DB32T-政務“一朵云”安全管理體系規(guī)范 第2部分 政務云密碼應用技術要求編制說明

DB32/TXXXX—XXXX《政務“一朵云”安全管理體系規(guī)范第2部分：政務云密碼應用技術要求》（征求意見稿）編制說明目的意義產業(yè)發(fā)展現(xiàn)狀近年來，黨和國家高度重視密碼技術在網絡安全工作中的應用。2020年實施的《中華人民共和國密碼法》指出，需使用商用密碼保護相關關鍵信息基礎設施?！渡逃妹艽a應用安全性評估管理辦法》《國家政務信息化項目建設管理辦法》《江蘇省省級政務信息化項目建設管理辦法》等相關文件也強調了信息系統(tǒng)密碼應用的必要性。當前，在國家大力引導和各界的共同推動下，我國政務云行業(yè)發(fā)展迅猛，在助力政務建設、打破信息孤島、實現(xiàn)數(shù)據(jù)共享共治方面效果顯著。政務云運用云計算技術，統(tǒng)籌使用政府已有的機房、計算、存儲、網絡、安全、應用支撐、信息數(shù)據(jù)等資源，發(fā)揮云計算虛擬化、高可靠性、高通用性、高可擴展性以及快速、按需、彈性服務的特征，運行了很多關系國計民生的業(yè)務系統(tǒng)，存儲、流轉大量敏感數(shù)據(jù)和個人隱私信息。保障政務云平臺安全對我國政治、經濟、生產和生活等各方面至關重要，密碼技術作為保障云安全的重要技術，將密碼能力變成云中的一種資源服務，在云服務體系中具有十分重要的地位和作用。2021年3月9日，國家標準GB/T39786-2021《信息安全技術信息系統(tǒng)密碼應用基本要求》發(fā)布，指導商用密碼應用與安全性評估工作，對于規(guī)范和引導信息系統(tǒng)合規(guī)、正確、有效應用密碼，切實維護國家網絡與信息安全具有重要意義。該標準從物理和環(huán)境安全、網絡和通信安全、設備和計算安全、應用和數(shù)據(jù)安全等四個方面提出了密碼應用技術要求，以及管理制度、人員管理、建設運行、應急處置等密碼應用管理要求。2023年10月31日，江蘇省人民政府辦公廳發(fā)布了《江蘇省政務“一朵云”建設總體方案》，計劃到2027年底，集約共享、融合創(chuàng)新、智能敏捷、安全可控、高效服務的全省政務“一朵云”體系全面建成。達成云資源規(guī)模滿足需求、云技術應用先進成熟、云服務種類豐富多樣、云安全體系自主可控、云使用效能顯著提高的目標。2024年4月15日，中國密碼學會發(fā)布了《政務領域政務服務平臺密碼應用與安全性評估實施指南》《政務領域政務云密碼應用與安全性評估實施指南》，文件依據(jù)國家密碼政策要求和標準規(guī)范制定，促進政務領域政務服務平臺場景中商用密碼的合規(guī)、正確、有效應用，同時可用于指導各級政務服務平臺相關系統(tǒng)建設單位和使用單位以及商用密碼應用安全性評估機構規(guī)范開展商用密碼應用和安全性評估工作。必要性政務云作為大數(shù)據(jù)背景下電子政務集約化發(fā)展的支撐，在提高效率、降低成本、資源共享、互聯(lián)互通、業(yè)務協(xié)同等方面具有先天優(yōu)勢，與此同時，云上應用系統(tǒng)和海量數(shù)據(jù)的安全問題相伴而生、日益突出。密碼作為保障網絡安全的核心技術和基礎支撐，在身份識別、安全隔離、信息加密、完整性保護和抗抵賴性等方面發(fā)揮著不可替代的重要作用。運用密碼技術，推進密碼技術和云計算技術的融合發(fā)展，是建設安全可信政務云平臺的必由之路。政務云安全隱患主要分為兩個層面：一是系統(tǒng)的安全，包括云主機安全、中間件安全、操作系統(tǒng)安全、網絡安全、應用安全等；二是數(shù)據(jù)的安全，在政務云數(shù)據(jù)聚集化的趨勢下，集中后的數(shù)據(jù)如何安全地存儲、傳輸和使用也是個挑戰(zhàn)。政務云平臺密碼應用設計構建以商用密碼為核心的云安全保障體系，通過構建底層基礎設施統(tǒng)一密碼服務平臺提供大規(guī)模密鑰管理能力，集中對硬件密碼資源統(tǒng)一調度分配，對外提供通用與典型密碼應用，實現(xiàn)按需擴展、靈活配置。研究以商用密碼作為核心技術基礎支撐，提升政務云平臺網絡安全保障能力，最終實現(xiàn)商用密碼在政府關鍵重要領域的全面落地，是迫切需要的?？尚行?020年1月1日，《中華人民共和國密碼法》正式施行，其中第二十七條規(guī)定“法律、行政法規(guī)和國家有關規(guī)定要求使用商用密碼進行保護的關鍵信息基礎設施，其運營者應當使用商用密碼進行保護，自行或者委托商用密碼檢測機構開展商用密碼應用安全性評估”。2021年10月1日，《信息安全技術信息系統(tǒng)密碼應用基本要求》（GB/T39786-2021）正式實施，從國家標準層面積極推動商用密碼技術應用，結合各行業(yè)領域密碼應用需求，指導規(guī)范信息系統(tǒng)密碼應用，提供密碼應用安全保障。江蘇省人民政府辦公廳發(fā)布了《江蘇省省級政務信息化項目建設管理辦法》等相關政策文件，省財政和地方各級政府按照預算管理要求保障密碼應用工作開展，為我省商用密碼應用推動工作規(guī)范有序的進行打造了良好的環(huán)境。預期經濟社會效益以商用密碼作為核心技術支撐政務云平臺可為政務云上應用系統(tǒng)信息安全提供密碼資源調配、密鑰全生命周期托管、基礎密碼運算等密碼應用整體解決方案，相比傳統(tǒng)單一的密碼應用改造，具有集約化、安全化、快速化等創(chuàng)新特點。依托平臺云密碼服務模式，無需再單獨采購密碼硬件設備進行密碼改造，并可對各類業(yè)務應用系統(tǒng)批量處理，后期統(tǒng)一集中運維管理，可節(jié)省密碼應用、運維成本，避免重復建設、資源浪費、信息泄露等問題，具有明顯的經濟效益?！皵?shù)字中國”戰(zhàn)略全面推進，數(shù)字經濟的高質量、跨越式發(fā)展，需切實增強網絡安全防護能力。密碼技術作為網絡與信息安全保障的核心技術，提供了不可替代的基礎支撐手段，為引領產業(yè)數(shù)字化轉型發(fā)展發(fā)揮著積極的基礎核心作用。以商用密碼作為核心技術基礎支撐的政務云平臺建設為推進密碼應用發(fā)揮了顯著的社會效益。任務來源2023年7月10日，由江蘇省電子信息產品質量監(jiān)督檢驗研究院（江蘇省信息安全測評中心）申請地方標準的立項，根據(jù)江蘇省市場監(jiān)督管理局下達的2023年度擬立項地方標準項目的公示，批準《政務云平臺商用密碼應用技術規(guī)范》地方標準的制定，標準起草單位包括江蘇省電子信息產品質量監(jiān)督檢驗研究院（江蘇省信息安全測評中心）、江蘇省國家密碼管理局、無錫航天江南數(shù)據(jù)系統(tǒng)科技有限公司、江蘇意源科技有限公司。標準編制啟動后，標準起草組廣泛聽取了行業(yè)主管部門、政務云運營單位以及密碼行業(yè)專家的意見，為使標準內容更加準確符合指導政務“一朵云”安全運行的實際定位，結合《江蘇省政務“一朵云”建設總體方案》中的工作計劃和目標，將標準名稱修改為《政務“一朵云”安全管理體系規(guī)范》。本次立項的《政務“一朵云”安全管理體系規(guī)范》共有3個部分，本標準文件是第2部分“政務云密碼應用技術要求”，標準的編制周期為1年。編制過程成立標準起草組2023年7月標準起草單位組織專業(yè)力量編制形成《政務云平臺商用密碼應用技術規(guī)范》，規(guī)范規(guī)定了政務云平臺商用密碼應用總體技術框架、密碼資源池和接口規(guī)范的技術要求。為確保標準內容更加完善，覆蓋范圍更加全面，2023年9月11日，經行業(yè)推薦主管單位江蘇省國家密碼管理局同意，在原有單位基礎上吸納了江蘇省大數(shù)據(jù)管理中心、江蘇省商用密碼產業(yè)協(xié)會、中電科網絡安全科技股份有限公司、中國電信股份有限公司江蘇分公司、江蘇省國信數(shù)字科技有限公司、江蘇航天七零六信息科技有限公司、乾訊信息技術（無錫）有限公司、江蘇先安科技有限公司、江蘇信創(chuàng)密碼技術有限公司、華為技術有限公司、南京三未信安信息技術有限公司一同參與標準編制工作，共同組建標準起草組，對標準不同章節(jié)的內容進行認領分工。2.起草、征求意見與修訂2023年11月17日，各參編單位完成相應的內容編制工作后，召開標準修訂研討會，會上對草案提出修訂建議24條，其中采納14條，未采納10條，建議主要集中在增加密鑰管理部分場景。2024年1月19日，標準起草組召開標準修訂研討會，會上共提出修改建議74條，其中采納27條，部分采納19條，未采納28條。主要修改意見集中在標準正文中圖1的政務云密碼應用總體架構以及密碼功能類型。2024年3月9日，標準起草組邀請國家密碼管理局商用密碼應用技術體系研究總體組組長劉平、中國密碼學會物聯(lián)網密碼專委會副主任委員丁余泉對標準提出修改意見。主要修改意見集中在第五章總體架構的總體架構圖部分以及第六章的建設要求部分，該部分內容基于GBT39786-2021《信息安全技術信息系統(tǒng)密碼應用基本要求》，結合江蘇省政務云特點提出了創(chuàng)新要求，更有效保障政務云密碼安全，方便政務云和云租戶的密碼建設。2024年3月29日組織專家召開地方標準評審會，評審專家包括國家密碼管理局商密辦副主任許長偉，航天信息股份有限公司科技委原主任、研究員郭寶安，南京理工大學數(shù)學與統(tǒng)計學院副院長、教授許春根，中國密碼學會物聯(lián)網密碼專委會副主任委員丁余泉，北京數(shù)字認證股份有限公司董事長詹榜華等，專家組一致同意《政務云平臺商用密碼應用技術規(guī)范》地方標準通過評審，同時提出標準內容偏向密碼技術要求，考慮沿用國標GB/T39786-2021《信息安全技術信息系統(tǒng)密碼應用基本要求》的命名形式，建議將標準名稱修改為《政務云密碼應用技術要求》。3.初審與修訂2024年5月16日，江蘇省軟件和信息技術服務標準化技術委員會將標準草案通過微信公眾號發(fā)布標準，廣泛征求意見。共征集到修改意見六條，采納其中四條，修改意見多集中在文本格式。4.標準審查與報批階段2024年8月，標準起草組根據(jù)各方意見對地方標準進行修改完善后，與編制說明、有關行政主管部門意見、征求意見采納情況等材料一并報送標準化行政主管部門（江蘇省市場監(jiān)督管理局）進行技術審查。主要內容及技術指標確立標準起草組結合江蘇省政務“一朵云”實際需求和密碼應用工作進行了大量細致調研，通過實地調研、專家研討和文件查閱等方式，確定了標準的主要內容和相關的技術指標。規(guī)范分為八個部分：范圍、規(guī)范性引用文件、術語和定義、縮略語、總體架構、建設要求、密碼資源池和附錄?？傮w架構介紹了政務“一朵云”密碼應用的總體架構，從上到下包括密碼應用、密碼資源池和密碼基礎設施三個部分，密碼應用包括業(yè)務終端密碼應用、網絡邊界密碼應用和業(yè)務密碼應用。密碼資源池基于密碼基礎支撐設施、密碼資源、密碼服務功能、密碼服務管理、密碼服務中間件，實現(xiàn)密碼資源的動態(tài)調整和靈活調度，提供按需高效、彈性可擴展的密碼服務。密碼基礎設施包括電子認證基礎設施和密鑰管理基礎設施。建設要求按照相關標準對計算平臺、密碼支撐平臺、業(yè)務應用等提出的設計要求，對總體要求、物理和環(huán)境安全、網絡和通信安全、設備和計算安全、應用和數(shù)據(jù)安全、密鑰管理等層面采用密碼技術保護。密碼資源池政務“一朵云”密碼服務應基于密碼資源池中的密碼資源及其管理平臺，提供數(shù)據(jù)加解密服務、數(shù)據(jù)完整性計算和驗證服務、簽名驗簽服務、時間戳服務、證書管理服務、電子簽章服務、密碼服務中間件和其他密碼服務等密碼服務能力。密碼資源管理平臺應具有密碼相關的設備管理、配置管理、運行管理、租戶管理、應用管理、異常監(jiān)測及預警告警功能。響應時間、負載以及并發(fā)要求應滿足相關要求。與相關法律法規(guī)和標準的關系本標準遵守現(xiàn)行法律法規(guī)，并和強制性標準相協(xié)調一致。本標準制定中未采用國際標準，文中規(guī)范性引用的國家標準、行業(yè)標準均為政務“一朵云”密碼應用技術要求提供了相關依據(jù)。江蘇省地方標準《政務“一朵云”安全管理體系規(guī)范第2部分政務云密碼應用技術要求》（DB32/TXXX—2024）規(guī)定了政務“一朵云”運行管理機構開展政務云商用密碼建設的內容，提出了密碼資源池的建設要求，為保障政務云安全穩(wěn)定運行提供指導。作為推薦性或強制性標準的建議建議作為推薦性標準發(fā)布實施。推廣實施建議建議標準發(fā)布后，及時組織開展宣貫和培訓。通過在省級、設區(qū)市政務云建設過程中進行應用，加大示范和宣傳力度，加快推進本標準的實施。召開全省政務云密碼應用建設