政務(wù)信息系統(tǒng)密碼應(yīng)用方案設(shè)計
——以某信用平臺為例

高 崑

（安徽電信規(guī)劃設(shè)計有限責(zé)任公司，安徽 合肥 230001）

0 引 言

政務(wù)信息系統(tǒng)是現(xiàn)代政務(wù)信息治理和信息科技發(fā)展相結(jié)合的產(chǎn)物，是國家關(guān)鍵信息基礎(chǔ)設(shè)施，一旦遭到破壞將對國家安全、社會穩(wěn)定、經(jīng)濟繁榮以及民生改善等造成嚴重損失。在“互聯(lián)網(wǎng)+政務(wù)服務(wù)”的大背景下，政務(wù)信息系統(tǒng)融合了大量跨部門、跨平臺的數(shù)據(jù)，易遭受網(wǎng)絡(luò)攻擊，存在用戶假冒、數(shù)據(jù)篡改、信息泄露等安全風(fēng)險。如何為政務(wù)信息系統(tǒng)提供更加可靠的安全保障，是當前政務(wù)信息系統(tǒng)建設(shè)發(fā)展過程中亟需解決的問題。密碼技術(shù)是網(wǎng)絡(luò)安全的核心技術(shù)和基礎(chǔ)支撐，在身份鑒別、訪問控制、安全隔離、數(shù)據(jù)加密等方面具有不可替代的重要作用。密碼應(yīng)用也是解決政務(wù)信息系統(tǒng)安全保障問題的基礎(chǔ)技術(shù)手段，與其他類型的網(wǎng)絡(luò)信息安全保護手段相比，密碼技術(shù)具有最有效、最可靠和最經(jīng)濟的特點[1]。

本文在深入研究《政務(wù)信息系統(tǒng)密碼應(yīng)用與安全性評估工作指南》《信息安全技術(shù) 密碼模塊安全要求》（GB/T 37092—2018）以及《信息安全技術(shù) 信息系統(tǒng)密碼應(yīng)用基本要求》（GB/T 39786—2021）等政策文件及標準規(guī)范的基礎(chǔ)上，對政務(wù)信息系統(tǒng)密碼應(yīng)用改造的目標、實際需求以及技術(shù)方案進行分析，進一步探討密碼應(yīng)用改造中存在的難點及問題。

1 政務(wù)信息系統(tǒng)密碼應(yīng)用目標

密碼應(yīng)用的目標是建設(shè)合規(guī)、正確、有效的密碼安全體系，并與系統(tǒng)整體網(wǎng)絡(luò)安全等級保護相結(jié)合，綜合考慮系統(tǒng)物理和環(huán)境、網(wǎng)絡(luò)和通信、設(shè)備和計算、應(yīng)用和數(shù)據(jù)、安全管理等層面的密碼應(yīng)用需求，形成體系化、分層次、合理可行的密碼支撐保障體系。滿足《信息安全技術(shù) 信息系統(tǒng)密碼應(yīng)用基本要求》（GB/T 39786—2021）中3 級指標要求，并為密碼應(yīng)用的安全性評估奠定基礎(chǔ)[2]。

2 政務(wù)信息系統(tǒng)密碼應(yīng)用需求分析

根據(jù)《信息安全技術(shù) 信息系統(tǒng)密碼應(yīng)用基本要求》（GB/T 39786—2021），從物理和環(huán)境安全、設(shè)備和計算安全、應(yīng)用和數(shù)據(jù)安全、安全管理等層面對本系統(tǒng)進行風(fēng)險分析，得出本系統(tǒng)的密碼應(yīng)用需求。

2.1 物理和環(huán)境安全

物理和環(huán)境安全是信息系統(tǒng)安全的基本層面。物理環(huán)境可能面臨多種威脅，既包含自然、環(huán)境和技術(shù)故障等非人為因素的威脅，也包含人員失誤和惡意攻擊等人為因素的威脅。利用密碼技術(shù)可以有效阻斷外界對信息系統(tǒng)重要場所、監(jiān)控設(shè)備的直接入侵，并確保監(jiān)控記錄不被惡意篡改。

2.2 網(wǎng)絡(luò)和通信安全

需部署符合國密標準的安全套接層（Secure Socket Layer，SSL）虛擬專用網(wǎng)絡(luò)（Virtual Private Network，VPN）安全網(wǎng)關(guān)，對通過電子政務(wù)外網(wǎng)訪問安徽省信用平臺的用戶終端進行身份鑒別，建立安全數(shù)據(jù)傳輸通道，保證網(wǎng)絡(luò)邊界訪問控制信息的完整性，防止訪問控制信息被非法篡改。

2.3 設(shè)備和計算安全

設(shè)備和計算安全層面使用的密碼算法、密碼技術(shù)、密碼服務(wù)和密鑰管理，由國密安全瀏覽器、符合《服務(wù)器密碼機技術(shù)規(guī)范》（GM/T 0030—2014）的服務(wù)器密碼機、符合《智能密碼鑰匙技術(shù)規(guī)范》（GM/T 0027—2014）的智能密碼鑰匙（UKey）、數(shù)字證書組成，實現(xiàn)設(shè)備與計算層的功能需求。以上的密碼產(chǎn)品符合《信息安全技術(shù) 密碼模塊安全要求》（GM/T 37092—2018）的2 級要求。

2.4 應(yīng)用和數(shù)據(jù)安全

需部署符合國密標準的服務(wù)器密碼機，應(yīng)用通過調(diào)用服務(wù)器密碼機，對登錄平臺的用戶和管理員的身份鑒別數(shù)據(jù)、重要應(yīng)用業(yè)務(wù)數(shù)據(jù)、虛擬機鏡像文件等進行傳輸機密性、完整性保護，以及存儲的機密性和完整性保護，防止重要數(shù)據(jù)被竊取和被篡改。密碼應(yīng)用詳細指標要求如表1 所示。

表1 密碼應(yīng)用詳細指標要求

2.5 國產(chǎn)化需求

當前，我國密碼技術(shù)能力已達到國際先進水平，自主設(shè)計的商用密碼算法ZUC、SM2 和SM9 已成為國際標準，并在金融、稅務(wù)、海關(guān)、電力、公安等重要領(lǐng)域的網(wǎng)絡(luò)和信息系統(tǒng)中廣泛應(yīng)用。隨著政務(wù)信息應(yīng)用的多樣化、移動化發(fā)展，多數(shù)系統(tǒng)要求達到等保三級的安全保障能力，更加強調(diào)了各類國產(chǎn)密碼的應(yīng)用。在系統(tǒng)密碼應(yīng)用中，需依據(jù)用戶實際需求選擇合適的國產(chǎn)密碼技術(shù)為政務(wù)應(yīng)用提供服務(wù)。

3 某信用平臺密碼應(yīng)用改造方案

根據(jù)某信用平臺的部署方式和業(yè)務(wù)功能，在滿足總體性、完備性、經(jīng)濟性原則的基礎(chǔ)上，設(shè)計一套科學(xué)合理、目標明確、措施完備的密碼應(yīng)用技術(shù)方案。通過部署服務(wù)器密碼機、簽名驗簽系統(tǒng)、IPSec/SSL VPN 安全認證網(wǎng)關(guān)、智能密碼鑰匙、國密安全瀏覽器這些密碼服務(wù)及產(chǎn)品，并正確配置，滿足安徽省信用平臺系統(tǒng)的應(yīng)用需求，形成體系化、分層次、合理可行的密碼支撐保障體系，為信息系統(tǒng)提供全方位的密碼應(yīng)用防護。密碼應(yīng)用技術(shù)框架如圖1 所示。

圖1 某信用平臺密碼應(yīng)用改造架構(gòu)

3.1 物理和環(huán)境安全

在平臺所在機房部署符合《采用非接觸卡的門禁系統(tǒng)密碼應(yīng)用技術(shù)指南》（GM/T 0036—2014）的電子門禁系統(tǒng)，使用SM4 算法進行密鑰分散，實現(xiàn)門禁卡的一卡一密，并基于SM4 算法對人員身份進行鑒別；使用HMAC-SM3 技術(shù)對門禁進出記錄進行完整性保護；部署符合密碼相關(guān)國家、行業(yè)標準要求的國密攝像頭與視頻監(jiān)控系統(tǒng)，實現(xiàn)對視頻監(jiān)控數(shù)據(jù)進行完整性保護。

物理和環(huán)境安全層面使用的密碼算法、密碼技術(shù)、密鑰管理由符合《采用非接觸卡的門禁系統(tǒng)密碼應(yīng)用技術(shù)指南》（GM/T 0036—2014）的電子門禁系統(tǒng)，符合國家、行業(yè)標準的國密攝像頭與視頻監(jiān)控系統(tǒng)實現(xiàn)。

3.2 網(wǎng)絡(luò)和通信安全

在數(shù)據(jù)中心機房的網(wǎng)絡(luò)出入口和運維管理區(qū)分別部署符合《SSL VPN 網(wǎng)關(guān)產(chǎn)品規(guī)范》（GM/T 0025—2014）的SSL VPN 安全網(wǎng)關(guān)。網(wǎng)絡(luò)和通信安全層面使用的密碼算法、密碼技術(shù)、密鑰管理由符合《SSL VPN 網(wǎng)關(guān)產(chǎn)品規(guī)范》（GM/T 0025—2014）的SSL VPN 安全網(wǎng)關(guān)實現(xiàn)。

3.3 設(shè)備和計算安全

部署符合《SSL VPN 網(wǎng)關(guān)產(chǎn)品規(guī)范》（GM/T 0025—2014）的SSL VPN 安全網(wǎng)關(guān)（即為網(wǎng)絡(luò)和通信安全中部署在運維管理出入口的SSL VPN 安全網(wǎng)關(guān)），向政務(wù)信息系統(tǒng)的系統(tǒng)管理員配發(fā)USB 接口的智能密碼鑰匙（USBKey），對系統(tǒng)管理員進行身份鑒別，并對遠程管理身份鑒別信息的傳輸進行加密保護，防止非授權(quán)人員登錄、管理員遠程登錄身份鑒別信息被非授權(quán)竊取。

在數(shù)據(jù)中心機房部署符合相關(guān)國家、行業(yè)密碼應(yīng)用標準要求的密碼資源池，系統(tǒng)地訪問控制信息、設(shè)備日志、重要可執(zhí)行程序通過申請密碼服務(wù)平臺的完整性校驗服務(wù)實現(xiàn)完整性保護，確保重要可執(zhí)行程序的來源真實性。

設(shè)備和計算安全層面所使用的密碼算法、密碼技術(shù)、密碼服務(wù)、密鑰管理由符合《SSL VPN 網(wǎng)關(guān)產(chǎn)品規(guī)范》（GM/T 0025—2014）、《云服務(wù)器密碼機技術(shù)規(guī)范》（GM/T 0104—2021）、《智能密碼鑰匙技術(shù)規(guī)范》（GM/T 0027—2014）的SSL VPN 安全網(wǎng)關(guān)、云服務(wù)器密碼機、USBKey 實現(xiàn)。

3.4 應(yīng)用和數(shù)據(jù)安全

利用身份認證網(wǎng)關(guān)為應(yīng)用系統(tǒng)提供基于國密數(shù)字證書的身份認證功能；利用簽名服務(wù)器提供應(yīng)用層面的數(shù)據(jù)安全保護。應(yīng)用系統(tǒng)通過調(diào)用服務(wù)器密碼機提供的客戶端控件和服務(wù)端接口，基于接口提供的數(shù)據(jù)完整性和保密性函數(shù)，針對如信用報告等需要傳輸和存儲的重要數(shù)據(jù)進行加密與簽名，保證傳輸過程中和存儲過程中關(guān)鍵信息的機密性、完整性。服務(wù)器密碼機提供基礎(chǔ)的密碼運算和密鑰管理服務(wù)[3-5]。

以信用平臺為例，所涉及的應(yīng)用數(shù)據(jù)安全包括身份鑒別、敏感數(shù)據(jù)傳輸加密、敏感數(shù)據(jù)存儲加密，按照數(shù)據(jù)分類管理定義，將數(shù)據(jù)分為低密、中密、高密，如表2 所示。

表2 平臺數(shù)據(jù)密級

4 密碼服務(wù)平臺

原則上，政務(wù)云體系下需要建設(shè)統(tǒng)一的密碼服務(wù)平臺。密碼服務(wù)平臺為云租戶（應(yīng)用系統(tǒng)）提供按需高效、彈性可擴展的密碼服務(wù)，實現(xiàn)對密碼應(yīng)用服務(wù)的統(tǒng)一管理、統(tǒng)一調(diào)度、統(tǒng)一監(jiān)控，同時滿足接入政務(wù)云上系統(tǒng)在密碼應(yīng)用安全性評估上的需求。此外，密碼服務(wù)平臺設(shè)計分為密碼服務(wù)系統(tǒng)、基礎(chǔ)密碼服務(wù)系統(tǒng)以及密碼支撐系統(tǒng)，這3 層服務(wù)構(gòu)成從低到高的層級關(guān)系，低層可為上層提供密碼服務(wù)支撐。

密碼服務(wù)系統(tǒng)包含經(jīng)過功能封裝的密碼功能服務(wù)，直面各個信息系統(tǒng)提供多種密碼服務(wù)。密碼服務(wù)層主要由密碼服務(wù)應(yīng)用程序編程接口（Application Programming Interface，API）組成。密碼服務(wù)API 技術(shù)符合商用密碼行業(yè)標準。密碼服務(wù)支持租戶的密碼服務(wù)應(yīng)用、支持云租戶到云平臺的傳輸密碼保護、支持云平臺數(shù)據(jù)存儲密碼保護、支持管理員的登錄認證和數(shù)據(jù)傳輸保護、支持租戶的登錄認證。

密碼支撐系統(tǒng)為密碼服務(wù)平臺的密碼基礎(chǔ)設(shè)施，即密碼資源池，主要包括云服務(wù)器密碼機、透明傳輸加密服務(wù)器、透明存儲加密服務(wù)器、SSL VPN 安全網(wǎng)關(guān)、國密身份認證系統(tǒng)服務(wù)器、統(tǒng)一密鑰管理平臺專屬硬件、密碼平臺專屬硬件。

基礎(chǔ)密碼服務(wù)系統(tǒng)基于密碼支撐系統(tǒng)中的密碼基礎(chǔ)設(shè)施，將面向應(yīng)用場景的密碼功能集合在一起，打包成易部署、易使用的虛擬機模板、微服務(wù)模板軟件，在云中以虛擬機實例、微服務(wù)實例、軟件中間件的形態(tài)提供服務(wù)。

5 結(jié) 論

政務(wù)信息系統(tǒng)密碼應(yīng)用改造將是未來各級政府大力推動的工作之一，本文的研究在一定程度上對密碼應(yīng)用改造所涉及的領(lǐng)域及關(guān)注的重點進行了分析。從安徽省政務(wù)信息系統(tǒng)部署架構(gòu)出發(fā)，在實施密碼應(yīng)用改造的過程中，應(yīng)突出政務(wù)云平臺的整體性和一致性，密碼應(yīng)用采用統(tǒng)一協(xié)調(diào)的方案。網(wǎng)絡(luò)和通信安全以政務(wù)云邊界為網(wǎng)絡(luò)邊界，密碼應(yīng)用實施考慮政務(wù)云平臺整體的數(shù)據(jù)通信安全；設(shè)備和計算安全以系統(tǒng)包含的政務(wù)云平臺虛擬機、本地應(yīng)用服務(wù)器、數(shù)據(jù)庫服務(wù)器以及存儲設(shè)備為實施對象；應(yīng)用和數(shù)據(jù)安全以平臺的服務(wù)端應(yīng)用數(shù)據(jù)安全和存儲數(shù)據(jù)安全來實施密碼應(yīng)用。此外，在本次研究過程中也發(fā)現(xiàn)，政務(wù)信息系統(tǒng)密碼應(yīng)用改造仍存在如安全密鑰（UKey）難以全用戶覆蓋等現(xiàn)實問題，后期實施過程中一般會采用生物識別的技術(shù)手段予以替代。