政務信息系統密碼應用方案設計
——以某信用平臺為例

高 崑

（安徽電信規劃設計有限責任公司，安徽 合肥 230001）

0 引 言

政務信息系統是現代政務信息治理和信息科技發展相結合的產物，是國家關鍵信息基礎設施，一旦遭到破壞將對國家安全、社會穩定、經濟繁榮以及民生改善等造成嚴重損失。在“互聯網+政務服務”的大背景下，政務信息系統融合了大量跨部門、跨平臺的數據，易遭受網絡攻擊，存在用戶假冒、數據篡改、信息泄露等安全風險。如何為政務信息系統提供更加可靠的安全保障，是當前政務信息系統建設發展過程中亟需解決的問題。密碼技術是網絡安全的核心技術和基礎支撐，在身份鑒別、訪問控制、安全隔離、數據加密等方面具有不可替代的重要作用。密碼應用也是解決政務信息系統安全保障問題的基礎技術手段，與其他類型的網絡信息安全保護手段相比，密碼技術具有最有效、最可靠和最經濟的特點[1]。

本文在深入研究《政務信息系統密碼應用與安全性評估工作指南》《信息安全技術 密碼模塊安全要求》（GB/T 37092—2018）以及《信息安全技術 信息系統密碼應用基本要求》（GB/T 39786—2021）等政策文件及標準規范的基礎上，對政務信息系統密碼應用改造的目標、實際需求以及技術方案進行分析，進一步探討密碼應用改造中存在的難點及問題。

1 政務信息系統密碼應用目標

密碼應用的目標是建設合規、正確、有效的密碼安全體系，并與系統整體網絡安全等級保護相結合，綜合考慮系統物理和環境、網絡和通信、設備和計算、應用和數據、安全管理等層面的密碼應用需求，形成體系化、分層次、合理可行的密碼支撐保障體系。滿足《信息安全技術 信息系統密碼應用基本要求》（GB/T 39786—2021）中3 級指標要求，并為密碼應用的安全性評估奠定基礎[2]。

2 政務信息系統密碼應用需求分析

根據《信息安全技術 信息系統密碼應用基本要求》（GB/T 39786—2021），從物理和環境安全、設備和計算安全、應用和數據安全、安全管理等層面對本系統進行風險分析，得出本系統的密碼應用需求。

2.1 物理和環境安全

物理和環境安全是信息系統安全的基本層面。物理環境可能面臨多種威脅，既包含自然、環境和技術故障等非人為因素的威脅，也包含人員失誤和惡意攻擊等人為因素的威脅。利用密碼技術可以有效阻斷外界對信息系統重要場所、監控設備的直接入侵，并確保監控記錄不被惡意篡改。

2.2 網絡和通信安全

需部署符合國密標準的安全套接層（Secure Socket Layer，SSL）虛擬專用網絡（Virtual Private Network，VPN）安全網關，對通過電子政務外網訪問安徽省信用平臺的用戶終端進行身份鑒別，建立安全數據傳輸通道，保證網絡邊界訪問控制信息的完整性，防止訪問控制信息被非法篡改。

2.3 設備和計算安全

設備和計算安全層面使用的密碼算法、密碼技術、密碼服務和密鑰管理，由國密安全瀏覽器、符合《服務器密碼機技術規范》（GM/T 0030—2014）的服務器密碼機、符合《智能密碼鑰匙技術規范》（GM/T 0027—2014）的智能密碼鑰匙（UKey）、數字證書組成，實現設備與計算層的功能需求。以上的密碼產品符合《信息安全技術 密碼模塊安全要求》（GM/T 37092—2018）的2 級要求。

2.4 應用和數據安全

需部署符合國密標準的服務器密碼機，應用通過調用服務器密碼機，對登錄平臺的用戶和管理員的身份鑒別數據、重要應用業務數據、虛擬機鏡像文件等進行傳輸機密性、完整性保護，以及存儲的機密性和完整性保護，防止重要數據被竊取和被篡改。密碼應用詳細指標要求如表1 所示。

表1 密碼應用詳細指標要求

2.5 國產化需求

當前，我國密碼技術能力已達到國際先進水平，自主設計的商用密碼算法ZUC、SM2 和SM9 已成為國際標準，并在金融、稅務、海關、電力、公安等重要領域的網絡和信息系統中廣泛應用。隨著政務信息應用的多樣化、移動化發展，多數系統要求達到等保三級的安全保障能力，更加強調了各類國產密碼的應用。在系統密碼應用中，需依據用戶實際需求選擇合適的國產密碼技術為政務應用提供服務。

3 某信用平臺密碼應用改造方案

根據某信用平臺的部署方式和業務功能，在滿足總體性、完備性、經濟性原則的基礎上，設計一套科學合理、目標明確、措施完備的密碼應用技術方案。通過部署服務器密碼機、簽名驗簽系統、IPSec/SSL VPN 安全認證網關、智能密碼鑰匙、國密安全瀏覽器這些密碼服務及產品，并正確配置，滿足安徽省信用平臺系統的應用需求，形成體系化、分層次、合理可行的密碼支撐保障體系，為信息系統提供全方位的密碼應用防護。密碼應用技術框架如圖1 所示。

圖1 某信用平臺密碼應用改造架構

3.1 物理和環境安全

在平臺所在機房部署符合《采用非接觸卡的門禁系統密碼應用技術指南》（GM/T 0036—2014）的電子門禁系統，使用SM4 算法進行密鑰分散，實現門禁卡的一卡一密，并基于SM4 算法對人員身份進行鑒別；使用HMAC-SM3 技術對門禁進出記錄進行完整性保護；部署符合密碼相關國家、行業標準要求的國密攝像頭與視頻監控系統，實現對視頻監控數據進行完整性保護。

物理和環境安全層面使用的密碼算法、密碼技術、密鑰管理由符合《采用非接觸卡的門禁系統密碼應用技術指南》（GM/T 0036—2014）的電子門禁系統，符合國家、行業標準的國密攝像頭與視頻監控系統實現。

3.2 網絡和通信安全

在數據中心機房的網絡出入口和運維管理區分別部署符合《SSL VPN 網關產品規范》（GM/T 0025—2014）的SSL VPN 安全網關。網絡和通信安全層面使用的密碼算法、密碼技術、密鑰管理由符合《SSL VPN 網關產品規范》（GM/T 0025—2014）的SSL VPN 安全網關實現。

3.3 設備和計算安全

部署符合《SSL VPN 網關產品規范》（GM/T 0025—2014）的SSL VPN 安全網關（即為網絡和通信安全中部署在運維管理出入口的SSL VPN 安全網關），向政務信息系統的系統管理員配發USB 接口的智能密碼鑰匙（USBKey），對系統管理員進行身份鑒別，并對遠程管理身份鑒別信息的傳輸進行加密保護，防止非授權人員登錄、管理員遠程登錄身份鑒別信息被非授權竊取。

在數據中心機房部署符合相關國家、行業密碼應用標準要求的密碼資源池，系統地訪問控制信息、設備日志、重要可執行程序通過申請密碼服務平臺的完整性校驗服務實現完整性保護，確保重要可執行程序的來源真實性。

設備和計算安全層面所使用的密碼算法、密碼技術、密碼服務、密鑰管理由符合《SSL VPN 網關產品規范》（GM/T 0025—2014）、《云服務器密碼機技術規范》（GM/T 0104—2021）、《智能密碼鑰匙技術規范》（GM/T 0027—2014）的SSL VPN 安全網關、云服務器密碼機、USBKey 實現。

3.4 應用和數據安全

利用身份認證網關為應用系統提供基于國密數字證書的身份認證功能；利用簽名服務器提供應用層面的數據安全保護。應用系統通過調用服務器密碼機提供的客戶端控件和服務端接口，基于接口提供的數據完整性和保密性函數，針對如信用報告等需要傳輸和存儲的重要數據進行加密與簽名，保證傳輸過程中和存儲過程中關鍵信息的機密性、完整性。服務器密碼機提供基礎的密碼運算和密鑰管理服務[3-5]。

以信用平臺為例，所涉及的應用數據安全包括身份鑒別、敏感數據傳輸加密、敏感數據存儲加密，按照數據分類管理定義，將數據分為低密、中密、高密，如表2 所示。

表2 平臺數據密級

4 密碼服務平臺

原則上，政務云體系下需要建設統一的密碼服務平臺。密碼服務平臺為云租戶（應用系統）提供按需高效、彈性可擴展的密碼服務，實現對密碼應用服務的統一管理、統一調度、統一監控，同時滿足接入政務云上系統在密碼應用安全性評估上的需求。此外，密碼服務平臺設計分為密碼服務系統、基礎密碼服務系統以及密碼支撐系統，這3 層服務構成從低到高的層級關系，低層可為上層提供密碼服務支撐。

密碼服務系統包含經過功能封裝的密碼功能服務，直面各個信息系統提供多種密碼服務。密碼服務層主要由密碼服務應用程序編程接口（Application Programming Interface，API）組成。密碼服務API 技術符合商用密碼行業標準。密碼服務支持租戶的密碼服務應用、支持云租戶到云平臺的傳輸密碼保護、支持云平臺數據存儲密碼保護、支持管理員的登錄認證和數據傳輸保護、支持租戶的登錄認證。

密碼支撐系統為密碼服務平臺的密碼基礎設施，即密碼資源池，主要包括云服務器密碼機、透明傳輸加密服務器、透明存儲加密服務器、SSL VPN 安全網關、國密身份認證系統服務器、統一密鑰管理平臺專屬硬件、密碼平臺專屬硬件。

基礎密碼服務系統基于密碼支撐系統中的密碼基礎設施，將面向應用場景的密碼功能集合在一起，打包成易部署、易使用的虛擬機模板、微服務模板軟件，在云中以虛擬機實例、微服務實例、軟件中間件的形態提供服務。

5 結 論

政務信息系統密碼應用改造將是未來各級政府大力推動的工作之一，本文的研究在一定程度上對密碼應用改造所涉及的領域及關注的重點進行了分析。從安徽省政務信息系統部署架構出發，在實施密碼應用改造的過程中，應突出政務云平臺的整體性和一致性，密碼應用采用統一協調的方案。網絡和通信安全以政務云邊界為網絡邊界，密碼應用實施考慮政務云平臺整體的數據通信安全；設備和計算安全以系統包含的政務云平臺虛擬機、本地應用服務器、數據庫服務器以及存儲設備為實施對象；應用和數據安全以平臺的服務端應用數據安全和存儲數據安全來實施密碼應用。此外，在本次研究過程中也發現，政務信息系統密碼應用改造仍存在如安全密鑰（UKey）難以全用戶覆蓋等現實問題，后期實施過程中一般會采用生物識別的技術手段予以替代。