- 解決方案
- 首頁(yè) > 解決方案
政務(wù)云平臺(tái)密碼資源池建設(shè)方案
-
隨著《中華人民共和國(guó)網(wǎng)絡(luò)安全法》、《中華人民共和國(guó)密碼法》、《網(wǎng)絡(luò)安全等級(jí)保護(hù)條例》、《國(guó)家政務(wù)信息化項(xiàng)目建設(shè)管理辦法》、GB/T 39786-2021《信息安全技術(shù) 信息系統(tǒng)密碼應(yīng)用基本要求》等政策法規(guī)的陸續(xù)頒布,密碼技術(shù)作為網(wǎng)絡(luò)與信息安全保障中的核心技術(shù)和基礎(chǔ)支撐,對(duì)保護(hù)云平臺(tái)及云上系統(tǒng)的安全性特別是在身份認(rèn)證、信息加密、抗抵賴等方面發(fā)揮著至關(guān)重要的作用。
為了保障云平臺(tái)及云上系統(tǒng)的穩(wěn)定運(yùn)行,凱特信安結(jié)合自身20多年的密碼領(lǐng)域的深厚技術(shù)積淀和豐富的實(shí)踐背景,特此設(shè)計(jì)“政務(wù)云平臺(tái)密碼資源池建設(shè)方案”,為政務(wù)云平臺(tái)提供了完善的密碼防護(hù)能力,為云上業(yè)務(wù)系統(tǒng)提供彈性可擴(kuò)展、合規(guī)的密碼應(yīng)用服務(wù),并為通過(guò)密碼應(yīng)用安全性評(píng)估奠定基礎(chǔ)。
-
伴隨著云計(jì)算和大數(shù)據(jù)技術(shù)的蓬勃發(fā)展,越來(lái)越多黨政機(jī)關(guān)將業(yè)務(wù)和數(shù)據(jù)遷移到云平臺(tái)上。然而,隨著政務(wù)云服務(wù)的快速普及和應(yīng)用,云上信息系統(tǒng)的安全及密碼應(yīng)用環(huán)節(jié)比較薄弱,存在普遍性安全隱患,隨時(shí)面臨著身份假冒、重要數(shù)據(jù)篡改、敏感信息泄露等惡意攻擊的安全風(fēng)險(xiǎn)。
1、云平臺(tái)密碼建設(shè)需求:密碼資源池建設(shè)需求;與云管平臺(tái)融合,密碼服務(wù)云化;云平臺(tái)管理、運(yùn)維的安全;密鑰安全管理等。 2、應(yīng)用系統(tǒng)密碼應(yīng)用需求:用戶身份認(rèn)證問(wèn)題、重要數(shù)據(jù)傳輸/存儲(chǔ)安全問(wèn)題、電子文檔安全、政務(wù)辦公、對(duì)外服務(wù)等場(chǎng)景應(yīng)用安全問(wèn)題。
3、密碼測(cè)評(píng)需求:符合國(guó)密相關(guān)政策規(guī)范要求;使用國(guó)密認(rèn)可的密碼技術(shù)、產(chǎn)品和服務(wù);對(duì)于等保三級(jí)及以上系統(tǒng),同步規(guī)劃、同步建設(shè)、同步運(yùn)行密碼保障系統(tǒng),應(yīng)每年委托測(cè)評(píng)機(jī)構(gòu)進(jìn)行密評(píng)。
-
依據(jù)GB/T 39786-2021《信息安全技術(shù) 信息系統(tǒng)密碼應(yīng)用基本要求》進(jìn)行安全合規(guī)分析:
(1)物理和環(huán)境安全:建設(shè)完備的物理門禁和視頻監(jiān)控系統(tǒng),保障進(jìn)出記錄和視頻監(jiān)控記錄的完整性保護(hù),防止被非授權(quán)篡改。
(2)網(wǎng)絡(luò)和通信安全:通過(guò)SSL VPN 安全網(wǎng)關(guān)為用戶遠(yuǎn)程管理接入使用,建立安全的集中管理通道。
(3)設(shè)備和計(jì)算安全:通過(guò)SSL VPN 安全網(wǎng)關(guān)對(duì)主機(jī)及設(shè)備進(jìn)行遠(yuǎn)程管理維護(hù);通過(guò)簽名驗(yàn)簽服務(wù)器對(duì)應(yīng)用服務(wù)器、數(shù)據(jù)庫(kù)服務(wù)器等設(shè)備日志進(jìn)行完整性保護(hù)。
(4)應(yīng)用和數(shù)據(jù)安全:利用智能密碼鑰匙、移動(dòng)終端智能密碼模塊等作為用戶登錄應(yīng)用的憑證;利用安全認(rèn)證網(wǎng)關(guān)和安全瀏覽器,實(shí)現(xiàn)通信安全;利用服務(wù)器密碼機(jī)、簽名驗(yàn)簽服務(wù)器等對(duì)重要數(shù)據(jù)進(jìn)行加密、計(jì)算摘要或簽名后存儲(chǔ),實(shí)現(xiàn)機(jī)密性和完整性保護(hù);利用簽名驗(yàn)簽服務(wù)器、智能密碼鑰匙(數(shù)字證書)、電子簽章系統(tǒng)等實(shí)現(xiàn)行為不可否認(rèn)等。
-
密碼資源池采用資源服務(wù)模式面向云租戶和云管理中心提供密碼服務(wù)。所有密碼資源及密碼設(shè)備納入安全服務(wù)中間件進(jìn)行集中管控和調(diào)度,統(tǒng)一為云上應(yīng)用系統(tǒng)提供密碼服務(wù),實(shí)現(xiàn)密碼應(yīng)用服務(wù)的統(tǒng)一管理。密碼應(yīng)用技術(shù)框架如下圖所示:
1、密碼設(shè)施部署:密碼資源池由具備商用密碼產(chǎn)品認(rèn)證證書的密碼設(shè)備提
供密碼服務(wù),應(yīng)用的密碼應(yīng)用安全由接入單位負(fù)責(zé)的管理模式。安全服務(wù)中間件支持無(wú)縫對(duì)接不同廠商的密碼設(shè)備;支持新密碼設(shè)備平滑接入密碼資源池中,支持密碼資源的靈活彈性擴(kuò)容。
2、密碼服務(wù)模式:實(shí)現(xiàn)三個(gè)統(tǒng)一,即密碼設(shè)備的統(tǒng)一管理、密碼接口的統(tǒng)一管理、面向業(yè)務(wù)應(yīng)用的密碼統(tǒng)一服務(wù),降低密碼設(shè)備的整體運(yùn)維工作量,降低應(yīng)用系統(tǒng)對(duì)接密碼技術(shù)的難度,促進(jìn)云平臺(tái)中的業(yè)務(wù)系統(tǒng)與密碼服務(wù)集成整合的正確性和方便性。
3、云上系統(tǒng)的密碼應(yīng)用:針對(duì)云上系統(tǒng)的用戶身份鑒別、重要數(shù)據(jù)傳輸、重要數(shù)據(jù)存儲(chǔ)、行為不可否認(rèn)、日志記錄等安全要求,通過(guò)安全服務(wù)中間件為云上各系統(tǒng)提供統(tǒng)一密碼服務(wù)。
云上用戶包括政務(wù)辦公用戶和公眾用戶,政府辦公用戶客戶端分為PC 端和移動(dòng)端。政府辦公用戶在 PC 端登錄時(shí)通過(guò)智能密碼鑰匙USB Key+數(shù)字證書的方式,進(jìn)行身份真實(shí)性驗(yàn)證。移動(dòng)端登錄時(shí),通過(guò) E手簽+移動(dòng)終端智能密碼模塊的方式,進(jìn)行移動(dòng)端身份鑒別及數(shù)據(jù)的加密傳輸。
-
在政務(wù)云平臺(tái)規(guī)劃“密碼服務(wù)區(qū)”,通過(guò)部署安全認(rèn)證網(wǎng)關(guān)、簽名驗(yàn)簽服務(wù)器、時(shí)間戳服務(wù)器、服務(wù)器密碼機(jī)、電子簽章服務(wù)器等密碼設(shè)備為云上各應(yīng)用系統(tǒng)提供密碼服務(wù)。同時(shí)為用戶配置電子簽章系統(tǒng),用來(lái)實(shí)現(xiàn)對(duì)電子公文、電子批文、電子證照的簽章。為用戶配置安全瀏覽器,用來(lái)實(shí)現(xiàn)安全數(shù)據(jù)傳輸。
-
福建省證照數(shù)據(jù)電文(電子證照)共享服務(wù)系統(tǒng)密碼應(yīng)用試點(diǎn)項(xiàng)目
福建省金保工程二期密碼改造試點(diǎn)項(xiàng)目
福建省漁船動(dòng)態(tài)監(jiān)控管理系統(tǒng)密碼應(yīng)用項(xiàng)目
XX市無(wú)紙化辦公平臺(tái)密碼應(yīng)用項(xiàng)目
XX市居民健康檔案信息系統(tǒng)密碼應(yīng)用項(xiàng)目
XX市云平臺(tái)密碼應(yīng)用項(xiàng)目
……