一、基本信息

1、项目简介

为贯彻落实《密码法》对信息系统密码应用的要求，满足政务云平台信息系统密码应用的需求，曙光云计算集团有限公司对政务云平台按照GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》（以下简称《基本要求》）中的第三级密码应用基本要求进行改造（云平台网络安全等级保护定级为三级）。

通过对政务云平台的现状和信息系统密码应用的需求进行分析，天津市曙光政务云平台密码应用方案依据GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》，从物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全等4个层面，以及密钥管理、安全管理等方面对政务云平台进行技术方案、安全管理方案和实施保障方案设计和密评改造，实现了政务云平台在用户身份信息鉴别、重要数据机密性和完整性、操作行为抗抵赖等方面的密码防护。天津市曙光政务云平台已顺利通过商用密码应用安全性评估，并在天津市国家密码管理局完成了备案工作。

2、方案背景、目的意义

大数据、云计算、物联网、人工智能等新兴技术的大规模兴起，以及以“新基建”为代表的新领域蓬勃发展，我国政务应用上云进入了快速成长阶段，众多政务系统开始把他们的系统部署从内部环境迁移到政务云平台上。政务云平台的使用大大降低了政务系统对于计算资源、存储资源、运维压力等的需求，使用起来也更加方便，同时可以轻松实现不同政务系统之间的信息交互及共享，极大的提高了政务系统的便捷性。同时对于政务云平台来说，政务云平台的安全成为了重中之重。政务云平台自身如果出现了安全问题，对于政务云平台的使用单位来说是非常致命的。因此政务云平台的安全是云上政务系统平台的重要组成部分，也是核心技术难点。

为满足政务云平台信息系统密码应用需求，曙光云计算集团有限公司对政务云平台按照GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》中的第三级密码应用要求重点从物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全等层面进行改造，改造后的政务云平台通过了商用密码应用安全性评估，同时为将来政务云平台上的租户业务系统通过密评提供可信基础环境。

3、解决的难点、堵点问题

政务云平台具有相对较高的权限，因此易遭受网络攻击，存在用户假冒、数据篡改、信息泄露等安全风险，其主要面临以下问题：

1)身份信息易引发盗用问题。政务云平台的管理人员拥有相对较高的权限，一旦身份被盗用，将可以得到更多的政务云平台信息。

2)业务系统易诱发攻击问题。因社会热点舆论、重要活动带来的网站业务流量突发峰值，使虚拟计算资源处理能力下降；攻击者对面对暴露在互联网的业务系统进行DDOS（Distributed Denial of Service以下简称“DDOS”）攻击，造成用户业务不可使用；服务器集群内磁盘故障影响云平台数据完整性和可用性。

3)业务信息易遭遇泄漏问题。应用系统下线后内存、磁盘等存储资源未清空，被其他应用重用时出现信息泄漏；外部用户通过黑客入侵、SQL（Structured Query Language以下简称“SQL”）注入攻击或者数据库权限管理不完善的漏洞获取业务系统数据；为实现系统快速部署和保存系统数据，会采用虚拟化技术保存系统快照。但系统快照会保存主机上生产的数据，快照如被窃取，将导致主机存储的数据保密性被破坏。

4)应用系统主机易产生被入侵问题。攻击者对暴露在互联网的系统进行入侵，对系统进行口令暴力破解，利用漏洞入侵网络后上传网站后门，利用扫描、手工渗透等方式发现网站存在的漏洞，管理员误操作或安全意识薄弱等，导致云端系统开放不必要的远程管理端口或其他服务端口，云主机被攻击者入侵并控制，组件僵尸网络，对云平台其他机器或平台外其他机器或平台外开展入侵、DDOS攻击、或者发送垃圾邮件、打广告、或开展挖矿等非法牟利行为，导致云资源被滥用。

二、实施情况

1、方案架构

密码应用总体架构主要包括密码基础支撑产品、密码服务、密码应用及安全管理体系，政务云平台采用北京数字认证股份有限公司（简称“数字认证”）自主研发的密码产品，主要包括：服务器密码机、签名验签服务器、IPSec/SSL VPN安全网关等硬件设备以及智能密码钥匙在内的终端模块。同时，云平台采用基于数字认证密码产品提供相应的密码服务，包括：数字证书服务、身份鉴别服务、签名验签服务、数据加解密服务等。政务云平台实现了密钥从生成、分发、导入导出、归档、备份、恢复和销毁的全生命周期的安全管理，保障在业务应用中使用密钥的合规性、安全性和正确性。

2、实施路线、应用场景

依据政务云平台的密码应用现状，在政务外网区和互联网区分别建设密码基础设施，主要依赖基础密码设备和密码云平台为政务云平台提供密码服务，为政务云平台用户提供证书认证、数字签名、远程接入控制、加密传输、数据机密性防护、数据完整性防护、数据生成不可抵赖、密钥管理等密码应用服务。

建设的密码资源包括服务器密码机、IPSec/SSL VPN安全网关、签名验签服务器等密码硬件设备，以及基于数字证书的身份认证授权管理、加密传输存储服务等，这些密码基础设施通过定制化和标准化两类密码服务接口，为政务云平台自身提供密码应用支撑服务。

在物理和环境安全方面，曙光政务云平台机房部署符合了GM/T 0036-2014《采用非接触卡的门禁系统密码应用指南》的国密安全电子门禁系统，使用SM4算法进行密钥分散，实现门禁卡的“一卡一密”，并基于SM4算法对人员身份进行鉴别，采用HMAC-SM3技术保证电子门禁记录数据的完整性；同时，机房部署了符合GM/T 0028-2014《密码模块安全技术要求》的国密安全音视频系统，使用HMAC-SM3技术对视频记录数据进行完整性保护。

在网络和通信安全方面，互联网端用户和政务外网用户在与政务云平台建立连接时，以及管理员在进行远程运维时均使用IPSec/SSL VPN安全网关建立安全的通信信道。身份鉴别时使用基于数字证书的鉴别方式，使用合规的密码技术保证通信实体身份真实性；通信时使用HMAC-SM3算法保证通信数据完整性，使用SM4算法保证通信数据机密性；IPSec/SSL VPN安全网关具有《商用密码产品认证证书》，网络边界访问控制信息的完整性由设备自身实现。

在设备和计算安全方面，为运维管理人员配发GM/T 0027-2014《智能密码钥匙技术规范》的智能密码钥匙，并通过CA机构将SM2数字证书签发到智能密码钥匙中，运维用户登录堡垒机时，堡垒机调用签名验签服务器对SM2数字证书的签名进行验签，实现对登录的用户进行身份鉴别。针对远程管理通道安全要求，利用IPSec/SSL VPN安全网关和VPN客户端连接曙光云平台，通过堡垒机建立远程运维管理通道，使用SSH 2.0密码协议实现对各类设备的集中运维管理，实现统一安全运维。服务器与数据类产品的访问控制完整性保护通过调用签名验签服务器，采用SM2技术实现。针对日志记录完整性的要求，日志服务器通过调用服务器密码机对采集的设备日志数据采用HMAC-SM3算法实现完整性保护，通过计算消息鉴别码，将设备日志数据与消息鉴别码一同存储在数据库中，实现系统中设备日志数据的完整性保护。通过调用服务器密码机采用HMAC-SM3算法对重要可执行程序完整性、采用SM2数字签名技术对重要可执行程序来源真实性进行保护。

在应用和数据安全方面，针对身份信息鉴别指标，在政务云平台管理网内部署符合GM/T 0029-2014《签名验签服务器技术规范》的签名验签服务器，业务用户统一配发符合GM/T 0027-2014《智能密码钥匙技术规范》的智能密码钥匙，并通过具有电子认证服务许可资质的CA机构（数字认证）将SM2数字证书签发到智能密码钥匙中，业务用户终端配置国密浏览器，应用系统调用签名验签服务器进行验签，实现政务云平台用户身份信息鉴别服务，防止非授权人员登录。

针对重要数据存储机密性与完整性保护要求，通过在政务云平台管理网内部部署服务器密码机，服务器密码机在政务云平台内与业务数据服务器相连。利用服务器密码机基于SM4对称密钥算法对重要数据、隐私信息、镜像数据、敏感字段信息等进行加密保护，从而保证重要数据存储的机密性，采用HMAC-SM3算法对数据进行国密运算，通过校验，保障重要数据存储的完整性。

针对重要数据传输机密性和完整性保护需求，政务云平台的应用系统和客户端之前利用签名验签服务器和智能密码钥匙基于SM2的密钥交换技术，计算获取由双方共同决定的加密密钥和完整性密钥，使用加密密钥和完整性密钥使用SM4算法对重要数据进行机密性保护和使用HMAC-SM3技术实现完整性保护。

针对访问控制信息完整性保护要求，通过采用服务器密码机提供的HMAC-SM3算法能力对用户访问权限控制信息进行完整性保护，防止应用资源被非授权用户篡改。

3、技术先进性及创新点

1)提供基于云环境的密码应用服务支撑

采用标准国密算法、国密协议，遵循国家颁布的政策法规及密码行业标准，为政务云平台以及未来对云租户、云应用等云上业务提供符合GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》等相关规范的密码应用保障。

从租户业务系统商用密码应用安全评估的角度考虑，为通过具备资质的密码服务测评机构的评估奠定基础，从而降低业务系统密码应用安全性评估的复杂度、时间周期和成本。

2)形成覆盖多维度、多场景的密码能力

从系统安全与风险防范的角度出发，能够为业务系统提供密码应用安全性评估所要求的物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全、密钥管理安全措施，规避各种基础设施类、网络安全类和系统安全类风险。天津市曙光政务云平台形成了完备的密码服务供给体系，覆盖从密码算法、密码技术、密码服务、密码协议到政务密码应用流程的各个环节，为业务应用系统提供全面、安全、灵活、可控的密码服务。支持为业务应用提供泛在化、多元化、安全的密码服务，能够保证网络、设备、应用和数据的机密性、完整性、真实性和可用性。

3)为云上业务系统提供弹性密码运算服务

天津市曙光政务云平台全面应用符合GB/T37092二级安全要求的密码产品，支持密钥全生命周期管理，高度统一的合规密钥、算法基础能力。

立足于政务云平台从业务需求和业务特点出发，基于现有密码资源构建集约化密码服务，针对不同的业务系统对密码资源应用情况不同，能够按需提供弹性密码运算服务，为云上业务系统提供相应的密码运算资源，可根据业务系统密码应用情况动态分配密码资源，采用密码技术、虚拟化技术构建密码服务体系。开展密码应用服务的对接，提供高强度的身份认证、保障相关业务数据的真实性、完整性、机密性以及不可否认性，确保系统密码应用满足商用密码应用安全评估要求，保障业务信息和系统服务的安全性、合法性、合规性。

三、实施效果

1、经济效益和社会效益、已经取得的商业应用成果

业务应用安全上云场景要求对应用所在云平台进行商用密码安全性评估。建设密码合规场景，要求具备基本国密能力，同时通过商用密码安全性评估。充分利旧现网已有的密码防护设备，同时支撑云平台数据安全，防止重复建设。保证了政务系统业务上云的数据安全，保障云平台数据安全保护能力上的行业领先性和竞争力。

2、方案在行业推广的价值、复制条件、推广范围

商用密码产业发展是商用密码服务国家安全战略的内在需求，是实现商用密码自主创新成果转化运用的必由之路。建议以重大工程、重大专项等为牵引，搭建商用密码协同创新大平台，统筹利用政、产、学、研、用等各类资源，促进政府、企业、高校、科研院所、商用密码产品生产商等不同社会分工部门围绕密码学术研究、商用密码产品研发、商用密码应用推进等内容突破原有的界限壁垒，实现人才、知识、技术、资本等各类创新要素的优势互补和深度耦合，统筹推动商用密码基础理论研究、标准化推进、产业链融合、检测认证同步实施，促进商用密码产业多样化、全覆盖发展，打造商用密码发展新业态。以不断适应网络信息技术万物互联、智能化的趋势。

四、项目总结

为充分发挥商用密码技术的核心支撑作用，贯彻落实网络安全保护工作，有力保障我国关键信息基础设施安全，通过项目的建设经验，可选择密码应用基础牢固、产业链条成熟、聚集效应明显的地区建设商用密码应用示范基地和平台，围绕密码应用技术研发、应用示范、产融合作、人才培养等关键环节，探索产业发展创新路径，促进产业聚集发展，发挥先行先试和示范带动作用。

联系人：翟宝金

联系方式：13116138032