通信安全。设备和计算安全：主要是指承载xxx政务云平台应用服务器、数据库服务器设备和计算环境的安全，包括采用密码技术对访问这些设备的实体身份鉴别、远程管理通道安全、访问控制信息和日志信息的完整性保护、重要可执行程序的完整性保护等内容。应用和数据安全：主要是指对xxx政务云平台的访问操作以及重要数据的安全保护，包括采用密码技术对终端用户访问系统服务端的身份鉴别、访问控制信息的完整性保护，重要数据的在传输和存储过程中的机密性和完整性保护。安全管理：主要是指对xxx政务云平台的物理和环境、网络和通信设备、服务器计算设备等运维管理、业务访问相关的安全管理制度、人员管理机制、系统建设运行以及相应的应急处置办法和措施。密码服务管理平台（含身份认证系统）：为承载xxx政务云平台的物理环境、网络通信、计算设备以及业务系统自身提供符合国密要求的密码服务能力，确保访问实体的真实性、数据信息的机密性和完整性保护，满足业务系统的密码应用合规性要求。各密码资源设备或系统具体功能描述如下：（1）数据加解密服务（云密码机）：采用标准国密SM4分组对称加密算法、SM2椭圆曲线公钥密码算法和SM3密码杂凑算法。为云上业务系统提供基础的加密/解密、数据签名验签、数据摘要等密码运算服务。（2）安全传输通道服务（安全认证网关）：主要用于应用与用户之间建立安全的信息加密传输通道，对客户端使用证书认证进行身份鉴别，加密通信数据，提供SSLVPN或IPSecVPN接入服务。（3）签名验签服务（签名验签服务器）：按照GM/T0029-2014《签名验签服务器技术规范》要求，封装了基于SM2/SM3算法的PKCS#1、PKCS#7、XML等格式的签名/验证功能;支持消息、数据、文件等多种源数据形式。用于服务端为应用实体提供基于PKI体系和数字证书的数字签名、签名验证等运算。签名验签服务器通过密码资源对xxx政务云平台提供签名验签服务。（4）数字证书签发服务（数字证书认证系统）：实现数字证书的申请、更新、撤销、恢复、证书制作等证书全生命周期管理。为业务应用访问提供基于密码技术的强身份鉴别能力。对各密码资源（设备或系统）提供对称密钥、非对称密钥的产生、存储、更新、恢复、撤销等密钥生命周期的管理，保障密钥全生命周期安全。（5）电子签章服务（电子签章系统）：利用图像处理技术将电子签名操作转化为与纸质文件盖章操作相同的可视效果，同时利用电子签名技术保障电子信息的真实性和完整性以及签名人的不可否认性。（6）协同签名服务（协同签名系统）：用于移动端为远程访问建立安全的网络传输通道，实现网络层数据的机密性和完整性保护。（7）时间戳服务（时间戳服务器）：以PKI技术为基础，结合权威时间(国家标准时间)、数字证书以及数字签名技术，用于保证网络行为时间属性的真实性、完整性和不可抵赖性。产品采用国产化硬件平台，支持国密算法，符合国家相关标准规范，为应用提供权威可信的时间戳服务。（8）智能密码钥匙：也称USBKey，主要提供证书认证、签名验签、杂凑等密码运算服务，实现信息的完整性、真实性和不可否认性保护，同时提供一定的存储空间，用于存放数字证书等用户身份凭证数据。用于国密VPN的接入验证。物理和环境安全物理和环境安全层面的对象为xxx政务云平台所在机房，xxx政务云平台按照三级密评要求对该层面进行标准建设。在xxx政务云平台所在机房部署符合GM/T0036-2014标准要求的电子门禁系统对进出机房人员进行身份鉴别，对电子门禁系统进出记录数据进行存储完整性保护；部署符合国密要求的视频监控系统，并对视频监控系统进出记录数据进行存储完整性保护。网络和通信安全密码保护对象如表所示，网络和通信需采用密码保护的对象是xxx政务云平台与通信实体之间的网络通道，包括通信实体在通信过程身份的真实性、通信数据的机密性和完整性、以及网络边界访问控制信息的完整性。表5-1云平台网络与通信保护对象表序号网络类型通道通道名称1互联网业务通道互联网管理端与云平台之间的通信信道2电子政务外网业务通道电子政务外网管理端与云平台之间的通信信道3局域网业务通道云平台管理端与云平台之间的通信信道4局域网运维通道运维PC端与云平台系统之间的通信信道采用的密码措施通过建设符合法律、法规规定，符合密码相关国家标准、行业标准有关要求的安全认证网关，提供安全传输通道服务，保证网络层的通信安全。云平台运维PC端、互联网/电子政务外网/云平台管理端使用安全认证客户端，配合云平台数据接入区中部署的安全认证网关，提供安全传输通道服务，构建国密算法安全传输通道，对通信实体进行身份鉴别，实现接入认证，同时，保证xxx政务云平台的重要数据在传输过程中的机密性和完整性。身份鉴别、机密性、完整性保护：互联网/电子政务外网/云平台管理端与云平台之间、云平台运维人员PC端与云平台之间，通过在云平台数据接入区部署安全认证网关，提供安全传输通道服务，建立国密通信信道，安全认证网关的数字证书由云平台电子政务外网服务区中部署的数字证书认证系统颁发，算法为SM2算法，通过SM2\SM3算法实现通信实体真实性鉴别，通信数据传输的完整性和机密性保护。访问控制信息完整性保护：通过在云平台数据接入区部署的安全认证网关，使用安全认证网关自身实现互联网/电子政务外网/云平台管理端与云平台之间、云平台运维PC端与云平台系统之间网络边界的访问控制信息的完整性。安全接入认证：根据GB/T39786-2021《信息安全技术信息系统密码应用基本要求》对等级保护第三级信息系统的密码应用技术要求，安全接入认证项应用要求为“可”，同时接入系统的设备无安全接入认证需求，在本次密码应用建设及测评时，可作不适用项处理。设备和计算安全密码保护对象设备和计算安全保护的对象是云平台提供的应用服务器、数据库服务器、数据库、堡垒机等设备和计算环境的安全，保障访问计算设备的身份鉴别、远程管理通道安全、系统资源访问控制信息完整性、日志记录完整性、重要可执行程序完整性、重要可执行程序来源真实性。采用的密码措施在云平台数据接入区部署安全认证网关，再通过数据接入区部署的堡垒机，对云平台的应用服务器、数据库服务器、数据库等进行运维管理。（1）身份鉴别：①云平台运维人员使用智能密码钥匙（USBKey）登录云平台数据接入区部署的安全认证网关，使用云平台电子政务外网服务区密码资源池中部署的数字证书认证系统颁发的国密证书，采用SM2公钥密码算法的数字签名方式对登录人员进行身份鉴别。②运维人员登录安全认证网关后，再使用用户名+口令登录堡垒机，运维管理应用服务器、数据库服务器、数据库，采用用户名+口令的方式登录云平台服务器、数据库进行运维，基于堡垒机、服务器和数据库的建设难度较大，采用合规的方式对安全认证网关登录的运维人员进行身份鉴别作为风险缓解措施。③密码产品均具备《商用密码产品认证证书》。密码操作员管理密码产品时，采用数字证书认证系统生成的SM2数字证书，使用智能密码钥匙基于SM2公钥密码算法的数字签名技术实现身份鉴别。（2）远程管理通道安全：①通过采用SM2和SM3算法，保证安全认证网关与堡垒机之间的通道安全，通过在云平台数据接入区部署的安全认证网关，采用国密证书和国密协议算法建立合规的远程集中管理通道，堡垒机采用TLS协议，协商的算法套件为AES256、HMAC-SHA-256来保证堡垒机的远程通道安全，缓解堡垒机的远程管理通道安全。②运维人员在对云平台应用服务器、数据库服务器进行运维管理时，由于应用服务器、数据库服务器、数据库市面上大多为成熟的设备，且目前尚未发布例如基于国密的SSH协议标准，远程管理应用服务器、数据库服务器、数据库的连接通道目前难以改造，因此通过在云平台数据接入区部署的安全认证网关，采用国密证书和国密协议算法建立合规的远程集中管理通道，缓解服务器、数据库的远程管理通道安全。③密码产品均具备《商用密码产品认证证书》。在进行密码产品远程运维时，使用云平台电子政务外网服务区密码资源池中部署的数字证书认证系统为密码产品签发的SM2数字证书站点证书，管理端采用安全认证客户端建立国密SSL协议加密传输通道，通过国产密码算法套件保障传输的机密性和完整性。（3）系统资源的访问控制信息完整性：①堡垒机、服务器、数据库目前产品成熟，遵循权限分离原则，只分配给管理员完成操作所需的最小权限，通过严格的管理措施降低安全风险，在本次密码应用建设中不进行建设。②密码产品均具备《商用密码产品认证证书》，其系统资源访问控制信息完整性由密码产品自身保障。（4）重要信息资源安全标记完整性：设备不涉及重要信息资源安全标记，无需采用密码措施进行保护。（5）日志记录完整性：①堡垒机、服务器、数据库目前产品成熟，日志记录完整性由自身的审计功能实现，在本次密码应用建设中不进行建设。②密码产品均具备《商用密码产品认证证书》，其日志记录完整性由密码产品自身保障。（6）重要可执行程序进行完整性和来源真实性：①堡垒机、服务器、数据库目前产品成熟，执行程序从其官方进行获取并经过管理部门严格审批方能上线应用，一定程度上降低了本项安全风险，在本次密码应用建设中不进行建设。②密码产品均具备《商用密码产品认证证书》，其重要可执行程序完整性由密码产品自身保障,程序来源真实性从官方进行获取。应用和数据安全云平台通过对接密码资源，对镜像数据、账号信息、租户业务数据、网络边界访问控制信息、应用访问控制信息、日志记录等业务数据进行加密和签名，可实现信息在传输和存储过程中的机密性和完整性保护。密码保护对象应用和数据安全的密码保护对象为云平台，通过密码技术保障运维用户身份鉴别、系统资源访问控制信息完整性、信息系统重要数据在存储和传输过程中的完整性，机密性保护。采用的密码措施（1）身份鉴别：云平台的租户管理端、运营端，统一身份鉴别组件均采用支持账号口令+USBKey双因子方式身份鉴别，采用云平台电子政务外网服务区密码资源池中部署的数字证书认证系统颁发的SM2国密证书、基于公钥算法的数字签名技术，实现对云平台的租户管理端、运营端登录人员的安全身份鉴别，防止非授权人员登录。（2）访问权限控制信息完整性：在云平台运维区部署签名验签服务器，采用基于SM3、SM2算法的数字签名技术,实现对云平台数据库中存储的访问策略控制信息的完整性保护，防止被非授权用户篡改。密钥由签名验签服务器自身来提供密钥管理服务。（3）重要数据传输的机密性和完整性：在云平台数据接入区部署符合GM/T0026-2014《安全认证网关产品规范》的安全认证网关，建立客户/服务端之间数据传输的国密SSL通道，实现重要数据在传输过程的机密性和完整性保护的风险缓解和修正，防止数据被窃取和篡改。（4）重要数据存储的机密性和完整性：①在云平台运维区部署密码机，采用符合国密要求的SM4算法，进行加解密运算，实现对云平台涉及的重要数据进行加密存储。SM4密钥由密码机自身来提供密钥管理服务。②在云平台运维区部署签名验签服务器，采用基于SM3、SM2算法的数字签名技术，实现对云平台涉及的重要数据的完整性保护。密钥由签名验签服务器自身来提供密钥管理服务。③在云平台运维区部署签名验签服务器，提供符合GM/T0029-2014《签名验签服务器技术规范》的签名验签服务，采用SM3、SM2算法的数字签名技术，对云平台重要数据（平台审计日志）数据、虚拟机的镜像数据进行完整性保护，确保日志数据、虚拟机的镜像的完整性，保证日志数据、虚拟机的镜像不被篡改。密钥由签名验签服务器自身来提供密钥管理服务。（5）不可否认性：云平台不涉及需要进行法律责任认定的行为，也无司法取证的需求，因此该项为不适用。云租户密码应用技术密码服务管理平台为满足云租户密评场景，部署密码资源池，提供基础的密钥管理和密码运算为基础，从用户系统业务角度进行密码应用方案规划，为云租户各应用业务系统提供安全合规的密码服务及对应的密码服务管理服务，从而助力云租户业务应用快速实现密码技术的安全集成与应用，提升客户业务安全性，满足《GBT39786-2021信息安全技术信息系统密码应用基本要求》中对应的指标要求，并为通过密码应用安全性评估奠定基础。图5-2密码服务管理平台框架图密码服务管理平台基于云技术和密钥管理技术，将传统密码技术运用在云业务上。通过虚拟化技术，将在提升密码服务性能、稳定性、合理利用资源以及降低整体成本等方面发挥重要作用。通过密钥管理技术既保证了密钥安全，同时又将传统的密码资源（传统密码设备对密钥、数据、运算等全面管理，耦合度太高，扩展性差）仅作为一种密码服务运算设备，使得密码运算可以实现资源堆叠，可灵活扩展和分配资源。密码服务管理平台架构如上图所示，核心分为四大部分：一是各类密码资源，包括云密码机、签名验签服务器、时间戳服务器等，资源可以动态扩展类型和数量；第二部分是云平台，是整个密码服务管理平台软件的承载平台，提供承载密码资源的代理服务（虚拟服务）；第三部分是密码服务管理平台管理，包括密码设备管理、密码服务管理、密钥管理、应用管理、角色管理、认证授权、系统监控与展示等，是密码服务管理平台的管理核心；第四部分是密码服务对外服务接口，为各类应用提供所需的各种密码服务。云密码服务概述数据加解密服务为保证云上业务系统中应用数据存储和传输的安全性，需对存储和传输的数据进行加密保护，云密码机为云上业务系统提供基于国产密码算法的数据加密服务，支持包括通用应用数据、应用配置信息、用户敏感数据等内容的加解密功能，可通过接口调用的方式获取数据加密服务，也可以通过配置管理界面添加相关信息的方式实现敏感数据的加密保护功能。云密码机主要支持一下密码服务功能：支持基于国密SM1、SM4算法的加解密服务；支持应用信息加密功能，支持数据库连接串加密，主要包括数据库连接串的新增、删除，数据库连接串加密密钥配置等功能；支持敏感信息加密，主要包括裸格式、xml、ini文件格式的数据加密，支持加密保护密钥和完整性保护密钥的配置；支持隐私信息加密功能，支持手机号、身份证号、银行卡号等隐私数据加密，支持文件加密、口令加密和敏感数据加密等功能；支持应用管理功能，主要包括应用的新增、删除、停用、启用，应用配置可配置认证方式，无认证或访问密钥形式认证；支持应用授权功能，将指定密钥授权给指定应用。云密码机可应用于数据进行机密性、完整性保护的应用场景。满足《GB/T39786-2021信息安全技术信息系统密码应用基本要求》中应用和数据部分数据传输和存储的机密性、完整性保护。基于以上密码服务功能的实现，云上业务系统需对接的服务接口主要包括数据加解密接口、MAC计算接口、MAC验证接口、批量数据加解密接口、文件加解密接口、非对称密码算法加解密接口、摘要计算接口、HMAC计算接口、对称密钥生成接口、密钥导入、导出接口等接口的对接。安全传输通道服务云平台提供的安全传输通道服务采用基于国密算法的SSL协议对HTTP协议进行加密(即HTTPS)，以确保在整个数据传输过程中的信息安全性。安全传输通道服务支持以下密码服务内容：支持网关服务管理，主要包括网关服务新增、配置、删除等功能；支持多种服务类型，主要包括http、https、TCPtoTCP+SSL、TCPtoTCP、UDP、UDP+DTLS等；支持单向认证、双向认证等SSL类型；支持多种SSL协议，如SSLv3、TLSv1、TLSv1.1、TLSv1.2；支持多种SSL算法，如SM4-SM3、SM2-SM4-SM3、ECC-SM4-SM3、ECDHE-SM4-SM3、AES128-SHA256、AES256-SHA256等国密及国际算法；支持负载均衡，负载策略包括简单轮询、IP哈希、轮询、最小连接、最小响应等；支持网关服务器组配置，包括网关服务器组新增、编辑、查看、组中添加服务器等配置功能，支持网关服务器组中的服务器的启用和停用功能；支持网关服务证书管理，网关服务支持RSA证书和SM2算法证书，支持证书的新增、查看、修改、停用等功能；支持可信证书链的添加，支持CSR请求、证书导入和下载的功能；支持对输出流量、新建连接数、并发连接数等进行监控。该服务可应用于网络层通信实体的身份鉴别场景、网络层传输数据的机密性和完整性保护的应用场景。满足《GB/T39786-2021信息安全技术信息系统密码应用基本要求》中网络和通信部分通信实体的身份鉴别、网络层通信数据的机密性和完整性保护、网络边界访问控制信息完整性保护的要求。为了实现基本要求的要求内容，需在业务应用系统中部署SSL网关服务，并进行相关的配置，主要包括配置网关服务类型、配置单双向SSL认证类型、配置SSL协议版本、配置SSL支持算法、配置负载均衡策略、配置服务器组、导入服务器证书等，配置完成之后即可实现服务端网络和通信部分的基本要求。签名验签服务密码服务管理平台提供的签名验签服务采用国密SM2算法为业务系统提供签名、验签、数字信封的编制和解封、公钥加密、私钥解密等密码服务；为适应多种应用场景下的签名方式，签名密码服务支持多种签名验签方式，如PKCS#1签名/验证、PKCS#7Attach和Dettach方式的签名/验证；通知支持多种数格式的签名和验证，如提供对二进制、字符串、HASH值等内容的签名验证；支持该服务下的证书管理功能，包括根证书管理和用户证书管理，其中根证书管理功能主要包括根证书导入、查看、下载、删除等功能；用户证书管理主要包括生成证书请求、证书导入、PFX密钥导入、证书删除、证书启用/停用等功能，实现基于数字证书的身份鉴别的功能，保证访问用户身份的真实性和可靠性。密码服务为业务应用提供统一的接口进行对接，在签名密码服务实例中，支持调用该服务的应用管理，主要包括应用的新增、删除、启用、停用等功能，支持应用访问密钥管理，支持应用密钥授权等功能，从而实现访问密码服务的应用为授权合法的应用，避免非法应用调用密码服务资源；支持该服务下的密钥管理功能，主要包括密钥随机生成、非对称密钥对的生成、密钥合成方式生成、密钥删除、密钥启用、密钥停用、设置密钥授权码等功能，密钥作为密码技术的核心，其生成、使用、存储都是在安全合规的密码机中完成，能够保证密钥在生成、使用和存储过程中的安全性，从而提升整个应用系统的安全。该服务可应用于基于国产密码技术的身份鉴别、数据完整性、来源真实性、不可否认性保护等应用场景。满足《GB/T39786-2021信息安全技术信息系统密码应用基本要求》中应用和数据部分用户登录应用系统的身份鉴别、数据传输和存储完整性保护、数据及重要可执行程序来源真实性保护、数据原发行为和接收行为不可否认性保护等要求内容。基于以上密码服务功能的实现，业务应用系统需对接的服务接口主要包括编制裸签名接口、验证裸签名接口、编制P7格式签名接口、验证P7格式签名接口、公钥加密接口、私钥解密接口、密钥对生成接口、证书有效性验证接口等接口。数字证书签发服务由电子政务外网服务区密码资源池中部署的数字证书认证系统提供数字证书签发服务，支持签发国密SM2算法证书，支持对数字证书的全生命周期管理，提供证书的更新、延期、冻结、解冻、撤销、恢复、下载制证等操作，发起的操作均需在注册审核系统中进行审核。协同签名服务密码服务管理平台提供的协同签名服务，结合移动智能终端作为身份认证载体，以密码技术为核心，通过融合数字证书、生物识别、设备指纹、安全加固等多因素、多维度安全技术，为用户提供移动终端环境下的可信身份认证服务。在不增加额外设备的前提下，让用户轻松实现“一刷一扫”，即刻完成安全登录。协同签名服务主要支持以下功能：基于协同的方式生成密钥对，用户私钥采用密钥分割的方式安全的保存在移动终端和服务端的硬件密码设备中；支持基于协同计算的方式实现基于私钥的运算，主要包括协同签名、协同解密，支持国密SM2算法；该服务可应用于应用层身份鉴别的应用场景。满足GB/T39786-2021《信息安全技术信息系统密码应用基本要求》中云上业务系统用户身份鉴别的要求。为了实现基本要求的要求内容，需给云上业务系统提供协同签名服务，和客户端联动实现基于私钥的签名和解密的运算，该部分主要针对移动终端的接口对接，主要包括协同生成SM2密钥对接口、导出SM2公钥接口、协同加解密密钥对导入接口、SM2协同签名计算接口、SM2验签接口、SM2加密接口、SM2协同解密接口、摘要计算接口、请求生成证书接口、更新证书接口等服务接口的对接。电子签章服务电子签章服务可以为云上业务系统提供底层密钥管理、密码运算、证书管理、签章模板管理及签章接口服务。通过规范的系统管理能力，帮助用户在使用过程中规避业务风险，简化交互过程，在满足规范、法律法规要求的前提下，提供多维度、多功能、灵活的应用方法，为终端用户带来更高的用户体验。电子签章密码服务支持以下功能：提供基于国密算法的可信身份认证、可靠电子签名、可信证据服务等服务；支持多种文件格式的签章服务，主要包括PDF、OFD等格式的签章功能；支持电子印章管理，电子签章模板管理等功能；支持该服务下的根证书管理功能，包括根证书导入、查看、下载、删除等功能；支持该服务下的应用的管理，主要包括应用的新增、删除、启用、停用等功能；支持应用访问密钥管理，如访问密钥的生成、下载、删除、启用、停用；支持应用密钥授权等功能，应用的认证方式和是否授权可根据需求进行选择；支持签章证书管理，主要包括生成签章证书请求、签章证书导入、密钥导入、签章证书删除、签章证书启用/停用、设置私钥授权码等功能。该服务可应用于原发证据和接收证据的不可否认性、电子证据固化、电子保单、电子合同固化、知识产权保护、电子招投标等应用场景。满足GB/T39786-2021《信息安全技术信息系统密码应用基本要求》中应用和数据部分数据原发证据和数据接收证据，数据原发行为和接收行为不可否认性保护等要求内容。基于以上密码服务功能的实现，云上业务系统需对接的服务接口主要包括生成电子印章接口、验证电子印章接口、加盖电子签章接口、验证电子签章接口等接口。时间戳服务密码服务管理平台提供的时间戳服务采用国密数字签名技术对产生的数据进行时间戳的加盖，签名的对象包括了原始文件信息、签名参数、签名时间等信息。时间戳服务用来产生和管理时间戳，以证明原始文件在签名时间之前已经存在。可信时间戳是一个电子凭证，用于证明电子数据文件自申请可信时间戳后内容保持完整、未被更改，并将起到电子档案和档案数字化副本内容防篡改、保障档案的法律凭证的作用。根据《电子签名法》有关数据电文原件形式的要求，申请了可信时间戳认证的电子文件、电子档案或纸质档案的数字化副本等可视为法规规定的原件形式。时间戳服务支持的主要功能如下：提供时间戳生成、时间戳验证、时间戳证书解析、时间戳算法配置、时间戳证书配置等服务；支持时间戳根证书管理，主要包括根证书的导入、下载、查看、删除等功能；支持该服务下的应用管理，主要包括应用的新增、删除、启用、停用等功能，支持对应用信息进行编辑，支持对应用访问密钥进行管理，支持应用密钥授权等功能；支持时间戳证书管理，主要包括生成证书请求、证书导入、证书删除、证书启用/停用等功能。该服务可应用于基于时效性不可否认性的应用场景。满足《GB/T39786-2021信息安全技术信息系统密码应用基本要求》中应用和数据部分数据原发证据和数据接收证据，数据原发行为和接收行为不可否认性保护等要求内容。基于以上密码服务功能的实现，业务应用系统需对接的服务接口主要包括时间戳生成接口、时间戳验证接口、获取时间戳信息接口等接口对接。物理和环境安全云上业务系统部署于xxx政务云平台所在的机房，由于机房未建设符合密码相关国家标准、行业标准有关要求的电子门禁系统、视频监控系统保证其物理和环境的安全，因此在该机房部署符合GM/T0036-2014标准要求的电子门禁系统对进出机房人员进行身份鉴别，对电子门禁系统进出记录数据进行存储完整性保护；部署符合国密要求的视频监控系统，并对视频监控系统进出记录数据进行存储完整性保护。网络和通信安全网络和通信安全层面，要求采用密码技术，实现对通信实体的身份鉴别、访问控制信息的完整性保护和数据传输的机密性与完整性保护，在客户端与服务之间建立一条安全的数据传输通道。通过在数据接入区部署安全认证网关，采用SM2\SM3\SM4算法实现物理区域网络的安全连接。保证办公人员，运维、管理人员等可以通过安全通道访问云上业务系统。通过采用密码技术建立VPN安全隧道，从网络层面实现了通信实体的身份鉴别、访问控制信息的完整性保护和数据传输的机密性与完整性保护。密码保护对象如表5-2所示，网络和通信需采用密码保护的对象是业务系统与外部通信实体之间的网络通道，包括通信实体在通信过程身份的真实性、通信数据的机密性和完整性、以及网络边界访问控制信息的完整性。表5-2云上业务系统网络与通信保护对象表序号网络类型通道通道名称1互联网业务通道互联网PC端和云上业务系统之间的通信信道2业务通道互联网移动APP端和云上业务系统之间的通信信道3运维通道互联网运维PC端与云上业务系统之间的通信信道4电子政务外网业务通道电子政务外网PC端和云上业务系统之间的通信信道5运维通道电子政务外网运维PC端与云上业务系统之间的通信信道采用的密码措施（1）身份鉴别、机密性、完整性保护：①互联网/电子政务外网PC端、运维PC端到云上业务系统之间，给互联网/电子政务外网PC端、运维PC端配置安全认证客户端，通过在数据接入区部署的安全认证网关，建立国密通信信道，安全认证网关的数字证书由电子政务外网服务区密码资源池中部署的数字证书认证系统颁发，证书算法为SM2算法，通信过程中通过SM2\SM3\SM4算法实现通信实体真实性鉴别、通信数据传输的完整性和机密性保护。②互联网办公人员移动APP端到云上业务系统之间，通过在数据接入区部署的安全认证网关、协同签名系统，并给互联网移动APP端配备终端密码模块建立国密安全通道，采用电子政务外网服务区密码资源池中部署的数字证书认证系统颁发的SM2算法证书，对服务端通信实体进行真实性鉴别，采用国密算法保证通信数据的传输完整性和机密性保护。③互联网公众用户移动APP端访问业务通道时，采用国际TLS1.2协议建立通道，采用合规的证书机构为服务端实体颁发RSA2048证书实现实体的身份鉴别，在通信过程中采用安全的算法如AES算法、HMAC-SHA256算法保证通信数据的传输机密性、完整性作为缓解措施。（2）访问控制信息完整性保护：①对于互联网及电子政务外网系统管理员访问通道、运维人员访问通道、办公人员访问通道，网络边界部署具备商用密码产品认证证书的安全认证网关，通过合规设备本身实现网络边界访问控制完整性安全防护。②对于互联网公众用户移动APP端访问通道，网络边界设备为防火墙，设备由安全厂家提供，因超出本系统建设范围，故不纳入本次建设范围，边界访问控制信息完整性，为不符合。（3）安全接入认证：根据GB/T39786-2021《信息安全技术信息系统密码应用基本要求》对等级保护第三级信息系统的密码应用技术要求，安全接入认证项应用要求为“可”，同时接入系统的设备无安全接入认证需求，在本次密码应用建设及测评时，可作不适用项处理。设备和计算安全密码保护对象设备和计算安全保护的对象是承载云上业务系统的虚拟应用服务器、虚拟数据库服务器、数据库、堡垒机等设备和计算环境的安全，保障访问计算设备的身份鉴别、远程管理通道安全、系统资源访问控制信息完整性、日志记录完整性、重要可执行程序完整性、重要可执行程序来源真实性。采用的密码措施在数据接入区部署安全认证网关，云上业务系统运维人员通过安全认证网关，对云上业务系统的安装程序、升级包和日志信息等进行运维管理。（1）身份鉴别：①云上业务系统运维人员使用智能密码钥匙登录数据接入区部署的安全认证网关，使用电子政务外网服务区密码资源池中部署的数字证书认证系统颁发的国密证书，采用SM2公钥密码算法的数字签名方式对登录人员进行身份鉴别。②运维人员登录安全认证网关后，采用用户名+口令的方式登录云上业务系统虚拟服务器、数据库进行运维，基于服务器和数据库的建设难度较大，采用合规的方式对安全认证网关登录的运维人员进行身份鉴别作为风险缓解措施。③密码产品（安全认证网关、密码服务管理平台、云密码机、签名验签服务器、电子签章系统、协同签名系统、时间戳服务器、数字证书认证系统等），均具备《商用密码产品认证证书》。密码操作员管理密码产品时，采用电子政务外网服务区密码资源池中部署的数字证书认证系统生成的SM2数字证书使用USBKey登录密码产品，使用SM2公钥密码算法的数字签名技术实现身份鉴别。（2）远程管理通道安全：①通过在数据接入区部署的安全认证网关，采用国密证书和国密协议算法建立合规的远程集中管理通道，缓解通过堡垒机进行远程管理的通道安全。②运维人员在对云上业务系统的虚拟应用服务器、虚拟数据库服务器进行远程运维管理时，由于服务器、数据库服务器、数据库本身在市面上大多为成熟的设备，且目前尚未发布例如基于国密的SSH协议标准，远程管理应用服务器、数据库服务器、数据库的连接通道目前难以改造，因此通过在数据接入区部署的安全认证网关，采用国密证书和国密协议算法建立合规的远程集中管理通道，缓解服务器、数据库的远程管理通道安全。③密码产品（安全认证网关、密码服务管理平台、云密码机、签名验签服务器、电子签章系统、协同签名系统、时间戳服务器、数字证书认证系统等），均具备《商用密码产品认证证书》。在进行密码产品远程运维时，使用电子政务外网服务区密码资源池中部署的数字证书认证系统为密码产品签发的SM2数字证书站点证书，管理端采用安全认证客户端建立国密SSL协议加密传输通道，通过国产密码算法套件保障传输的机密性和完整性。（3）系统资源的访问控制信息完整性：①堡垒机、服务器、数据库目前产品成熟，遵循权限分离原则，只分配给管理员完成操作所需的最小权限，通过严格的管理措施降低安全风险，在本次密码应用建设中不进行建设。②密码产品（安全认证网关、密码服务管理平台、云密码机、签名验签服务器、电子签章系统、协同签名系统、时间戳服务器、数字证书认证系统等），均具备《商用密码产品认证证书》，其系统资源访问控制信息完整性由密码产品自身保障。（4）重要信息资源安全标记完整性：设备不涉及重要信息资源安全标记，无需采用密码措施进行保护。（5）日志记录完整性：①堡垒机、服务器、数据库目前产品成熟，日志记录完整性由自身的审计功能实现，在本次密码应用建设中不进行建设。②密码产品（安全认证网关、密码服务管理平台、云密码机、签名验签服务器、电子签章系统、协同签名系统、时间戳服务器、数字证书认证系统等），均具备《商用密码产品认证证书》，其日志记录完整性由密码产品自身保障。（6）重要可执行程序进行完整性和来源真实性：①堡垒机、服务器、数据库目前产品成熟，执行程序从其官方进行获取并经过管理部门严格审批方能上线应用，一定程度上降低了本项安全风险，在本次密码应用建设中不进行建设。②密码产品（安全认证网关、密码服务管理平台、云密码机、签名验签服务器、电子签章系统、协同签名系统、时间戳服务器、数字证书认证系统等），均具备《商用密码产品认证证书》，其重要可执行程序完整性由密码产品自身保障,程序来源真实性从官方进行获取。应用和数据安全云上业务系统通过对接密码资源，对重要业务数据进行加密和签名，可实现信息在传输和存储过程中的机密性和完整性保护。密码保护对象应用和数据安全层面密码保护的对象为云上业务系统，通过密码技术保障登录用户身份鉴别、系统资源访问控制信息完整性、信息系统重要数据在存储和传输过程中的完整性，机密性，重要数据的抗抵赖保护。采用的密码措施（1）身份鉴别：①由于公众用户移动APP端面向广大用户，用户数量巨大，建设难度大，所以在公众用户登录APP时增加手机短信验证码功能，为移动APP端公众用户提供校验作为缓解，防止非授权人员登录。②在云平台数据接入区部署符合密码相关国家、行业标准要求的安全认证网关、协同签名系统，并给云上业务系统办公人员移动APP端，互联网/电子政务外网云上业务系统管理用户、办公人员PC端配备终端密码模块，并内置电子政务服务区密码资源池中部署的数字证书认证系统颁发的SM2国密证书，采用SM2算法的数字签名技术，实现对云上业务系统互联网移动APP端，互联网/电子政务外网云上业务系统管理用户、办公人员PC端的安全身份鉴别，防止非授权人员登录。（2）访问权限控制信息完整性：在电子政务外网服务区建立密码资源池，在密码资源池中部署密码服务管理平台、签名验签服务器，通过密码服务管理平台中