《政務(wù)云密碼應(yīng)用技術(shù)要求（征求意見稿）》編制說明

1《政務(wù)云密碼應(yīng)用技術(shù)要求》地方標(biāo)準(zhǔn)編制說明一、工作簡況（一）任務(wù)來源1.任務(wù)來源2023年7月10日，由江蘇省電子信息產(chǎn)品質(zhì)量究院（江蘇省信息安全測評中心）申請地方標(biāo)準(zhǔn)的立項，根據(jù)江蘇省市場監(jiān)督管理局下達(dá)的2023年度擬立項地方標(biāo)準(zhǔn)項目的公2.起草單位、協(xié)作單位起草單位：江蘇省電子信息產(chǎn)品質(zhì)量監(jiān)督檢驗研究院（江蘇省信息安全測評中心）江蘇省商用密碼產(chǎn)業(yè)協(xié)會、中電科網(wǎng)絡(luò)安全科技股份有限公司、中國電信股份有限公司江蘇分公司、江蘇省國信數(shù)字科技有限公無錫航天江南數(shù)據(jù)系統(tǒng)科技有限公司、乾訊信息技術(shù)（無錫）有限公司、江蘇先安科技有限公司、江蘇信創(chuàng)密碼技術(shù)有限公司、華為技術(shù)有限公司、南京三未信安信息技術(shù)有限公司。23.主要起草人(以表格形式將內(nèi)容明確)性別工作單位任務(wù)分工張騰標(biāo)男江蘇省電子信息產(chǎn)品質(zhì)量監(jiān)督檢驗研究院（江蘇省信息安全測評中心）標(biāo)準(zhǔn)編寫女江蘇省電子信息產(chǎn)品質(zhì)量監(jiān)督檢驗研究院（江蘇省信息安全測評中心）標(biāo)準(zhǔn)編寫任明聰男江蘇省電子信息產(chǎn)品質(zhì)量監(jiān)督檢驗研究院（江蘇省信息安全測評中心）標(biāo)準(zhǔn)編寫徐雁飛女江蘇省電子信息產(chǎn)品質(zhì)量監(jiān)督檢驗研究院（江蘇省信息安全測評中心）標(biāo)準(zhǔn)編寫李國琴女江蘇省電子信息產(chǎn)品質(zhì)量監(jiān)督檢驗研究院（江蘇省信息安全測評中心）標(biāo)準(zhǔn)編寫盧秋如女江蘇省電子信息產(chǎn)品質(zhì)量監(jiān)督檢驗研究院（江蘇省信息安全測評中心）標(biāo)準(zhǔn)編寫女江蘇省國家密碼管理局標(biāo)準(zhǔn)編寫男江蘇省國家密碼管理局標(biāo)準(zhǔn)編寫男江蘇省大數(shù)據(jù)管理中心標(biāo)準(zhǔn)編寫男江蘇省大數(shù)據(jù)管理中心標(biāo)準(zhǔn)編寫謝吉華男江蘇省商用密碼產(chǎn)業(yè)協(xié)會標(biāo)準(zhǔn)編寫男中電科網(wǎng)絡(luò)安全科技股份有限公司標(biāo)準(zhǔn)編寫男中電科網(wǎng)絡(luò)安全科技股份有限公司標(biāo)準(zhǔn)編寫廖成軍男中電科網(wǎng)絡(luò)安全科技股份有限公司標(biāo)準(zhǔn)編寫男中國電信股份有限公司江蘇分公司標(biāo)準(zhǔn)編寫女江蘇省國信數(shù)字科技有限公司標(biāo)準(zhǔn)編寫男江蘇航天七零六信息科技有限公司標(biāo)準(zhǔn)編寫男江蘇意源科技有限公司標(biāo)準(zhǔn)編寫金鈞華男江蘇意源科技有限公司標(biāo)準(zhǔn)編寫朱兆國男無錫航天江南數(shù)據(jù)系統(tǒng)科技有限公司標(biāo)準(zhǔn)編寫女無錫航天江南數(shù)據(jù)系統(tǒng)科技有限公司標(biāo)準(zhǔn)編寫強(qiáng)克華男乾訊信息技術(shù)（無錫）有限公司標(biāo)準(zhǔn)編寫男乾訊信息技術(shù)（無錫）有限公司標(biāo)準(zhǔn)編寫莊昱垚男江蘇先安科技有限公司標(biāo)準(zhǔn)編寫趙統(tǒng)一男江蘇先安科技有限公司標(biāo)準(zhǔn)編寫男江蘇信創(chuàng)密碼技術(shù)有限公司標(biāo)準(zhǔn)編寫女江蘇信創(chuàng)密碼技術(shù)有限公司標(biāo)準(zhǔn)編寫男華為技術(shù)有限公司標(biāo)準(zhǔn)編寫唐一銘男南京三未信安信息技術(shù)有限公司標(biāo)準(zhǔn)編寫（二）制定標(biāo)準(zhǔn)的必要性和意義近年來，黨和國家高度重視密碼技術(shù)在網(wǎng)絡(luò)安全工作中的重要作用，先后發(fā)布《中華人民共和國密碼法》等多項法律法規(guī)以及相關(guān)政策，推進(jìn)信息系統(tǒng)密碼應(yīng)用升級改造工作的開展。《商用密碼應(yīng)用安全性評估管理辦法》《國家政務(wù)信息化項目建設(shè)管3省省級政務(wù)信息化項目建設(shè)管理辦法》等相關(guān)文件均指出信息系統(tǒng)密碼應(yīng)用的必要性和急迫性，強(qiáng)調(diào)信息系統(tǒng)密碼應(yīng)用要同步規(guī)劃、同步建設(shè)、同步運(yùn)行、定期評估。當(dāng)前，在國家大力引導(dǎo)和產(chǎn)業(yè)各界的共同推動下，我國政務(wù)云行業(yè)發(fā)展迅猛，在助力政務(wù)建設(shè)、打破信息孤島、實現(xiàn)數(shù)據(jù)共享共治方面效果顯著。政務(wù)云運(yùn)用云計算技術(shù)，統(tǒng)籌使用政府已有的機(jī)房、計算、存儲、網(wǎng)絡(luò)、安全、應(yīng)用支撐、信息數(shù)據(jù)等資源，發(fā)揮云計算虛擬化、高可靠性、高通用性、高可擴(kuò)展性以及快速、按需、彈性服務(wù)等特征，運(yùn)行了很多關(guān)系國計民生的業(yè)務(wù)系統(tǒng)，存儲、流轉(zhuǎn)的很多數(shù)據(jù)較敏感或涉及個人隱私信息。在我省，“政務(wù)上云”成為政府治理和服務(wù)模式創(chuàng)新的新載體，一站式受理服務(wù)系統(tǒng)的使用，提升了政府的服務(wù)效率，推動了政府職能的轉(zhuǎn)變，也方便了群眾。保障政務(wù)云平臺安全對我國政治、經(jīng)濟(jì)、生產(chǎn)和生活等各方面至關(guān)重要，密碼技術(shù)作為保障云安全的重要技術(shù)，將密碼能力變成云中的一種資源服務(wù)，在云服務(wù)體系中具有十分重要的地位和作用。根據(jù)GB/T39786-2021要求，信息系統(tǒng)需從物理和環(huán)網(wǎng)絡(luò)和通信安全、設(shè)備和計算安全、應(yīng)用和數(shù)據(jù)安全四個層面提出密碼應(yīng)用技術(shù)要求，以保障信息系統(tǒng)的實體身份真實性、重要數(shù)據(jù)的機(jī)密性和完整性、操作行為的不可否認(rèn)性。本標(biāo)準(zhǔn)著眼于政務(wù)云環(huán)境下的密碼技術(shù)應(yīng)用，為做好政務(wù)云商用密碼技術(shù)的應(yīng)4用提供了一定程度的參考。（三）主要起草過程1、主要工作（1）對信息系統(tǒng)密碼應(yīng)用和政務(wù)云相關(guān)標(biāo)準(zhǔn)材料進(jìn)行收集，對政務(wù)云商用密碼應(yīng)用支撐技術(shù)進(jìn)行調(diào)研。（2）根據(jù)政務(wù)云環(huán)境、政務(wù)云業(yè)務(wù)應(yīng)用和租戶的特征，綜合設(shè)計政務(wù)云安全密碼保障體系，構(gòu)建政務(wù)云商用密碼應(yīng)用技術(shù)要求的總體架構(gòu)。（3）從政務(wù)云總體架構(gòu)、密碼應(yīng)用建設(shè)要求進(jìn)行分析，形成密碼資源池的管理要求和技術(shù)要求。（4）組織專家對規(guī)范進(jìn)行論證與修訂，并形成征求意見稿，對商用密碼從業(yè)企業(yè)、政府用戶、主管部門進(jìn)行意見征集。2、起草過程江蘇省電子信息產(chǎn)品質(zhì)量監(jiān)督檢驗研究院（江蘇省信息安全測評中心）和江蘇省國家密碼管理局、江蘇省大數(shù)據(jù)管理中心、江蘇省商用密碼產(chǎn)業(yè)協(xié)會、中電科網(wǎng)絡(luò)安全科技股份有限公司、中國電信股份有限公司江蘇分公司、江蘇省國信數(shù)字科技有限公無錫航天江南數(shù)據(jù)系統(tǒng)科技有限公司、乾訊信息技術(shù)（無錫）有限公司、江蘇先安科技有限公司、江蘇信創(chuàng)密碼技術(shù)有限公司、華為技術(shù)有限公司、南京三未信安信息技術(shù)有限公司聯(lián)合攻關(guān)，研究政務(wù)云密碼應(yīng)用的技術(shù)要求，主要從總體架構(gòu)、建設(shè)要求、5密碼資源池等方面提出了政務(wù)云密碼應(yīng)用技術(shù)實現(xiàn)的總體架構(gòu)，對各組成部分的建設(shè)內(nèi)容明確了總體要求和通用要求，并對密碼資源池可提供的功能、管理和性能提出技術(shù)指標(biāo)要求。規(guī)范中政務(wù)云商用密碼應(yīng)用支撐總體架構(gòu)符合GB/T39786中對信息系統(tǒng)提出的密碼應(yīng)用基本要求，綜合《江蘇省政務(wù)“一朵云”建設(shè)總體方案》中全省政務(wù)“一朵云”總體架構(gòu)的要求，實現(xiàn)建設(shè)要求可落地、可實施。（四）制定標(biāo)準(zhǔn)的原則和依據(jù)，與現(xiàn)行法律、法規(guī)、標(biāo)準(zhǔn)的2023年11月14日，江蘇省人民政府辦公廳印發(fā)《江蘇省政務(wù)“一朵云”建設(shè)總體方案》，該標(biāo)準(zhǔn)明確了政務(wù)云建設(shè)的職責(zé)分工、接入管理、運(yùn)行管理安全管理等要求，規(guī)范江蘇省政務(wù)云的建設(shè)技術(shù)要求。2023年9月6日全國網(wǎng)絡(luò)安全標(biāo)準(zhǔn)化技術(shù)委員會發(fā)布GB/T43207-2023《信息安全技術(shù)信息系統(tǒng)密碼應(yīng)用設(shè)計指南》，對信息系統(tǒng)密碼應(yīng)用框架和應(yīng)用方案設(shè)計原則、過程進(jìn)行明確。2024年4月15日，中國密碼學(xué)會密評聯(lián)委會組織編制發(fā)布了政務(wù)領(lǐng)域政務(wù)服務(wù)平臺、政務(wù)云兩個典型場景密碼應(yīng)用與安全性評估實施指南，實施指南為相關(guān)單位開展密評工作提供了參考。這些標(biāo)準(zhǔn)制定計劃主要側(cè)重政務(wù)云業(yè)務(wù)建設(shè)或通用信息系統(tǒng)的密碼應(yīng)用技術(shù)要求，本標(biāo)準(zhǔn)參考GB/T39786《信息安全技術(shù)信息系統(tǒng)密碼應(yīng)用基本要求》和GB/T43207《信息安全技術(shù)6信息系統(tǒng)密碼應(yīng)用設(shè)計指南》，從總體架構(gòu)、建設(shè)要求和密碼資源池等方面對政務(wù)云的商用密碼技術(shù)應(yīng)用進(jìn)行規(guī)范，為政務(wù)云在規(guī)劃、建設(shè)、運(yùn)行階段開展商用密碼技術(shù)建設(shè)和應(yīng)用提供參考。（五）主要條款的說明規(guī)范分為八個部分：范圍、規(guī)范性引用文件、術(shù)語和定義、縮略語、總體架構(gòu)、建設(shè)要求、密碼資源池和附錄。第一部分：范圍，規(guī)定了標(biāo)準(zhǔn)文件的適用范圍。第二部分：規(guī)范性引用文件，規(guī)定了標(biāo)準(zhǔn)文件內(nèi)容引用的規(guī)范性文件。第三部分：術(shù)語和定義，規(guī)定了標(biāo)準(zhǔn)文件中使用的政務(wù)云商用密碼應(yīng)用及相關(guān)標(biāo)準(zhǔn)術(shù)語和定義。第四部分：縮略語，規(guī)定了標(biāo)準(zhǔn)文件中使用的政務(wù)云商用密碼應(yīng)用及相關(guān)標(biāo)準(zhǔn)縮略語。第五部分：總體架構(gòu)，規(guī)定了政務(wù)云密碼技術(shù)應(yīng)用的總體構(gòu)第六部分：建設(shè)要求，規(guī)定了政務(wù)云商用密碼應(yīng)用支撐技術(shù)建設(shè)的總體要求和通用要求，其中通用要求從物理和環(huán)境安全、網(wǎng)絡(luò)和通信安全、設(shè)備和計算安全、應(yīng)用和數(shù)據(jù)安全以及密鑰管理幾個技術(shù)層面提出了建設(shè)要求。第七部分：密碼資源池，規(guī)定了政務(wù)云中密碼資源池部分的具體功能要求以及管理要求。第八部分：附錄A、B、C分別規(guī)定了政務(wù)云主要保護(hù)對象及7密碼安全需求、典型密碼服務(wù)協(xié)議和算法技術(shù)要求、對稱和非對稱密鑰全生命周期管理的要求。（六）重大意見分歧的處理依據(jù)和結(jié)果通過5輪內(nèi)部標(biāo)準(zhǔn)編制研討會共面向22家單位，征集有效意見98條，采納了65條意見。2024年3月29日，江蘇省國家密碼管理局組織專家在南京召開了《政務(wù)云平臺商用密碼應(yīng)用技術(shù)規(guī)范》地方標(biāo)準(zhǔn)評審會。與會專家反饋修訂意見32條，已根據(jù)建議完成相應(yīng)修訂。江蘇省軟件和信息技術(shù)服務(wù)標(biāo)準(zhǔn)化技術(shù)委員會秘書處于面向社會廣泛征集意見，截止本文完稿日已收到2家單位反饋的修訂意見6條，采納其中3條。重大意見分歧和處理情況如下：1、標(biāo)準(zhǔn)立項申報名稱為《政務(wù)云平臺商用密碼應(yīng)用技術(shù)規(guī)范》，目前江蘇省政務(wù)云實際密碼應(yīng)用需求多集中在技術(shù)應(yīng)用部分，與標(biāo)準(zhǔn)名稱結(jié)合不夠緊密。現(xiàn)已將標(biāo)準(zhǔn)名稱調(diào)整為《政務(wù)云2、政務(wù)云密碼應(yīng)用總體架構(gòu)圖內(nèi)容較為簡單，與密碼應(yīng)用要求結(jié)合不緊密?，F(xiàn)已結(jié)合GB/T31167《信息安全技術(shù)云計算結(jié)合江蘇省各級政務(wù)云技術(shù)特點對架構(gòu)圖進(jìn)行調(diào)整。3、密碼資源池中密碼服務(wù)類型較為單一?，F(xiàn)已根據(jù)GB/T843207《信息安全技術(shù)信息系統(tǒng)密碼應(yīng)用設(shè)計指南》以及《商用密碼應(yīng)用與安全性評估》中的要求進(jìn)行補(bǔ)充。4、標(biāo)準(zhǔn)中對于密鑰管理的