方案背景 方案设计
云密码安全服务方案
方案背景

“互联网+政务服务”、政务信息系统整合共享等政策相继出台,中国政务云市场规模迅速增长,由于云计算自身的特点,也让政务业务数据安全和网络安全面临新的挑战。密码技术作为信息安全的核心技术,对保护云平台及云上业务系统的安全性起着至关重要的作用。《中华人民共和国网络安全法》、《中华人民共和国密码法》、《网络安全等级保护条例(征求意见稿)》、《国家政务信息化项目建设管理办法》(国办发〔2019〕57号)及密码应用与安全性评估要求的陆续颁布,进一步奠定了密码技术作为政务云网络安全保护重要手段的地位。

为确保政务信息系统运行安全和政务信息资源共享交换的数据安全,结合政务云平台运营服务领域的经验,规划政务云密码体系建设,旨在通过国产密码技术与国密软硬件密码产品的结合,从数据来源的可信认证、数据安全传输与存储、数据安全共享与交换、用户身份认证、访问控制权限、系统安全审计、网络安全动态感知等方面,深化大数据网络安全防护体系和态势感知能力建设,增强网络空间安全防护和安全事件识别能力,加强政务云环境中关键敏感数据防泄露、防窃取的监测、预警、控制能力建设。


方案设计

建设政务云密码体系,采用云密码资源服务模式面向云租户和云管理中心提供密码服务。所有密码资源及密码设备纳入云密码服务平台进行集中管控和调度,为云上应用系统提供密码服务,实现密码应用服务的统一管理。

政务云密码体系建成后应符合GB/T 39786-2021《信息安全技术信息系统密码应用基本要求》,以及商用密码应用安全性评估第三级的标准。

总体框架如下:

云密码安全服务方案(图1)


 部署云密码服务平台及密码设备,构建密码资源池,实现公钥密码基础设施、密码基础设施硬件设备、密码服务资源池、密码接口资源池进行统一管理,实现密码资源调度、动态迁移、权限控制、弹性扩容、资源容灾、密钥同步等。

云密码服务平台提供基础密码服务、通用密码服务、密码应用服务等层次化服务体系,具备按需分配、动态扩展/缩减密码服务的能力,在不影响业务应用系统运行的情况下按需弹性扩展密码资源及功能模块,满足信息化建设过程中政务云密码应用支撑能力。同时支持信创环境部署,兼容市场上各主流厂商密码产品及密码服务。

云密码服务平台实现密码运算资源、密码设备资源、密码服务资源的统一调度和管理,并提供全维度的统计分析平台,以可视化展现形式实时将密码资源的服务状态、运行情况、调用情况等数据,形成密码应用的“可管理、可感知、可预警、可防护、可处置”的一体化监控预警体系,有效提升密码资源的安全运维管控能力。