摘 要:随着越来越多的政务业务向信创政务云迁移,信创政务云环境下商用密码应用安全保障面临着前所未有的挑战。本案例着重从密码资源层、密码服务层、密码应用层等三大层面,阐述了网御星云在信创政务云商用密码应用安全保障领域的建设工作。
关键词:信创政务云 信息技术应用创新 商用密码应用安全性评估 商用密码应用安全建设
建设背景
随着信息技术应用创新的不断发展,信创政务云已成为政务云领域建设的主要方向,旨在实现政务业务跨部门安全协同办理、政务数据安全开放共享和数据资源安全高效利用。
在《中华人民共和国密码法》《商用密码管理条例》《商用密码应用安全性评估管理办法》,以及《国家政务信息化项目建设管理办法》(国办发〔2019〕57号)等法律法规、政策文件中均明确要求,需要针对信创政务云平台及云上业务开展商用密码应用安全保障体系建设工作。
当前信创政务云环境下的商用密码技术应用具有两大显著特点:一是密码支撑能力不足,特别是在专业设备和技术人员能力方面,致使商用密码的效用未能得到充分发挥;二是传统密码基础设施架构难以支撑信创云环境下新技术、新业务场景的快速发展需求,亟需构建创新型商用密码应用安全保障服务体系,为信创政务云平台及云上租户业务系统提供安全、合规、高效的密码支撑服务。
建设目标
网御星云遵循《政务云安全要求》(GW 0013-2017)、《政务信息系统密码应用与安全性评估工作指南》(2020版)、《信息安全技术 信息系统密码应用基本要求》(GB/T 39786-2021)、《信息安全技术 信息系统密码应用测评要求》(GB/T 43206-2023)、《政务领域政务云密码应用与安全性评估实施指南》(2024版)等重要标准和规范,按照“总体规划、分步实施”的指导方针,积极协助用户单位对信创政务云平台及其云上租户业务应用实施密评密改建设,以满足国家对于商用密码应用安全领域的合规要求,有效提升整体数据安全保障能力。
建设内容
网御星云提供的信创政务云商用密码应用安全保障服务建设涵盖密码资源层、密码服务层、密码应用层等三个关键层面,具体阐述如下:
在密码资源层,本项目涉及密码服务管理平台、密钥管理系统、服务器密码机、云服务器密码机、签名验签服务器、VPN综合安全网关、SDP安全网关(超级SIM认证)等各项密码资源基础设施。
在密码服务层,本项目涉及密钥管理服务、数据加解密服务、完整性保护服务、签名验签服务、真随机数生成服务、移动端身份鉴别服务(超级SIM认证)、安全传输服务等各类密码支撑服务。
在密码应用层,本项目通过信创政务云平台自身和云上各委办局业务应用对接各自独立的密码资源池API接口,按需提供密码服务和密码运算能力。
案例部署
网御星云通过在信创政务云环境中构建创新型商用密码应用安全保障体系,有效缓解各委办局政务业务系统上云过程中面临的商用密码应用安全合规压力,有力保障信创政务云平台及云上业务系统商用密码应用安全,对应对各类网络安全风险具有重要作用。
本项目中,需要在信创政务云的政务外网业务区、互联网业务区分别构建商用密码资源基础设施,以便为云管理平台、云上不同租户业务系统提供密码服务支撑,满足信创政务云环境下对国产密码技术应用的合规性、安全性和有效性需求。
项目创新
首先,本项目实现了信创政务云平台自身密码资源池与云上租户业务应用密码资源池的独立部署,将信创政务云平台自身所需密码服务与云上租户业务系统所需密码服务相互分离,明确了安全界面和服务界面分工。信创政务云平台自身所需的密码服务能力由专门的服务器密码机、签名验签服务器、VPN综合安全网关等密码设备群构成的独立密码资源池提供;云上各委办局业务应用所需密码服务能力则由密码服务管理平台及其纳管的密码设备群构成的密码资源池提供。
其次,本项目中移动端业务身份认证服务由SDP安全网关自身增值服务——超级SIM认证提供;移动端业务安全传输服务则由SDP安全网关自身安全能力——国密SSL 安全通道提供。
在当前复杂的网络空间安全形势下,网御星云始终致力于为各级政务部门、企事业单位提供创新型商用密码应用安全保障服务体系建设工作,助力用户全面提升密码应用安全保障能力,协同推进核心网络、信息系统及关键基础设施的商用密码体系构建,为国家商用密码事业的稳健发展贡献绵薄之力。
