隨著《中華人民共和國網(wǎng)絡安全法》、《中華人民共和國密碼法》、《網(wǎng)絡安全等級保護條例》、《國家政務信息化項目建設管理辦法》、GB/T 39786-2021《信息安全技術 信息系統(tǒng)密碼應用基本要求》等政策法規(guī)的陸續(xù)頒布，密碼技術作為網(wǎng)絡與信息安全保障中的核心技術和基礎支撐，對保護云平臺及云上系統(tǒng)的安全性特別是在身份認證、信息加密、抗抵賴等方面發(fā)揮著至關重要的作用。

為了保障云平臺及云上系統(tǒng)的穩(wěn)定運行，凱特信安結(jié)合自身20多年的密碼領域的深厚技術積淀和豐富的實踐背景，特此設計“政務云平臺密碼資源池建設方案”，為政務云平臺提供了完善的密碼防護能力，為云上業(yè)務系統(tǒng)提供彈性可擴展、合規(guī)的密碼應用服務，并為通過密碼應用安全性評估奠定基礎。

伴隨著云計算和大數(shù)據(jù)技術的蓬勃發(fā)展，越來越多黨政機關將業(yè)務和數(shù)據(jù)遷移到云平臺上。然而，隨著政務云服務的快速普及和應用，云上信息系統(tǒng)的安全及密碼應用環(huán)節(jié)比較薄弱，存在普遍性安全隱患，隨時面臨著身份假冒、重要數(shù)據(jù)篡改、敏感信息泄露等惡意攻擊的安全風險。

1、云平臺密碼建設需求：密碼資源池建設需求；與云管平臺融合，密碼服務云化；云平臺管理、運維的安全；密鑰安全管理等。    2、應用系統(tǒng)密碼應用需求：用戶身份認證問題、重要數(shù)據(jù)傳輸/存儲安全問題、電子文檔安全、政務辦公、對外服務等場景應用安全問題。

3、密碼測評需求：符合國密相關政策規(guī)范要求；使用國密認可的密碼技術、產(chǎn)品和服務；對于等保三級及以上系統(tǒng)，同步規(guī)劃、同步建設、同步運行密碼保障系統(tǒng)，應每年委托測評機構(gòu)進行密評。

依據(jù)GB/T 39786-2021《信息安全技術 信息系統(tǒng)密碼應用基本要求》進行安全合規(guī)分析：

（1）物理和環(huán)境安全：建設完備的物理門禁和視頻監(jiān)控系統(tǒng)，保障進出記錄和視頻監(jiān)控記錄的完整性保護，防止被非授權篡改。

（2）網(wǎng)絡和通信安全：通過SSL VPN 安全網(wǎng)關為用戶遠程管理接入使用，建立安全的集中管理通道。

（3）設備和計算安全：通過SSL VPN 安全網(wǎng)關對主機及設備進行遠程管理維護；通過簽名驗簽服務器對應用服務器、數(shù)據(jù)庫服務器等設備日志進行完整性保護。

（4）應用和數(shù)據(jù)安全：利用智能密碼鑰匙、移動終端智能密碼模塊等作為用戶登錄應用的憑證；利用安全認證網(wǎng)關和安全瀏覽器，實現(xiàn)通信安全；利用服務器密碼機、簽名驗簽服務器等對重要數(shù)據(jù)進行加密、計算摘要或簽名后存儲，實現(xiàn)機密性和完整性保護；利用簽名驗簽服務器、智能密碼鑰匙（數(shù)字證書）、電子簽章系統(tǒng)等實現(xiàn)行為不可否認等。

密碼資源池采用資源服務模式面向云租戶和云管理中心提供密碼服務。所有密碼資源及密碼設備納入安全服務中間件進行集中管控和調(diào)度，統(tǒng)一為云上應用系統(tǒng)提供密碼服務，實現(xiàn)密碼應用服務的統(tǒng)一管理。密碼應用技術框架如下圖所示：

1、密碼設施部署：密碼資源池由具備商用密碼產(chǎn)品認證證書的密碼設備提

供密碼服務，應用的密碼應用安全由接入單位負責的管理模式。安全服務中間件支持無縫對接不同廠商的密碼設備；支持新密碼設備平滑接入密碼資源池中，支持密碼資源的靈活彈性擴容。

2、密碼服務模式：實現(xiàn)三個統(tǒng)一，即密碼設備的統(tǒng)一管理、密碼接口的統(tǒng)一管理、面向業(yè)務應用的密碼統(tǒng)一服務，降低密碼設備的整體運維工作量，降低應用系統(tǒng)對接密碼技術的難度，促進云平臺中的業(yè)務系統(tǒng)與密碼服務集成整合的正確性和方便性。

3、云上系統(tǒng)的密碼應用：針對云上系統(tǒng)的用戶身份鑒別、重要數(shù)據(jù)傳輸、重要數(shù)據(jù)存儲、行為不可否認、日志記錄等安全要求，通過安全服務中間件為云上各系統(tǒng)提供統(tǒng)一密碼服務。

云上用戶包括政務辦公用戶和公眾用戶，政府辦公用戶客戶端分為PC 端和移動端。政府辦公用戶在 PC 端登錄時通過智能密碼鑰匙USB Key+數(shù)字證書的方式，進行身份真實性驗證。移動端登錄時，通過 E手簽+移動終端智能密碼模塊的方式，進行移動端身份鑒別及數(shù)據(jù)的加密傳輸。

在政務云平臺規(guī)劃“密碼服務區(qū)”，通過部署安全認證網(wǎng)關、簽名驗簽服務器、時間戳服務器、服務器密碼機、電子簽章服務器等密碼設備為云上各應用系統(tǒng)提供密碼服務。同時為用戶配置電子簽章系統(tǒng)，用來實現(xiàn)對電子公文、電子批文、電子證照的簽章。為用戶配置安全瀏覽器，用來實現(xiàn)安全數(shù)據(jù)傳輸。

福建省證照數(shù)據(jù)電文（電子證照）共享服務系統(tǒng)密碼應用試點項目

福建省金保工程二期密碼改造試點項目

福建省漁船動態(tài)監(jiān)控管理系統(tǒng)密碼應用項目

XX市無紙化辦公平臺密碼應用項目

XX市居民健康檔案信息系統(tǒng)密碼應用項目

XX市云平臺密碼應用項目

……