行業解決方案
民政雲密碼應用解決方案
背景
随着《中(zhōng)華人民共和國密碼法》、《商(shāng)用密碼管理條例》及相關國家法律、法規與技術标準的發布與推行,應用安全、合規的商(shāng)用密碼技術和産品來保護政務類信息系統的用戶身份鑒别、數據傳輸和存儲安全性及數據完整性勢在必行。
雖然國内商(shāng)用密碼發展已取得很大(dà)成績,但整體(tǐ)仍處于初期發展階段,仍然存在商(shāng)用密碼管理體(tǐ)制尚不健全、标準體(tǐ)系不完善、安全可控基礎薄弱、産業鏈支撐不足、密碼人才匮乏等問題。
安全風險
網絡和通信安全
如未使用密碼技術鑒别用戶身份,未使用安全合規的密鑰管理系統來管理密鑰,未使用獲得商(shāng)用密碼産品認證證書(shū)的密碼産品。
設備和計算安全
如未使用密碼技術鑒别用戶身份,未使用密碼技術保護訪問控制信息的完整性,未采用密碼技術保證日志(zhì)記錄的完整性,未使用獲得商(shāng)用密碼産品認證證書(shū)的密碼産品。
應用和數據安全
如未使用密碼技術保護訪問控制信息完整性,未使用密碼技術保護重要數據在存儲過程中(zhōng)的機密性和完整性,未使用獲得商(shāng)用密碼産品認證證書(shū)的密碼産品。
建設目标
統一(yī)密碼服務
基于雲密碼資(zī)源池構建彈性可擴展的密碼服務,可按照用戶不同的功能、性能需求爲其分(fēn)配相應類型和性能的密碼服務能力,爲政務雲的各項應用提供密鑰全生(shēng)命周期管理和服務。
提升資(zī)源利用率
采用虛拟化技術,将加密設備虛拟化爲加密服務資(zī)源,按需提供服務,有效地提升了資(zī)源利用率。
提升政務信息化安全水平
全面保障政務應用安全遷移上雲,爲政府決策、管理和服務提供密碼安全技術保障,爲政務一(yī)體(tǐ)化辦公應用提供密碼應用基礎支撐,助力建設安全的政府治理體(tǐ)系。
解決方案
設計原則
自主可控,穩定可靠;統一(yī)規劃,按需服務;新老兼容,互聯互通;分(fēn)步實施,滾動發展。
總體(tǐ)架構
建立密碼應用标準規範,結合客戶的密碼應用基本要求重新進行安全設計,分(fēn)層建設密碼資(zī)源池、密碼業務支撐系統和密碼服務管理平台,提供統一(yī)規範的接口給上層應用調用,并采用多種安全手段來保障用戶端安全性。總體(tǐ)架構圖如下(xià)所示:
建立密碼應用标準規範
引用行業技術标準規範,結合客戶的密碼應用需求,爲客戶及下(xià)級單位密碼應用提供規範和指導。
重新進行安全設計
對網絡和通信安全性、設備和計算安全性以及應用和數據安全性重新設計,對未采用密碼技術保護的風險環節增加密碼技術保護,對使用非國産密碼技術保護的不合規項改造爲使用國産密碼技術保護。
物(wù)理和環境安全由雲服務提供商(shāng)保障。
建立密碼資(zī)源池
應用服務器端密碼機,建立密鑰管理系統、簽名驗簽系統、協同簽名系統等,提供統一(yī)規範的密碼應用接口,并采用國密安全網關保障傳輸安全性。
建立密碼業務支撐系統
建立數字證書(shū)認證系統、電(diàn)子簽章系統、時間戳服務器等,保障數據完整性、機密性和不可否認性。
建立密碼服務管理平台
密碼服務管理平台通過軟硬結合的方式,爲用戶提供集中(zhōng)的密碼設備資(zī)源管理、密碼服務管理、應用秘鑰管理功能,爲業務系統提供統一(yī)的密碼服務功能。
密碼服務平台功能分(fēn)爲服務功能、管理功能和監控功能三大(dà)類。
服務功能包括通用密碼運算接口、通道加解密、安全認證類接口、密鑰管理接口、訪問控制、擴展集成服務和服務擴展。
管理功能包括人員(yuán)管理、租戶管理、設備管理、服務管理、應用管理、配置管理、密鑰管理、分(fēn)級管理、監控管理、事件管理。
監控功能包括密碼設備狀态監控、服務運行狀态監控、應用監控、租戶監控、故障告警。
保障用戶端安全
采用智能密碼鑰匙完成數據加解密、數據完整性校驗、數字簽名、訪問控制等功能,采用國密VPN和國密安全浏覽器保障傳輸安全性。
随着《中(zhōng)華人民共和國密碼法》、《商(shāng)用密碼管理條例》及相關國家法律、法規與技術标準的發布與推行,應用安全、合規的商(shāng)用密碼技術和産品來保護政務類信息系統的用戶身份鑒别、數據傳輸和存儲安全性及數據完整性勢在必行。
雖然國内商(shāng)用密碼發展已取得很大(dà)成績,但整體(tǐ)仍處于初期發展階段,仍然存在商(shāng)用密碼管理體(tǐ)制尚不健全、标準體(tǐ)系不完善、安全可控基礎薄弱、産業鏈支撐不足、密碼人才匮乏等問題。
安全風險
網絡和通信安全
如未使用密碼技術鑒别用戶身份,未使用安全合規的密鑰管理系統來管理密鑰,未使用獲得商(shāng)用密碼産品認證證書(shū)的密碼産品。
設備和計算安全
如未使用密碼技術鑒别用戶身份,未使用密碼技術保護訪問控制信息的完整性,未采用密碼技術保證日志(zhì)記錄的完整性,未使用獲得商(shāng)用密碼産品認證證書(shū)的密碼産品。
應用和數據安全
如未使用密碼技術保護訪問控制信息完整性,未使用密碼技術保護重要數據在存儲過程中(zhōng)的機密性和完整性,未使用獲得商(shāng)用密碼産品認證證書(shū)的密碼産品。
建設目标
統一(yī)密碼服務
基于雲密碼資(zī)源池構建彈性可擴展的密碼服務,可按照用戶不同的功能、性能需求爲其分(fēn)配相應類型和性能的密碼服務能力,爲政務雲的各項應用提供密鑰全生(shēng)命周期管理和服務。
提升資(zī)源利用率
采用虛拟化技術,将加密設備虛拟化爲加密服務資(zī)源,按需提供服務,有效地提升了資(zī)源利用率。
提升政務信息化安全水平
全面保障政務應用安全遷移上雲,爲政府決策、管理和服務提供密碼安全技術保障,爲政務一(yī)體(tǐ)化辦公應用提供密碼應用基礎支撐,助力建設安全的政府治理體(tǐ)系。
解決方案
設計原則
自主可控,穩定可靠;統一(yī)規劃,按需服務;新老兼容,互聯互通;分(fēn)步實施,滾動發展。
總體(tǐ)架構
建立密碼應用标準規範,結合客戶的密碼應用基本要求重新進行安全設計,分(fēn)層建設密碼資(zī)源池、密碼業務支撐系統和密碼服務管理平台,提供統一(yī)規範的接口給上層應用調用,并采用多種安全手段來保障用戶端安全性。總體(tǐ)架構圖如下(xià)所示:
建立密碼應用标準規範
引用行業技術标準規範,結合客戶的密碼應用需求,爲客戶及下(xià)級單位密碼應用提供規範和指導。
重新進行安全設計
對網絡和通信安全性、設備和計算安全性以及應用和數據安全性重新設計,對未采用密碼技術保護的風險環節增加密碼技術保護,對使用非國産密碼技術保護的不合規項改造爲使用國産密碼技術保護。
物(wù)理和環境安全由雲服務提供商(shāng)保障。
建立密碼資(zī)源池
應用服務器端密碼機,建立密鑰管理系統、簽名驗簽系統、協同簽名系統等,提供統一(yī)規範的密碼應用接口,并采用國密安全網關保障傳輸安全性。
建立密碼業務支撐系統
建立數字證書(shū)認證系統、電(diàn)子簽章系統、時間戳服務器等,保障數據完整性、機密性和不可否認性。
建立密碼服務管理平台
密碼服務管理平台通過軟硬結合的方式,爲用戶提供集中(zhōng)的密碼設備資(zī)源管理、密碼服務管理、應用秘鑰管理功能,爲業務系統提供統一(yī)的密碼服務功能。
密碼服務平台功能分(fēn)爲服務功能、管理功能和監控功能三大(dà)類。
服務功能包括通用密碼運算接口、通道加解密、安全認證類接口、密鑰管理接口、訪問控制、擴展集成服務和服務擴展。
管理功能包括人員(yuán)管理、租戶管理、設備管理、服務管理、應用管理、配置管理、密鑰管理、分(fēn)級管理、監控管理、事件管理。
監控功能包括密碼設備狀态監控、服務運行狀态監控、應用監控、租戶監控、故障告警。
保障用戶端安全
采用智能密碼鑰匙完成數據加解密、數據完整性校驗、數字簽名、訪問控制等功能,采用國密VPN和國密安全浏覽器保障傳輸安全性。
