《政务领域政务云密码应用与安全性评估实施指南.docx》由会员分享,可在线阅读,更多相关《政务领域政务云密码应用与安全性评估实施指南.docx(33页珍藏版)》请在课桌文档上搜索。
1、前言I1场景概述11.1 场景相关政策要求11.2 典型场景介绍11.2.1 场景代表性11.2.2 政务云平台场景介绍21.3 技术标准和指导性文件32密码应用需求42.1 风险分析和安全需求42.1.1 物理和环境安全42.1.2 网络和通信安全52.1.3 设备和计算安全62.1.4 应用和数据安全62.1.5 安全管理82.1.6 主要保护对象82.2 场景对密码应用的特殊要求113密码应用实施指南113.1 典型场景业务的密码应用设计113.1.1 物理和环境安全123.1.2 网络和通信安全123.1.3 设备和计算安全133.1.4 应用和数据安全133.1.5 密钥管理安全14
2、3.1.6 安全管理163.2 密码产品/服务选择和部署163.3 与GBZT39786对照情况说明183.4 注意事项204密码应用安全性评估实施指南214.1 主要测评指标的选择和确定214.2 主要测评内容234.2.1 现场测评方法234.2.2 测评实施24为贯彻落实中华人民共和国密码法商用密码管理条例等法律法规,促进政务领域政务云场景中商用密码的合规、正确、有效应用,依据国家密码政策要求和标准规范,制定本指南。本指南可用于指导各级政务云平台(泛指承载政务信息系统运行的云平台)建设单位、运营单位以及商用密码应用安全性评估机构规范开展商用密码应用和安全性评估工作,也可供集成单位参考。木
3、指南主要依据GB/T39786-2021信息安全技术信息系统密码应用基本要求等密码应用与安全性评估标准规范编制。本指南中任何与当前或后续发布的密码国家标准和行业标准不一致之处,以相关密码国家标准和行业标准为准。必要时本指南将根据最新的管理要求与相关技术标准进行更新。本指南分为四章。第一章主要梳理政务云平台典型应用场景;第二章主要对政务云平台相关风险、密码应用需求、保护对象进行梳理;第三章主要对政务云平台进行密码应用设计;第四章主要对政务云平台密码应用安全性评估工作进行梳理。本指南针对网络安全等级保护第三级信息系统密码应用要求进行设计,三级以下及四级信息系统可根据GB39786结合系统实际进行相
4、应调整。相关密码应用措施和技术路线不限于固定方式,政务云平台建设单位和运营单位可根据自身已有密码应用基础,结合实际进行密码应用改造,以满足相关密码管理要求。本指南主要针对云平台管理应用自身密码应用,在满足政务云平台自身密码应用的同时,政务云平台还应根据云上应用需求提供满足密码应用要求的物理环境(门禁、监控)、安全运维方式、公共传输通道(如IPSecVPN)等云上应用难以解决的必要的公共基础设施密码支撑能力。本指南主要起草单位:国家信息中心、中电科网络安全科技股份有限公司、格尔软件股份有限公司、长春吉大正元信息技术股份有限公司、中国科学院信息工程研究所、国家信息技术安全研究中心、智巡密码(上海)
5、检测技术有限公司、中国信息通信研究院、西安得安信息技术有限公司、北京信安世纪科技股份有限公司、同智伟业软件股份有限公司、国家密码管理局商用密码检测中心、四川省大数据中心、海南省大数据管理局、福建省密码管理局、安徽省大数据中心。本标准主要起草人:魏连、王笑强、杨绍亮、杜小建、李元龙、南旭东、郭宏杰、郭亓元、王姮力、秦小龙、王小勇、李丹、阎亚龙、马原、魏东宾、牟杰、朱典、徐辉、陈天宇、吴冬宇、刘军荣、李佳曦、王珂、朱立通、王永起、李政坪、宋晓勇、王泉景。1场景概述1.1 场景相关政策要求商用密码应用安全性评估管理办法(国家密码管理局令第3号)要求,重要网络与信息系统建设阶段,其运营者应当按照通过商
6、用密码应用安全性评估的商用密码应用方案组织实施,落实商用密码安全防护措施,建设商用密码保障系统。重要网络与信息系统运行前,其运营者应当自行或者委托商用密码检测机构开展商用密码应用安全性评估。网络与信息系统未通过商用密码应用安全性评估的,运营者应当进行改造,改造期间不得投入运行。重要网络与信息系统建成运行后,其运营者应当自行或者委托商用密码检测机构每年至少开展一次商用密码应用安全性评估,确保商用密码保障系统正确有效运行。未通过商用密码应用安全性评估的,运营者应当进行改造,并在改造期间采取必要措施保证网络与信息系统运行安全。国家政务信息化项目建设管理办法(国办发(2019)57号)要求,政务信息化
7、项目建设单位,应同步规划、同步建设、同步运行密码保障系统并定期进行评估。项目备案文件应当包括项目名称、建设单位、审批部门、绩效目标及绩效指标、投资额度、运行维护经费、经费渠道、信息资源目录、信息共享开放、应用系统、等级保护或者分级保护备案情况、密码应用方案和密码应用安全性评估报告等内容,其中改建、扩建项目还需提交前期项目第三方后评价报告。国家政务信息化项目建成后半年内,项目建设单位应当按照国家有关规定申请审批部门组织验收,提交验收申请报告时应当一并附上项目建设总结、财务报告、审计报告、安全风险评估报告、密码应用安全性评估报告等材料。对于不符合密码应用和网络安全要求,或者存在重大安全隐患的政务信
8、息系统,不安排运行维护经费,项目建设单位不得新建、改建、扩建政务信息系统。各部门应当严格遵守有关保密等法律法规规定,构建全方位、多层次、一致性的防护体系,按要求采用密码技术,并定期开展密码应用安全性评估,确保政务信息系统运行安全和政务信息资源共享交换的数据安全。请进一步加强国家政务信息系统密码应用与安全性评估的工作的函(国密局(2020)119号)要求,各项目建设单位按照办法密码应用与安全性评估的有关要求,同步规划、同步建设、同步运行密码保障系统并定期进行密码应用安全性评估,保障密码应用与安全性评估经费,配备密码保障系统管理和运维人员。1.2 典型场景介绍1.2.1 场景代表性随着信息技术的发
9、展,云计算已经被广泛应用。为降低系统成本,打通数据融合,越来越多的政府及事业单位的系统选择部署在云上。云计算技术融合了软硬件资源,采用了虚拟化技术,主机边界和网络边界相对于传统数据中心来讲变得非常模糊,风险不但来自南北流量,还来自东西流量,部署在云平台上的系统,其安全风险也随之增加。政务信息系统上云是国家统筹推进政务数据共享和应用的重要举措,国家政务信息化项目建设管理办法(国办发(2019)57号)要求项目建设单位应当充分依托云服务资源开展集约化建设。国务院关于加强数字政府建设的指导意见(国发(2022)14号)要求,强化政务云平台支撑能力,国务院各部门政务云纳入全国一体化政务云平台体系统筹管
10、理;各地区按照省级统筹原则开展政务云建设,集约提供政务云服务。截至2022年10月,全国31个省(自治区、直辖市)和新疆生产建设兵团云基础设施基本建成,超过70%的地级市建设了政务云平台,政务信息系统逐步迁移上云,初步形成集约化建设格局。云计算应用后,业务应用呈现资源虚拟化、数据集中化、应用服务化的特点,促使安全防护理念发生深刻改变,对云上密码服务模式、密码应用场景及密码服务能力提出了前所未有的高要求。1.2.2 政务云平台场景介绍典型政务云平台系统整体架构图如图1所示。)和户管等II支务箧中低一以务HatIIniaa然IIhB.务11中间件磬-1t+幺一I畀一务I图1典型政务云平台系统整体架
11、构图(1)物理资源层。物理资源层包括政务云平台运行所需要的基础支撑物理环境,包括计算资源和存储资源等。(2)资源抽象控制层。资源抽象控制层通过虚拟化技术,负责对底层硬件资源进行抽象,对底层硬件故障进行屏蔽,统一调度计算、存储、网络、安全资源池,并提供资源的统一部署和监控。(3)云服务层。服务层提供完整的laaS(InfrastructureasaSerViCe,基础设施即服务)、PaaS(PIatformaSaSerVice,平台即服务)和SaaS(SoftwareasaService,软件即服务)三层云服务,政务云平台的主要业务在云服务层面运行。政务云平台典型场景业务流程如表1所示。表1政务
12、云典型场景业务流程梳理序号业务名称业务流程描述云平台管理云平台管理员登录云平台管理应用,完成对云平台的管理。2云上应用管理租户登录政务云平台管理应用,进行云上应用的部署和管理工作。3虚拟机迁移、快照恢复云平台中虚拟机进行迁移的过程;虚拟机镜像文件、快照文件生成、存储、传输和使用的过程。13技术标准和指导性文件本文件参考的技术标准和指导性文件如下:GB/T20518-2018信息安全技术公钥基础设施数字证书格式规范GB/T25056-2018信息安全技术证书认证系统密码及其相关安全技术规范GB/T32905-2016GB/T32907-2016GB/T33560-2017GB/T35276-20
13、17GB/T35291-2017GB/T36322-2018GB/T36968-2018GB/T37033-2018GB/T37092-2018GB/T38540-2020GB/T38556-2020GB/T38629-2020信息安全技术信息安全技术信息安全技术信息安全技术信息安全技术信息安全技术信息安全技术信息安全技术信息安全技术信息安全技术信息安全技术信息安全技术SM3密码杂凑算法SM4分组密码算法密码应用标识规范SM2密码算法使用规范智能密码钥匙应用接口规范密码设备应用接口规范IPSecVPN技术规范射频识别系统密码应用技术要求密码模块安全要求安全电子签章密码技术规范动态口令密码应用技
14、术规范签名验签服务器技术规范GB/T38636-2020信息安全技术传输层密码协议(T1.CP)GB/T39786-2021信息安全技术信息系统密码应用基本要求GM/T0018-2012密码设备应用接口规范GM/T0024-2014SS1.VPN技术规范GM/T0025-2014SS1.VPN网关产品规范GM/T0026-2014安全认证网关产品规范GM/T0027-2014智能密码钥匙技术规范GM/T0030-2014服务器密码机技术规范GM/T0036-2014采用非接触卡的门禁系统密码应用技术指南GM/T0050-2016密码设备管理设备管理技术规范GM/T0051-2016密码设备管理
15、对称密钥管理技术规范GM/T0104-2021云服务器密码机技术规范GM/T0115-2021信息系统密码应用测评要求GM/T0116-2021信息系统密码应用测评过程指南GM/Y5001-2019密码标准应用指南GM/Y5002-2018云计算身份鉴别服务密码标准体系GM/Z4001-2013密码术语GW0013-2017政务云安全要求GW0202-2014国家电子政务外网安全接入平台技术规范GW0206-2014接入政务外网的局域网安全技术规范信息系统密码应用高风险判定指引商用密码应用安全性评估量化评估规则商用密码安全性评估FAQ2密码应用需求2.1 风险分析和安全需求2.1.1 物理和环
16、境安全(一)风险分析(1)存在非法人员进入政务云平台所在物理机房等重要物理环境,对软硬件设备和数据进行直接破坏的风险;(2)存在政务云平台所在物理机房等重要物理环境电子门禁进出记录,视频监控音像记录等遭到篡改,非法人员进出情况被掩盖的风险。(二)密码应用需求(1)部署符合GM/T0036等标准的电子门禁系统,采用基于对称密码算法或密码杂凑算法的消息鉴别码(MAC)机制、基于公钥密码算法的数字签名机制等密码技术,对进入政务云平台所在物理机房等重要物理区域人员进行身份鉴别。(2)采用基于对称密码算法或密码杂凑算法的消息鉴别码(MAC)机制、基于公钥密码算法的数字签名机制等密码技术,对政务云平台所在
17、物理区域的视频监控音像记录数据及电子门禁系统进出记录等数据进行存储完整性保护。如果政务云部署涉及多个物理机房,所有物理机房均应进行保护。2.1.2网络和通信安全(一)风险分析(1)互联网与政务外网、浏览器与服务端、VPN客户端与VPN网关、政务云平台与灾备中心、各政务云之间等各类相关通信信道。在各网络通信信道传输过程中存在通信实体身份被仿冒,非法接入政务云平台的风险。(2)数据在各网络通信信道传输过程中存在被篡改的风险。(3)重要数据在各网络通信信道传输过程中存在被非授权截取的风险。(4)网络边界的VPN中的访问控制列表、防火墙的访问控制列表、边界路由的访问控制列表等进行网络边界访问控制的信息
18、存在被篡改,非法通信实体接入网络的风险。(5)非法设备从外部网络接入云平台内部网络,或网络边界被破坏的风险。(二)密码应用需求(1)采用基于对称密码算法或密码杂凑算法的消息鉴别码(MAe)机制、基于公钥密码算法的数字签名机制等密码技术对政务云平台与互联网、浏览器与服务端、VPN客户端与VPN网关、政务云平台与灾备中心、各政务云之间等通信信道中的通信实体进行身份鉴别/双向身份鉴别,保证通信实体身份的真实性。(2)采用基于对称密码算法或密码杂凑算法的消息鉴别码(MAC)机制、基于公钥密码算法的数字签名机制等密码技术,对通信过程中敏感信息或通信报文进行完整性保护。(3)采用密码技术的加解密功能对通信
19、过程中敏感信息或通信报文进行机密性保护。(4)采用基于对称密码算法或密码杂凑算法的消息鉴别码(MAC)机制、基于公钥密码算法的数字签名机制等密码技术,对政务云平台网络边界的VPN中的访问控制列表、防火墙的访问控制列表、边界路由的访问控制列表等网络边界访问控制信息进行完整性保护。(5)采用基于对称密码算法或密码杂凑算法的消息鉴别码(MAC)机制、基于公钥密码算法的数字签名机制等密码技术,对从外部连接到内部网络的设备进行接入认证。“安全接入认证”指标在GB/T39786中针对网络安全等级保护第三级信息系统要求为“可”,建设单位和使用单位可结合实际情况自行决定是否纳入标准符合性测评范围。2.1.3设
20、备和计算安全(一)风险分析(1)政务云平台上的通用设备、网络及安全设备、密码设备、各类虚拟设备、数据库管理系统等,存在被非法人员登录的风险。(2)远程管理政务云平台中各类物理及虚拟设备时,存在搭建的远程管理通道被非法使用,或传输的管理数据被非授权获取和篡改的风险。(3)设备操作系统的系统权限访问控制信息、系统文件目录的访问控制信息、数据库中的数据访问控制信息、堡垒机等第三方运维系统中的权限访问控制信息等被篡改,导致设备资源被登录设备的其他用户获取的风险。(4)通用设备、网络及安全设备、密码设备、各类虚拟设备等设备中的重要信息资源安全标记存在被篡改的风险。(5)通用设备、网络及安全设备、密码设备
21、、各类虚拟设备等设备中的日志记录存在被篡改,以掩盖设备被非法操作的风险。(6)通用设备、网络及安全设备、密码设备、各类虚拟设备等设备中的重要可执行程序,存在被篡改或来源不可信的风险。(二)密码应用需求(1)采用动态口令机制、基于对称密码算法或密码杂凑算法的消息鉴别码(MAC)机制、基于公钥密码算法的数字签名机制等密码技术对设备运维管理人员等登录设备的用户进行身份鉴别,保证登录设备用户的身份真实性。(2)采用密码技术建立安全的信息传输通道,实现对远程管理人员的身份鉴别,以及传输数据的机密性和完整性保护。(3)采用基于对称密码算法或密码杂凑算法的消息鉴别码(MAC)机制、基于公钥密码算法的数字签名
22、机制等密码技术对设备操作系统的系统权限访问控制信息、系统文件目录的访问控制信息、数据库中的数据访问控制信息、堡垒机等第三方运维系统中的权限访问控制信息等进行完整性保护。(4)采用基于对称密码算法或密码杂凑算法的消息鉴别码(MAC)机制、基于公钥密码算法的数字签名机制等密码技术对通用设备、网络及安全设备、密码设备、各类虚拟设备等设备中的重要信息资源安全标记进行完整性保护(根据密码应用方案决定是否纳入)。(5)采用基于对称密码算法或密码杂凑算法的消息鉴别码(MAC)机制、基于公钥密码算法的数字签名机制等密码技术对通用设备、网络及安全设备、密码设备、各类虚拟设备等设备中的日志记录进行完整性保护。(6
23、)采用基于对称密码算法或密码杂凑算法的消息鉴别码(MAC)机制、基于公钥密码算法的数字签名机制等对通用设备、网络及安全设备、密码设备、各类虚拟设备等设备中的重要可执行程序进行完整性保护以及其来源的真实性保护。2.1.4应用和数据安全(一)风险分析(1)政务云平台管理应用存在被非法人员登录的风险。(2)政务云平台的权限、标签等能够决定系统应用访问控制的措施等信息存在被篡改,导致应用资源被登录的其他用户获取的风险。(3)政务云平台中重要信息资源安全标记存在被篡改的风险。(4)政务云平台中传输或存储的重要数据(如身份鉴别信息、镜像文件和快照文件中的敏感信息、云资源管理敏感信息等重要业务数据、重要审计
24、数据、云平台管理员及租户的身份证号、手机号等个人敏感信息),存在被外部攻击者非法获取或篡改的风险;镜像文件、快照文件存在被篡改的风险。(5)虚拟机监控器(VMM)在虚拟机迁移过程中的指令等云管平台内部的重要指令存在被篡改或来源不可信的风险。(6)云平台管理员、云上租户的关键操作,存在否认其所做的操作的风险。(7)政务云平台管理应用的重要业务日志记录存在被篡改,导致非法操作被掩盖的风险。(二)密码应用需求(1)采用动态口令机制、基于对称密码算法或密码杂凑算法的消息鉴别码(MAC)机制、基于公钥密码算法的数字签名机制等密码技术对云平台管理员、云上租户登录政务云平台管理应用时进行身份鉴别。(2)采用
25、基于对称密码算法或密码杂凑算法的消息鉴别码(MAC)机制、基于公钥密码算法的数字签名机制等密码技术,对政务云平台的权限、标签等能够决定系统应用访问控制的措施等信息进行完整性保护。(3)采用基于对称密码算法或密码杂凑算法的消息鉴别码(MAC)机制、基于公钥密码算法的数字签名机制等密码技术对政务云平台管理应用的重要信息资源安全标记进行完整性保护(根据密码应用方案决定是否纳入)。(4)采用密码技术的加解密功能对政务云平台中的身份鉴别信息、镜像文件和快照文件中的敏感信息、云资源管理敏感信息等重要业务数据、重要审计数据、云平台管理员及租户的身份证号、手机号等个人敏感信息等重要数据在传输和存储过程中进行机
26、密性保护。(5)采用基于对称密码算法或密码杂凑算法的消息鉴别码(MAC)机制、基于公钥密码算法的数字签名机制等密码技术对政务云平台中的身份鉴别信息、镜像文件和快照文件中的敏感信息、云资源管理敏感信息等重要业务数据、重要审计数据、云平台管理员及租户的身份证号、手机号等个人敏感信息等重要数据在传输和存储过程中进行完整性保护,对镜像文件、快照文件等重要数据进行完整性保护。(6)采用基于公钥密码算法的数字签名机制等密码技术对云平台管理员、云租户的关键操作等数据原发行为和接收行为实现不可否认性。(7)采用基于对称密码算法或密码杂凑算法的消息鉴别码(MAC)机制、基于公钥密码算法的数字签名机制等密码技术,
27、对政务云平台管理应用的重要业务日志做完整性保护。(8)采用基于对称密码算法或密码杂凑算法的消息鉴别码(MAC)机制、基于公钥密码算法的数字签名机制等对虚拟机监控器(VMM)在虚拟机迁移过程中的指令等云管平台内部的重要指令进行完整性保护以及其来源的真实性保护。2.1.5 安全管理(一)风险分析政务云平台密钥管理规则、安全管理制度、管理流程不健全,执行不到位,职责不明确等,存在密码未进行合规、正确、有效使用的风险。(二)密码应用需求制定密码应用方案,并委托密评机构或组织专家对密码应用方案进行评估,评估通过后,建设密码保障系统,制定密码相关的管理制度;系统改造完成后,委托密评机构对系统进行密码应用安
28、全性评估。2.1.6 主要保护对象政务云平台主要保护对象如表2所示。表2主要保护对象序号相关业务保护对象保护对象描述安全需求D管理人员登录堡垒机、应用/数据库服务器等设备的口令。2)云平台管理员登录云平台管理真实性应用的口令。传输机密性云平台身份鉴别信息3)云上租户登录云平台管理应用的口令。存储机密性传输完整性道理/公上应用4)如果涉及动态口令、短信验证码存储完整性等身份鉴别方式,还应注意对相关不可否认性1管理/虚拟机迁一次性口令的传输机密性保护,防止中间人攻击。移、快照恢复D镜像文件和快照文件中的敏感真实性云平台管理应用中的重要数据信息、云资源管理敏感信息等重要业务数据。2)重要审计数据传输
29、机密性存储机密性传输完整性3)云平台管理员及租户的身份证存储完整性号、手机号等个人敏感信息。不可否认性云平台管理应用中的重要指令虚拟机监控器(VMM)在虚拟机迁移过程中的指令等云管平台内部的重要指令。 真实性 传输机密性 存储机密性 传输完整性 存储完整性 不可否认性镜像和快照文件1)镜像文件2)快照文件 真实性 传输机密性 存储机密性 传输完整性 存储完整性 不可否认性日志记录D通用设备、网络及安全设备、密码设备、各类虚拟设备等设备中的日志记录。2)云平台管理应用的重要业务日志。 真实性 传输机密性 存储机密性 传输完整性 存储完整性 不可否认性访问控制信息D网络边界的VPN中的访问控制列表
30、、防火墙的访问控制列表、边界路由的访问控制列表等进行网络边界访问控制的信息。2)物理和虚拟设备操作系统的系统权限访问控制信息、系统文件目录的访问控制信息、数据库中的数据访问控制信息、堡垒机等第三方运维系统中的权限访问控制信息等。3)应用系统的权限、标签等能够决定系统应用访问控制的措施等信息。 真实性 传输机密性 存储机密性 传输完整性 存储完整性 不可否认性重要信息资源安全标记D通用设备、网络及安全设备、密码设备、各类虚拟设备等设备中的重要信息资源安全标记。2)云平台管理应用的重要信息资源安全标记。真实性 传输机密性 存储机密性 传输完整性 存储完整性不可否认性重要可执行程序通用设备、网络及安
31、全设备、密码设备、各类虚拟设备等设备中的重要可执行程序。 真实性 传输机密性 存储机密性传输完整性存储完整性不可否认性视频监控音像记录政务云平台所在物理机房等重要物理区域的视频监控音像记录。 真实性 传输机密性 存储机密性 传输完整性存储完整性 不可否认性电子门禁系统进出记录政务云平台所在物理机房等重要物理区域的电子门禁系统的进出记录。 真实性 传输机密性 存储机密性 传输完整性(Z)存储完整性不可否认性进入重要物理区域的人员的身份鉴别进入政务云平台所在物理机房等重要物理区域人员的身份鉴别。真实性 传输机密性 存储机密性 传输完整性 存储完整性 不可否认性通信双方的身份鉴别D浏览器与云平台管理
32、应用通信信道的身份鉴别。2)VPN客户端与SS1.VPN通信信道的身份鉴别。3)政务云平台与灾备中心、各政务云之间通信信道的身份鉴别。真实性 传输机密性 存储机密性 传输完整性 存储完整性 不可否认性网络设备接入时的身份鉴别从外部连接到内部网络的设备接入认证时的身份鉴别。真实性 传输机密性 存储机密性 传输完整性 存储完整性不可否认性登录操作系统和数据库系统的用户身份鉴别管理人员登录通用设备、网络及安全设备、密码设备、各类虚拟设备等设备、数据库管理系统的身份鉴别。真实性 传输机密性 存储机密性 传输完整性 存储完整性 不可否认性重要可执行程序来源通用设备、网络及安全设备、密码设备、各类虚拟设备
33、等设备中的重要可执行程序。真实性 传输机密性 存储机密性 传输完整性 存储完整性 不可否认性应用系统用户的身份鉴别O云平台管理员身份鉴别2)云上租户身份鉴别真实性 传输机密性 存储机密性 传输完整性 存储完整性 不可否认性数据原发行为、数据接收行为云平台管理员和租户的关键操作。真实性 传输机密性 存储机密性 传输完整性 存储完整性(Z)不可否认性2.2场景对密码应用的特殊要求(1)政务云平台可能存在跨越不同的物理机房以及跨越不可控区域的情况,需保证密码设备调用的安全性。(2)政务云平台服务提供者应支持租户自行部署相关设备。3密码应用实施指南3.1 典型场景业务的密码应用设计政务云整体密码应用设
34、计框架如图2所示:图2政务云平台系统密码应用架构图3.1.1 物理和环境安全在政务云平台物理机房等重要物理区域部署符合GB/T37033标准、GM/T0036等标准的电子门禁系统,对进入物理区域人员身份进行鉴别。部署视频加密系统或使用符合相关国家、行业标准要求的服务器密码机或签名验签服务器,对视频监控系统视频记录进行完整性保护。电子门禁系统自身实现或使用符合相关国家、行业标准要求的服务器密码机或签名验签服务器,对电子门禁进出记录进行完整性保护。3.1.2 网络和通信安全在政务云平台的网络边界建议部署符合GM/T0024、GM/T0025标准的SS1.VPN网关,在客户端部署VPN客户端及符合G
35、M/T0027标准的智能密码钥匙或符合GBZT38556标准的动态令牌,通过VPN对客户端进行身份鉴别,实现政务云平台管理员和云上租户、运维人员的跨网接入认证、传输信道加密和完整性保护。在政务云平台管理应用服务端部署服务器证书,可在客户端部署国密浏览器,使用合规的SS1.协议,实现客户端对政务云平台管理应用的身份鉴别(或双向身份鉴别)、传输信道机密性和完整性保护。若采用基于商用密码的数字证书,密钥的安全性应由签名验签服务器、服务器密码机、网关、密码卡等合规的密码产品保证。在各政务云平台网络边界和灾备中心部署符合GB/T36968标准的IPSeCVPN,实现政务云平台与灾备中心、各政务云之间通信
36、信道的身份鉴别、传输加密和完整性保护。可在政务云平台中部署符合密码相关国家、行业标准要求的服务器密码机或签名验签服务器,对政务云平台网络边界的VPN中的访问控制列表、防火墙的访问控制列表、边界路由的访问控制列表等网络边界访问控制信息进行完整性保护。3.1.3 设备和计算安全目前应用服务器、数据库服务器、数据库管理系统等通用设备的身份鉴别采用密码技术实现难度较大,可部署符合GMZT0024、GM“0025标准的SS1.VPN或符合GM/T0026标准的安全认证网关或符合GB/T38556标准的动态令牌认证系统对接堡垒机,或部署通过商用密码检测认证的堡垒机,设备运维管理人员通过使用智能密码钥匙或动
37、态令牌实现登录堡垒机的身份鉴别,通过堡垒机统一运维管理设备。运维管理人员通过使用智能密码钥匙或动态令牌实现密码设备的本地运维管理。在堡垒机部署服务器证书,在运维终端部署国密浏览器或网关客户端,使用合规的SS1.协议,建立安全管理数据传输通道。在政务云平台中部署符合密码相关国家、行业标准要求的服务器密码机或签名验签服务器,对设备访问控制信息、日志记录、重要可执行程序(重要信息资源安全标记根据密码应用方案决定是否纳入)等进行完整性保护。通用设备、网络及安全设备、各类虚拟设备等设备中的重要可执行程序更新、升级,提供者进行数字签名以实现其来源的真实性保护。3.1.4 应用和数据安全在政务云平台管理应用
38、服务端部署安全认证网关或动态令牌认证系统,政务云平台管理员和云上租户通过使用智能密码钥匙或动态令牌实现政务云平台管理应用登录。在政务云平台管理应用服务端部署服务器密码机或签名验签服务器,对应用系统的访问控制信息、重要业务日志、重要数据(重要信息资源安全标记根据密码应用方案决定是否纳入)进行存储完整性保护。在政务云平台管理应用服务端部署密钥管理系统、服务器密码机、数据库加密系统、加密数据库系统、密码卡、密码模块等,对政务云平台管理应用的重要数据进行存储机密性保护。政务云平台管理应用管理员和云上租户通过PC端智能密码钥匙,应用服务端通过密码设备可对系统中的重要数据封装数字信封,实现重要数据传输过程
39、中的机密性、完整性保护。在虚拟机迁移等过程中,加入身份鉴别和防篡改机制,以保证虚拟机监控器(VMM)在虚拟机迁移过程中的指令等云管平台内部的重要指令的传输完整性及来源的真实性。政务云平台管理应用服务端部署符合GM“0033标准的时间戳服务器,智能密码钥匙等对政务云平台管理员和云上租户等关键行为进行数字签名,实现数据原发行为、数据接收行为的不可否认性。采用密码技术对镜像文件、快照文件在备份和恢复过程中进行完整性保护。3.1.5 密钥管理安全系统密钥管理由密钥管理系统完成,为政务云平台管理应用提供密钥的生成、分发、存储、备份、归档、恢复、更新、销毁等密钥的全生命周期的管理。密钥管理的设计遵循GM/
40、T0038、GM/T0050GMZT0051等标准。采用通过认证的随机数发生器在可控环境中生成密钥或密钥协商过程中的随机值,并在密钥协商之前及协商过程中验证对方身份的真实性。使用带有访问控制机制的存储介质传输明文密钥,或指定相关管理制度以保证密钥在分发过程中的安全性,若密钥在不可控环境中分发,需使用密码技术保护密钥的机密性和完整性。密钥在存储过程中,加密密钥的口令应以密文存储,除公钥外的密钥在不可控环境中需以密文形式存储,并保证密钥不被非授权的访问、使用、泄露、修改和替换。规范密钥的使用及管理,按照密钥用途正确使用密钥,防止出现因操作不当导致的密钥泄露问题。公钥在使用过程中需与实体间存在关联关
41、系,可使用经过完备的公钥验证机制的PKl技术进行关联,若存在多个实体使用密钥的场景,需要建立完备的密钥使用控制机制。需建立密钥已泄露或存在泄露风险时的密钥更新、销毁/撤销机制及密钥恢复使用时的鉴别机制。政务云平台管理应用包括对称和非对称两种密钥体系,密码产品内部工作流程涉及的密钥管理策略不做描述。(1)对称密钥体系政务云涉及到的主要对称密钥包括数据加密密钥及MAC密钥,对称密钥的全生命周期管理如表3所示。表3对称密钥列表序密钥号名称产生分发存储使用舒归档备份和恢复销毁1用输密钥应传加密码内?!对钥后非密密发经租加分使用完成后销毁不涉及存储码内密备用在设使及钥入出涉密导导不该的和及铜档涉密归不该
42、的不涉及密钥备份和恢复在密码设备内完成销毁2络输密钥网传加密标手协成照握议生按准协商及钥发涉密分不该的在设失储中储码易存质帝翦备性介码内密备用在设使及钥入出涉密导导不该的和不涉及该密钥的归档不涉及该密钥的备份和恢复接或断应连开备时毁在断设电销3据密储钥数加存密码内密备生在设产及钥发涉密分不该的码中密备储在设存码内密备用在设使不涉及该密钥的导入和导出不涉及该密钥的归档利用密码设备自身的密钥备份和恢复机制实现在密码设备内完成销毁MAC密钥在密码不涉及在密码在密码不涉及该密钥的导入和导出不涉及利用密码设备自身码内销密备成在设完毁4设备内该密钥设备中设备内该密钥的密钥备产生的分发存储的归档份和恢复机制
43、实现(2)非对称密钥体系政务云涉及到的非对称密钥包括:根CA签名密钥对、CA签名密钥对、用户签名密钥对、云平台管理员/云上租户加密密钥对、服务器签名密钥对及服务器加密密钥对,非对称密钥的全生命周期管理如表4所示。表4非对称密钥列表一序号密钥名称产生分发存储使用导人和导出归档备份和恢复销毁1云平台管理员/云上租户签名私钥能钥生智码内在密匙成不进行分发能钥存智码内在密匙储能钥使智码内在密匙用行和进入出不导导不涉及该密钥的归档及钥份复涉密备恢不该的和AH-立P智码内毁在密匙销2云平台管理员/云上租户签名公钥能钥生智码内在密匙成书分证式以形发以证书形式存储书使证式以形用书导导证式和以形入出书归证式以形
44、档书备复证式恢以形份CA撤行由进销3云平台管理员/云上租户加密私钥CA成由生由CA以离线方式进行分发在智能密码钥匙内存储能钥使智码内在密匙用名进密入签钥加导由密行后CA档由归由CA进行备份和恢复能钥部智码内毁在密匙销4云平台管理员/云上租户加密公钥由CA生成以证书形式分发书存证式以形储以证书形式使用以证书形式导入和导出书归证式以形档书备复证式恢以形份CA行撤5台应名平理签钥云管用私码内密备成在设生不进行分发码内密备储在设存码内密备用在设使不进行导入和导出及钥档涉密归不该的及钥份复涉密备恢不该的和在密码设备内部销毁6台应名平理签钥云管用公码内密备成在设生书分证式以形发以证书形式存储书使证式以形用书导导证式和以形入出书归证式以形档书备复证式恢以形份CAIaI由W销一7台应密平理加钥云管用私由CA生成由C以离线方式进行分发在密码设备内存储码内密备用在设使名进密入签钥加导由密行后由CA归档由CA进行备份和恢复码内毁密备销在设部8云平台管理应用加密公钥由CA生成以证书形式分发书存证式以形储书使证式以形用以证书形式导入和导出书归证式以形档以证书形式备份恢复由CA行撤注:以软件密码模块、协同签名等方式使用密钥的情况略。3.1.6 安全管理根据GB“39786中安全管理相关要求,结合部门已有制度,制定完善政务云平台相关安全管理制度、密钥管理规则及应急处置预案,根据制度执行,并定