DB32T-政務(wù)云密碼應(yīng)用技術(shù)要求編制說明

PAGEPAGE2《政務(wù)云密碼應(yīng)用技術(shù)要求》地方標準編制說明一、工作簡況（一）任務(wù)來源1.任務(wù)來源2023年7月10日，由江蘇省電子信息產(chǎn)品質(zhì)量監(jiān)督檢驗研究院（江蘇省信息安全測評中心）申請地方標準的立項，根據(jù)江蘇省市場監(jiān)督管理局下達的2023年度擬立項地方標準項目的公示，批準《政務(wù)云平臺商用密碼應(yīng)用技術(shù)規(guī)范》地方標準的制定。2.起草單位、協(xié)作單位起草單位：江蘇省電子信息產(chǎn)品質(zhì)量監(jiān)督檢驗研究院（江蘇省信息安全測評中心）協(xié)作單位：江蘇省國家密碼管理局、江蘇省大數(shù)據(jù)管理中心、江蘇省商用密碼產(chǎn)業(yè)協(xié)會、中電科網(wǎng)絡(luò)安全科技股份有限公司、中國電信股份有限公司江蘇分公司、江蘇省國信數(shù)字科技有限公司、江蘇航天七零六信息科技有限公司、江蘇意源科技有限公司、無錫航天江南數(shù)據(jù)系統(tǒng)科技有限公司、乾訊信息技術(shù)（無錫）有限公司、江蘇先安科技有限公司、江蘇信創(chuàng)密碼技術(shù)有限公司、華為技術(shù)有限公司、南京三未信安信息技術(shù)有限公司。

3.主要起草人(以表格形式將內(nèi)容明確)姓名性別工作單位任務(wù)分工張騰標男江蘇省電子信息產(chǎn)品質(zhì)量監(jiān)督檢驗研究院（江蘇省信息安全測評中心）標準編寫吳蘭女江蘇省電子信息產(chǎn)品質(zhì)量監(jiān)督檢驗研究院（江蘇省信息安全測評中心）標準編寫任明聰男江蘇省電子信息產(chǎn)品質(zhì)量監(jiān)督檢驗研究院（江蘇省信息安全測評中心）標準編寫徐雁飛女江蘇省電子信息產(chǎn)品質(zhì)量監(jiān)督檢驗研究院（江蘇省信息安全測評中心）標準編寫李國琴女江蘇省電子信息產(chǎn)品質(zhì)量監(jiān)督檢驗研究院（江蘇省信息安全測評中心）標準編寫盧秋如女江蘇省電子信息產(chǎn)品質(zhì)量監(jiān)督檢驗研究院（江蘇省信息安全測評中心）標準編寫王琦女江蘇省國家密碼管理局標準編寫韓磊男江蘇省國家密碼管理局標準編寫黃敏男江蘇省大數(shù)據(jù)管理中心標準編寫劉堯男江蘇省大數(shù)據(jù)管理中心標準編寫謝吉華男江蘇省商用密碼產(chǎn)業(yè)協(xié)會標準編寫宋飛男中電科網(wǎng)絡(luò)安全科技股份有限公司標準編寫張健男中電科網(wǎng)絡(luò)安全科技股份有限公司標準編寫廖成軍男中電科網(wǎng)絡(luò)安全科技股份有限公司標準編寫趙輝男中國電信股份有限公司江蘇分公司標準編寫何丹女江蘇省國信數(shù)字科技有限公司標準編寫印哲然男江蘇航天七零六信息科技有限公司標準編寫蔣日友男江蘇意源科技有限公司標準編寫金鈞華男江蘇意源科技有限公司標準編寫朱兆國男無錫航天江南數(shù)據(jù)系統(tǒng)科技有限公司標準編寫蘇丹女無錫航天江南數(shù)據(jù)系統(tǒng)科技有限公司標準編寫強克華男乾訊信息技術(shù)（無錫）有限公司標準編寫王彬男乾訊信息技術(shù)（無錫）有限公司標準編寫莊昱垚男江蘇先安科技有限公司標準編寫趙統(tǒng)一男江蘇先安科技有限公司標準編寫張翀男江蘇信創(chuàng)密碼技術(shù)有限公司標準編寫朱靜女江蘇信創(chuàng)密碼技術(shù)有限公司標準編寫陳初男華為技術(shù)有限公司標準編寫唐一銘男南京三未信安信息技術(shù)有限公司標準編寫（二）制定標準的必要性和意義近年來，黨和國家高度重視密碼技術(shù)在網(wǎng)絡(luò)安全工作中的重要作用，先后發(fā)布《中華人民共和國密碼法》等多項法律法規(guī)以及相關(guān)政策，推進信息系統(tǒng)密碼應(yīng)用升級改造工作的開展。《商用密碼應(yīng)用安全性評估管理辦法》《國家政務(wù)信息化項目建設(shè)管理辦法》《江蘇省政務(wù)信息化項目建設(shè)網(wǎng)絡(luò)安全管理規(guī)定》《江蘇省省級政務(wù)信息化項目建設(shè)管理辦法》等相關(guān)文件均指出信息系統(tǒng)密碼應(yīng)用的必要性和急迫性，強調(diào)信息系統(tǒng)密碼應(yīng)用要同步規(guī)劃、同步建設(shè)、同步運行、定期評估。當前，在國家大力引導和產(chǎn)業(yè)各界的共同推動下，我國政務(wù)云行業(yè)發(fā)展迅猛，在助力政務(wù)建設(shè)、打破信息孤島、實現(xiàn)數(shù)據(jù)共享共治方面效果顯著。政務(wù)云運用云計算技術(shù)，統(tǒng)籌使用政府已有的機房、計算、存儲、網(wǎng)絡(luò)、安全、應(yīng)用支撐、信息數(shù)據(jù)等資源，發(fā)揮云計算虛擬化、高可靠性、高通用性、高可擴展性以及快速、按需、彈性服務(wù)等特征，運行了很多關(guān)系國計民生的業(yè)務(wù)系統(tǒng)，存儲、流轉(zhuǎn)的很多數(shù)據(jù)較敏感或涉及個人隱私信息。在我省，“政務(wù)上云”成為政府治理和服務(wù)模式創(chuàng)新的新載體，一站式受理服務(wù)系統(tǒng)的使用，提升了政府的服務(wù)效率，推動了政府職能的轉(zhuǎn)變，也方便了群眾。保障政務(wù)云平臺安全對我國政治、經(jīng)濟、生產(chǎn)和生活等各方面至關(guān)重要，密碼技術(shù)作為保障云安全的重要技術(shù)，將密碼能力變成云中的一種資源服務(wù)，在云服務(wù)體系中具有十分重要的地位和作用。根據(jù)GB/T39786-2021要求，信息系統(tǒng)需從物理和環(huán)境安全、網(wǎng)絡(luò)和通信安全、設(shè)備和計算安全、應(yīng)用和數(shù)據(jù)安全四個層面提出密碼應(yīng)用技術(shù)要求，以保障信息系統(tǒng)的實體身份真實性、重要數(shù)據(jù)的機密性和完整性、操作行為的不可否認性。本標準著眼于政務(wù)云環(huán)境下的密碼技術(shù)應(yīng)用，為做好政務(wù)云商用密碼技術(shù)的應(yīng)用提供了一定程度的參考。（三）主要起草過程1、主要工作（1）對信息系統(tǒng)密碼應(yīng)用和政務(wù)云相關(guān)標準材料進行收集，對政務(wù)云商用密碼應(yīng)用支撐技術(shù)進行調(diào)研。（2）根據(jù)政務(wù)云環(huán)境、政務(wù)云業(yè)務(wù)應(yīng)用和租戶的特征，綜合設(shè)計政務(wù)云安全密碼保障體系，構(gòu)建政務(wù)云商用密碼應(yīng)用技術(shù)要求的總體架構(gòu)。（3）從政務(wù)云總體架構(gòu)、密碼應(yīng)用建設(shè)要求進行分析，形成密碼資源池的管理要求和技術(shù)要求。（4）組織專家對規(guī)范進行論證與修訂，并形成征求意見稿，對商用密碼從業(yè)企業(yè)、政府用戶、主管部門進行意見征集。2、起草過程江蘇省電子信息產(chǎn)品質(zhì)量監(jiān)督檢驗研究院（江蘇省信息安全測評中心）和江蘇省國家密碼管理局、江蘇省大數(shù)據(jù)管理中心、江蘇省商用密碼產(chǎn)業(yè)協(xié)會、中電科網(wǎng)絡(luò)安全科技股份有限公司、中國電信股份有限公司江蘇分公司、江蘇省國信數(shù)字科技有限公司、江蘇航天七零六信息科技有限公司、江蘇意源科技有限公司、無錫航天江南數(shù)據(jù)系統(tǒng)科技有限公司、乾訊信息技術(shù)（無錫）有限公司、江蘇先安科技有限公司、江蘇信創(chuàng)密碼技術(shù)有限公司、華為技術(shù)有限公司、南京三未信安信息技術(shù)有限公司聯(lián)合攻關(guān)，研究政務(wù)云密碼應(yīng)用的技術(shù)要求，主要從總體架構(gòu)、建設(shè)要求、密碼資源池等方面提出了政務(wù)云密碼應(yīng)用技術(shù)實現(xiàn)的總體架構(gòu)，對各組成部分的建設(shè)內(nèi)容明確了總體要求和通用要求，并對密碼資源池可提供的功能、管理和性能提出技術(shù)指標要求。規(guī)范中政務(wù)云商用密碼應(yīng)用支撐總體架構(gòu)符合GB/T39786中對信息系統(tǒng)提出的密碼應(yīng)用基本要求，綜合《江蘇省政務(wù)“一朵云”建設(shè)總體方案》中全省政務(wù)“一朵云”總體架構(gòu)的要求，實現(xiàn)建設(shè)要求可落地、可實施。（四）制定標準的原則和依據(jù)，與現(xiàn)行法律、法規(guī)、標準的關(guān)系2023年11月14日，江蘇省人民政府辦公廳印發(fā)《江蘇省政務(wù)“一朵云”建設(shè)總體方案》，該標準明確了政務(wù)云建設(shè)的職責分工、接入管理、運行管理安全管理等要求，規(guī)范江蘇省政務(wù)云的建設(shè)技術(shù)要求。2023年9月6日全國網(wǎng)絡(luò)安全標準化技術(shù)委員會發(fā)布GB/T43207-2023《信息安全技術(shù)信息系統(tǒng)密碼應(yīng)用設(shè)計指南》，對信息系統(tǒng)密碼應(yīng)用框架和應(yīng)用方案設(shè)計原則、過程進行明確。2024年4月15日，中國密碼學會密評聯(lián)委會組織編制發(fā)布了政務(wù)領(lǐng)域政務(wù)服務(wù)平臺、政務(wù)云兩個典型場景密碼應(yīng)用與安全性評估實施指南，實施指南為相關(guān)單位開展密評工作提供了參考。這些標準制定計劃主要側(cè)重政務(wù)云業(yè)務(wù)建設(shè)或通用信息系統(tǒng)的密碼應(yīng)用技術(shù)要求，本標準參考GB/T39786《信息安全技術(shù)信息系統(tǒng)密碼應(yīng)用基本要求》和GB/T43207《信息安全技術(shù)信息系統(tǒng)密碼應(yīng)用設(shè)計指南》，從總體架構(gòu)、建設(shè)要求和密碼資源池等方面對政務(wù)云的商用密碼技術(shù)應(yīng)用進行規(guī)范，為政務(wù)云在規(guī)劃、建設(shè)、運行階段開展商用密碼技術(shù)建設(shè)和應(yīng)用提供參考。（五）主要條款的說明規(guī)范分為八個部分：范圍、規(guī)范性引用文件、術(shù)語和定義、縮略語、總體架構(gòu)、建設(shè)要求、密碼資源池和附錄。第一部分：范圍，規(guī)定了標準文件的適用范圍。第二部分：規(guī)范性引用文件，規(guī)定了標準文件內(nèi)容引用的規(guī)范性文件。第三部分：術(shù)語和定義，規(guī)定了標準文件中使用的政務(wù)云商用密碼應(yīng)用及相關(guān)標準術(shù)語和定義。第四部分：縮略語，規(guī)定了標準文件中使用的政務(wù)云商用密碼應(yīng)用及相關(guān)標準縮略語。第五部分：總體架構(gòu)，規(guī)定了政務(wù)云密碼技術(shù)應(yīng)用的總體構(gòu)成和各部分要求，包括了密碼基礎(chǔ)設(shè)施、密碼資源池、密碼應(yīng)用。第六部分：建設(shè)要求，規(guī)定了政務(wù)云商用密碼應(yīng)用支撐技術(shù)建設(shè)的總體要求和通用要求，其中通用要求從物理和環(huán)境安全、網(wǎng)絡(luò)和通信安全、設(shè)備和計算安全、應(yīng)用和數(shù)據(jù)安全以及密鑰管理幾個技術(shù)層面提出了建設(shè)要求。第七部分：密碼資源池，規(guī)定了政務(wù)云中密碼資源池部分的具體功能要求以及管理要求。第八部分：附錄A、B、C分別規(guī)定了政務(wù)云主要保護對象及密碼安全需求、典型密碼服務(wù)協(xié)議和算法技術(shù)要求、對稱和非對稱密鑰全生命周期管理的要求。（六）重大意見分歧的處理依據(jù)和結(jié)果通過5輪內(nèi)部標準編制研討會共面向22家單位，征集有效意見98條，采納了65條意見。2024年3月29日，江蘇省國家密碼管理局組織專家在南京召開了《政務(wù)云平臺商用密碼應(yīng)用技術(shù)規(guī)范》地方標準評審會。與會專家反饋修訂意見32條，已根據(jù)建議完成相應(yīng)修訂。江蘇省軟件和信息技術(shù)服務(wù)標準化技術(shù)委員會秘書處于2024年5月16日發(fā)布《政務(wù)云密碼應(yīng)用技術(shù)要求》征求意見稿，面向社會廣泛征集意見，截止本文完稿日已收到2家單位反饋的修訂意見6條，采納其中3條。重大意見分歧和處理情況如下：1、標準立項申報名稱為《政務(wù)云平臺商用密碼應(yīng)用技術(shù)規(guī)范》，目前江蘇省政務(wù)云實際密碼應(yīng)用需求多集中在技術(shù)應(yīng)用部分，與標準名稱結(jié)合不夠緊密?，F(xiàn)已將標準名稱調(diào)整為《政務(wù)云密碼應(yīng)用技術(shù)要求》。2、政務(wù)云密碼應(yīng)用總體架構(gòu)圖內(nèi)容較為簡單，與密碼應(yīng)用要求結(jié)合不緊密?，F(xiàn)已結(jié)合GB/T31167《信息安全技術(shù)云計算服務(wù)安全指南》、《江蘇省政務(wù)“一朵云”建設(shè)總體方案》等要求，結(jié)合江蘇省各級政務(wù)云技術(shù)特點對架構(gòu)圖進行調(diào)整。3、密碼資源池中密碼服務(wù)類型較為單一?，F(xiàn)已根據(jù)GB/T43207《信息安全技術(shù)信息系統(tǒng)密碼應(yīng)用設(shè)計指南》以及《商用密碼應(yīng)用與安全性評估》中的要求進行補充。4、標準中對于密鑰管理的介紹內(nèi)容較少，密鑰類型單一?，F(xiàn)已