xx單位政務(wù)云商用密碼應(yīng)用方案V2.0

I背景政策、法規(guī)要求密碼技術(shù)作為網(wǎng)絡(luò)與信息安全保障的核心技術(shù)和基礎(chǔ)支撐，在身份認(rèn)證、信息加密、安全隔離、完整性保護(hù)和操作抗抵賴等方面發(fā)揮著不可替代的作用?！蛾P(guān)于加強(qiáng)信息安全保障工作的意見》（〔2003〕27號）提出“加強(qiáng)以密碼技術(shù)為基礎(chǔ)的信息保護(hù)和網(wǎng)絡(luò)信任體系建設(shè)，要建立協(xié)調(diào)管理機(jī)制，規(guī)范和加強(qiáng)以身份認(rèn)證、授權(quán)管理、責(zé)任認(rèn)定等為主要內(nèi)容的網(wǎng)絡(luò)信任體系建設(shè)”?！蛾P(guān)于大力推進(jìn)信息化發(fā)展和切實保障信息安全的若干意見》（〔2012〕23號）也提出“加強(qiáng)網(wǎng)絡(luò)信任體系建設(shè)和密碼保障，強(qiáng)化密碼在保障電子政務(wù)、電子商務(wù)安全和保護(hù)公民個人信息等方面的支撐作用”。2019年10月26日，第十四次會議通過《密碼法》，簽署予以公布，于2020年1月1日起正式實施。密碼法的出臺，為密碼科技實現(xiàn)跨越式發(fā)展、密碼科技創(chuàng)新再上新臺階提供了寶貴的戰(zhàn)略機(jī)遇和發(fā)展契機(jī)。當(dāng)今以數(shù)字化、網(wǎng)絡(luò)化、智能化為特征的信息技術(shù)日新月異，圍繞5G、大數(shù)據(jù)、區(qū)塊鏈等技術(shù)應(yīng)用帶來了大量的新的安全問題。密碼技術(shù)是解決當(dāng)前安全問題，保障信息安全最有效的關(guān)鍵核心技術(shù)。2019年年底，xxx印發(fā)《國家政務(wù)信息化項目建設(shè)管理辦法》，明確提出不符合密碼應(yīng)用和網(wǎng)絡(luò)安全要求等情況的政務(wù)信息系統(tǒng)，不安排運行維護(hù)經(jīng)費。項目建設(shè)單位應(yīng)當(dāng)落實國家密碼管理有關(guān)法律法規(guī)和標(biāo)準(zhǔn)規(guī)范的要求，同步規(guī)劃、同步建設(shè)、同步運行密碼保障系統(tǒng)并定期進(jìn)行評估。大數(shù)據(jù)、云計算、人工智能、區(qū)塊鏈等科技發(fā)展日新月異，信息技術(shù)應(yīng)用創(chuàng)新（以下簡稱“信創(chuàng)”）已是當(dāng)前經(jīng)濟(jì)社會發(fā)展的基石。信創(chuàng)產(chǎn)業(yè)涵蓋芯片、操作系統(tǒng)、數(shù)據(jù)庫、中間件、應(yīng)用軟件、網(wǎng)絡(luò)安全、整機(jī)生產(chǎn)、系統(tǒng)集成等領(lǐng)域，是當(dāng)前及未來幾年信息化領(lǐng)域的重點建設(shè)任務(wù)。商用密碼應(yīng)用安全性評估主要對重要信息系統(tǒng)和關(guān)鍵信息基礎(chǔ)設(shè)施的密碼安全進(jìn)行整體的專項測試和綜合評估，以形成科學(xué)準(zhǔn)確的評估結(jié)果，評估涉及密碼算法、協(xié)議、產(chǎn)品、技術(shù)體系、密碼管理、密碼與應(yīng)用結(jié)合等諸多方面。通過以評促改、以評促用，逐步規(guī)范網(wǎng)絡(luò)運營者的密碼使用和管理行為，最終確保密碼在重要信息系統(tǒng)和關(guān)鍵信息基礎(chǔ)設(shè)施中使用的正確、合規(guī)、有效。商用密碼應(yīng)用安全性評估工作是密碼檢測認(rèn)證體系的重要組成部分，也是《密碼法》和中央有關(guān)文件的明確要求，是落實總體國家安全觀和網(wǎng)絡(luò)強(qiáng)國戰(zhàn)略的具體行動，是深入推進(jìn)重要領(lǐng)域密碼應(yīng)用的必然要求。云平臺密碼應(yīng)用方案背景xxx政務(wù)云平臺是基于公有云成熟產(chǎn)品體系自主研發(fā)的企業(yè)級云平臺，具有高可用、統(tǒng)一管控、安全合規(guī)的特點，提供數(shù)字化轉(zhuǎn)型所需的云化技術(shù)、大數(shù)據(jù)、AI等全面能力。由于云環(huán)境的開放性，云上的基礎(chǔ)設(shè)施安全、密鑰安全體系、認(rèn)證及授權(quán)、端到端傳輸安全、數(shù)據(jù)保護(hù)、大數(shù)據(jù)安全等面臨很多的挑戰(zhàn)。本方案旨在為xxx政務(wù)云平臺提供密碼應(yīng)用安全保障依據(jù)，規(guī)劃建設(shè)密碼資源池，并為系統(tǒng)的密碼應(yīng)用安全性評估提供測評依據(jù)。本系統(tǒng)按照《信息安全技術(shù)信息系統(tǒng)密碼應(yīng)用基本要求》（GB/T39786-2021）第三級要求進(jìn)行建設(shè)。系統(tǒng)概述承載的業(yè)務(wù)情況xxx云上業(yè)務(wù)系統(tǒng)部署于XX機(jī)房，可對云上業(yè)務(wù)系統(tǒng)提供密碼資源服務(wù)，如數(shù)據(jù)加解密、安全通道傳輸、簽名驗簽、數(shù)字證書簽發(fā)等幾大類服務(wù)，同時商用密碼資源池也支持全面的業(yè)務(wù)運營、運維能力。云平臺重要數(shù)據(jù)分析序號數(shù)據(jù)名稱描述安全需求1鏡像數(shù)據(jù)租戶虛擬機(jī)鏡像文件完整性2賬號信息租戶端和運營端口令、郵箱、手機(jī)號機(jī)密性、完整性3租戶業(yè)務(wù)數(shù)據(jù)虛擬機(jī)遷移過程中的重要數(shù)據(jù)機(jī)密性、完整性4網(wǎng)絡(luò)邊界訪問控制信息交換機(jī)、防火墻配置文件等機(jī)密性、完整性5應(yīng)用訪問控制信息租戶端/運營端策略信息完整性6日志記錄日志平臺系統(tǒng)日志數(shù)據(jù)（服務(wù)器、交換機(jī)、防火墻）及租戶端/運營端審計日志數(shù)據(jù)。完整性需求分析云平臺密碼應(yīng)用需求分析物理和環(huán)境安全風(fēng)險分析（1）身份鑒別：xxx政務(wù)云平臺所在機(jī)房，若通過普通ID卡對進(jìn)入機(jī)房人員進(jìn)行身份鑒別，未使用合規(guī)的密碼技術(shù)對進(jìn)入人員進(jìn)行身份鑒別，則存在非授權(quán)人員進(jìn)入物理機(jī)房環(huán)境，對軟硬件設(shè)備和數(shù)據(jù)進(jìn)行直接破壞的風(fēng)險。（2）門禁記錄完整性：xxx政務(wù)云平臺所在機(jī)房電子門禁記錄若采用明文存儲在門禁管理系統(tǒng)數(shù)據(jù)庫中，未采用密碼技術(shù)對存儲的電子門禁記錄進(jìn)行完整性保護(hù)，則存在物理進(jìn)出記錄遭到非授權(quán)篡改，以掩蓋非授權(quán)人員進(jìn)出情況的風(fēng)險。（3）視頻記錄完整性：xxx政務(wù)云平臺所在機(jī)房視頻監(jiān)控數(shù)據(jù)若未使用密碼技術(shù)進(jìn)行存儲完整性保護(hù)，則存在視頻記錄遭到非授權(quán)篡改，以掩蓋非授權(quán)人員進(jìn)出情況的風(fēng)險。密碼應(yīng)用需求需在xxx政務(wù)云平臺所在機(jī)房部署符合GM/T0036-2014標(biāo)準(zhǔn)要求的電子門禁系統(tǒng)對進(jìn)出機(jī)房人員進(jìn)行身份鑒別，對電子門禁系統(tǒng)進(jìn)出記錄數(shù)據(jù)進(jìn)行存儲完整性保護(hù)；需部署符合國密要求的視頻監(jiān)控系統(tǒng)，并對視頻監(jiān)控系統(tǒng)進(jìn)出記錄數(shù)據(jù)進(jìn)行存儲完整性保護(hù)。保證系統(tǒng)中使用的密碼算法需符合法律、法規(guī)的規(guī)定和密碼相關(guān)國家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)的有關(guān)要求；保證系統(tǒng)中使用的密碼技術(shù)需遵循密碼相關(guān)國家標(biāo)準(zhǔn)和行業(yè)標(biāo)準(zhǔn)；保證系統(tǒng)中使用的密碼產(chǎn)品均需符合GB/T37092的二級及以上的安全要求進(jìn)行密鑰的管理和密碼運算。網(wǎng)絡(luò)和通信安全風(fēng)險分析互聯(lián)網(wǎng)管理端與云平臺之間、電子政務(wù)外網(wǎng)管理端與云平臺之間、云平臺管理端與云平臺之間、運維PC端和云平臺系統(tǒng)之間，未采用符合國密要求的密碼技術(shù)對通信實體進(jìn)行身份鑒別，未采用符合國密要求的密碼技術(shù)對網(wǎng)絡(luò)傳輸數(shù)據(jù)進(jìn)行機(jī)密性和完整性保護(hù)，未采用符合國密要求的密碼技術(shù)對網(wǎng)絡(luò)邊界訪問控制信息完整性進(jìn)行保護(hù)。xxx政務(wù)云平臺的通道梳理如下表格所示：表3-1云平臺網(wǎng)絡(luò)與通信保護(hù)對象表序號網(wǎng)絡(luò)類型通道通道名稱1互聯(lián)網(wǎng)業(yè)務(wù)通道互聯(lián)網(wǎng)管理端與云平臺之間的通信信道2電子政務(wù)外網(wǎng)業(yè)務(wù)通道電子政務(wù)外網(wǎng)管理端與云平臺之間的通信信道3局域網(wǎng)業(yè)務(wù)通道云平臺管理端與云平臺之間的通信信道4局域網(wǎng)運維通道運維PC端與云平臺系統(tǒng)之間的通信信道（1）身份鑒別：互聯(lián)網(wǎng)管理端與云平臺之間、電子政務(wù)外網(wǎng)管理端與云平臺之間、云平臺管理端與云平臺之間、運維PC端和云平臺系統(tǒng)之間的通信信道，若未使用符合國密局要求的密碼算法，基于協(xié)議中的數(shù)字簽名技術(shù)實現(xiàn)對服務(wù)端的通信實體進(jìn)行身份鑒別，保證通信實體身份的真實性，則存在通信實體身份假冒的風(fēng)險。（2）通信過程中重要數(shù)據(jù)的完整性：互聯(lián)網(wǎng)管理端與云平臺之間、電子政務(wù)外網(wǎng)管理端與云平臺之間、云平臺管理端與云平臺之間、運維PC端和云平臺系統(tǒng)之間的通信信道，若未使用符合國密局要求的密碼算法進(jìn)行通信過程中主要數(shù)據(jù)的完整性保護(hù)，存在重要數(shù)據(jù)被篡改的風(fēng)險。（3）通信過程中重要數(shù)據(jù)的機(jī)密性：互聯(lián)網(wǎng)管理端與云平臺之間、電子政務(wù)外網(wǎng)管理端與云平臺之間、云平臺管理端與云平臺之間、運維PC端和云平臺系統(tǒng)之間的通信信道，若未使用符合國密局要求的密碼算法進(jìn)行通信過程中主要數(shù)據(jù)的機(jī)密性，存在重要數(shù)據(jù)被竊取的風(fēng)險。（4）網(wǎng)絡(luò)邊界訪問控制信息完整性：網(wǎng)絡(luò)邊界設(shè)備為xxx政務(wù)云平臺所在機(jī)房提供的安全設(shè)備，包括所用的安全認(rèn)證網(wǎng)關(guān)和防火墻，安全認(rèn)證網(wǎng)關(guān)和防火墻若不是合規(guī)的產(chǎn)品，并且未采用密碼技術(shù)保證網(wǎng)絡(luò)邊界訪問控制信息的完整性，則存在邊界訪問控制信息被篡改的風(fēng)險，導(dǎo)致網(wǎng)絡(luò)邊界訪問控制手段失效。（5）安全接入認(rèn)證：根據(jù)GB/T39786-2021《信息安全技術(shù)信息系統(tǒng)密碼應(yīng)用基本要求》對等級保護(hù)第三級信息系統(tǒng)的密碼應(yīng)用技術(shù)要求，安全接入認(rèn)證項應(yīng)用要求為“可”，同時接入系統(tǒng)的設(shè)備無安全接入認(rèn)證需求，在本次密碼應(yīng)用建設(shè)及測評時，可作不適用項處理。密碼應(yīng)用需求（1）需部署安全認(rèn)證網(wǎng)關(guān)，使用安全認(rèn)證網(wǎng)關(guān)與終端的安全認(rèn)證客戶端建立互聯(lián)網(wǎng)管理端與云平臺之間、電子政務(wù)外網(wǎng)管理端與云平臺之間、云平臺管理端與云平臺之間、運維PC端和云平臺系統(tǒng)之間的通信信道，基于數(shù)字簽名的方式實現(xiàn)對服務(wù)端身份鑒別，證書采用SM2算法證書，數(shù)字證書由所部署的合規(guī)的證書機(jī)構(gòu)頒發(fā)，基于國密算法建立安全通信通道保證通信數(shù)據(jù)的傳輸機(jī)密性和完整性。（2）需通過部署安全認(rèn)證網(wǎng)關(guān)，使用安全認(rèn)證網(wǎng)關(guān)自身實現(xiàn)互聯(lián)網(wǎng)管理端與云平臺之間、電子政務(wù)外網(wǎng)管理端與云平臺之間、云平臺管理端與云平臺之間、云平臺運維PC端和云平臺系統(tǒng)之間網(wǎng)絡(luò)邊界的訪問控制信息的完整性。保證系統(tǒng)中使用的密碼算法需符合法律、法規(guī)的規(guī)定和密碼相關(guān)國家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)的有關(guān)要求；保證系統(tǒng)中使用的密碼技術(shù)需遵循密碼相關(guān)國家標(biāo)準(zhǔn)和行業(yè)標(biāo)準(zhǔn)；保證系統(tǒng)中使用的密碼產(chǎn)品均需符合GB/T37092的二級及以上的安全要求進(jìn)行密鑰的管理和密碼運算。設(shè)備和計算安全風(fēng)險分析（1）身份鑒別、遠(yuǎn)程管理通道安全：運維人員包括云平臺和云租戶的運維人員（一般包括管理員、開發(fā)人員、運維人員等）通過瀏覽器，使用口令登錄堡壘機(jī)，與堡壘機(jī)之間建立連接，未使用密碼技術(shù)對運維人員登錄進(jìn)行身份鑒別，未使用合規(guī)的密碼技術(shù)對管理員登錄身份鑒別信息進(jìn)行傳輸機(jī)密性保護(hù)，存在設(shè)備被非授權(quán)人員登錄、身份鑒別數(shù)據(jù)被非授權(quán)獲取或非授權(quán)使用等風(fēng)險。（2）訪問控制信息完整性：運維人員的相關(guān)訪問控制信息，未使用密碼技術(shù)進(jìn)行完整性保護(hù)，可能存在被篡改的風(fēng)險。（3）重要信息資源安全標(biāo)記完整性：對于重要信息資源安全標(biāo)記完整性，由于云平臺無重要信息資源安全標(biāo)記需求，在本次密碼應(yīng)用建設(shè)及測評時，可作為不適用項。（4）日志記錄完整性：系統(tǒng)應(yīng)用服務(wù)器、數(shù)據(jù)庫服務(wù)器、虛擬服務(wù)器、虛擬數(shù)據(jù)庫服務(wù)器等設(shè)備管理日志、快照、鏡像文件等重要信息數(shù)據(jù)，未使用密碼技術(shù)進(jìn)行完整性保護(hù)，存在設(shè)備日志記錄被非授權(quán)篡改風(fēng)險。（5）重要可執(zhí)行程序完整性、重要可執(zhí)行程序來源真實性：設(shè)備服務(wù)器、虛擬服務(wù)器中所有重要程序或文件在生成時，未使用密碼技術(shù)進(jìn)行完整性保護(hù)，使用或讀取這些程序和文件時，未對其進(jìn)行完整性校驗，存在重要程序或文件被非授權(quán)篡改、來源不可信風(fēng)險。密碼應(yīng)用需求（1）需部署安全認(rèn)證網(wǎng)關(guān)，并向系統(tǒng)運維人員配發(fā)USBKEY，對登錄堡壘機(jī)的用戶進(jìn)行身份鑒別和遠(yuǎn)程管理身份鑒別信息傳輸機(jī)密性保護(hù)，防止非授權(quán)人員登錄、管理員遠(yuǎn)程登錄身份鑒別信息被非授權(quán)竊取。（2）對用戶訪問控制信息進(jìn)行完整性保護(hù)，需部署符合密碼相關(guān)國家、行業(yè)標(biāo)準(zhǔn)要求的簽名驗簽服務(wù)器，對應(yīng)用服務(wù)器、數(shù)據(jù)庫服務(wù)器、數(shù)據(jù)庫、堡壘機(jī)等設(shè)備系統(tǒng)資源訪問控制信息進(jìn)行數(shù)字簽名實現(xiàn)完整性保護(hù)。（3）需部署符合密碼相關(guān)國家、行業(yè)標(biāo)準(zhǔn)要求的簽名驗簽服務(wù)器，對應(yīng)用服務(wù)器、數(shù)據(jù)庫服務(wù)器等設(shè)備操作管理日志、快照、鏡像文件等重要信息數(shù)據(jù)進(jìn)行完整性安全保護(hù)。（4）需部署符合密碼相關(guān)國家、行業(yè)標(biāo)準(zhǔn)要求的簽名驗簽服務(wù)器，對應(yīng)用服務(wù)器、數(shù)據(jù)庫服務(wù)器、數(shù)據(jù)庫、堡壘機(jī)等設(shè)備重要可執(zhí)行程序進(jìn)行數(shù)字簽名實現(xiàn)完整性和來源的真實性保護(hù)。保證系統(tǒng)中使用的密碼算法需符合法律、法規(guī)的規(guī)定和密碼相關(guān)國家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)的有關(guān)要求；保證系統(tǒng)中使用的密碼技術(shù)需遵循密碼相關(guān)國家標(biāo)準(zhǔn)和行業(yè)標(biāo)準(zhǔn)；保證系統(tǒng)中使用的密碼產(chǎn)品均需符合GB/T37092的二級及以上的安全要求進(jìn)行密鑰的管理和密碼運算。應(yīng)用和數(shù)據(jù)安全風(fēng)險分析（1）身份鑒別：xxx政務(wù)云平臺租戶端、運營端通過PC端瀏覽器訪問方式，使用用戶名+口令進(jìn)行登錄，均未使用密碼技術(shù)對登錄用戶進(jìn)行身份鑒別，存在應(yīng)用被非授權(quán)人員登錄風(fēng)險。（2）訪問控制信息完整性：xxx政務(wù)云平臺未使用密碼技術(shù)對系統(tǒng)用戶訪問權(quán)限控制列表進(jìn)行完整性保護(hù)，存在應(yīng)用資源被非授權(quán)用戶獲取的風(fēng)險。（3）重要信息資源安全標(biāo)記完整性：對于重要信息資源安全標(biāo)記完整性，由于xxx政務(wù)云平臺無重要信息資源安全標(biāo)記需求，在本次密碼應(yīng)用建設(shè)及測評時，可作為不適用項。（4）重要數(shù)據(jù)機(jī)密性、完整性：xxx政務(wù)云平臺重要數(shù)據(jù)均明文傳輸、存儲，未使用密碼技術(shù)進(jìn)行傳輸、存儲機(jī)密性、完整性保護(hù)，存在身份鑒別數(shù)據(jù)等關(guān)鍵數(shù)據(jù)被竊取和非授權(quán)篡改風(fēng)險。（5）不可否認(rèn)性：xxx政務(wù)云平臺不涉及法律責(zé)任認(rèn)定的密碼應(yīng)用場景，因此不適用。密碼應(yīng)用需求（1）身份鑒別：xxx政務(wù)云平臺云租戶、運營等PC端用戶配發(fā)USBKey，內(nèi)置合規(guī)的國密SM2算法證書，采用基于SM2算法的數(shù)字簽名技術(shù)，實現(xiàn)對PC端登錄應(yīng)用用戶的安全身份鑒別，防止非授權(quán)人員登錄。（2）系統(tǒng)資源訪問控制的完整性：需部署簽名驗簽服務(wù)器，使用密碼技術(shù)對云平臺相關(guān)訪問控制規(guī)則信息進(jìn)行SM2簽名、驗簽，從而實現(xiàn)完整性保護(hù)。（3）重要數(shù)據(jù)傳輸機(jī)密性/完整性：需部署符合密碼相關(guān)國家、行業(yè)標(biāo)準(zhǔn)要求的安全認(rèn)證網(wǎng)關(guān)，對租戶、運營等PC端的重要數(shù)據(jù)進(jìn)行傳輸機(jī)密性、完整性保護(hù)，實現(xiàn)重要數(shù)據(jù)在傳輸過程中的防竊取和防篡改保護(hù)。（4）重要數(shù)據(jù)存儲機(jī)密性/完整性：需部署符合密碼相關(guān)國家、行業(yè)標(biāo)準(zhǔn)要求的密碼機(jī)、簽名驗簽服務(wù)器，對xxx政務(wù)云平臺的重要數(shù)據(jù)進(jìn)行存儲機(jī)密性、完整性保護(hù)。（5）不可否認(rèn)性：云平臺不涉及需要進(jìn)行法律責(zé)任認(rèn)定的行為。保證系統(tǒng)中使用的密碼算法需符合法律、法規(guī)的規(guī)定和密碼相關(guān)國家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)的有關(guān)要求；保證系統(tǒng)中使用的密碼技術(shù)需遵循密碼相關(guān)國家標(biāo)準(zhǔn)和行業(yè)標(biāo)準(zhǔn)；保證系統(tǒng)中使用的密碼產(chǎn)品均需符合GB/T37092的二級及以上的安全要求進(jìn)行密鑰的管理和密碼運算。云租戶密碼應(yīng)用需求分析根據(jù)GB/T39786《信息系統(tǒng)密碼應(yīng)用基本要求》，從物理和環(huán)境安全、網(wǎng)絡(luò)和通信安全、設(shè)備和計算安全、應(yīng)用和數(shù)據(jù)安全、管理制度、人員管理、建設(shè)運行、應(yīng)急處置等層面，對云上業(yè)務(wù)系統(tǒng)進(jìn)行風(fēng)險分析，得出云上業(yè)務(wù)系統(tǒng)密碼應(yīng)用需求。物理和環(huán)境安全風(fēng)險分析（1）身份鑒別：xxx政務(wù)云上業(yè)務(wù)系統(tǒng)所在的機(jī)房，通過普通ID卡對進(jìn)入機(jī)房人員進(jìn)行身份鑒別，未使用合規(guī)的密碼技術(shù)對進(jìn)入人員進(jìn)行身份鑒別，存在非授權(quán)人員進(jìn)入物理機(jī)房環(huán)境，對軟硬件設(shè)備和數(shù)據(jù)進(jìn)行直接破壞的風(fēng)險。（2）門禁記錄完整性：云上業(yè)務(wù)系統(tǒng)所在機(jī)房電子門禁記錄明文存儲在門禁管理系統(tǒng)數(shù)據(jù)庫中，未采用密碼技術(shù)對存儲的電子門禁記錄進(jìn)行完整性保護(hù)，存在物理進(jìn)出記錄遭到非授權(quán)篡改，以掩蓋非授權(quán)人員進(jìn)出情況的風(fēng)險。（3）視頻記錄完整性：云上業(yè)務(wù)系統(tǒng)所在機(jī)房視頻監(jiān)控數(shù)據(jù)未使用密碼技術(shù)進(jìn)行存儲完整性保護(hù)，存在視頻記錄遭到非授權(quán)篡改，以掩蓋非授權(quán)人員進(jìn)出情況的風(fēng)險。密碼應(yīng)用需求在xxx政務(wù)云上業(yè)務(wù)系統(tǒng)所在機(jī)房部署符合GM/T0036-2014標(biāo)準(zhǔn)要求的電子門禁系統(tǒng)對進(jìn)出機(jī)房人員進(jìn)行身份鑒別，對電子門禁系統(tǒng)進(jìn)出記錄數(shù)據(jù)進(jìn)行存儲完整性保護(hù)；部署符合國密要求的視頻監(jiān)控系統(tǒng)，并對視頻監(jiān)控系統(tǒng)進(jìn)出記錄數(shù)據(jù)進(jìn)行存儲完整性保護(hù)。保證系統(tǒng)中使用的密碼算法需符合法律、法規(guī)的規(guī)定和密碼相關(guān)國家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)的有關(guān)要求；保證系統(tǒng)中使用的密碼技術(shù)需遵循密碼相關(guān)國家標(biāo)準(zhǔn)和行業(yè)標(biāo)準(zhǔn)；保證系統(tǒng)中使用的密碼產(chǎn)品均需符合GB/T37092的二級及以上的安全要求進(jìn)行密鑰的管理和密碼運算。網(wǎng)絡(luò)和通信安全風(fēng)險分析互聯(lián)網(wǎng)/電子政務(wù)外網(wǎng)PC端和云上業(yè)務(wù)系統(tǒng)之間、互聯(lián)網(wǎng)移動APP端和云上業(yè)務(wù)系統(tǒng)之間、互聯(lián)網(wǎng)/電子政務(wù)外網(wǎng)運維PC端和云上業(yè)務(wù)系統(tǒng)之間與云上業(yè)務(wù)系統(tǒng)之間的通信信道，未采用符合國密要求的密碼技術(shù)對通信實體進(jìn)行身份鑒別，未采用符合國密要求的密碼技術(shù)對網(wǎng)絡(luò)傳輸數(shù)據(jù)進(jìn)行機(jī)密性和完整性保護(hù)，未采用符合國密要求的密碼技術(shù)對網(wǎng)絡(luò)邊界訪問控制信息完整性進(jìn)行保護(hù)。本系統(tǒng)的通道梳理如下表格所示：表3-2云上業(yè)務(wù)系統(tǒng)網(wǎng)絡(luò)與通信保護(hù)對象表序號網(wǎng)絡(luò)類型通道通道名稱1互聯(lián)網(wǎng)業(yè)務(wù)通道互聯(lián)網(wǎng)PC端和云上業(yè)務(wù)系統(tǒng)之間的通信信道2業(yè)務(wù)通道互聯(lián)網(wǎng)移動APP端和云上業(yè)務(wù)系統(tǒng)之間的通信信道3運維通道互聯(lián)網(wǎng)運維PC端與云上業(yè)務(wù)系統(tǒng)之間的通信信道4電子政務(wù)外網(wǎng)業(yè)務(wù)通道電子政務(wù)外網(wǎng)PC端和云上業(yè)務(wù)系統(tǒng)之間的通信信道5運維通道電子政務(wù)外網(wǎng)運維PC端與云上業(yè)務(wù)系統(tǒng)之間的通信信道（1）身份鑒別：互聯(lián)網(wǎng)/電子政務(wù)外網(wǎng)PC端和云上業(yè)務(wù)系統(tǒng)之間、互聯(lián)網(wǎng)移動APP端和云上業(yè)務(wù)系統(tǒng)之間、互聯(lián)網(wǎng)/電子政務(wù)外網(wǎng)運維PC端和云上業(yè)務(wù)系統(tǒng)之間的通信信道，未使用符合國密局要求的密碼算法，基于協(xié)議中的數(shù)字簽名技術(shù)實現(xiàn)對服務(wù)端的通信實體進(jìn)行身份鑒別，保證通信實體身份的真實性，則存在通信實體身份假冒的風(fēng)險。（2）通信過程中重要數(shù)據(jù)的完整性：互聯(lián)網(wǎng)/電子政務(wù)外網(wǎng)PC端和云上業(yè)務(wù)系統(tǒng)之間的通信信道，互聯(lián)網(wǎng)移動APP端和云上業(yè)務(wù)系統(tǒng)之間的通信信道，互聯(lián)網(wǎng)/電子政務(wù)外網(wǎng)運維PC端和云上業(yè)務(wù)系統(tǒng)之間的通信信道，未使用符合國密局要求的密碼算法進(jìn)行通信過程中主要數(shù)據(jù)的完整性保護(hù)，存在重要數(shù)據(jù)被篡改的風(fēng)險。（3）通信過程中重要數(shù)據(jù)的機(jī)密性：互聯(lián)網(wǎng)/電子政務(wù)外網(wǎng)PC端和云上業(yè)務(wù)系統(tǒng)之間的通信信道，互聯(lián)網(wǎng)移動APP端和云上業(yè)務(wù)系統(tǒng)之間的通信信道，互聯(lián)網(wǎng)/電子政務(wù)外網(wǎng)運維PC端和云上業(yè)務(wù)系統(tǒng)之間的通信信道，未使用符合國密局要求的密碼算法進(jìn)行通信過程中主要數(shù)據(jù)的機(jī)密性，存在重要數(shù)據(jù)被竊取的風(fēng)險。（4）網(wǎng)絡(luò)邊界訪問控制信息完整性：網(wǎng)絡(luò)邊界設(shè)備為云平臺提供的安全設(shè)備，包括所用的安全認(rèn)證網(wǎng)關(guān)和防火墻，安全認(rèn)證網(wǎng)關(guān)和防火墻若不是合規(guī)的產(chǎn)品，并且未采用密碼技術(shù)保證網(wǎng)絡(luò)邊界訪問控制信息的完整性，則存在邊界訪問控制信息被篡改的風(fēng)險，導(dǎo)致網(wǎng)絡(luò)邊界訪問控制手段失效。（5）安全接入認(rèn)證：根據(jù)GB/T39786-2021《信息安全技術(shù)信息系統(tǒng)密碼應(yīng)用基本要求》對等級保護(hù)第三級信息系統(tǒng)的密碼應(yīng)用技術(shù)要求，安全接入認(rèn)證項應(yīng)用要求為“可”，同時接入系統(tǒng)的設(shè)備無安全接入認(rèn)證需求，在本次密碼應(yīng)用建設(shè)及測評時，可作不適用項處理。密碼應(yīng)用需求需要在云平臺數(shù)據(jù)接入?yún)^(qū)部署安全認(rèn)證網(wǎng)關(guān)，結(jié)合客戶端使用安全認(rèn)證客戶端，通過調(diào)用安全傳輸通道服務(wù)保證云上業(yè)務(wù)系統(tǒng)網(wǎng)絡(luò)邊界的訪問控制信息的完整性，保證云上業(yè)務(wù)系統(tǒng)通信數(shù)據(jù)在傳輸過程中的機(jī)密性和完整性，保證外部連接到內(nèi)部網(wǎng)絡(luò)的設(shè)備身份的真實性；實現(xiàn)對應(yīng)用系統(tǒng)的安全訪問。（1）需部署安全認(rèn)證網(wǎng)關(guān)，使用安全認(rèn)證網(wǎng)關(guān)與終端的安全認(rèn)證客戶端建立互聯(lián)網(wǎng)/電子政務(wù)外網(wǎng)PC端和云上業(yè)務(wù)系統(tǒng)之間、互聯(lián)網(wǎng)移動APP端和云上業(yè)務(wù)系統(tǒng)之間、互聯(lián)網(wǎng)/電子政務(wù)外網(wǎng)運維PC端和云上業(yè)務(wù)系統(tǒng)之間的通信信道，基于數(shù)字簽名的方式實現(xiàn)對服務(wù)端身份鑒別，數(shù)字證書由合規(guī)的證書機(jī)構(gòu)頒發(fā)，基于國密算法建立安全通信通道保證通信數(shù)據(jù)的傳輸機(jī)密性和完整性。（2）通過部署安全認(rèn)證網(wǎng)關(guān)，使用安全認(rèn)證網(wǎng)關(guān)自身實現(xiàn)云上業(yè)務(wù)系統(tǒng)用戶終端與服務(wù)端之間、云上業(yè)務(wù)系統(tǒng)運維終端與服務(wù)端之間網(wǎng)絡(luò)邊界的訪問控制信息的完整性。信息系統(tǒng)中使用的密碼算法需符合法律、法規(guī)的規(guī)定和密碼相關(guān)國家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)的有關(guān)要求；信息系統(tǒng)中使用的密碼技術(shù)需遵循密碼相關(guān)國家標(biāo)準(zhǔn)和行業(yè)標(biāo)準(zhǔn)；信息系統(tǒng)中使用的密碼服務(wù)平臺需符合法律法規(guī)的相關(guān)要求并經(jīng)商用密碼認(rèn)證機(jī)構(gòu)認(rèn)證合格的密碼服務(wù)；信息系統(tǒng)中使用的密碼產(chǎn)品均需符合GB/T37092的二級及以上的安全要求進(jìn)行密鑰的管理和密碼運算。設(shè)備和計算安全風(fēng)險分析（1）身份鑒別、遠(yuǎn)程管理通道安全：云上業(yè)務(wù)系統(tǒng)采用遠(yuǎn)程運維方式，運維人員在互聯(lián)網(wǎng)/電子政務(wù)外網(wǎng)通過瀏覽器，使用用戶名+口令的方式登錄云上業(yè)務(wù)系統(tǒng)虛擬應(yīng)用服務(wù)器、虛擬數(shù)據(jù)庫服務(wù)器、數(shù)據(jù)庫等虛擬機(jī)系統(tǒng)進(jìn)行管理，使用靜態(tài)口令方式登錄虛擬機(jī)，未使用密碼技術(shù)對運維人員登錄進(jìn)行身份鑒別，未使用合規(guī)的密碼技術(shù)建立安全管理通道，存在設(shè)備被非授權(quán)人員登錄、身份鑒別數(shù)據(jù)被非授權(quán)獲取或非授權(quán)使用等風(fēng)險。（2）訪問控制信息完整性：云上業(yè)務(wù)系統(tǒng)所涉及的虛擬應(yīng)用服務(wù)器、虛擬數(shù)據(jù)庫服務(wù)器、數(shù)據(jù)庫、堡壘機(jī)若均未使用密碼技術(shù)對系統(tǒng)資源訪問控制信息進(jìn)行完整性保護(hù)，則存在訪問控制信息被篡改的風(fēng)險，導(dǎo)致非法用戶登錄、越權(quán)訪問。（3）重要信息資源安全標(biāo)記完整性：對于重要信息資源安全標(biāo)記完整性，若云上業(yè)務(wù)系統(tǒng)無重要信息資源安全標(biāo)記需求，在本次密碼應(yīng)用建設(shè)及測評時，可作為不適用項。（4）日志記錄完整性：云上業(yè)務(wù)系統(tǒng)所涉及的虛擬應(yīng)用服務(wù)器、虛擬數(shù)據(jù)庫服務(wù)器、數(shù)據(jù)庫日志均用明文進(jìn)行存儲，未使用密碼技術(shù)進(jìn)行完整性保護(hù)，則存在設(shè)備日志記錄被非授權(quán)篡改風(fēng)險。（5）重要可執(zhí)行程序完整性、重要可執(zhí)行程序來源真實性：應(yīng)用服務(wù)器、數(shù)據(jù)庫服務(wù)器、數(shù)據(jù)庫等設(shè)備的程序未使用密碼技術(shù)進(jìn)行完整性保護(hù)，使用或讀取程序時，未對其進(jìn)行完整性來源真實性校驗，則存在重要程序被非授權(quán)篡改、來源不可信的風(fēng)險。密碼應(yīng)用需求（1）為云上業(yè)務(wù)系統(tǒng)運維管理人員PC端配發(fā)USB接口的智能密碼鑰匙（以下簡稱“USBKey”），采用密碼技術(shù)對登錄安全認(rèn)證網(wǎng)關(guān)的運維人員進(jìn)行身份鑒別。虛擬應(yīng)用服務(wù)器、虛擬數(shù)據(jù)庫服務(wù)器、數(shù)據(jù)庫采用合規(guī)的密碼技術(shù)對登錄人員進(jìn)行身份鑒別改造難度較大，則需采用合規(guī)的密碼技術(shù)登錄安全認(rèn)證網(wǎng)關(guān)后建立集中管理通道降低此類設(shè)備的身份鑒別風(fēng)險。（2）需部署安全認(rèn)證網(wǎng)關(guān)，使用安全認(rèn)證網(wǎng)關(guān)建立國密安全通道，保證運維人員與安全認(rèn)證網(wǎng)關(guān)之間的通道安全；通過運維人員與安全認(rèn)證網(wǎng)關(guān)之間的通道安全緩解安全認(rèn)證網(wǎng)關(guān)與服務(wù)器、數(shù)據(jù)庫之間的通道安全。（3）需部署簽名驗簽服務(wù)器，使用簽名驗簽服務(wù)器，對虛擬應(yīng)用服務(wù)器、虛擬數(shù)據(jù)庫服務(wù)器、數(shù)據(jù)庫等虛擬機(jī)日志進(jìn)行數(shù)字簽名實現(xiàn)完整性保護(hù)。（4）需部署簽名驗簽服務(wù)器，使用簽名驗簽服務(wù)器，對虛擬應(yīng)用服務(wù)器、虛擬數(shù)據(jù)庫服務(wù)器、數(shù)據(jù)庫等虛擬機(jī)系統(tǒng)資源訪問控制信息進(jìn)行數(shù)字簽名實現(xiàn)完整性保護(hù)。（5）需部署簽名驗簽服務(wù)器，使用簽名驗簽服務(wù)器，對虛擬應(yīng)用服務(wù)器、虛擬數(shù)據(jù)庫服務(wù)器、數(shù)據(jù)庫等虛擬機(jī)重要可執(zhí)行程序進(jìn)行數(shù)字簽名實現(xiàn)完整性和來源的真實性保護(hù)。信息系統(tǒng)中使用的密碼算法需符合法律、法規(guī)的規(guī)定和密碼相關(guān)國家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)的有關(guān)要求；信息系統(tǒng)中使用的密碼技術(shù)需遵循密碼相關(guān)國家標(biāo)準(zhǔn)和行業(yè)標(biāo)準(zhǔn)；信息系統(tǒng)中使用的密碼服務(wù)平臺需符合法律法規(guī)的相關(guān)要求并經(jīng)商用密碼認(rèn)證機(jī)構(gòu)認(rèn)證合格的密碼服務(wù)；信息系統(tǒng)中使用的密碼產(chǎn)品均需符合GB/T37092的二級及以上的安全要求進(jìn)行密鑰的管理和密碼運算。應(yīng)用和數(shù)據(jù)安全風(fēng)險分析（1）身份鑒別：云上業(yè)務(wù)系統(tǒng)用戶在互聯(lián)網(wǎng)/電子政務(wù)外網(wǎng)上通過PC端瀏覽器訪問方式，使用用戶名+口令進(jìn)行登錄；云上業(yè)務(wù)用戶在互聯(lián)網(wǎng)上通過移動端APP使用用戶名+口令進(jìn)行登錄；均未使用密碼技術(shù)對登錄用戶進(jìn)行身份鑒別，存在應(yīng)用被非授權(quán)人員登錄風(fēng)險。（2）訪問控制信息完整性：云上業(yè)務(wù)系統(tǒng)未使用密碼技術(shù)對系統(tǒng)用戶訪問權(quán)限控制列表進(jìn)行完整性保護(hù)，存在應(yīng)用資源被非授權(quán)用戶獲取的風(fēng)險。（3）重要信息資源安全標(biāo)記完整性：對于重要信息資源安全標(biāo)記完整性，若云上業(yè)務(wù)系統(tǒng)無重要信息資源安全標(biāo)記需求，在本次密碼應(yīng)用建設(shè)及測評時，可作為不適用項。（4）重要數(shù)據(jù)機(jī)密性、完整性：云上業(yè)務(wù)系統(tǒng)用戶登錄身份鑒別信息、在系統(tǒng)中流轉(zhuǎn)的重要數(shù)據(jù)均明文傳輸、存儲，未使用密碼技術(shù)進(jìn)行傳輸、存儲機(jī)密性、完整性保護(hù)，存在身份鑒別數(shù)據(jù)等關(guān)鍵數(shù)據(jù)被竊取和非授權(quán)篡改風(fēng)險。（5）不可否認(rèn)性：根據(jù)云上業(yè)務(wù)系統(tǒng)實際需求，如有審批文件等的簽章等行為，若未使用密碼技術(shù)進(jìn)行操作不可否認(rèn)性保護(hù)，則存在人員否認(rèn)所做操作的風(fēng)險。密碼應(yīng)用需求（1）需在xxx政務(wù)云平臺數(shù)據(jù)接入?yún)^(qū)部署符合密碼相關(guān)國家、行業(yè)標(biāo)準(zhǔn)要求的安全認(rèn)證網(wǎng)關(guān)，在PC端用戶配發(fā)USBKey，內(nèi)置合規(guī)的國密SM2算法證書，采用基于SM2算法的數(shù)字簽名技術(shù)，實現(xiàn)對PC端登錄云上業(yè)務(wù)系統(tǒng)用戶的安全身份鑒別，防止非授權(quán)人員登錄。（2）在云上業(yè)務(wù)系統(tǒng)移動APP端中部署符合密碼相關(guān)國家、行業(yè)標(biāo)準(zhǔn)要求的移動端密碼模塊（二級）、在云平臺互聯(lián)網(wǎng)數(shù)據(jù)接入?yún)^(qū)部署符合密碼相關(guān)國家、行業(yè)標(biāo)準(zhǔn)要求的安全認(rèn)證網(wǎng)關(guān)、協(xié)同簽名系統(tǒng)，配合合規(guī)的證書機(jī)構(gòu)給移動端密碼模塊（二級）頒發(fā)合規(guī)的數(shù)字證書，采用基于SM2算法的數(shù)字簽名技術(shù)實現(xiàn)登錄應(yīng)用用戶的安全身份鑒別，防止非授權(quán)人員登錄。（3）需部署簽名驗簽服務(wù)器，對云上業(yè)務(wù)系統(tǒng)訪問控制信息進(jìn)行完整性保護(hù)，防止應(yīng)用資源被非授權(quán)用戶篡改。（4）需部署安全認(rèn)證網(wǎng)關(guān)，對PC端涉及的重要數(shù)據(jù)進(jìn)行傳輸機(jī)密性、完整性保護(hù)，實現(xiàn)重要數(shù)據(jù)在傳輸過程中的防竊取和防篡改保護(hù)。（5）需部署云密碼機(jī)、簽名驗簽服務(wù)器，對PC端涉及的重要數(shù)據(jù)進(jìn)行存儲機(jī)密性、完整性保護(hù)，實現(xiàn)重要數(shù)據(jù)在存儲過程中的防竊取和防篡改保護(hù)。（6）需部署電子簽章系統(tǒng)、時間戳服務(wù)器，使用SM2國密算法的簽名技術(shù)實現(xiàn)數(shù)據(jù)原發(fā)行為的不可否認(rèn)性和數(shù)據(jù)接收行為的不可否認(rèn)性。信息系統(tǒng)中使用的密碼算法符合法律、法規(guī)的規(guī)定和密碼相關(guān)國家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)的有關(guān)要求；信息系統(tǒng)中使用的密碼技術(shù)遵循密碼相關(guān)國家標(biāo)準(zhǔn)和行業(yè)標(biāo)準(zhǔn)；信息系統(tǒng)中使用的密碼服務(wù)平臺符合法律法規(guī)的相關(guān)要求并經(jīng)商用密碼認(rèn)證機(jī)構(gòu)認(rèn)證合格的密碼服務(wù)；信息系統(tǒng)中使用的密碼產(chǎn)品均為符合GB/T37092的二級及以上的安全要求進(jìn)行密鑰的管理和密碼運算。安全管理根據(jù)四川省密碼管理局安全管理要求，應(yīng)制定通用的《信息安全管理制度匯編》，該安全管理制度匯編內(nèi)容涉及安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運維管理等5個方面的安全管理要求。管理制度制定密碼應(yīng)用安全管理制度、密鑰管理規(guī)則以及對管理人員或操作人員執(zhí)行的日常管理操作建立操作規(guī)程，并定期對密碼應(yīng)用安全管理制度和操作規(guī)程的合理性和適用性進(jìn)行論證和審定，對存在不足或需要改進(jìn)之處進(jìn)行修訂，明確相關(guān)密碼應(yīng)用安全管理制度和操作規(guī)程的發(fā)布流程并進(jìn)行版本控制，并對具有密碼應(yīng)用操作規(guī)程的相關(guān)執(zhí)行記錄并妥善保存。人員管理密碼技術(shù)的信息系統(tǒng)的相關(guān)人員應(yīng)了解并遵守密碼相關(guān)法律法規(guī)、密碼應(yīng)用安全管理制度，建立密碼應(yīng)用崗位責(zé)任制度，明確各崗位在安全系統(tǒng)中的職責(zé)和權(quán)限，建立上崗人員培訓(xùn)制度，對于涉及密碼的操作和管理的人員進(jìn)行專門培訓(xùn)，確保其具備崗位所需專業(yè)技能，并定期對密碼應(yīng)用安全崗位人員進(jìn)行考核，建立關(guān)鍵人員保密制度和調(diào)離制度，簽訂保密合同，承擔(dān)保密義務(wù)。建設(shè)運行依據(jù)《基本要求》，制定基于租戶系統(tǒng)密碼應(yīng)用改造方案，并根據(jù)密碼應(yīng)用改造方案，確定系統(tǒng)涉及的密鑰種類、體系及其生命周期環(huán)節(jié)，并按照制定的密鑰管理制度嚴(yán)格執(zhí)行對各密鑰種類、體系對密鑰進(jìn)行全生命周期的管理，并委托密評機(jī)構(gòu)對密碼應(yīng)用改造方案進(jìn)行評估，評估通過后，根據(jù)密碼應(yīng)用改造方案制定具體可行的系統(tǒng)實施方案并建設(shè)密碼保障系統(tǒng)。密碼保障系統(tǒng)建設(shè)完成之后，在投入運行前進(jìn)行密碼應(yīng)用安全性評估，評估通過后系統(tǒng)方可正式運行。在運行過程中，嚴(yán)格執(zhí)行上述的密碼應(yīng)用安全管理制度，并定期開展密碼應(yīng)用安全性評估及攻防對抗演習(xí)，并根據(jù)評估結(jié)果進(jìn)行整改，保證密碼應(yīng)用系統(tǒng)的安全性。應(yīng)急處置針對系統(tǒng)的密碼應(yīng)用方案，指定對應(yīng)的應(yīng)急處置方案，并做好應(yīng)急資源準(zhǔn)備，明確密碼安全事件處理流程及其它管理措施。并在事件發(fā)生后，及時向信息系統(tǒng)主管部門進(jìn)行報告，同時立即啟動應(yīng)急處置方案，結(jié)合實際情況及時處置，并在事件處置完成后，及時向信息系統(tǒng)主管部門及歸屬的密碼管理部門報告事件發(fā)生情況及處置情況。密鑰管理要求密鑰生命周期管理系統(tǒng)密鑰管理需求密鑰產(chǎn)生密鑰可以以隨機(jī)產(chǎn)生、協(xié)商產(chǎn)生等不同的方式來產(chǎn)生，應(yīng)在符合GB/T37092的密碼產(chǎn)品中產(chǎn)生，產(chǎn)生的同時在密碼產(chǎn)品中記錄密鑰關(guān)聯(lián)信息，包括密鑰種類、長度、擁有者、使用起始時間、使用終止時間等。密鑰分發(fā)密鑰分發(fā)是密鑰從一個密碼產(chǎn)品傳遞到另一個密碼產(chǎn)品的過程，分發(fā)時要注意抗截取、篡改、假冒等攻擊，保證密鑰的機(jī)密性、完整性以及分發(fā)者、接收者身份的真實性等。密鑰存儲密鑰不以明文方式存儲在密碼產(chǎn)品外部，需采取嚴(yán)格的安全防護(hù)措施，防止密鑰被非授權(quán)的訪問或篡改。密鑰使用每個密鑰應(yīng)明確用途，并按用途正確使用。密鑰使用環(huán)節(jié)需要注意：使用密鑰前獲得授權(quán)、使用公鑰證書前對其進(jìn)行有效性驗證、采用安全措施防止密鑰的泄露和替換等。另外，密鑰應(yīng)設(shè)定更換周期，并采取有效措施保證密鑰更換時的安全性。密鑰更新密鑰更新發(fā)生在密鑰超過使用期限、已泄露或存在泄露風(fēng)險時，根據(jù)相應(yīng)的更新策略進(jìn)行更新。密鑰歸檔如果信息系統(tǒng)中有密鑰歸檔需求，則根據(jù)實際安全需求采取有效的安全措施，保證歸檔密鑰的安全性和正確性。需要注意的是，歸檔密鑰只能用于解密該密鑰加密的歷史信息或驗證該密鑰簽名的歷史信息。如果執(zhí)行密鑰歸檔，則必須生成審計信息，包括歸檔的密鑰、歸檔的時間等。密鑰撤銷密鑰撤銷一般針對公鑰證書所對應(yīng)的密鑰。當(dāng)證書到期后，密鑰自然撤銷；也可以按需進(jìn)行密鑰撤銷，撤銷后的密鑰不再具備使用效力。密鑰備份對于需要備份的密鑰，采用安全的備份機(jī)制對密鑰進(jìn)行備份是必要的，以確保備份密鑰的機(jī)密性和完整性，這與密鑰存儲的要求是一致的。密鑰備份行為是審計涉及的范圍，有必要生成審計信息，包括備份的主體、備份的時間等。密鑰恢復(fù)可以支持用戶密鑰恢復(fù)和司法密鑰恢復(fù)。密鑰恢復(fù)行為是審計涉及的范圍，有必要生成審計信息，包括恢復(fù)的主體、恢復(fù)的時間等。密鑰銷毀如果系統(tǒng)中有銷毀密鑰的需要，則要注意密鑰銷毀要注意的是銷毀過程的不可逆，即無法從銷毀結(jié)果中恢復(fù)原密鑰。設(shè)計目標(biāo)及原則設(shè)計目標(biāo)本方案設(shè)計目標(biāo)為滿足xxx政務(wù)云平臺自身符合商用密碼應(yīng)用測評要求，為xxx政務(wù)云平臺提供密碼資源服務(wù)能力，使其能夠通過密評。設(shè)計原則總體性原則密碼在信息系統(tǒng)中的應(yīng)用不是孤立的，必須與信息系統(tǒng)的業(yè)務(wù)相結(jié)合才能發(fā)揮密碼的作用。密碼應(yīng)用方案應(yīng)做好頂層設(shè)計，明確應(yīng)用需求和預(yù)期目標(biāo)，與信息系統(tǒng)整體安全保護(hù)等級相結(jié)合，通過系統(tǒng)總體方案和密碼支撐體系總體架構(gòu)設(shè)計，來引導(dǎo)密碼在信息系統(tǒng)中的應(yīng)用。對于正在規(guī)劃階段的新建系統(tǒng)，應(yīng)同時設(shè)計系統(tǒng)總體方案和密碼支撐體系總體架構(gòu)；對于已建但未規(guī)劃密碼應(yīng)用方案的系統(tǒng)，信息系統(tǒng)責(zé)任單位要通過調(diào)研分析，梳理形成系統(tǒng)當(dāng)前密碼應(yīng)用的總體架構(gòu)圖，提煉密碼應(yīng)用方案，作為后續(xù)測評實施的基礎(chǔ)?？茖W(xué)性原則GB/T39786-2021《信息安全技術(shù)信息系統(tǒng)密碼應(yīng)用基本要求》是密碼應(yīng)用的通用要求，在應(yīng)用方案設(shè)計時不能機(jī)械照搬，或簡單地對照每項要求堆砌密碼產(chǎn)品，應(yīng)通過成體系、分層次的設(shè)計，形成包括密碼支撐體系總體架構(gòu)、密碼基礎(chǔ)設(shè)施建設(shè)部署、密鑰管理體系構(gòu)建、密碼產(chǎn)品部署及管理等內(nèi)容的總體方案。通過密碼應(yīng)用方案設(shè)計，為實現(xiàn)《信息安全技術(shù)信息系統(tǒng)密碼應(yīng)用基本要求》在具體信息系統(tǒng)上的落地創(chuàng)造條件。完備性原則信息系統(tǒng)安全防護(hù)效果遵循“木桶原理”，即任何一個方面存在安全風(fēng)險均有可能導(dǎo)致信息系統(tǒng)安全防護(hù)體系的崩塌。密碼應(yīng)用方案設(shè)計，應(yīng)按照GB/T39786-2021《信息安全技術(shù)信息系統(tǒng)密碼應(yīng)用基本要求》對密碼技術(shù)應(yīng)用（包括物理和環(huán)境安全、網(wǎng)絡(luò)和通信安全、設(shè)備和計算安全、應(yīng)用和數(shù)據(jù)安全四個層面）、密鑰管理和安全管理的相關(guān)要求，組成完備的密碼支撐保障體系。可行性原則密碼應(yīng)用方案設(shè)計需進(jìn)行可行性論證，在保證信息系統(tǒng)業(yè)務(wù)正常運行的同時，綜合考慮信息系統(tǒng)的復(fù)雜性、兼容性及其他保障措施等因素，保證方案切合實際、合理可行。要科學(xué)評估密碼應(yīng)用解決方案和實施方案，可采取整體設(shè)計、分期建設(shè)、穩(wěn)步推進(jìn)的策略，結(jié)合實際情況制訂項目組織實施計劃。設(shè)計依據(jù)主要依據(jù)GB/T39786-2021《信息安全技術(shù)信息系統(tǒng)密碼應(yīng)用基本要求》（以下簡稱《基本要求》）《信息系統(tǒng)密碼應(yīng)用測評要求》《信息系統(tǒng)密碼應(yīng)用測評過程指南》《信息系統(tǒng)密碼應(yīng)用高風(fēng)險判定指引》《商用密碼應(yīng)用安全性評估量化評估規(guī)則》密碼相關(guān)政策法規(guī)《網(wǎng)絡(luò)安全法》《密碼法》《2006-2020年國家信息化發(fā)展戰(zhàn)略》（中辦發(fā)〔2006〕11號）2018年7月中共中央辦公廳、xxx印發(fā)的《金融和重要領(lǐng)域密碼應(yīng)用與創(chuàng)新發(fā)展工作規(guī)劃（2018-2022)》《國家政務(wù)信息化項目建設(shè)管理辦法》（國辦發(fā)〔2019〕57號）《政務(wù)信息系統(tǒng)密碼應(yīng)用與安全性評估工作指南》(2020版)密碼相關(guān)標(biāo)準(zhǔn)規(guī)范GB/T35273-2020《信息安全技術(shù)個人信息安全規(guī)范》GM/T0054-2018《信息系統(tǒng)密碼應(yīng)用基本要求》《信息系統(tǒng)密碼測評要求》（試行）《商用密碼應(yīng)用安全性評估測評過程指南》（試行）《商用密碼應(yīng)用安全性評估測評作業(yè)指導(dǎo)書》（試行）技術(shù)方案依據(jù)《基本要求》，制定xxx政務(wù)云平臺密碼應(yīng)用方案，并委托密評機(jī)構(gòu)對密碼應(yīng)用改造方案進(jìn)行評估，評估通過后，建設(shè)密碼保障系統(tǒng)，制定密碼相關(guān)的管理制度，系統(tǒng)改造完成后，依據(jù)密碼應(yīng)用改造方案對xxx政務(wù)云平臺進(jìn)行密碼應(yīng)用安全性評估。云平臺密碼應(yīng)用技術(shù)云平臺密碼支撐應(yīng)用xxx政務(wù)云平臺所在機(jī)房擬建設(shè)商用密碼資源為xxx政務(wù)云平臺提供密碼服務(wù)，為云平臺提供數(shù)字證書簽發(fā)、安全傳輸通道、數(shù)據(jù)加解密、簽名驗簽等密碼服務(wù)。密碼資源使用符合國家密碼法規(guī)和標(biāo)準(zhǔn)規(guī)定的密碼算法，使用經(jīng)過國家密碼管理局核準(zhǔn)的密碼產(chǎn)品，遵循等級保護(hù)和密評相關(guān)規(guī)范。結(jié)合第3章密碼應(yīng)用需求，設(shè)計密碼應(yīng)用技術(shù)框架如圖5-1所示。圖5-SEQ圖5-\*ARABIC1密碼應(yīng)用總體框架圖業(yè)務(wù)系統(tǒng)密碼應(yīng)用主要由密碼資源、物理和環(huán)境安全、網(wǎng)絡(luò)和通信安全、設(shè)備和計算安全、應(yīng)用和數(shù)據(jù)安全、安全管理六大部分組成。物理和環(huán)境安全：主要是指xxx政務(wù)云平臺所在機(jī)房電子門禁系統(tǒng)和機(jī)房視頻監(jiān)控設(shè)備安全，為xxx政務(wù)云平臺所在機(jī)房負(fù)責(zé)建設(shè)。網(wǎng)絡(luò)和通信安全：主要是指xxx政務(wù)云平臺的遠(yuǎn)程訪問通信，運程運維管理要采用密碼技術(shù)實現(xiàn)身份鑒別、訪問控制信息完整性保護(hù)、通信數(shù)據(jù)的機(jī)密性和完整性保護(hù)。本方案采用安全認(rèn)證網(wǎng)關(guān)+安全認(rèn)證客戶端的模式，從網(wǎng)絡(luò)層和應(yīng)用層保障網(wǎng)絡(luò)和通信安全。設(shè)備和計算安全：主要是指承載xxx政務(wù)云平臺應(yīng)用服務(wù)器、數(shù)據(jù)庫服務(wù)器設(shè)備和計算環(huán)境的安全，包括采用密碼技術(shù)對訪問這些設(shè)備的實體身份鑒別、遠(yuǎn)程管理通道安全、訪問控制信息和日志信息的完整性保護(hù)、重要可執(zhí)行程序的完整性保護(hù)等內(nèi)容。應(yīng)用和數(shù)據(jù)安全：主要是指對xxx政務(wù)云平臺的訪問操作以及重要數(shù)據(jù)的安全保護(hù)，包括采用密碼技術(shù)對終端用戶訪問系統(tǒng)服務(wù)端的身份鑒別、訪問控制信息的完整性保護(hù)，重要數(shù)據(jù)的在傳輸和存儲過程中的機(jī)密性和完整性保護(hù)。安全管理：主要是指對xxx政務(wù)云平臺的物理和環(huán)境、網(wǎng)絡(luò)和通信設(shè)備、服務(wù)器計算設(shè)備等運維管理、業(yè)務(wù)訪問相關(guān)的安全管理制度、人員管理機(jī)制、系統(tǒng)建設(shè)運行以及相應(yīng)的應(yīng)急處置辦法和措施。密碼服務(wù)管理平臺（含身份認(rèn)證系統(tǒng)）：為承載xxx政務(wù)云平臺的物理環(huán)境、網(wǎng)絡(luò)通信、計算設(shè)備以及業(yè)務(wù)系統(tǒng)自身提供符合國密要求的密碼服務(wù)能力，確保訪問實體的真實性、數(shù)據(jù)信息的機(jī)密性和完整性保護(hù)，滿足業(yè)務(wù)系統(tǒng)的密碼應(yīng)用合規(guī)性要求。各密碼資源設(shè)備或系統(tǒng)具體功能描述如下：（1）數(shù)據(jù)加解密服務(wù)（云密碼機(jī)）：采用標(biāo)準(zhǔn)國密SM4分組對稱加密算法、SM2橢圓曲線公鑰密碼算法和SM3密碼雜湊算法。為云上業(yè)務(wù)系統(tǒng)提供基礎(chǔ)的加密/解密、數(shù)據(jù)簽名驗簽、數(shù)據(jù)摘要等密碼運算服務(wù)。（2）安全傳輸通道服務(wù)（安全認(rèn)證網(wǎng)關(guān)）：主要用于應(yīng)用與用戶之間建立安全的信息加密傳輸通道，對客戶端使用證書認(rèn)證進(jìn)行身份鑒別，加密通信數(shù)據(jù)，提供SSLVPN或IPSecVPN接入服務(wù)。（3）簽名驗簽服務(wù)（簽名驗簽服務(wù)器）：按照GM/T0029-2014《簽名驗簽服務(wù)器技術(shù)規(guī)范》要求，封裝了基于SM2/SM3算法的PKCS#1、PKCS#7、XML等格式的簽名/驗證功能;支持消息、數(shù)據(jù)、文件等多種源數(shù)據(jù)形式。用于服務(wù)端為應(yīng)用實體提供基于PKI體系和數(shù)字證書的數(shù)字簽名、簽名驗證等運算。簽名驗簽服務(wù)器通過密碼資源對xxx政務(wù)云平臺提供簽名驗簽服務(wù)。（4）數(shù)字證書簽發(fā)服務(wù)（數(shù)字證書認(rèn)證系統(tǒng)）：實現(xiàn)數(shù)字證書的申請、更新、撤銷、恢復(fù)、證書制作等證書全生命周期管理。為業(yè)務(wù)應(yīng)用訪問提供基于密碼技術(shù)的強(qiáng)身份鑒別能力。對各密碼資源（設(shè)備或系統(tǒng)）提供對稱密鑰、非對稱密鑰的產(chǎn)生、存儲、更新、恢復(fù)、撤銷等密鑰生命周期的管理，保障密鑰全生命周期安全。（5）電子簽章服務(wù)（電子簽章系統(tǒng)）：利用圖像處理技術(shù)將電子簽名操作轉(zhuǎn)化為與紙質(zhì)文件蓋章操作相同的可視效果，同時利用電子簽名技術(shù)保障電子信息的真實性和完整性以及簽名人的不可否認(rèn)性。（6）協(xié)同簽名服務(wù)（協(xié)同簽名系統(tǒng)）：用于移動端為遠(yuǎn)程訪問建立安全的網(wǎng)絡(luò)傳輸通道，實現(xiàn)網(wǎng)絡(luò)層數(shù)據(jù)的機(jī)密性和完整性保護(hù)。（7）時間戳服務(wù)（時間戳服務(wù)器）：以PKI技術(shù)為基礎(chǔ)，結(jié)合權(quán)威時間(國家標(biāo)準(zhǔn)時間)、數(shù)字證書以及數(shù)字簽名技術(shù)，用于保證網(wǎng)絡(luò)行為時間屬性的真實性、完整性和不可抵賴性。產(chǎn)品采用國產(chǎn)化硬件平臺，支持國密算法，符合國家相關(guān)標(biāo)準(zhǔn)規(guī)范，為應(yīng)用提供權(quán)威可信的時間戳服務(wù)。（8）智能密碼鑰匙：也稱USBKey，主要提供證書認(rèn)證、簽名驗簽、雜湊等密碼運算服務(wù)，實現(xiàn)信息的完整性、真實性和不可否認(rèn)性保護(hù)，同時提供一定的存儲空間，用于存放數(shù)字證書等用戶身份憑證數(shù)據(jù)。用于國密VPN的接入驗證。物理和環(huán)境安全物理和環(huán)境安全層面的對象為xxx政務(wù)云平臺所在機(jī)房，xxx政務(wù)云平臺按照三級密評要求對該層面進(jìn)行標(biāo)準(zhǔn)建設(shè)。在xxx政務(wù)云平臺所在機(jī)房部署符合GM/T0036-2014標(biāo)準(zhǔn)要求的電子門禁系統(tǒng)對進(jìn)出機(jī)房人員進(jìn)行身份鑒別，對電子門禁系統(tǒng)進(jìn)出記錄數(shù)據(jù)進(jìn)行存儲完整性保護(hù)；部署符合國密要求的視頻監(jiān)控系統(tǒng)，并對視頻監(jiān)控系統(tǒng)進(jìn)出記錄數(shù)據(jù)進(jìn)行存儲完整性保護(hù)。網(wǎng)絡(luò)和通信安全密碼保護(hù)對象如表所示，網(wǎng)絡(luò)和通信需采用密碼保護(hù)的對象是xxx政務(wù)云平臺與通信實體之間的網(wǎng)絡(luò)通道，包括通信實體在通信過程身份的真實性、通信數(shù)據(jù)的機(jī)密性和完整性、以及網(wǎng)絡(luò)邊界訪問控制信息的完整性。表5-1云平臺網(wǎng)絡(luò)與通信保護(hù)對象表序號網(wǎng)絡(luò)類型通道通道名稱1互聯(lián)網(wǎng)業(yè)務(wù)通道互聯(lián)網(wǎng)管理端與云平臺之間的通信信道2電子政務(wù)外網(wǎng)業(yè)務(wù)通道電子政務(wù)外網(wǎng)管理端與云平臺之間的通信信道3局域網(wǎng)業(yè)務(wù)通道云平臺管理端與云平臺之間的通信信道4局域網(wǎng)運維通道運維PC端與云平臺系統(tǒng)之間的通信信道采用的密碼措施通過建設(shè)符合法律、法規(guī)規(guī)定，符合密碼相關(guān)國家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)有關(guān)要求的安全認(rèn)證網(wǎng)關(guān)，提供安全傳輸通道服務(wù)，保證網(wǎng)絡(luò)層的通信安全。云平臺運維PC端、互聯(lián)網(wǎng)/電子政務(wù)外網(wǎng)/云平臺管理端使用安全認(rèn)證客戶端，配合云平臺數(shù)據(jù)接入?yún)^(qū)中部署的安全認(rèn)證網(wǎng)關(guān)，提供安全傳輸通道服務(wù)，構(gòu)建國密算法安全傳輸通道，對通信實體進(jìn)行身份鑒別，實現(xiàn)接入認(rèn)證，同時，保證xxx政務(wù)云平臺的重要數(shù)據(jù)在傳輸過程中的機(jī)密性和完整性。身份鑒別、機(jī)密性、完整性保護(hù)：互聯(lián)網(wǎng)/電子政務(wù)外網(wǎng)/云平臺管理端與云平臺之間、云平臺運維人員PC端與云平臺之間，通過在云平臺數(shù)據(jù)接入?yún)^(qū)部署安全認(rèn)證網(wǎng)關(guān)，提供安全傳輸通道服務(wù)，建立國密通信信道，安全認(rèn)證網(wǎng)關(guān)的數(shù)字證書由云平臺電子政務(wù)外網(wǎng)服務(wù)區(qū)中部署的數(shù)字證書認(rèn)證系統(tǒng)頒發(fā)，算法為SM2算法，通過SM2\SM3算法實現(xiàn)通信實體真實性鑒別，通信數(shù)據(jù)傳輸?shù)耐暾院蜋C(jī)密性保護(hù)。訪問控制信息完整性保護(hù)：通過在云平臺數(shù)據(jù)接入?yún)^(qū)部署的安全認(rèn)證網(wǎng)關(guān)，使用安全認(rèn)證網(wǎng)關(guān)自身實現(xiàn)互聯(lián)網(wǎng)/電子政務(wù)外網(wǎng)/云平臺管理端與云平臺之間、云平臺運維PC端與云平臺系統(tǒng)之間網(wǎng)絡(luò)邊界的訪問控制信息的完整性。安全接入認(rèn)證：根據(jù)GB/T39786-2021《信息安全技術(shù)信息系統(tǒng)密碼應(yīng)用基本要求》對等級保護(hù)第三級信息系統(tǒng)的密碼應(yīng)用技術(shù)要求，安全接入認(rèn)證項應(yīng)用要求為“可”，同時接入系統(tǒng)的設(shè)備無安全接入認(rèn)證需求，在本次密碼應(yīng)用建設(shè)及測評時，可作不適用項處理。設(shè)備和計算安全密碼保護(hù)對象設(shè)備和計算安全保護(hù)的對象是云平臺提供的應(yīng)用服務(wù)器、數(shù)據(jù)庫服務(wù)器、數(shù)據(jù)庫、堡壘機(jī)等設(shè)備和計算環(huán)境的安全，保障訪問計算設(shè)備的身份鑒別、遠(yuǎn)程管理通道安全、系統(tǒng)資源訪問控制信息完整性、日志記錄完整性、重要可執(zhí)行程序完整性、重要可執(zhí)行程序來源真實性。采用的密碼措施在云平臺數(shù)據(jù)接入?yún)^(qū)部署安全認(rèn)證網(wǎng)關(guān)，再通過數(shù)據(jù)接入?yún)^(qū)部署的堡壘機(jī)，對云平臺的應(yīng)用服務(wù)器、數(shù)據(jù)庫服務(wù)器、數(shù)據(jù)庫等進(jìn)行運維管理。（1）身份鑒別：①云平臺運維人員使用智能密碼鑰匙（USBKey）登錄云平臺數(shù)據(jù)接入?yún)^(qū)部署的安全認(rèn)證網(wǎng)關(guān)，使用云平臺電子政務(wù)外網(wǎng)服務(wù)區(qū)密碼資源池中部署的數(shù)字證書認(rèn)證系統(tǒng)頒發(fā)的國密證書，采用SM2公鑰密碼算法的數(shù)字簽名方式對登錄人員進(jìn)行身份鑒別。②運維人員登錄安全認(rèn)證網(wǎng)關(guān)后，再使用用戶名+口令登錄堡壘機(jī)，運維管理應(yīng)用服務(wù)器、數(shù)據(jù)庫服務(wù)器、數(shù)據(jù)庫，采用用戶名+口令的方式登錄云平臺服務(wù)器、數(shù)據(jù)庫進(jìn)行運維，基于堡壘機(jī)、服務(wù)器和數(shù)據(jù)庫的建設(shè)難度較大，采用合規(guī)的方式對安全認(rèn)證網(wǎng)關(guān)登錄的運維人員進(jìn)行身份鑒別作為風(fēng)險緩解措施。③密碼產(chǎn)品均具備《商用密碼產(chǎn)品認(rèn)證證書》。密碼操作員管理密碼產(chǎn)品時，采用數(shù)字證書認(rèn)證系統(tǒng)生成的SM2數(shù)字證書，使用智能密碼鑰匙基于SM2公鑰密碼算法的數(shù)字簽名技術(shù)實現(xiàn)身份鑒別。（2）遠(yuǎn)程管理通道安全：①通過采用SM2和SM3算法，保證安全認(rèn)證網(wǎng)關(guān)與堡壘機(jī)之間的通道安全，通過在云平臺數(shù)據(jù)接入?yún)^(qū)部署的安全認(rèn)證網(wǎng)關(guān)，采用國密證書和國密協(xié)議算法建立合規(guī)的遠(yuǎn)程集中管理通道，堡壘機(jī)采用TLS協(xié)議，協(xié)商的算法套件為AES256、HMAC-SHA-256來保證堡壘機(jī)的遠(yuǎn)程通道安全，緩解堡壘機(jī)的遠(yuǎn)程管理通道安全。②運維人員在對云平臺應(yīng)用服務(wù)器、數(shù)據(jù)庫服務(wù)器進(jìn)行運維管理時，由于應(yīng)用服務(wù)器、數(shù)據(jù)庫服務(wù)器、數(shù)據(jù)庫市面上大多為成熟的設(shè)備，且目前尚未發(fā)布例如基于國密的SSH協(xié)議標(biāo)準(zhǔn)，遠(yuǎn)程管理應(yīng)用服務(wù)器、數(shù)據(jù)庫服務(wù)器、數(shù)據(jù)庫的連接通道目前難以改造，因此通過在云平臺數(shù)據(jù)接入?yún)^(qū)部署的安全認(rèn)證網(wǎng)關(guān)，采用國密證書和國密協(xié)議算法建立合規(guī)的遠(yuǎn)程集中管理通道，緩解服務(wù)器、數(shù)據(jù)庫的遠(yuǎn)程管理通道安全。③密碼產(chǎn)品均具備《商用密碼產(chǎn)品認(rèn)證證書》。在進(jìn)行密碼產(chǎn)品遠(yuǎn)程運維時，使用云平臺電子政務(wù)外網(wǎng)服務(wù)區(qū)密碼資源池中部署的數(shù)字證書認(rèn)證系統(tǒng)為密碼產(chǎn)品簽發(fā)的SM2數(shù)字證書站點證書，管理端采用安全認(rèn)證客戶端建立國密SSL協(xié)議加密傳輸通道，通過國產(chǎn)密碼算法套件保障傳輸?shù)臋C(jī)密性和完整性。（3）系統(tǒng)資源的訪問控制信息完整性：①堡壘機(jī)、服務(wù)器、數(shù)據(jù)庫目前產(chǎn)品成熟，遵循權(quán)限分離原則，只分配給管理員完成操作所需的最小權(quán)限，通過嚴(yán)格的管理措施降低安全風(fēng)險，在本次密碼應(yīng)用建設(shè)中不進(jìn)行建設(shè)。②密碼產(chǎn)品均具備《商用密碼產(chǎn)品認(rèn)證證書》，其系統(tǒng)資源訪問控制信息完整性由密碼產(chǎn)品自身保障。（4）重要信息資源安全標(biāo)記完整性：設(shè)備不涉及重要信息資源安全標(biāo)記，無需采用密碼措施進(jìn)行保護(hù)。（5）日志記錄完整性：①堡壘機(jī)、服務(wù)器、數(shù)據(jù)庫目前產(chǎn)品成熟，日志記錄完整性由自身的審計功能實現(xiàn)，在本次密碼應(yīng)用建設(shè)中不進(jìn)行建設(shè)。②密碼產(chǎn)品均具備《商用密碼產(chǎn)品認(rèn)證證書》，其日志記錄完整性由密碼產(chǎn)品自身保障。（6）重要可執(zhí)行程序進(jìn)行完整性和來源真實性：①堡壘機(jī)、服務(wù)器、數(shù)據(jù)庫目前產(chǎn)品成熟，執(zhí)行程序從其官方進(jìn)行獲取并經(jīng)過管理部門嚴(yán)格審批方能上線應(yīng)用，一定程度上降低了本項安全風(fēng)險，在本次密碼應(yīng)用建設(shè)中不進(jìn)行建設(shè)。②密碼產(chǎn)品均具備《商用密碼產(chǎn)品認(rèn)證證書》，其重要可執(zhí)行程序完整性由密碼產(chǎn)品自身保障,程序來源真實性從官方進(jìn)行獲取。應(yīng)用和數(shù)據(jù)安全云平臺通過對接密碼資源，對鏡像數(shù)據(jù)、賬號信息、租戶業(yè)務(wù)數(shù)據(jù)、網(wǎng)絡(luò)邊界訪問控制信息、應(yīng)用訪問控制信息、日志記錄等業(yè)務(wù)數(shù)據(jù)進(jìn)行加密和簽名，可實現(xiàn)信息在傳輸和存儲過程中的機(jī)密性和完整性保護(hù)。密碼保護(hù)對象應(yīng)用和數(shù)據(jù)安全的密碼保護(hù)對象為云平臺，通過密碼技術(shù)保障運維用戶身份鑒別、系統(tǒng)資源訪問控制信息完整性、信息系統(tǒng)重要數(shù)據(jù)在存儲和傳輸過程中的完整性，機(jī)密性保護(hù)。采用的密碼措施（1）身份鑒別：云平臺的租戶管理端、運營端，統(tǒng)一身份鑒別組件均采用支持賬號口令+USBKey雙因子方式身份鑒別，采用云平臺電子政務(wù)外網(wǎng)服務(wù)區(qū)密碼資源池中部署的數(shù)字證書認(rèn)證系統(tǒng)頒發(fā)的SM2國密證書、基于公鑰算法的數(shù)字簽名技術(shù)，實現(xiàn)對云平臺的租戶管理端、運營端登錄人員的安全身份鑒別，防止非授權(quán)人員登錄。（2）訪問權(quán)限控制信息完整性：在云平臺運維區(qū)部署簽名驗簽服務(wù)器，采用基于SM3、SM2算法的數(shù)字簽名技術(shù),實現(xiàn)對云平臺數(shù)據(jù)庫中存儲的訪問策略控制信息的完整性保護(hù)，防止被非授權(quán)用戶篡改。密鑰由簽名驗簽服務(wù)器自身來提供密鑰管理服務(wù)。（3）重要數(shù)據(jù)傳輸?shù)臋C(jī)密性和完整性：在云平臺數(shù)據(jù)接入?yún)^(qū)部署符合GM/T0026-2014《安全認(rèn)證網(wǎng)關(guān)產(chǎn)品規(guī)范》的安全認(rèn)證網(wǎng)關(guān)，建立客戶/服務(wù)端之間數(shù)據(jù)傳輸?shù)膰躍SL通道，實現(xiàn)重要數(shù)據(jù)在傳輸過程的機(jī)密性和完整性保護(hù)的風(fēng)險緩解和修正，防止數(shù)據(jù)被竊取和篡改。（4）重要數(shù)據(jù)存儲的機(jī)密性和完整性：①在云平臺運維區(qū)部署密碼機(jī)，采用符合國密要求的SM4算法，進(jìn)行加解密運算，實現(xiàn)對云平臺涉及的重要數(shù)據(jù)進(jìn)行加密存儲。SM4密鑰由密碼機(jī)自身來提供密鑰管理服務(wù)。②在云平臺運維區(qū)部署簽名驗簽服務(wù)器，采用基于SM3、SM2算法的數(shù)字簽名技術(shù)，實現(xiàn)對云平臺涉及的重要數(shù)據(jù)的完整性保護(hù)。密鑰由簽名驗簽服務(wù)器自身來提供密鑰管理服務(wù)。③在云平臺運維區(qū)部署簽名驗簽服務(wù)器，提供符合GM/T0029-2014《簽名驗簽服務(wù)器技術(shù)規(guī)范》的簽名驗簽服務(wù)，采用SM3、SM2算法的數(shù)字簽名技術(shù)，對云平臺重要數(shù)據(jù)（平臺審計日志）數(shù)據(jù)、虛擬機(jī)的鏡像數(shù)據(jù)進(jìn)行完整性保護(hù)，確保日志數(shù)據(jù)、虛擬機(jī)的鏡像的完整性，保證日志數(shù)據(jù)、虛擬機(jī)的鏡像不被篡改。密鑰由簽名驗簽服務(wù)器自身來提供密鑰管理服務(wù)。（5）不可否認(rèn)性：云平臺不涉及需要進(jìn)行法律責(zé)任認(rèn)定的行為，也無司法取證的需求，因此該項為不適用。云租戶密碼應(yīng)用技術(shù)密碼服務(wù)管理平臺為滿足云租戶密評場景，部署密碼資源池，提供基礎(chǔ)的密鑰管理和密碼運算為基礎(chǔ)，從用戶系統(tǒng)業(yè)務(wù)角度進(jìn)行密碼應(yīng)用方案規(guī)劃，為云租戶各應(yīng)用業(yè)務(wù)系統(tǒng)提供安全合規(guī)的密碼服務(wù)及對應(yīng)的密碼服務(wù)管理服務(wù)，從而助力云租戶業(yè)務(wù)應(yīng)用快速實現(xiàn)密碼技術(shù)的安全集成與應(yīng)用，提升客戶業(yè)務(wù)安全性，滿足《GBT39786-2021信息安全技術(shù)信息系統(tǒng)密碼應(yīng)用基本要求》中對應(yīng)的指標(biāo)要求，并為通過密碼應(yīng)用安全性評估奠定基礎(chǔ)。圖5-2密碼服務(wù)管理平臺框架圖密碼服務(wù)管理平臺基于云技術(shù)和密鑰管理技術(shù)，將傳統(tǒng)密碼技術(shù)運用在云業(yè)務(wù)上。通過虛擬化技術(shù)，將在提升密碼服務(wù)性能、穩(wěn)定性、合理利用資源以及降低整體成本等方面發(fā)揮重要作用。通過密鑰管理技術(shù)既保證了密鑰安全，同時又將傳統(tǒng)的密碼資源（傳統(tǒng)密碼設(shè)備對密鑰、數(shù)據(jù)、運算等全面管理，耦合度太高，擴(kuò)展性差）僅作為一種密碼服務(wù)運算設(shè)備，使得密碼運算可以實現(xiàn)資源堆疊，可靈活擴(kuò)展和分配資源。密碼服務(wù)管理平臺架構(gòu)如上圖所示，核心分為四大部分：一是各類密碼資源，包括云密碼機(jī)、簽名驗簽服務(wù)器、時間戳服務(wù)器等，資源可以動態(tài)擴(kuò)展類型和數(shù)量；第二部分是云平臺，是整個密碼服務(wù)管理平臺軟件的承載平臺，提供承載密碼資源的代理服務(wù)（虛擬服務(wù)）；第三部分是密碼服務(wù)管理平臺管理，包括密碼設(shè)備管理、密碼服務(wù)管理、密鑰管理、應(yīng)用管理、角色管理、認(rèn)證授權(quán)、系統(tǒng)監(jiān)控與展示等，是密碼服務(wù)管理平臺的管理核心；第四部分是密碼服務(wù)對外服務(wù)接口，為各類應(yīng)用提供所需的各種密碼服務(wù)。云密碼服務(wù)概述數(shù)據(jù)加解密服務(wù)為保證云上業(yè)務(wù)系統(tǒng)中應(yīng)用數(shù)據(jù)存儲和傳輸?shù)陌踩?，需對存儲和傳輸?shù)臄?shù)據(jù)進(jìn)行加密保護(hù)，云密碼機(jī)為云上業(yè)務(wù)系統(tǒng)提供基于國產(chǎn)密碼算法的數(shù)據(jù)加密服務(wù)，支持包括通用應(yīng)用數(shù)據(jù)、應(yīng)用配置信息、用戶敏感數(shù)據(jù)等內(nèi)容的加解密功能，可通過接口調(diào)用的方式獲取數(shù)據(jù)加密服務(wù)，也可以通過配置管理界面添加相關(guān)信息的方式實現(xiàn)敏感數(shù)據(jù)的加密保護(hù)功能。云密碼機(jī)主要支持一下密碼服務(wù)功能：支持基于國密SM1、SM4算法的加解密服務(wù)；支持應(yīng)用信息加密功能，支持?jǐn)?shù)據(jù)庫連接串加密，主要包括數(shù)據(jù)庫連接串的新增、刪除，數(shù)據(jù)庫連接串加密密鑰配置等功能；支持敏感信息加密，主要包括裸格式、xml、ini文件格式的數(shù)據(jù)加密，支持加密保護(hù)密鑰和完整性保護(hù)密鑰的配置；支持隱私信息加密功能，支持手機(jī)號、身份證號、銀行卡號等隱私數(shù)據(jù)加密，支持文件加密、口令加密和敏感數(shù)據(jù)加密等功能；支持應(yīng)用管理功能，主要包括應(yīng)用的新增、刪除、停用、啟用，應(yīng)用配置可配置認(rèn)證方式，無認(rèn)證或訪問密鑰形式認(rèn)證；支持應(yīng)用授權(quán)功能，將指定密鑰授權(quán)給指定應(yīng)用。云密碼機(jī)可應(yīng)用于數(shù)據(jù)進(jìn)行機(jī)密性、完整性保護(hù)的應(yīng)用場景。滿足《GB/T39786-2021信息安全技術(shù)信息系統(tǒng)密碼應(yīng)用基本要求》中應(yīng)用和數(shù)據(jù)部分?jǐn)?shù)據(jù)傳輸和存儲的機(jī)密性、完整性保護(hù)?；谝陨厦艽a服務(wù)功能的實現(xiàn)，云上業(yè)務(wù)系統(tǒng)需對接的服務(wù)接口主要包括數(shù)據(jù)加解密接口、MAC計算接口、MAC驗證接口、批量數(shù)據(jù)加解密接口、文件加解密接口、非對稱密碼算法加解密接口、摘要計算接口、HMAC計算接口、對稱密鑰生成接口、密鑰導(dǎo)入、導(dǎo)出接口等接口的對接。安全傳輸通道服務(wù)云平臺提供的安全傳輸通道服務(wù)采用基于國密算法的SSL協(xié)議對HTTP協(xié)議進(jìn)行加密(即HTTPS)，以確保在整個數(shù)據(jù)傳輸過程中的信息安全性。安全傳輸通道服務(wù)支持以下密碼服務(wù)內(nèi)容：支持網(wǎng)關(guān)服務(wù)管理，主要包括網(wǎng)關(guān)服務(wù)新增、配置、刪除等功能；支持多種服務(wù)類型，主要包括http、https、TCPtoTCP+SSL、TCPtoTCP、UDP、UDP+DTLS等；支持單向認(rèn)證、雙向認(rèn)證等SSL類型；支持多種SSL協(xié)議，如SSLv3、TLSv1、TLSv1.1、TLSv1.2；支持多種SSL算法，如SM4-SM3、SM2-SM4-SM3、ECC-SM4-SM3、ECDHE-SM4-SM3、AES128-SHA256、AES256-SHA256等國密及國際算法；支持負(fù)載均衡，負(fù)載策略包括簡單輪詢、IP哈希、輪詢、最小連接、最小響應(yīng)等；支持網(wǎng)關(guān)服務(wù)器組配置，包括網(wǎng)關(guān)服務(wù)器組新增、編輯、查看、組中添加服務(wù)器等配置功能，支持網(wǎng)關(guān)服務(wù)器組中的服務(wù)器的啟用和停用功能；支持網(wǎng)關(guān)服務(wù)證書管理，網(wǎng)關(guān)服務(wù)支持RSA證書和SM2算法證書，支持證書的新增、查看、修改、停用等功能；支持可信證書鏈的添加，支持CSR請求、證書導(dǎo)入和下載的功能；支持對輸出流量、新建連接數(shù)、并發(fā)連接數(shù)等進(jìn)行監(jiān)控。該服務(wù)可應(yīng)用于網(wǎng)絡(luò)層通信實體的身份鑒別場景、網(wǎng)絡(luò)層傳輸數(shù)據(jù)的機(jī)密性和完整性保護(hù)的應(yīng)用場景。滿足《GB/T39786-2021信息安全技術(shù)信息系統(tǒng)密碼應(yīng)用基本要求》中網(wǎng)絡(luò)和通信部分通信實體的身份鑒別、網(wǎng)絡(luò)層通信數(shù)據(jù)的機(jī)密性和完整性保護(hù)、網(wǎng)絡(luò)邊界訪問控制信息完整性保護(hù)的要求。為了實現(xiàn)基本要求的要求內(nèi)容，需在業(yè)務(wù)應(yīng)用系統(tǒng)中部署SSL網(wǎng)關(guān)服務(wù)，并進(jìn)行相關(guān)的配置，主要包括配置網(wǎng)關(guān)服務(wù)類型、配置單雙向SSL認(rèn)證類型、配置SSL協(xié)議版本、配置SSL支持算法、配置負(fù)載均衡策略、配置服務(wù)器組、導(dǎo)入服務(wù)器證書等，配置完成之后即可實現(xiàn)服務(wù)端網(wǎng)絡(luò)和通信部分的基本要求。簽名驗簽服務(wù)密碼服務(wù)管理平臺提供的簽名驗簽服務(wù)采用國密SM2算法為業(yè)務(wù)系統(tǒng)提供簽名、驗簽、數(shù)字信封的編制和解封、公鑰加密、私鑰解密等密碼服務(wù)；為適應(yīng)多種應(yīng)用場景下的簽名方式，簽名密碼服務(wù)支持多種簽名驗簽方式，如PKCS#1簽名/驗證、PKCS#7Attach和Dettach方式的簽名/驗證；通知支持多種數(shù)格式的簽名和驗證，如提供對二進(jìn)制、字符串、HASH值等內(nèi)容的簽名驗證；支持該服務(wù)下的證書管理功能，包括根證書管理和用戶證書管理，其中根證書管理功能主要包括根證書導(dǎo)入、查看、下載、刪除等功能；用戶證書管理主要包括生成證書請求、證書導(dǎo)入、PFX密鑰導(dǎo)入、證書刪除、證書啟用/停用等功能，實現(xiàn)基于數(shù)字證書的身份鑒別的功能，保證訪問用戶身份的真實性和可靠性。密碼服務(wù)為業(yè)務(wù)應(yīng)用提供統(tǒng)一的接口進(jìn)行對接，在簽名密碼服務(wù)實例中，支持調(diào)用該服務(wù)的應(yīng)用管理，主要包括應(yīng)用的新增、刪除、啟用、停用等功能，支持應(yīng)用訪問密鑰管理，支持應(yīng)用密鑰授權(quán)等功能，從而實現(xiàn)訪問密碼服務(wù)的應(yīng)用為授權(quán)合法的應(yīng)用，避免非法應(yīng)用調(diào)用密碼服務(wù)資源；支持該服務(wù)下的密鑰管理功能，主要包括密鑰隨機(jī)生成、非對稱密鑰對的生成、密鑰合成方式生成、密鑰刪除、密鑰啟用、密鑰停用、設(shè)置密鑰授權(quán)碼等功能，密鑰作為密碼技術(shù)的核心，其生成、使用、存儲都是在安全合規(guī)的密碼機(jī)中完成，能夠保證密鑰在生成、使用和存儲過程中的安全性，從而提升整個應(yīng)用系統(tǒng)的安全。該服務(wù)可應(yīng)用于基于國產(chǎn)密碼技術(shù)的身份鑒別、數(shù)據(jù)完整性、來源真實性、不可否認(rèn)性保護(hù)等應(yīng)用場景。滿足《GB/T39786-2021信息安全技術(shù)信息系統(tǒng)密碼應(yīng)用基本要求》中應(yīng)用和數(shù)據(jù)部分用戶登錄應(yīng)用系統(tǒng)的身份鑒別、數(shù)據(jù)傳輸和存儲完整性保護(hù)、數(shù)據(jù)及重要可執(zhí)行程序來源真實性保護(hù)、數(shù)據(jù)原發(fā)行為和接收行為不可否認(rèn)性保護(hù)等要求內(nèi)容。基于以上密碼服務(wù)功能的實現(xiàn)，業(yè)務(wù)應(yīng)用系統(tǒng)需對接的服務(wù)接口主要包括編制裸簽名接口、驗證裸簽名接口、編制P7格式簽名接口、驗證P7格式簽名接口、公鑰加密接口、私鑰解密接口、密鑰對生成接口、證書有效性驗證接口等接口。數(shù)字證書簽發(fā)服務(wù)由電子政務(wù)外網(wǎng)服務(wù)區(qū)密碼資源池中部署的數(shù)字證書認(rèn)證系統(tǒng)提供數(shù)字證書簽發(fā)服務(wù)，支持簽發(fā)國密SM2算法證書，支持對數(shù)字證書的全生命周期管理，提供證書的更新、延期、凍結(jié)、解凍、撤銷、恢復(fù)、下載制證等操作，發(fā)起的操作均需在注冊審核系統(tǒng)中進(jìn)行審核。協(xié)同簽名服務(wù)密碼服務(wù)管理平臺提供的協(xié)同簽名服務(wù)，結(jié)合移動智能終端作為身份認(rèn)證載體，以密碼技術(shù)為核心，通過融合數(shù)字證書、生物識別、設(shè)備指紋、安全加固等多因素、多維度安全技術(shù)，為用戶提供移動終端環(huán)境下的可信身份認(rèn)證服務(wù)。在不增加額外設(shè)備的前提下，讓用戶輕松實現(xiàn)“一刷一掃”，即刻完成安全登錄。協(xié)同簽名服務(wù)主要支持以下功能：基于協(xié)同的方式生成密鑰對，用戶私鑰采用密鑰分割的方式安全的保存在移動終端和服務(wù)端的硬件密碼設(shè)備中；支持基于協(xié)同計算的方式實現(xiàn)基于私鑰的運算，主要包括協(xié)同簽名、協(xié)同解密，支持國密SM2算法；該服務(wù)可應(yīng)用于應(yīng)用層身份鑒別的應(yīng)用場景。滿足GB/T39786-2021《信息安全技術(shù)信息系統(tǒng)密碼應(yīng)用基本要求》中云上業(yè)務(wù)系統(tǒng)用戶身份鑒別的要求。為了實現(xiàn)基本要求的要求內(nèi)容，需給云上業(yè)務(wù)系統(tǒng)提供協(xié)同簽名服務(wù)，和客戶端聯(lián)動實現(xiàn)基于私鑰的簽名和解密的運算，該部分主要針對移動終端的接口對接，主要包括協(xié)同生成SM2密鑰對接口、導(dǎo)出SM2公鑰接口、協(xié)同加解密密鑰對導(dǎo)入接口、SM2協(xié)同簽名計算接口、SM2驗簽接口、SM2加密接口、SM2協(xié)同解密接口、摘要計算接口、請求生成證書接口、更新證書接口等服務(wù)接口的對接。電子簽章服務(wù)電子簽章服務(wù)可以為云上業(yè)務(wù)系統(tǒng)提供底層密鑰管理、密碼運算、證書管理、簽章模板管理及簽章接口服務(wù)。通過規(guī)范的系統(tǒng)管理能力，幫助用戶在使用過程中規(guī)避業(yè)務(wù)風(fēng)險，簡化交互過程，在滿足規(guī)范、法律法規(guī)要求的前提下，提供多維度、多功能、靈活的應(yīng)用方法，為終端用戶帶來更高的用戶體驗。電子簽章密碼服務(wù)支持以下功能：提供基于國密算法的可信身份認(rèn)證、可靠電子簽名、可信證據(jù)服務(wù)等服務(wù)；支持多種文件格式的簽章服務(wù)，主要包括PDF、OFD等格式的簽章功能；支持電子印章管理，電子簽章模板管理等功能；支持該服務(wù)下的根證書管理功能，包括根證書導(dǎo)入、查看、下載、刪除等功能；支持該服務(wù)下的應(yīng)用的管理，主要包括應(yīng)用的新增、刪除、啟用、停用等功能；支持應(yīng)用訪問密鑰管理，如訪問密鑰的生成、下載、刪除、啟用、停用；支持應(yīng)用密鑰授權(quán)等功能，應(yīng)用的認(rèn)證方式和是否授權(quán)可根據(jù)需求進(jìn)行選擇；支持簽章證書管理，主要包括生成簽章證書請求、簽章證書導(dǎo)入、密鑰導(dǎo)入、簽章證書刪除、簽章證書啟用/停用、設(shè)置私鑰授權(quán)碼等功能。該服務(wù)可應(yīng)用于原發(fā)證據(jù)和接收證據(jù)的不可否認(rèn)性、電子證據(jù)固化、電子保單、電子合同固化、知識產(chǎn)權(quán)保護(hù)、電子招投標(biāo)等應(yīng)用場景。滿足GB/T39786-2021《信息安全技術(shù)信息系統(tǒng)密碼應(yīng)用基本要求》中應(yīng)用和數(shù)據(jù)部分?jǐn)?shù)據(jù)原發(fā)證據(jù)和數(shù)據(jù)接收證據(jù)，數(shù)據(jù)原發(fā)行為和接收行為不可否認(rèn)性保護(hù)等要求內(nèi)容?；谝陨厦艽a服務(wù)功能的實現(xiàn)，云上業(yè)務(wù)系統(tǒng)需對接的服務(wù)接口主要包括生成電子印章接口、驗證電子印章接口、加蓋電子簽章接口、驗證電子簽章接口等接口。時間戳服務(wù)密碼服務(wù)管理平臺提供的時間戳服務(wù)采用國密數(shù)字簽名技術(shù)對產(chǎn)生的數(shù)據(jù)進(jìn)行時間戳的加蓋，簽名的對象包括了原始文件信息、簽名參數(shù)、簽名時間等信息。時間戳服務(wù)用來產(chǎn)生和管理時間戳，以證明原始文件在簽名時間之前已經(jīng)存在。可信時間戳是一個電子憑證，用于證明電子數(shù)據(jù)文件自申請可信時間戳后內(nèi)容保持完整、未被更改，并將起到電子檔案和檔案數(shù)字化副本內(nèi)容防篡改、保障檔案的法律憑證的作用。根據(jù)《電子簽名法》有關(guān)數(shù)據(jù)電文原件形式的要求，申請了可信時間戳認(rèn)證的電子文件、電子檔案或紙質(zhì)檔案的數(shù)字化副本等可視為法規(guī)規(guī)定的原件形式。時間戳服務(wù)支持的主要功能如下：提供時間戳生成、時間戳驗證、時間戳證書解析、時間戳算法配置、時間戳證書配置等服務(wù)；支持時間戳根證書管理，主要包括根證書的導(dǎo)入、下載、查看、刪除等功能；支持該服務(wù)下的應(yīng)用管理，主要包括應(yīng)用的新增、刪除、啟用、停用等功能，支持對應(yīng)用信息進(jìn)行編輯，支持對應(yīng)用訪問密鑰進(jìn)行管理，支持應(yīng)用密鑰授權(quán)等功能；支持時間戳證書管理，主要包括生成證書請求、證書導(dǎo)入、證書刪除、證書啟用/停用等功能。該服務(wù)可應(yīng)用于基于時效性不可否認(rèn)性的應(yīng)用場景。滿足《GB/T39786-2021信息安全技術(shù)信息系統(tǒng)密碼應(yīng)用基本要求》中應(yīng)用和數(shù)據(jù)部分?jǐn)?shù)據(jù)原發(fā)證據(jù)和數(shù)據(jù)接收證據(jù)，數(shù)據(jù)原發(fā)行為和接收行為不可否認(rèn)性保護(hù)等要求內(nèi)容?；谝陨厦艽a服務(wù)功能的實現(xiàn)，業(yè)務(wù)應(yīng)用系統(tǒng)需對接的服務(wù)接口主要包括時間戳生成接口、時間戳驗證接口、獲取時間戳信息接口等接口對接。物理和環(huán)境安全云上業(yè)務(wù)系統(tǒng)部署于xxx政務(wù)云平臺所在的機(jī)房，由于機(jī)房未建設(shè)符合密碼相關(guān)國家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)有關(guān)要求的電子門禁系統(tǒng)、視頻監(jiān)控系統(tǒng)保證其物理和環(huán)境的安全，因此在該機(jī)房部署符合GM/T0036-2014標(biāo)準(zhǔn)要求的電子門禁系統(tǒng)對進(jìn)出機(jī)房人員進(jìn)行身份鑒別，對電子門禁系統(tǒng)進(jìn)出記錄數(shù)據(jù)進(jìn)行存儲完整性保護(hù)；部署符合國密要求的視頻監(jiān)控系統(tǒng)，并對視頻監(jiān)控系統(tǒng)進(jìn)出記錄數(shù)據(jù)進(jìn)行存儲完整性保護(hù)。網(wǎng)絡(luò)和通信安全網(wǎng)絡(luò)和通信安全層面，要求采用密碼技術(shù)，實現(xiàn)對通信實體的身份鑒別、訪問控制信息的完整性保護(hù)和數(shù)據(jù)傳輸?shù)臋C(jī)密性與完整性保護(hù)，在客戶端與服務(wù)之間建立一條安全的數(shù)據(jù)傳輸通道。通過在數(shù)據(jù)接入?yún)^(qū)部署安全認(rèn)證網(wǎng)關(guān)，采用SM2\SM3\SM4算法實現(xiàn)物理區(qū)域網(wǎng)絡(luò)的安全連接。保證辦公人員，運維、管理人員等可以通過安全通道訪問云上業(yè)務(wù)系統(tǒng)。通過采用密碼技術(shù)建立VPN安全隧道，從網(wǎng)絡(luò)層面實現(xiàn)了通信實體的身份鑒別、訪問控制信息的完整性保護(hù)和數(shù)據(jù)傳輸?shù)臋C(jī)密性與完整性保護(hù)。密碼保護(hù)對象如表5-2所示，網(wǎng)絡(luò)和通信需采用密碼保護(hù)的對象是業(yè)務(wù)系統(tǒng)與外部通信實體之間的網(wǎng)絡(luò)通道，包括通信實體在通信過程身份的真實性、通信數(shù)據(jù)的機(jī)密性和完整性、以及網(wǎng)絡(luò)邊界訪問控制信息的完整性。表5-2云上業(yè)務(wù)系統(tǒng)網(wǎng)絡(luò)與通信保護(hù)對象表序號網(wǎng)絡(luò)類型通道通道名稱1互聯(lián)網(wǎng)業(yè)務(wù)通道互聯(lián)網(wǎng)PC端和云上業(yè)務(wù)系統(tǒng)之間的通信信道2業(yè)務(wù)通道互聯(lián)網(wǎng)移動APP端和云上業(yè)務(wù)系統(tǒng)之間的通信信道3運維通道互聯(lián)網(wǎng)運維PC端與云上業(yè)務(wù)系統(tǒng)之間的通信信道4電子政務(wù)外網(wǎng)業(yè)務(wù)通道電子政務(wù)外網(wǎng)PC端和云上業(yè)務(wù)系統(tǒng)之間的通信信道5運維通道電子政務(wù)外網(wǎng)運維PC端與云上業(yè)務(wù)系統(tǒng)之間的通信信道采用的密碼措施（1）身份鑒別、機(jī)密性、完整性保護(hù)：①互聯(lián)網(wǎng)/電子政務(wù)外網(wǎng)PC端、運維PC端到云上業(yè)務(wù)系統(tǒng)之間，給互聯(lián)網(wǎng)/電子政務(wù)外網(wǎng)PC端、運維PC端配置安全認(rèn)證客戶端，通過在數(shù)據(jù)接入?yún)^(qū)部署的安全認(rèn)證網(wǎng)關(guān)，建立國密通信信道，安全認(rèn)證網(wǎng)關(guān)的數(shù)字證書由電子政務(wù)外網(wǎng)服務(wù)區(qū)密碼資源池中部署的數(shù)字證書認(rèn)證系統(tǒng)頒發(fā)，證書算法為SM2算法，通信過程中通過SM2\SM3\SM4算法實現(xiàn)通信實體真實性鑒別、通信數(shù)據(jù)傳輸?shù)耐暾院蜋C(jī)密性保護(hù)。②互聯(lián)網(wǎng)辦公人員移動APP端到云上業(yè)務(wù)系統(tǒng)之間，通過在數(shù)據(jù)接入?yún)^(qū)部署的安全認(rèn)證網(wǎng)關(guān)、協(xié)同簽名系統(tǒng)，并給互聯(lián)網(wǎng)移動APP端配備終端密碼模塊建立國密安全通道，采用電子政務(wù)外網(wǎng)服務(wù)區(qū)密碼資源池中部署的數(shù)字證書認(rèn)證系統(tǒng)頒發(fā)的SM2算法證書，對服務(wù)端通信實體進(jìn)行真實性鑒別，采用國密算法保證通信數(shù)據(jù)的傳輸完整性和機(jī)密性保護(hù)。③互聯(lián)網(wǎng)公眾用戶移動APP端訪問業(yè)務(wù)通道時，采用國際TLS1.2協(xié)議建立通道，采用合規(guī)的證書機(jī)構(gòu)為服務(wù)端實體頒發(fā)RSA2048證書實現(xiàn)實體的身份鑒別，在通信過程中采用安全的算法如AES算法、HMAC-SHA256算法保證通信數(shù)據(jù)的傳輸機(jī)密性、完整性作為緩解措施。（2）訪問控制信息完整性保護(hù)：①對于互聯(lián)網(wǎng)及電子政務(wù)外網(wǎng)系統(tǒng)管理員訪問通道、運維人員訪問通道、辦公人員訪問通道，網(wǎng)絡(luò)邊界部署具備商用密碼產(chǎn)品認(rèn)證證書的安全認(rèn)證網(wǎng)關(guān)，通過合規(guī)設(shè)備本身實現(xiàn)網(wǎng)絡(luò)邊界訪問控制完整性安全防護(hù)。②對于互聯(lián)網(wǎng)公眾用戶移動APP端訪問通道，網(wǎng)絡(luò)邊界設(shè)備為防火墻，設(shè)備由安全廠家提供，因超出本系統(tǒng)建設(shè)范圍，故不納入本次建設(shè)范圍，邊界訪問控制信息完整性，為不符合。（3）安全接入認(rèn)證：根據(jù)GB/T39786-2021《信息安全技術(shù)信息系統(tǒng)密碼應(yīng)用基本要求》對等級保護(hù)第三級信息系統(tǒng)的密碼應(yīng)用技術(shù)要求，安全接入認(rèn)證項應(yīng)用要求為“可”，同時接入系統(tǒng)的設(shè)備無安全接入認(rèn)證需求，在本次密碼應(yīng)用建設(shè)及測評時，可作不適用項處理。設(shè)備和計算安全密碼保護(hù)對象設(shè)備和計算安全保護(hù)的對象是承載云上業(yè)務(wù)系統(tǒng)的虛擬應(yīng)用服務(wù)器、虛擬數(shù)據(jù)庫服務(wù)器、數(shù)據(jù)庫、堡壘機(jī)等設(shè)備和計算環(huán)境的安全，保障訪問計算設(shè)備的身份鑒別、遠(yuǎn)程管理通道安全、系統(tǒng)資源訪問控制信息完整性、日志記錄完整性、重要可執(zhí)行程序完整性、重要可執(zhí)行程序來源真實性。采用的密碼措施在數(shù)據(jù)接入?yún)^(qū)部署安全認(rèn)證網(wǎng)關(guān)，云上業(yè)務(wù)系統(tǒng)運維人員通過安全認(rèn)證網(wǎng)關(guān)，對云上業(yè)務(wù)系統(tǒng)的安裝程序、升級包和日志信息等進(jìn)行運維管理。（1）身份鑒別：①云上業(yè)務(wù)系統(tǒng)運維人員使用智能密碼鑰匙登錄數(shù)據(jù)接入?yún)^(qū)部署的安全認(rèn)證網(wǎng)關(guān)，使用電子政務(wù)外網(wǎng)服務(wù)區(qū)密碼資源池中部署的數(shù)字證書認(rèn)證系統(tǒng)頒發(fā)的國密證書，采用SM2公鑰密碼算法的數(shù)字簽名方式對登錄人員進(jìn)行身份鑒別。②運維人員登錄安全認(rèn)證網(wǎng)關(guān)后，采用用戶名+口令的方式登錄云上業(yè)務(wù)系統(tǒng)虛擬服務(wù)器、數(shù)據(jù)庫進(jìn)行運維，基于服務(wù)器和數(shù)據(jù)庫的建設(shè)難度較大，采用合規(guī)的方式對安全認(rèn)證網(wǎng)關(guān)登錄的運維人員進(jìn)行身份鑒別作為風(fēng)險緩解措施。③密碼產(chǎn)品（安全認(rèn)證網(wǎng)關(guān)、密碼服務(wù)管理平臺、云密碼機(jī)、簽名驗簽服務(wù)器、電子簽章系統(tǒng)、協(xié)同簽名系統(tǒng)、時間戳服務(wù)器、數(shù)字證書認(rèn)證系統(tǒng)等），均具備《商用密碼產(chǎn)品認(rèn)證證書》。密碼操作員管理密碼產(chǎn)品時，采用電子政務(wù)外網(wǎng)服務(wù)區(qū)密碼資源池中部署的數(shù)字證書認(rèn)證系統(tǒng)生成的SM2數(shù)字證書使用USBKey登錄密碼產(chǎn)品，使用SM2公鑰密碼算法的數(shù)字簽名技術(shù)實現(xiàn)身份鑒別。（2）遠(yuǎn)程管理通道安全：①通過在數(shù)據(jù)接入?yún)^(qū)部署的安全認(rèn)證網(wǎng)關(guān)，采用國密證書和國密協(xié)議算法建立合規(guī)的遠(yuǎn)程集中管理通道，緩解通過堡壘機(jī)進(jìn)行遠(yuǎn)程管理的通道安全。②運維人員在對云上業(yè)務(wù)系統(tǒng)的虛擬應(yīng)用服務(wù)器、虛擬數(shù)據(jù)庫服務(wù)器進(jìn)行遠(yuǎn)程運維管理時，由于服務(wù)器、數(shù)據(jù)庫服務(wù)器、數(shù)據(jù)庫本身在市面上大多為成熟的設(shè)備，且目前尚未發(fā)布例如基于國密的SSH協(xié)議標(biāo)準(zhǔn)，遠(yuǎn)程管理應(yīng)用服務(wù)器、數(shù)據(jù)庫服務(wù)器、數(shù)據(jù)庫的連接通道目前難以改造，因此通過在數(shù)據(jù)接入?yún)^(qū)部署的安全認(rèn)證網(wǎng)關(guān)，采用國密證書和國密協(xié)議算法建立合規(guī)的遠(yuǎn)程集中管理通道，緩解服務(wù)器、數(shù)據(jù)庫的遠(yuǎn)程管理通道安全。③密碼產(chǎn)品（安全認(rèn)證網(wǎng)關(guān)、密碼服務(wù)管理平臺、云密碼機(jī)、簽名驗簽服務(wù)器、電子簽章系統(tǒng)、協(xié)同簽名系統(tǒng)、時間戳服務(wù)器、數(shù)字證書認(rèn)證系統(tǒng)等），均具備《商用密碼產(chǎn)品認(rèn)證證書》。在進(jìn)行密碼產(chǎn)品遠(yuǎn)程運維時，使用電子政務(wù)外網(wǎng)服務(wù)區(qū)密碼資源池中部署的數(shù)字證書認(rèn)證系統(tǒng)為密碼產(chǎn)品簽發(fā)的SM2數(shù)字證書站點證書，管理端采用安全認(rèn)證客戶端建立國密SSL協(xié)議加密傳輸通道，通過國產(chǎn)密碼算法套件保障傳輸?shù)臋C(jī)密性和完整性。（3）系統(tǒng)資源的訪問控制信息完整性：①堡壘機(jī)、服務(wù)器、數(shù)據(jù)庫目前產(chǎn)品成熟，遵循權(quán)限分離原則，只分配給管理員完成操作所需的最小權(quán)限，通過嚴(yán)格的管理措施降低安全風(fēng)險，在本次密碼應(yīng)用建設(shè)中不進(jìn)行建設(shè)。②密碼產(chǎn)品（安全認(rèn)證網(wǎng)關(guān)、密碼服務(wù)管理平臺、云密碼機(jī)、簽名驗簽服務(wù)器、電子簽章系統(tǒng)、協(xié)同簽名系統(tǒng)、時間戳服務(wù)器、數(shù)字證書認(rèn)證系統(tǒng)等），均具備《商用密碼產(chǎn)品認(rèn)證證書》，其系統(tǒng)資源訪問控制信息完整性由密碼產(chǎn)品自身保障。（4）重要信息資源安全標(biāo)記完整性：設(shè)備不涉及重要信息資源安全標(biāo)記，無需采用密碼措施進(jìn)行保護(hù)。（5）日志記錄完整性：①堡壘機(jī)、服務(wù)器、數(shù)據(jù)庫目前產(chǎn)品成熟，日志記錄完整性由自身的審計功能實現(xiàn)，在本次密碼應(yīng)用建設(shè)中不進(jìn)行建設(shè)。②密碼產(chǎn)品（安全認(rèn)證網(wǎng)關(guān)、密碼服務(wù)管理平臺、云密碼機(jī)、簽名驗簽服務(wù)器、電子簽章系統(tǒng)、協(xié)同簽名系統(tǒng)、時間戳服務(wù)器、數(shù)字證書認(rèn)證系統(tǒng)等），均具備《商用密碼產(chǎn)品認(rèn)證證書》，其日志記錄完整性由密碼產(chǎn)品自身保障。（6）重要可執(zhí)行程序進(jìn)行完整性和來源真實性：①堡壘機(jī)、服務(wù)器、數(shù)據(jù)庫目前產(chǎn)品成熟，執(zhí)行程序從其官方進(jìn)行獲取并經(jīng)過管理部門嚴(yán)格審批方能上線應(yīng)用，一定程度上降低了本項安全風(fēng)險，在本次密碼應(yīng)用建設(shè)中不進(jìn)行建設(shè)。②密碼產(chǎn)品（安全認(rèn)證網(wǎng)關(guān)、密碼服務(wù)管理平臺、云密碼機(jī)、簽名驗簽服務(wù)器、電子簽章系統(tǒng)、協(xié)同簽名系統(tǒng)、時間戳服務(wù)器、數(shù)字證書認(rèn)證系統(tǒng)等），均具備《商用密碼產(chǎn)品認(rèn)證證書》，其重要可執(zhí)行程序完整性由密碼產(chǎn)品自身保障,程序來源真實性從官方進(jìn)行獲取。應(yīng)用和數(shù)據(jù)安全云上業(yè)務(wù)系統(tǒng)通過對接密碼資源，對重要業(yè)務(wù)數(shù)據(jù)進(jìn)行加密和簽名，可實現(xiàn)信息在傳輸和存儲過程中的機(jī)密性和完整性保護(hù)。密碼保護(hù)對象應(yīng)用和數(shù)據(jù)安全層面密碼保護(hù)的對象為云上業(yè)務(wù)系統(tǒng)，通過密碼技術(shù)保障登錄用戶身份鑒別、系統(tǒng)資源訪問控制信息完整性、信息系統(tǒng)重要數(shù)據(jù)在存儲和傳輸過程中的完整性，機(jī)密性，重要數(shù)據(jù)的抗抵賴保護(hù)。采用的密碼措施（1）身份鑒別：①由于公眾用戶移動APP端面向廣大用戶，用戶數(shù)量巨大，建設(shè)難度大，所以在公眾用戶登錄APP時增加手機(jī)短信驗證碼功能，為移動APP端公眾用戶提供校驗作為緩解，防止非授權(quán)人員登錄。②在云平臺數(shù)據(jù)接入?yún)^(qū)部署符合密碼相關(guān)國家、行業(yè)標(biāo)準(zhǔn)要求的安全認(rèn)證網(wǎng)關(guān)、協(xié)同簽名系統(tǒng)，并給云上業(yè)務(wù)系統(tǒng)辦公人員移動APP端，互聯(lián)網(wǎng)/電子政務(wù)外網(wǎng)云上業(yè)務(wù)系統(tǒng)管理用戶、辦公人員PC端配備終端密碼模塊，并內(nèi)置電子政務(wù)服務(wù)區(qū)密碼資源池中部署的數(shù)字證書認(rèn)證系統(tǒng)頒發(fā)的SM2國密證書，采用SM2算法的數(shù)字簽名技術(shù)，實現(xiàn)對云上業(yè)務(wù)系統(tǒng)互聯(lián)網(wǎng)移動APP端，互聯(lián)網(wǎng)/電子政務(wù)外網(wǎng)云上業(yè)務(wù)系統(tǒng)管理用戶、辦公人員PC端的安全身份鑒別，防止非授權(quán)人員登錄。（2）訪問權(quán)限控制信息完整性：在電子政務(wù)外網(wǎng)服務(wù)區(qū)建立密碼資源池，在密碼資源池中部署密碼服務(wù)管理平臺、簽名驗簽服務(wù)器，通過密碼服務(wù)管理平臺中