政務(wù)領(lǐng)域政務(wù)云密碼應(yīng)用與安全性評估實施指南

政務(wù)領(lǐng)域政務(wù)云密碼應(yīng)用與安全性評估實施指南中國密碼學(xué)會密評聯(lián)委會 I 1 1 1 1 2 3 4 4 4 5 6 6 8 8 11 11 11 12 12 13 13 14 16 16 18 20 21 21 23 23 24 294.4注意事項....................................................................................................................................30I務(wù)云場景中商用密碼的合規(guī)、正確、有效應(yīng)用，依據(jù)國家密碼政策要求和標(biāo)準(zhǔn)規(guī)范，制定本指營單位以及商用密碼應(yīng)用安全性評估機構(gòu)規(guī)范開展商用密碼應(yīng)用和安全性評估工作，也可供集本指南主要依據(jù)GB/T39786-2021《信息安全技用與安全性評估標(biāo)準(zhǔn)規(guī)范編制。本指南中任何與當(dāng)前或后續(xù)發(fā)布的密碼國家標(biāo)準(zhǔn)和行業(yè)標(biāo)準(zhǔn)不一致之處，以相關(guān)密碼國家標(biāo)準(zhǔn)和行業(yè)標(biāo)準(zhǔn)為準(zhǔn)。必要時本指南將根據(jù)最新的管理要求與相關(guān)本指南分為四章。第一章主要梳理政務(wù)云平臺典型應(yīng)用場景；第二章主要對政務(wù)云平臺相關(guān)風(fēng)險、密碼應(yīng)用需求、保護對象進行梳理；第三章主要對政務(wù)云平臺進行密碼應(yīng)用設(shè)計；第四章主要對政務(wù)云平臺密碼應(yīng)用安全性評估工定方式，政務(wù)云平臺建設(shè)單位和運營單位可根據(jù)自身已有密碼應(yīng)用基礎(chǔ)，結(jié)合實際進行密碼應(yīng)方式、公共傳輸通道（如IPSecVPN）等云上應(yīng)用難以解本指南主要起草單位：國家信息中心、中電科網(wǎng)絡(luò)安全科技股份有限公司、格爾軟件股份有限公司、長春吉大正元信息技術(shù)股份有限公司、中國科學(xué)院信息工程研究所、國家信息技術(shù)術(shù)有限公司、北京信安世紀科技股份有限公司、同智偉業(yè)軟件股份有限公司、國家密碼管理局商用密碼檢測中心、四川省大數(shù)據(jù)中心、海南省大數(shù)據(jù)管理局、福建省密碼管理局、安徽省大王姮力、秦小龍、王小勇、李丹、閻亞龍、馬原、魏東賓、牟杰、朱典、徐輝、陳天宇、吳冬11場景概述1.2.1場景代表性21.2.2政務(wù)云平臺場景介紹圖1典型政務(wù)云平臺系統(tǒng)整體架構(gòu)圖3(1)物理資源層。物理資源層包括政務(wù)云平臺運行所需要的基礎(chǔ)支撐物理環(huán)(2)資源抽象控制層。資源抽象控制層通過虛擬化技術(shù)，負責(zé)對底層硬件資表1政務(wù)云典型場景業(yè)務(wù)流程梳理12租戶登錄政務(wù)云平臺管理應(yīng)用，進行云上應(yīng)用的部署和管理工3虛擬機遷移、4GB/T39786-2021《信息安2密碼應(yīng)用需求2.1.1物理和環(huán)境安全密碼雜湊算法的消息鑒別碼(MAC)機制、基于公鑰密碼5密碼技術(shù)，對進入政務(wù)云平臺所在物理機房等重(2)采用基于對稱密碼算法或密碼雜湊算公鑰密碼算法的數(shù)字簽名機制等密碼技術(shù)，對政務(wù)2.1.2網(wǎng)絡(luò)和通信安全(3)采用密碼技術(shù)的加解密功能對通信過程中敏感信息或通信報文進行機密62.1.3設(shè)備和計算安全(2)遠程管理政務(wù)云平臺中各類物理及虛擬設(shè)備時，存在搭建的遠程管理通(1)采用動態(tài)口令機制、基于對稱密碼算法或密碼雜湊算法的消息鑒別碼（MAC）機制、基于公鑰密碼算法的數(shù)字簽名機制等密碼技術(shù)對設(shè)備運維管理于公鑰密碼算法的數(shù)字簽名機制等密碼技術(shù)對設(shè)備操作系統(tǒng)的系統(tǒng)權(quán)限訪問控類虛擬設(shè)備等設(shè)備中的重要可執(zhí)行程序進行完整性保護以及其來源的真實性保2.1.4應(yīng)用和數(shù)據(jù)安全7(2)政務(wù)云平臺的權(quán)限、標(biāo)簽等能夠決定系統(tǒng)應(yīng)用訪問控制的措施等信息存(4)政務(wù)云平臺中傳輸或存儲的重要數(shù)據(jù)（如身份鑒別信息、鏡像文件和快(7)政務(wù)云平臺管理應(yīng)用的重要業(yè)務(wù)日志記錄存在被篡改，導(dǎo)致非法操作被(1)采用動態(tài)口令機制、基于對稱密碼算法或密碼雜湊算法的消息鑒別碼（MAC)機制、基于公鑰密碼算法的數(shù)字簽名機制等密碼技術(shù)對云平臺管理員、于公鑰密碼算法的數(shù)字簽名機制等密碼技術(shù)對政務(wù)云平臺管理應(yīng)用的重要信息(4)采用密碼技術(shù)的加解密功能對政務(wù)云平臺中的身份鑒別信息、鏡像文件(6)采用基于公鑰密碼算法的數(shù)字簽名機制等密碼技術(shù)對云平臺管理員、云8于公鑰密碼算法的數(shù)字簽名機制等對虛擬機監(jiān)控器（VMM2.1.5安全管理2.1.6主要保護對象表2主要保護對象1管理/云管理/虛2）云平臺管理員登錄云平臺管理3）云上租戶登錄云平臺管理應(yīng)用1）鏡像文件和快照文件中的敏感3）云平臺管理員及租戶的身份證,移過程中的指令等云管平臺內(nèi)部息2）VPN客戶端與SSLVPN通信源別2.2場景對密碼應(yīng)用的特殊要求3密碼應(yīng)用實施指南標(biāo)準(zhǔn)標(biāo)準(zhǔn)密碼標(biāo)準(zhǔn)密碼服務(wù)密碼應(yīng)用標(biāo)準(zhǔn)標(biāo)準(zhǔn)密碼標(biāo)準(zhǔn)密碼服務(wù)密碼應(yīng)用密碼管理標(biāo)準(zhǔn)管理制度人員管理實施管理應(yīng)急處置密碼管理政務(wù)云平臺管理應(yīng)用政務(wù)云平臺管理應(yīng)用政務(wù)云可信接入安全通信網(wǎng)絡(luò)政務(wù)云之間網(wǎng)絡(luò)傳輸云平臺管理人員/租戶異地災(zāi)備網(wǎng)絡(luò)傳輸網(wǎng)絡(luò)與接入安全密碼應(yīng)用密碼設(shè)備與系統(tǒng)密碼基礎(chǔ)設(shè)施密碼支撐密碼應(yīng)用圖2政務(wù)云平臺系統(tǒng)密碼應(yīng)用架構(gòu)圖3.1.1物理和環(huán)境安全3.1.2網(wǎng)絡(luò)和通信安全在各政務(wù)云平臺網(wǎng)絡(luò)邊界和災(zāi)備中心部署符合GB/T36968標(biāo)準(zhǔn)的IPsec3.1.3設(shè)備和計算安全3.1.4應(yīng)用和數(shù)據(jù)安全云平臺管理員和云上租戶通過使用智能密碼鑰匙或動態(tài)令牌實現(xiàn)政務(wù)云平臺管（VMM）在虛擬機遷移過程中的指令等云管平臺內(nèi)部的重要指令的傳輸完整性采用密碼技術(shù)對鏡像文件、快照文件在備份3.1.5密鑰管理安全采用通過認證的隨機數(shù)發(fā)生器在可控環(huán)境中生成密鑰或密鑰協(xié)商過程中的需建立密鑰已泄露或存在泄露風(fēng)險時的密鑰更新、銷毀/撤銷機制及密鑰恢（1）對稱密鑰體系序號復(fù)1毀2網(wǎng)絡(luò)傳輸3毀4MAC毀（2）非對稱密鑰體系戶簽名密鑰對、云平臺管理員/云上租戶加密密鑰對、服務(wù)器簽名密鑰對及服務(wù)序號1成儲用2成發(fā)儲用出檔銷3儲用復(fù)4發(fā)儲用出檔銷56發(fā)儲用出檔銷7復(fù)8發(fā)儲用出檔銷注：以軟件密碼模塊、協(xié)同簽名等方式使用密鑰的情3.1.6安全管理IPsecVPN、安全認證網(wǎng)關(guān)、簽名驗簽服務(wù)器、數(shù)據(jù)庫加密系圖3典型政務(wù)云平臺密碼應(yīng)用部署圖提供者可結(jié)合自身實際需求選擇部署或增加其表5密碼產(chǎn)品/服務(wù)密碼產(chǎn)品/服務(wù)名稱在場景中提供的密碼功能1保證政務(wù)云平臺所在機房等重要區(qū)域的人員進出身2云服務(wù)器密碼機/服務(wù)器34567配合政務(wù)云平臺管理應(yīng)用服務(wù)器證書使用合規(guī)的89數(shù)據(jù)庫加密系統(tǒng)/加密數(shù)對政務(wù)云平臺管理應(yīng)用中各種密鑰進行全生命周期表6與GB/T39786對照情況說明采取的密碼措施 1）在政務(wù)云平臺物理機房等重要物理區(qū)域部署符合GB/T2）部署視頻加密系統(tǒng)或使用符合相關(guān)國家、3）電子門禁系統(tǒng)自身實現(xiàn)或使用符合相關(guān)國家、行業(yè)標(biāo)準(zhǔn)3）在各政務(wù)云平臺網(wǎng)絡(luò)邊界和災(zāi)備中心部署符合GB/T由的訪問控制列表等網(wǎng)絡(luò)邊界訪問控制信息進行完整性保證機密性保護。（1）針對政務(wù)云平臺所處不同機房或跨域不可控區(qū)域的情況，應(yīng)分別部署（2）若政務(wù)云平臺同時為云上應(yīng)用提供密碼支撐能力，政務(wù)云平臺自身的（3）云上應(yīng)用系統(tǒng)所處的政務(wù)云平臺通過密評（即獲得“符合”或“基本4密碼應(yīng)用安全性評估實施指南表7主要測評指標(biāo)的選擇和確定全無全全全管度理了解并遵守密碼相關(guān)法律法規(guī)和密建立關(guān)鍵崗位人員保密制度和調(diào)離行投入運行前進行密碼應(yīng)用安全性評估定期開展密碼應(yīng)用安全性評估及攻置標(biāo)設(shè)備和計算4.2.1現(xiàn)場測評方法表8密評工具清單序號工具名稱主要功能1協(xié)議分析工具1)捕獲并解析通信數(shù)據(jù)，分析通信協(xié)議密碼算法協(xié)商過程。2)解析密碼算法或密碼套件標(biāo)識是否屬于已發(fā)布為標(biāo)準(zhǔn)的商用密碼算法。3)分析傳輸?shù)闹匾獢?shù)據(jù)或鑒別信息是否為密文，數(shù)據(jù)格式(如分組長度等)是否符合預(yù)期。4)分析受完整性保護的數(shù)據(jù)在傳輸時的數(shù)據(jù)格式(如簽名長度、MAC長度)是否符合預(yù)期。序號工具名稱主要功能2算法驗證工具對密碼算法進行分析校驗3數(shù)字證書格式合規(guī)性檢測工具用于驗證生成或使用的證書格式是否符合GB/T20518-2018《信息安全技術(shù)公鑰基礎(chǔ)設(shè)施數(shù)字證書格式規(guī)范》的有關(guān)要求。4.2.2測評實施1)測評對象表9測評對象和測評方式2)測評實施要點1)測評對象表10測評對象和測評方式品2)測評實施要點1)測評對象表11設(shè)備和計算安全測評對象和測評方式2)測評實施要點1)測評對象政務(wù)云平臺管理應(yīng)用涉及的關(guān)鍵數(shù)據(jù)包括云平臺管理員登錄云平臺管理應(yīng)表12應(yīng)用和數(shù)據(jù)安全測評對象和測評方式表13應(yīng)用和數(shù)據(jù)安全身份鑒別需求1√2√表14應(yīng)用和數(shù)據(jù)安全關(guān)鍵數(shù)據(jù)密碼保護需求1云平臺管理員登錄云√√√√2云上租戶登錄云平臺√√√√3鏡像文件和快照文件中的敏感信息、云資源管理敏感信息等重√√√√4√√√√5云平臺管理員及租戶√√√√6 √7 √8 √9移過程中的指令等云管平臺內(nèi)部的重要指令√表15應(yīng)用和數(shù)據(jù)安全不可否認性需求1√2)測評實施要點a)身份鑒別b)訪問控制信息完整性用日志等方式核查政務(wù)云平臺管理應(yīng)用是否使用密碼技術(shù)對訪問控制信息進行d)重要數(shù)據(jù)存儲機密性、完整性f)虛擬機遷移（VMM）在虛擬機遷移過程中的指令等云管平臺內(nèi)部