平台典型场景密码应用设计和部署-700x525.jpg)
2024年4月15日,中国密码学会密评联委会组织编制的政务领域政务服务平台、政务云两个典型场景密码应用与安全性评估实施指南现已发布,相关单位在开展商用密码应用与安全性评估时可作为参考。
政务服务平台是建设“数字政府”的重要组成,是政府机关面向办事群众提供政务服务的重要环节。截至目前,各省(区、市)人民政府、国务院有关部门普遍建成网上政务服务平台,已经形成了覆盖全国的整体联动、部门协同、省级统筹、一网办理的“互联网+政务服务”技术和服务体系,实现政务服务的标准化、精准化、便捷化、平台化、协同化,政务服务流程显著优化,服务形式更加多元,服务渠道更为畅通,群众办事满意度显著提升。
在基于大数据技术的政务数据全面共享背景下,各级政务服务平台的数据安全体系并未有效打通,数据安全边界消失,公民个人隐私数据、企业商业秘密数据等重要数据泄露的威胁日益加剧,需要利用密码技术建立统一的数据安全支撑体系,保障政务服务数据在流转和使用时得到有效的管控。
随着信息技术的发展,云计算已经被广泛应用。为降低系统成本,打通数据融合,越来越多的政府及事业单位的系统选择部署在云上。云计算技术融合了软硬件资源,采用了虚拟化技术,主机边界和网络边界相对于传统数据中心来讲变得非常模糊,风险不但来自南北流量,还来自东西流量,部署在云平台上的系统,其安全风险也随之增加。
政务信息系统上云是国家统筹推进政务数据共享和应用的重要举措,截至 2022 年 10 月,全国 31 个省(自治区、直辖市)和新疆生产建设兵团云基础设施基本建成,超过 70% 的地级市建设了政务云平台,政务信息系统逐步迁移上云,初步形成集约化建设格局。云计算应用后,业务应用呈现资源虚拟化、数据集中化、应用服务化的特点,促使安全防护理念发生深刻改变,对云上密码服务模式、密码应用场景及密码服务能力提出了前所未有的高要求。
1. 政务服务平台场景介绍
政务服务平台是各级政务服务实施机构运用互联网、大数据、云计算等技术手段,整合各类政务服务事项和业务办理等信息,通过网上大厅、办事窗口、移动客户端、自助终端等多种形式,结合第三方平台,为自然人和法人提供一站式办理的政务服务的网上服务平台。
政务服务平台体系由国家级平台、省级平台、地市级平台三个层级组成,各层级之间通过政务服务数据共享平台进行资源目录注册、信息共享、业务协同、监督考核、统计分析等,实现政务服务事项就近能办、同城通办、异地可办。政务服务平台层级体系如图 1 所示。
图 1 政务服务平台层级体系图
政务服务平台主要由互联网政务服务门户、政务服务管理平台、业务办理系统和政务服务数据共享平台四部分构成。平台各组成部分之间需实现数据互联互通,各组成部分之间的业务流、信息流如图 2 所示。
图 2 政务服务平台系统组成图
互联网政务服务门户统一展示、发布政务服务信息,接受自然人、法人的政务服务申请信息,经与政务服务数据共享平台进行数据验证、比对和完善后,发送至政务服务管理平台进行处理,将相关受理、办理和结果信息反馈申请人。
政务服务管理平台把来自互联网政务服务门户的申请信息推送至政务服务数据共享平台,同步告知业务办理系统;政务服务管理平台从政务服务数据共享平台获取并向互联网政务服务门户推送过程和结果信息,考核部门办理情况。
业务办理系统在政务服务数据共享平台取得申请信息和相关信息后进行业务办理,将办理过程和结果信息推送至政务服务数据共享平台,同步告知政务服务管理平台。
政务服务数据共享平台汇聚政务服务事项、电子证照等数据,以及来自互联网政务服务门户的信息、政务服务管理平台受理信息、业务办理系统办理过程和结果,实现与人口、法人等基础信息资源库的共享利用。
政务服务平台技术架构由基础设施层、数据资源层、应用支撑层、业务应用层、用户及服务层五个层次组成。政务服务业务办理全过程依托政务服务数据共享平台支撑,业务数据在互联网政务服务门户、政务服务管理平台、业务办理系统之间流转。
用户注册登录、用户空间信息维护、政务服务事项定位和查询,以及政务服务的网上预约、申请、过程管理、办理反馈和互动咨询功能在互联网政务服务门户实现;服务引导、政务服务事项受理、协同审批、事项办结和互动反馈功能在政务服务管理平台实现。业务办理系统对申请表、附件材料、受理信息的抓取, 对过程信息、审批结果和电子证照的发送通过政务服务数据共享平台完成。
2. 政务云平台场景介绍
典型政务云平台系统整体架构图如图 3 所示。
图 3 典型政务云平台系统整体架构图
(1) 物理资源层。物理资源层包括政务云平台运行所需要的基础支撑物理环境,包括计算资源和存储资源等。
(2) 资源抽象控制层。资源抽象控制层通过虚拟化技术,负责对底层硬件资源进行抽象,对底层硬件故障进行屏蔽,统一调度计算、存储、网络、安全资源池,并提供资源的统一部署和监控。
(3) 云服务层。服务层提供完整的 laaS(Infrastructure as a service,基础设施即服务)、PaaS(Platform as a Service,平台即服务)和 SaaS(Software as a Service, 软件即服务)三层云服务,政务云平台的主要业务在云服务层面运行。
政务云平台典型场景业务流程如表 1 所示。
表 1 政务云典型场景业务流程梳理
| 序号 | 业务名称 | 业务流程描述 |
| 1 | 云平台管理 | 云平台管理员登录云平台管理应用,完成对云平台的管理。 |
| 2 | 云上应用管理 | 租户登录政务云平台管理应用,进行云上应用的部署和管理工作。 |
| 3 | 虚拟机迁移、快照恢复 | 云平台中虚拟机进行迁移的过程; 虚拟机镜像文件、快照文件生成、存储、传输和使用的过程。 |
3. 典型场景业务的密码应用设计
依托密钥管理、电子认证基础设施,结合各类密码设备与系统等密码产品, 为政务服务平台提供基础及通用密码服务,满足政务服务平台密码应用需求。对接各类密码产品实现密码资产、运行状态、密码应用情况等监测能力,满足政务外网密码监管需求,形成政务外网一体化密码应用监管能力,输出至国务院办公厅、国家密码管理局等主管部门。
3.1 物理和环境安全
在政务服务平台物理机房等重要物理区域部署符合 GB/T 37033 标准、GM/T 0036 等标准的电子门禁系统,对进入物理区域人员身份进行鉴别。
部署视频加密系统或使用符合相关国家、行业标准要求的服务器密码机、签名验签服务器,对视频监控系统视频记录进行完整性保护。
电子门禁系统自身实现或使用符合相关国家、行业标准要求的服务器密码机、签名验签服务器,对电子门禁进出记录进行完整性保护。
3.2 网络和通信安全
在政务服务平台的网络边界建议部署符合 GM/T 0024、GM/T 0025 标准的SSL VPN 网关,在客户端部署 VPN 客户端及符合 GM/T 0027 标准的智能密码钥匙或符合 GB/T 38556 标准的动态令牌,通过 VPN 对客户端进行身份鉴别,实现政务人员和运维管理人员的跨网接入认证、传输信道加密和完整性保护。
在政务服务数据共享平台、业务办理系统服务端部署服务器证书,可在客户端部署国密浏览器,使用合规的 SSL 协议,实现客户端对应用系统的身份鉴别(或双向身份鉴别)、传输信道机密性和完整性保护。若采用基于商用密码的数字证书,密钥的安全性应由签名验签服务器、服务器密码机、网关、密码卡等合规的密码产品保证。
在互联网政务服务门户服务端部署服务器证书,使用合规的 SSL 协议,实现自然人/法人 PC 端、移动端对应用系统的身份鉴别、传输信道加密和完整性保护。
在各级政务服务平台网络边界部署符合 GB/T 36968 标准的 IPsec VPN,实现政务服务数据共享平台之间通信信道的身份鉴别、传输加密和完整性保护。
可在政务服务平台中部署符合密码相关国家、行业标准要求的服务器密码机或签名验签服务器,对网络边界的 VPN 中的访问控制列表、防火墙的访问控制列表、边界路由的访问控制列表等网络边界访问控制信息进行完整性保护。
3.3 设备和计算安全
目前应用服务器、数据库服务器、数据库管理系统等通用设备的身份鉴别采用密码技术实现难度较大,可部署符合 GM/T 0024、GM/T 0025 标准的 SSL VPN 或符合 GM/T 0026 标准的安全认证网关或符合 GB/T 38556 标准的动态令牌认证系统对接堡垒机,或部署通过商用密码检测认证的堡垒机,设备运维管理人员通过使用智能密码钥匙或动态令牌实现登录堡垒机的身份鉴别,通过堡垒机统一运维管理设备。设备运维管理人员通过使用智能密码钥匙或动态令牌实现密码设备的本地运维管理。
在堡垒机部署服务器证书,在运维终端部署国密浏览器或网关客户端,使用合规的 SSL 协议建立安全管理数据传输通道。
在政务服务平台中部署符合密码相关国家、行业标准要求的服务器密码机或签名验签服务器,对设备访问控制信息、日志记录、重要可执行程序(重要信息资源安全标记根据密码应用方案决定是否纳入)等进行完整性保护。
通用设备、网络及安全设备、各类虚拟设备等设备中的重要可执行程序更新、升级以及政务服务 App 下载安装,提供者进行数字签名以实现其来源的真实性保护。
3.4 应用和数据安全
可在自然人/法人移动端政务服务 App 中部署符合 GM/T 0028 的标准的移动终端安全密码模块(二级),在服务端部署安全认证网关、协同签名系统向用户发放数字证书,实现公众用户的移动端政务服务 App 登录、PC 端网上办事大厅登录。在政务服务平台服务端部署安全认证网关或动态令牌认证系统,政务人员和系统管理员通过使用智能密码钥匙或动态令牌或移动终端安全密码模块实现应用系统登录。
在政务服务平台服务端部署服务器密码机或签名验签服务器,对应用系统的访问控制信息、重要业务日志、重要数据(重要信息资源安全标记根据密码应用方案决定是否纳入)进行存储完整性保护。
在政务服务平台服务端部署密钥管理系统、服务器密码机、数据库加密系统、加密数据库系统、密码卡、密码模块等,对应用系统的重要数据进行存储机密性保护。
政务人员通过 PC 端智能密码钥匙,应用服务端通过密码设备可对系统中的重要数据封装数字信封,实现重要数据传输过程中的机密性、完整性保护。
若存在政务人员使用移动端进行移动办公的场景,可通过移动端使用移动终端安全密码模块,应用服务端使用密码设备,对系统中的重要数据封装数字信封的方式,实现重要数据传输过程中的机密性、完整性保护。
政务服务平台服务端部署符合 GM/T 38540 标准的电子签章系统、符合GM/T 0033 标准的时间戳服务器,客户端通过移动终端安全密码模块、智能密码钥匙等对自然人、法人的政务事项申请行为、政务人员的业务办理审批行为等关键行为进行数字签名,实现数据原发行为、数据接收行为的不可否认性。
采用密码技术对互联网政务服务门户统一展示、发布的政务服务信息及业务办理入口等发布内容进行完整性保护。
3.5 密钥管理安全
系统密钥管理由密钥管理系统完成,为政务服务平台系统提供密钥的生成、分发、存储、备份、归档、恢复、更新、销毁等密钥的全生命周期的管理。密钥管理的设计遵循 GM/T 0038、GM/T 0050、GM/T 0051 等标准。
采用通过认证的随机数发生器在可控环境中生成密钥或密钥协商过程中的随机值,并在密钥协商之前及协商过程中验证对方身份的真实性。
使用带有访问控制机制的存储介质传输明文密钥,或指定相关管理制度以保证密钥在分发过程中的安全性,若密钥在不可控环境中分发,需使用密码技术保护密钥的机密性和完整性。
密钥在存储过程中,加密密钥的口令应以密文存储,除公钥外的密钥在不可控环境中需以密文形式存储,并保证密钥不被非授权的访问、使用、泄露、修改和替换。
规范密钥的使用及管理,按照密钥用途正确使用密钥,防止出现因操作不当导致的密钥泄露问题。公钥在使用过程中需与实体间存在关联关系,可使用经过完备的公钥验证机制的 PKI 技术进行关联,若存在多个实体使用密钥的场景,需要建立完备的密钥使用控制机制。
需建立密钥已泄露或存在泄露风险时的密钥更新、销毁/撤销机制及密钥恢复使用时的鉴别机制。
政务服务平台包括对称和非对称两种密钥体系,密码产品内部工作流程涉及的密钥管理策略不做描述。
(1) 对称密钥体系
政务服务平台涉及到的主要对称密钥包括数据加密密钥及 MAC 密钥,对称密钥的全生命周期管理如表 1 所示。
表 1 对称密钥列表
| 序号 | 密钥名称 | 产生 | 分发 | 存储 | 使用 | 导入和导出 | 归档 | 备份和恢复 | 销毁 |
| 1 | 网络传输加密密钥 | 按照标准握手协议协商生成 | 不涉及该密钥的分发 | 存储在密码设备易失性存储介质中 | 在密码设备内使用 | 不涉及该密钥的导入和导出 | 不涉及该密钥的归档 | 不涉及该密钥的备份和恢复 | 在连接断开或设备断电时应销毁 |
| 2 | 应用传输加密密钥 | 在密码设备内产生 | 经非对称密钥加密后分发 | 使用完成后销毁不涉及存储 | 在密码设备内使用 | 不涉及该密钥的导入和导出 | 不涉及该密钥的归档 | 不涉及密钥备份和恢复 | 在密码设备内完成销毁 |
| 3 | 数据存储加密密钥 | 在密码设备内产生 | 不涉及该密钥的分发 | 在密码设备中存储 | 在密码设备内使用 | 不涉及该密钥的导入和导出 | 不涉及该密钥的归档 | 利用密码设备自身的密钥备份和恢复机制实现 | 在密码设备内完成销毁 |
| 4 | MAC 密钥 | 在密码设备内产生 | 不涉及该密钥的分发 | 在密码设备中存储 | 在密码设备内使用 | 不涉及该密钥的导入和导出 | 不涉及该密钥的归档 | 利用密码设备自身的密钥备份和恢复机制实现 | 在密码设备内完成销毁 |
(2) 非对称密钥体系
政务服务平台涉及到的非对称密钥包括:用户签名密钥对、用户加密密钥对、服务器签名密钥对及服务器加密密钥对,非对称密钥的全生命周期管理如表 2 所示。
表 2 非对称密钥列表
| 序号 | 密钥名称 | 产生 | 分发 | 存储 | 使用 | 导入和导出 | 归档 | 备份和恢复 | 销毁 |
| 1 | 用户签名私钥 | 在智能密码钥匙内生成 | 不进行分发 | 在智能密码钥匙内存储 | 在智能密码钥匙内使用 | 不进行导入和导出 | 不涉及该密钥的归档 | 不涉及该密钥的备份和恢复 | 在智能密码钥匙内部销毁 |
| 2 | 用户签名公钥 | 在智能密码钥匙内生成 | 以证书形式分发 | 以证书形式存储 | 以证书形式使用 | 以证书形式导入和导出 | 以证书形式归档 | 以证书形式备份恢复 | 由 CA 进行撤销 |
| 3 | 用户加密私钥 | 由 CA 生成 | 由 CA 以离线方式进行分发 | 在智能密码钥匙内存储 | 在智能密码钥匙内使用 | 由签名密钥进行加密后导入 | 由 CA 归档 | 由 CA 进行备份和恢复 | 在智能密码钥匙内部销毁 |
| 4 | 用户加密公钥 | 由 CA 生成 | 以证书形式分发 | 以证书形式存储 | 以证书形式使用 | 以证书形式导入和导出 | 以证书形式归档 | 以证书形式备份恢复 | 由 CA 进行撤销 |
| 5 | 服务器签名私钥 | 在密码设备内生成 | 不进行分发 | 在密码设备内存储 | 在密码设备内使用 | 不进行导入和导出 | 不涉及该密钥的归档 | 不涉及该密钥的备份和恢复 | 在密码设备内部销毁 |
| 6 | 服务器签名公钥 | 在密码设备内生成 | 以证书形式分发 | 以证书形式存储 | 以证书形式使用 | 以证书形式导入和导出 | 以证书形式归档 | 以证书形式备份恢复 | 由 CA 进行撤销 |
| 7 | 服务器加密私钥 | 由 CA 生成 | 由 CA 以离线方式进行分发 | 在密码设备内存储 | 在密码设备内使用 | 由签名密钥进行加密后导入 | 由 CA 归档 | 由 CA 进行备份和恢复 | 在密码设备内部销毁 |
| 8 | 服务器加密公钥 | 由 CA 生成 | 以证书形式分发 | 以证书形式存储 | 以证书形式使用 | 以证书形式导入和导出 | 以证书形式归档 | 以证书形式备份恢复 | 由 CA 进行撤销 |
3.6 安全管理
根据 GB/T 39786 中安全管理相关要求,结合部门已有制度,制定完善政务服务平台相关安全管理制度、密钥管理规则及应急处置预案,根据制度执行,并定期开展密码应用安全性评估及攻防对抗演习。
密码应用安全管理制度至少应包含密钥管理规则、操作规程、发布流程、岗位职责、上岗人员培训、安全岗位人员考核、关键岗位人员保密和调离等相关内容。
建设运行阶段应制定密码应用方案、密钥安全管理策略、实施方案,投入运行前应进行密码应用安全性评估。
应严格根据相关制度执行并对相关过程记录进行留存。如:
a) 建立政务服务平台的安全管理机构,分配各部门安全管理职责,制定机构安全管理制度及策略;
b) 明确政务服务平台管理人员组成,分配职责,制定人员安全管理策略,明确各管理员的岗位职责 和作业流程;
c) 制定政务服务平台的机房及办公区等物理环境密码应用的安全管理策略;
d) 制定政务服务平台的介质、设备等密码应用的安全管理策略;
e) 制定政务服务平台的运行安全管理策略;
f) 针对所有设备相关的安全策略定期或不定期备份,并制定管理办法;
g) 制定政务服务平台的安全事件处置和应急管理策略。
3.7 密码应用工作流程示例
对常见密码应用工作流程进行举例说明,相关密码技术、密码产品等不限于以下方式,仅作参考。
(1) 政务人员跨网接入密码应用流程
在客户端部署VPN 客户端及智能密码钥匙,政务服务平台网络边界部署SSL VPN 服务端,政务人员通过智能密码钥匙及 VPN 客户端与 SSL VPN 间建立安全传输通道,实现政务人员的跨网安全接入认证以及数据传输通道的机密性和完整性。
图 4 政务人员跨网接入密码应用流程
(2) 运维人员远程管理密码应用流程
通过客户端部署 VPN 客户端及智能密码钥匙,政务服务平台网络边界部署SSL VPN 服务端,实现运维人员的跨网安全接入认证,继而通过堡垒机对系统相关设备进行统一远程运维管理。
图 5 运维人员远程管理密码应用流程
(3) 政务人员登录应用密码应用流程
移动办公 App 中部署符合 GM/T 0028 的标准的移动终端安全密码模块(二级),在服务端部署安全认证网关、协同签名系统向用户发放数字证书,实现政务人员的移动办公应用登录。在政务服务平台服务端部署安全认证网关或动态令牌认证系统,PC 端用户(政务人员和系统管理员)通过使用智能密码钥匙或动态令牌实现应用系统登录。
图 6 政务人员登录应用密码应用流程
(4) 重要数据存储及应用过程密码应用流程
政务服务平台业务系统调用密码资源池加解密服务将重要数据以密文形式存放至数据库中,实现重要数据的存储过程的机密性。
政务服务平台业务系统从数据库中获取密文形态的重要数据,通过调用密码资源池加解密服务对获取到的密文进行解密。
图 7 重要数据存储及应用过程密码应用流程
(5) 电子文件流转及电子证照签发密码应用流程
政务服务平台服务端部署电子签章系统及时间戳服务器,业务办理人员通过智能密码钥匙对业务办理审批行为进行数字签名,并对电子文件及电子证照加盖电子印章及时间戳,实现业务办理人员原发行为的不可否认性、电子文件的可靠流转、电子证照的权威颁发。
图 8 电子文件流转及电子证照签发密码应用流程
4. 密码产品/服务选择和部署
在政务服务平台政务外网侧、互联网侧可按需部署云服务器密码机、SSL VPN、IPsec VPN、安全认证网关、签名验签服务器、数据库加密系统、加密数据库系统、时间戳服务器、服务器密码机、动态令牌认证系统、密钥管理系统、安全电子签章系用户等密码产品。客户端按需配置智能密码钥匙、动态令牌、国密浏览器、VPN 客户端等密码模块,满足客户端密码应用需求。
政务服务平台在满足自身密码应用需求的同时,还需关注各级间政务服务平台的数据共享过程的密码应用,保证数据在共享交换过程中的完整性、机密性。
政务服务平台密码应用建设涉及到的产品及服务如表 3 所示,政务服务平台管理者可结合自身实际需求选择部署或增加其他必要的密码产品与服务。
图 9 政务服务平台密码应用部署图
表 3 密码产品/服务
| 序号 | 密码产品 / 服务名称 | 在场景中提供的密码功能 |
| 1 | 电子门禁系统 | 保证政务服务平台所在机房等重要区域的人员进出身份真实性。 |
| 2 | 云服务器密码机/服务器密码机/密码卡 | 提供 SM2/3/4 等标准密码服务接口,为政务服务平台提供密码运算、密钥生成及存储等功能,实现重要数据、日志记录等信息的机密性、完整性保护。 |
| 3 | 签名验签服务器 | 提供数字签名、验签服务接口,为政务服务平台提供证书管理和验证等功能。 |
| 4 | 智能密码钥匙 | 存储政务人员的密钥对,提供 SM2/3/4 等标准密码服务接口,实现政务人员、系统管理员身份鉴别、信源加密和关键行为的不可否认性。 |
| 5 | 动态令牌认证系统动态令牌 | 客户端令牌介质,结合服务端动态令牌认证系统提供动态口令认证,实现政务人员、系统管理员身份鉴别。 |
| 6 | SSL VPN/ IPsec VPN | IPSec VPN 用于实现政务服务数据共享平台之间安全通信信道的建立。 SSL VPN 用于实现政务人员和运维管理人员的跨网访问安全通信信道的建立。 |
| 7 | 安全浏览器密码模块 | 配合政务服务平台服务端服务器证书使用合规的 SSL 协议,建立 HTTPS 安全通信信道。 |
| 8 | 安全认证网关 | 为设备、应用系统提供基于数字证书的身份鉴别、传输信道加密、应用代理、访问控制等功能。 |
| 9 | 时间戳服务器 | 提供时间戳服务接口,配合数字签名技术实现数据原发行为的不可否认性。 |
| 10 | 安全电子签章系统 | 提供电子签章和验证服务,实现政务审批事项中的行政许可等电子证照发放、验证。 |
| 11 | 数据库加密系统/加密数据库系统 | 提供数据加解密功能。 |
| 12 | 移动终端安全密码模块协同签名系统 | 实现移动端用户的身份鉴别和电子签名。 |
| 13 | 密钥管理系统 | 对政务服务平台应用系统中各种密钥进行全生命周期集中管理。 |
本文摘编自中国密码学会密评联委会发布的《政务领域政务服务平台密码应用与安全性评估实施指南》、《政务领域政务云密码应用与安全性评估实施指南》,全文下载:
政务领域政务服务平台密码应用与安全性评估实施指南
政务领域政务云密码应用与安全性评估实施指南
更多标准、白皮书、报告等高质量纯净资料下载,在文末扫码关注官方微信公众号“idtzed”,进入公众号菜单“治库”,或按自动回复发送引号内关键词。
在此声明以上观点和内容,仅代表原作者和出处,与数治网DTZed 无关,如有出错或侵犯到相关合法权益,请通过电邮与我们联系:cs@dtzed.com。
-228x171.jpg)
