xx系統商用密碼應用方案建設單位：xx編制日期：2024年 31.1建設規劃、法律法規要求 31.2項目實施的必要性 4 4 4 42.1.2系統責任主體單位情況 52.1.3系統上線運行時間 5 52.1.5完成等保備案情況 62.1.6網絡安全保護等級建設情況 62.1.7商用密碼應用建設情況 62.2計算平臺現狀 6 72.3.1業務應用基本情況 72.3.2承載的業務情況 92.4密碼應用現狀 2.5密碼應用管理現狀 3密碼應用需求分析 3.1計算平臺風險控制需求 3.2業務應用風險控制需求 3.3安全管理 3.4密鑰管理要求 4安全目標及設計原則 4.1安全目標 4.2設計原則與依據 5.1密碼應用技術框架 5.2算法配用 5.3計算平臺密碼應用方案 5.5業務應用密碼應用方案 5.6密碼應用部署設計 6安全管理方案 6.1管理制度 6.2人員管理 6.3密碼軟硬件與介質管理 6.4運維管理 6.5其他 7安全與合規性分析 7.1密碼應用合規性(技術)對照表 7.2密碼應用合規性(管理)對照表 8實施保障方案 8.2實施計劃 78 8.3保障措施 1.1建設規劃、法律法規要求《中華人民共和國密碼法》,于2020年1月1日正式施行，所1.2項目實施的必要性2系統概述2.1基本情況2.1.1系統名稱2.1.2系統責任主體單位情況本次項目的建設單位為xx,地址位于xxx,歸屬密碼管理部門2.1.3系統上線運行時間xx系統于2023年9月上線運行。2.1.4系統用戶情況xx系統主要使用單位為xx。◆使用人員本系統使用人員包括系統管理人員、運維人員、業務人員。系統采用B/S架構，用戶可使用PC終端通過Web瀏覽器訪問。運維人員和管理人員在政務外網或互聯網區域使用PC終端訪問，采用HTTPS協議；運維人員通過SSLVPN接入管理。具體如下表所示：1系統管理人員系統人員管理于維護、賬號權限分配、異常問題處置等賬號密碼或者是手機驗證碼登錄12運維人員系統的日常維護和故障處置賬號密碼，通過SSLVPN接13業務人員處理企業認證、項目認證等流程審核、項目小組成立審核，項目監督流程審核、參與項目監督流程，并賬號密碼或者是手機驗證碼登錄綠化監督項目流程信息等企業項目上報、企業新增、園林綠化項目新增等賬號密碼或者是手機驗證碼登錄N維人員進行日常運行維護、業務人員(企業)提交和上報業務信息、2.2計算平臺現狀xx系統擬遷移部署至xx政務云(浪潮云)機房；系統所使用的和維護管理；xx政務云(浪潮云)機房位于xx武侯區益州大道中段2.3業務應用現狀系統網絡拓撲圖成都市政務云(浪潮云)機房交換機能政務外網分為xx辦公樓域、網絡核心域、安全管理區域、業務應用注：xx系統遷移后將部署于“政務云(浪潮云)”云平臺，系統系統軟硬件構成xx系統擬遷移部署至xx政務云(浪潮云)機房，故本次項目建設中涉及的物理安防設施、基礎安全設備均復用政務(浪潮云)平臺現有設施，由云服務商提供，故本次方案中的對應部分為不涉及。.1物理安防設施.2密碼產品屬于新建系統(國產化改造后遷移上浪潮云),暫無密碼安全產.3服務器/存儲設備類別型號數量1務器機Java應用1非常重要2務器機redis中間件1非常重要3機數據庫1非常重要4機S1重要.4安全設備.5數據庫管理系統2.3.2承載的業務情況業務應用系統架構xx系統主要，由前端頁面，后臺應用程序和數據庫三個方面組成，并且系統依賴于nginx做負載均衡和redis進行緩存管理。系業務應用系統功能業務應用流程證企業信息填寫企業提交審核受理科科長審核建成功核核審核核審審審初復立立成關鍵數據類型1身份鑒別信息用戶名、口令、等傳輸機密性、完整性；存儲機密性、完整性結構化MySQL數據庫2重要業務數據企業項目信息傳輸機密性、完整性；存儲機密性、完整性結構化據庫3訪問控制數據結構化據庫4管理日志數據登錄日志、授權、創建用戶、結構化據庫5操作日志用戶操作記錄結構化MySQL數據庫2.4密碼應用現狀2.5密碼應用管理現狀3密碼應用需求分析3.1計算平臺風險控制需求xx系統擬將部署于xx政務云(浪潮云)機房，因xx政務云(浪潮云)由其服務商建設運營，本系統對云平臺物理機房環境及3.2業務應用風險控制需求根據GB/T39786-2021《信息安全技不涉及，本次系統遷移上云后復用xx政務云(浪潮云)機房環(單位業務、管理人員)訪問的業務通道；二是外部業務訪問通道；通信信道12外部業務通信信道2互聯網區域及政務外網區域外部用戶通過PC終端訪問xx系統2運維通道通信信道3互聯網區域及政務外網區域維管理安全風險分析(1)身份鑒別1)業務訪問通道(通信信道1、通信信道2)業務人員、管理人員從互聯網或電子政務外網P覽器經身份認證后登錄園林綠化監督業務時，未使用密碼技術對通3)運維通道(通信信道3)運維人員在互聯網或電子政務外網通過xx政務云(浪潮云)平臺(2)通信數據完整性、機密性1)業務通道(通信信道1、通信信道2)業務人員、管理人員訪問同一個URL,均從互聯網或電子政務外AES、SHA算法保障數據的傳輸安全，未使用國家密碼管理機構要求2)運維通道(通信信道3)運維人員從互聯網或電子政務外網通過xx政務云(浪潮云)平臺管理機構要求的密碼技術對通信實體進行身份鑒別，存在數據被竊(3)訪問控制信息完整性1)業務通道(通信信道1、通信信道2)經身份認證后訪問園林綠化監督業務時，其訪問控制都是通過浪潮云平臺邊界防火墻實現訪問控制，未采用密碼技術保證網絡邊界訪2)運維通道(通信信道3)運維人員在互聯網或電子政務外網通過xx政務云(浪潮云)平臺提供的VPN接入；配合堡壘機進行遠程維護，訪問控制列表由堡壘機進行控制，現有堡壘機無商密產品證書，未采用密碼技術對訪問(4)安全接入認證風險根據GB/T39786-2021《信息安全技術信息系統密碼應用基本要求》對等級保護第三級信息系統的密碼應用技術要求，安全接入認證項應用要求為“可”,同時接入系統的設備無安全接入認證需密碼應用需求分析(1)身份鑒別1)業務訪問通道(通信信道1、通信信道2)業務人員、管理人員從互聯網或電子政務外網PC端通過WEB瀏HTTPS協議構建通信信道，由于國密瀏覽器適配難度大，本次證書采用RSA,密鑰長度為2048bit,保證服務端身份的真實性，避免業務2)運維通道(通信信道3)需通過IPSEC/SSLVPN綜合安全網關的客戶端使用SSLVPN的方式連接到xx系統的網絡，IPSEC/SSLVPN綜合安全網關需具備商用密碼產品認證證書，需采用SM2對運維人員進行身份鑒別，能夠避免身份被仿冒。運維人員的數字證書由第三方合規數字證書認證系統(2)數據傳輸安全1)業務通道(通信信道1、通信信道2)業務人員、管理人員從互聯網或電子政務外網PHTTPS協議構建通信信道，由于國密瀏覽器適配難度大，本次證書采用RSA,密鑰長度為2048bit,通過采用安全級別在AES、SHA2以上2)運維通道(通信信道3)運維人員從互聯網或電子政務外網通過PC終端進需使用IPSEC/SSLVPN綜合安全網關的客戶端通過SSLVPN的方式商用密碼產品認證證書，已采用基于SM2算法的數字證書對運維人員進行身份鑒別，采用SM3、SM4算法對(3)網絡邊界訪問控制完整性1)業務通道(通信信道1、通信信道2)業務人員、管理人員從互聯網或電子政務外網通過PC端瀏覽器經身份認證后訪問園林綠化監督業務時，其訪問控制都是通過云平臺邊界防火墻實現訪問控制，防火墻是安全整機產品，難以改造。2)運維通道(通信信道3)運維人員從互聯網或電子政務外網通過PC終端進需使用IPSEC/SSLVPN綜合安全網關的客戶端通過SSLVPN的方式(4)安全接入認證園林綠化監督業務不存在從外部連接到內部網絡的設備認證，3.2.3設備和計算安全安全風險分析(1)登錄用戶身份假冒1)服務器、數據庫服務器、數據庫由運維終端通過xx政務云(浪潮云)平臺提供的2)堡壘機運維人員連接VPN后在本地通過運維終端使用“用戶名+口令”的方式登錄堡壘機，認證通過后開展對服務器、數據庫等設備的運維工作，未使用密碼技術對運維人員身份進行鑒別，存在身份被冒3)密碼產品目前系統暫未配備相關密碼設施，本次項目建設規劃的密碼設并為運維人員配發智能密碼鑰匙，基于SM2數字證書實現對運維人(2)訪問權限篡改目前本系統的服務器、數據庫、堡壘機均未使用密碼技術對系統資源訪問控制信息進行完整性保護，訪問控制信息存在被篡改的其余于本項目配套的密碼設施需具有商用密碼產品認證證書，(3)遠程管理風險1)數據庫、服務器運維人員登錄堡壘機后，在堡壘機登錄數據庫、服務器進行管理時，未使用國家密碼管理機構要求的密碼技術對通信實體進行身份鑒別和通道數據保護，存在身份被冒用，設備被非法人員登錄，2)堡壘機要求的密碼技術對通信實體進行身份鑒別，存在身份假冒、數據被3)密碼產品(4)日志記錄篡改服務器、數據庫、堡壘機等設備的關鍵日志先以明文形式存儲在設備本身上，未使用密碼技術進行完整性保護，存在日志記錄被其余與本項目配套的密碼設施需具有商用密碼產品認證證書，(5)重要可執行程序遭惡意篡改xx系統業務重要可執行程序來源不可信，在生成時未使用密碼技術進行完整性保護，使用或讀取這些程序時，未對其進行完整性其余于本項目配套的密碼設施需具有商用密碼產品認證證書，(6)重要信息資源安全標記風險對于重要信息資源安全標記完整性，由于在本系統中的服務器等不存在系統資源訪問控制信息和設備中的重要信息資源安全標記，密碼應用需求(1)登錄用戶身份鑒別1)服務器、數據庫服務器、數據庫等設備的身份鑒別依托于堡壘機實現身份鑒別，需具有商用密碼產品認證證書，采用基于SM2的數字證書實現身份2)堡壘機運維人員登錄堡壘機時，需為運維人員配發智能密碼鑰匙，基于SM2數字證書的方式實現對運維人員的身份鑒別，防止非授權人鑒于堡壘機是整機設備，難以進行改造，運維人員在登錄堡壘機前，使用IPSEC/SSLVPN綜合安全網關客戶端以SSLVPN的方式堡壘機的身份鑒別依托IPSEC/SSLVPN綜合安全網關實現。3)密碼產品目前系統暫未配備相關密碼設施，本次項目建設規劃的密碼設(2)訪問控制信息完整性由于堡壘機、服務器、數據庫都是成熟的產品，產品的相關訪問控制信息完整性難以通過技術層面進行改造，可采取對訪問角色其余于本項目配套的密碼設施需具有商用密碼產品認證證書，(3)遠程管理通道安全1)數據庫、服務器運維人員通過堡壘機登錄服務器，由于目前尚未發布基于國密2)堡壘機堡壘機(浪潮云平臺提供功能使用),運維人員從互聯網或電子困難，因此本次改造使用RSA證書，密鑰長度為2048bit,對通信實體進行單向身份鑒別。采用AES、SHA3等安全算法，屏蔽弱密碼算鑒于堡壘機是整機設備，難以進行改造，運維人員在登錄堡壘機前，使用IPSEC/SSLVPN綜合安全網關客戶端以SSLVPN的方式堡壘機的遠程管理安全依托IPSEC/SSLVPN綜合安全網關實現。3)密碼產品(4)日志記錄完整性對于堡壘機、服務器、數據庫等設備的關鍵日志，由于其均為成熟的產品，產品的日志記錄完整性難以通過技術層面進行改造，因此通過在堡壘機、服務器、數據庫本身加訪問控制列表的方式訪問系統日志，從而降低因未采用密碼技術對其余于本項目配套的密碼設施需具有商用密碼產品認證證書，(5)重要可執行程序完整性重要可執行程序需要經過代碼安全審計或管理部門嚴格審批方能上線應用，通過加強風險評估和管理制度健全等手段，降低本項其余于本項目配套的密碼設施需具有商用密碼產品認證證書，(6)重要信息資源安全標記風險對于重要信息資源安全標記完整性，由于在本系統中無信息資3.2.4應用和數據安全應用和數據安全保護對象主要為業務重要數據，主要涉及企業安全風險分析(1)登錄用戶仿冒業務人員、管理人員從互聯網或電子政務外網PC端通過WEB瀏覽器經身份認證后登錄園林綠化監督業務時，未使用密碼技術對通(2)訪問控制信息被篡改xx系統通過“角色+權限”的方式對用戶進行訪問控制，訪問控制信息未使用密碼技術對訪問控制信息進行完整性保護，存在被篡(3)數據傳輸風險傳輸的重要數據包括鑒別數據、重要業務數據、個人敏感信息xx系統通過PC端到服務端進行數據傳輸。在傳輸過程中，重要的數據如身份鑒別數據、個人敏感信息、業務數據等未使用密碼技術進行傳輸機密性和完整性保護，存在敏感數據被竊取和非授權篡(4)數據存儲風險xx系統中大量重要數據以明文的方式存儲在數據庫中，如重要業務數據、重要配置數據和個人敏感信息等，未使用密碼技術進行(5)關鍵數據行為易否認該系統不涉及法律責任認定的場景，因此無不可否認需求，此(6)重要信息資源安全標記完整性本系統不對信息資源設定安全標記，本項的保護對象不存在，密碼應用需求(1)用戶身份鑒別業務人員、管理人員從互聯網或電子政務外網PC端通過WEB瀏覽器經身份認證后登錄園林綠化監督業務時，內部用戶(xx用戶)鑒別，防止非授權人員登錄。業務人員、管理人員的數字證書需由第三方合規的數字證書認證系統簽發。因本系統還涉及面向公眾企業的外部用戶，在不能使用智能密碼鑰匙進行人員進行身份鑒別的情況下，通過賬戶口令結合系統自帶的手機驗證碼登錄的方式降低(2)訪問控制信息完整性xx系統通過“角色+權限”的方式對用戶進行訪問控制，并將訪(3)數據傳輸風險業務人員、管理人員在PC端采用WEB瀏覽器經經身份認證后登信道，因國密瀏覽器適配困難，本次改造使用RSA證書，密鑰長度(4)數據存儲風險xx系統含有重要信息，如個人敏感信息、重要配置數據、重要業務數據等，詳見2..4章節。(5)關鍵數據行為易否認該系統不涉及法律責任認定的場景，因此無不可否認需求，此(6)重要信息資源安全標記完整性本系統不對信息資源設定安全標記，本項的保護對象不存在，3.3安全管理3.4密鑰管理要求3.5密碼應用需求分析表密碼應用基本要求(第三級)不適用說明物理和身份鑒別宜采用密碼技術進行物理訪問密碼應用基本要求(第三級)不適用說明電子門禁記錄數據存儲宜宜采用密碼技術保證電子門禁錄數據存儲宜宜采用密碼技術保證視頻監控音像記錄數據的存儲完整性。密碼產品二級及以上以上采用的密碼產品，應達到GB/T37092二級及以上安全要求。無網絡和全身份鑒別應需部署符合GM/T0023《IPSecVPN網關產品規范》、要求的運維SSLVPN,基于SM2數字需采用基于TLS1.2的HTTPS協議建立通信信道，實現身份鑒別。無宜在網絡邊界區域部署符合GM/T0023《IPSecVPN網關產品規范》、GM/T0025《SSLVPN網關產品規范》和要求的SSLVPN,保障數據傳輸機密性、完整性。需部署符合GM/T0023《IPSecVPN網關產品規范》、要求的SSLVPN,保障數據傳輸機密性、完整性。需采用基于TLS1.2的HTTPS協性、完整性。無通信過程中重要數據的應無密碼應用基本要求(第三級)不適用說明網絡邊界訪問控制信息的完整性宜《IPSecVPN網關產品規范》、GM/T0025《SSLVPN網關產品規范》和GM/T0028《密碼模塊安全技術要求》要求的運維SSLVPN,由SSLVPN自身機制實現訪問控制信息完整性保無密碼產品二級及以上以上采用的密碼產品，應達到GB/T37092二級及以上安全要求。無設備和計算安身份鑒別應網關產品規范》、GM/T0025《SSLVPN網關產品規范》和GM/T0028《密碼模塊安全技術要求》要求的SSLVPN,并為運維人員配發智能密碼鑰匙，基于SM2數字證書實現對運維人員的身無應部署符GM/T0023《IPSecVPN網關產品規范》、GM/T0025《SSLVPN網關產品規范》和GM/T0028《密碼模塊安全無系統資源訪問控制信息宜由于堡壘機、數據庫等設備屬于第三方設備，難以改造，此項不適無重要信息資源安全標記宜用日志記錄完宜據庫屬于成熟、開源的產品，無法改造。存儲在數據庫中的業務日志使用無性、重要可執行程序來宜重要可執行程序需要經過代碼安全審用密碼產品二級及以上以上采用的密碼產品，應達到無數據安身份鑒別應為管理人員、業務人員配發智能密碼鑰匙，需使用數字證書的技術實現身份鑒別。為無法配發智能密碼鑰匙的用戶，通過增加手機驗證碼的無密碼應用基本要求(第三級)不適用說明訪問控制信息完整性宜需采用SM4-MAC等密碼技術，對訪問無重要信息資完整性宜無用。本系統無重要信息資源安全標記應建立通信信道，采用RSA證書，密鑰長度為2048位，并使用AES、SHA3等算法保護傳輸數據的機密性、完整無應無宜用SM4、SM4-MAC等算法保障重要數無宜無宜宜采用密碼技術提供數據原發證據和數據接收證據，實現數據原發行為的不可否認性和數據接收行為的不可否用。該系統責任認定的場景，因此無不可否認需求，此項密碼產品二級及以上以上采用的密碼產品，應達到GB/T37092二級及以上安全要求。無4.1安全目標密碼法》、《信息安全技術信息系統密碼應用基本要求》(GB/T39786)等要求，設計正確、合規有效的密碼應用方案，滿足《基本要求》三級要求，并為通過密碼應用安全性評估奠定基礎。為應用系統構建一個基于國產密碼算法的，可提供身份認證、數據機密性5、實現基于國產密碼算法的訪問控制信息4.2設計原則與依據4.2.1設計原則密碼在信息系統中的應用不是孤立的，必須與信息系統的業務相結合才能發揮密碼的作用。密碼應用方案應做好頂層設計，明確應用需求和預期目標，與信息系統整體安全保護等級相結合，通過系統總體方案和密碼支撐體系總體架構設計，來引導密碼在信息系統中的應用。對于正在規劃階段的新建系統，應同時設計系統總體GB/T39786-2021《信息安全技術信息系統密碼應用基本要求》是密碼應用的通用要求，在應用方案設計時不能機械照搬，或簡單地對照每項要求堆砌密碼產品，應通過成體系、分層次的設計，形成包括密碼支撐體系總體架構、密碼基礎設施建設部署、密鑰管理體系構建、密碼服務等內容的總體方案。通過密碼應用方案設計，為實現GB/T39786-2021《信息安全技術信息系統密碼應用基本要安全風險均有可能導致信息系統安全防護體系的崩塌。密碼應用方案設計，應按照GB/T39786-2021《信息安全技術信息系統密碼應用基本要求》對密碼技術應用(包括物理和環境安全、網絡和通信密碼應用方案設計需進行可行性論證，在保證信息系統業務正常運行的同時，綜合考慮信息系統的復雜性、兼容性及其他保障措施等因素，保證方案切合實際、合理可行。要科學評估密碼應用解決方案和實施方案，可采取整體設計、分期建設、穩步推進的策略，4.2.2遵循依據2《中華人民共和國密碼法》3《網絡安全等級保護條例(征求意見稿4GB/T39786-2021《信息安全技術信息系統密碼應用基本要6GM/T0036-2014《采用非接觸卡的門禁系統密碼應用技術7GM/T0002-2012《SM4分組密碼算法》9GM/T0004-2012《SM3密碼雜湊算法》17GB/T20518《信息安全技術公鑰基礎設施數字證書格式規5密碼應用設計5.1密碼應用技術框架園林綠化監督系統園林綠化監督系統密碼應用 能力密碼接口密碼設施應用與數據密碼應用設備與計算密碼應用物理與環境密碼應用密碼設施網絡和通信密碼應用用戶終端密碼應用安通護備組成基礎密碼設施，通過API接口的方式為xx系統提供密碼能2、密碼應用(1)用戶終端密碼應用(2)物理與環境密碼應用xx系統擬將部署于xx政務云(浪潮云)機房，、本次建設復用(3)網絡與通信密碼應用書進行通信實體身份鑒別，密鑰為2048bit;采用采用安全級別在(4)設備與計算密碼應用(5)應用與數據密碼應用5.2算法配用xx系統共配置6種合規的密碼算法，其中密碼算法的名稱、用碼機、數字證書認證系統、時間戳身份認證通道保護公鑰：512bit私鑰：256bit完整性保護護密鑰：128bit分組：128bit身份認證通道保護 2048bit及以上性保護128位及以上完整性保護 摘要值：大于等于224bit5.3計算平臺密碼應用方案5.4密碼支撐平臺方案5.5業務應用密碼應用方案5.5.1物理和環境安全5.5.2網絡和通信安全xx系統涉及2類網絡邊界的通信信道。一是業務人員、管理人鑒別安全的完整性1內部業務訪問通道通信信道1政務外內部單位用戶通過改造改造改造2外部業務訪問通道通信信道2外部用戶通過PC終端訪問xx系統改造改造不適用3道通信信道3通過本地運維終端接入業務系統，進行運維管理改造改造改造內部業務人員業務終端外部業務人員(③運維通道)身份鑒別(1)業務通道(通信信道1、通信信道2)1)業務通道覽器經身份認證后登錄xx系統業務時，采用基于TLS1.2的HTT密鑰長度為2048bit,保證服務端身份的真實性，避免業務人員、管理人員訪問非法釣魚網站。由具有運營資質的合規CA機構頒發站點注：內部業務用戶可采用運維通道(通信信道3)的接入方式實現身份鑒別，本次項目內部業務用戶采用運維通道3接入。(2)運維通道(通信信道3)通過IPSEC/SSLVPN綜合安全網關的客戶端使用SSLVPN的方式連接到xx系統的網絡，IPSEC/SSLVPN綜合安全品認證證書，采用SM2對運維人員進行身份鑒別，能夠避免身份被數據傳輸安全1)業務通道(通信信道1、通信信道2)業務人員、管理人員從互聯網或電子政務外網PC端通過WEB瀏覽器經身份認證后登錄園林綠化監督業務時，采用基于TLS1.2的HTTPS協議構建通信信道，由于國密瀏覽器適配難度大，本次證書采用RSA,密鑰長度為2048bit,通過采用安全級別在AES、SHA2以上注：內部業務用戶可采用運維通道(通信信道3)的接入方式實現數據傳輸安全保障，本次項目內部業務用戶采用運維通道3接入。2)運維通道(通信信道3)使用IPSEC/SSLVPN綜合安全網關的客戶端通過SSLVPN的方式連接到園林綠化監督業務的網絡，IPSEC/SSLVPN綜合安全網關具備商用密碼產品認證證書，已采用基于SM2算法的數字證書對運維人員網絡邊界訪問控制完整性1)業務通道(通信信道1、通信信道2)經身份認證后訪問園林綠化監督業務時，其訪問控制都是通過云平臺邊界防火墻實現訪問控制，防火墻是安全整機產品，難以改造。注：內部業務用戶可采用運維通道(通信信道3)的接入方式實現實現訪問控制信息完整性保護，本次項目內部業務用戶采用運維通道3接入。2)運維通道(通信信道3)使用IPSEC/SSLVPN綜合安全網關的客戶端通過SSLVPN的方式連有商用密碼產品認證證書的產品，設備自身能夠實現訪問控制信息5.5.3設備和計算安全(浪潮云)機房本地運維園林綠化監督業務堡墊機遠程運維(云平臺提供)數據庫服務器應用服務器(云平臺提供)數字證書身份鑒別1)服務器、數據庫服務器、數據庫等設備的身份鑒別依托于IPSEC/SSLVPN綜合安全網關和堡壘機實現身份鑒別，IPSEC/SSLVPN綜合安全網關實現基于國密算法的初次用戶的身份認證，然后再登錄堡壘機實現二次身份鑒別；鑒于服務器、數據庫屬于成熟產品，難以改造，本次通過增加管理措施等手段降低不進行密碼改造帶來的風險。2)堡壘機鑒于堡壘機是整機設備，難以進行改造，運維人員在登錄堡壘機前，使用IPSEC/SSLVPN綜合安全網關客戶端以SSLVPN的方式登錄IPSEC/SSLVPN綜合安全網關，再登錄堡壘機對設備進行運維。堡壘機的身份鑒別依托IPSEC/SSLVPN綜合安全網關實現。IPSEC/SSLVPN綜合安全網關采購具有商用密碼產品認證證書的產品，采用基于SM2的數字證書實現身份鑒別。數字證書第三方合規的數3)密碼產品本次項目建設規劃的密碼設施(服務器密碼機、智能密碼鑰匙、IPSEC/SSLVPN安全網關等)具有商用密碼產品認證證書；采用基運維。符合GB/T39786-2021《信息系統密碼應用基本要求》中“設備與計算安全”中的“應采用密碼技術對登錄設備的用戶進行身份訪問控制信息完整性由于堡壘機、服務器、數據庫都是成熟的產品，產品的相關訪問控制信息完整性難以通過技術層面進行改造，本次項目采取對訪問角色進行嚴格控制的訪問控制措施來降低未使用密碼技術帶來的本次項目建設規劃的密碼設施(服務器密碼機、智能密碼鑰匙、IPSEC/SSLVPN安全網關等)具有商用密碼產品認證證書，通過自身遠程管理通道安全1)數據庫、服務器運維人員通過堡壘機登錄服務器，由于目前尚未發布基于國密2)堡壘機堡壘機(浪潮云平臺提供功能使用),運維人員從互聯網或電子難，因此本次改造使用RSA證書，密鑰長度為2048bit,對通信實體鑒于堡壘機是整機設備，難以進行改造，運維人員在登錄堡壘機前，使用IPSEC/SSLVPN綜合安全網關客戶端以SSLVPN的方式堡壘機的遠程管理安全依托IPSEC/SSLVPN綜合安全網關實現。IPSEC/SSLVPN綜合安全網關具有商用密碼產品認證證書，采用基于3)密碼產品日志記錄完整性對于堡壘機、服務器、數據庫等設備的關鍵日志，由于其均為成熟的產品，產品的日志記錄完整性難以通過技術層面進行改造，因此通過在堡壘機、服務器、數據庫本身加訪問控制列表的方式訪問系統日志，從而降低因未采用密碼技術對其余與本項目配套的密碼設施(服務器密碼機、智能密碼鑰匙、IPSEC/SSLVPN安全網關等)具有商用密碼產品認證證書，通過設備重要可執行程序完整性(1)堡壘機堡壘機的執行程序需要經過原廠商代碼安全審計或管理部門嚴格審批方能上線應用，通過加強風險評估和管理制度健全等手段，(2)服務器、數據庫重要可執行程序需要經過原廠商代碼安全審計或管理部門嚴格審批方能上線應用，通過加強風險評估和管理制度健全等手段，降(3)密碼產品其余與本項目配套的密碼設施(服務器密碼機、智能密碼鑰匙、IPSEC/SSLVPN安全網關等)具有商用密碼產品認證證書，可以基于園林綠化監督業務外密碼服務區防滅墻(云平臺提供)密碼機身份鑒別訪問控制信息完整性重要數據傳輸機密性與完整性重要數據存儲機密性與完整性配置數據、重要業務數據等(詳見2.4章節),使用服務器密碼機為數據庫中的重要數據提供加解密支撐，采用國家密碼管理機構核準的SM4算法實現對存儲數據的機密性務器密碼機自帶的密鑰管理功能獲取。系統通過調用服務器密碼機具體改造中，相關加密字段應為字符型且不參與聚集函數運算(2)服務端重要數據存儲完整性保護對xx系統存儲在數據庫中的身份鑒別數據、訪要業務數據、重要配置數據、系統操作日志數據等關鍵數據，采用5.6密碼應用部署設計5.6.1設備選型原則2、先進性原則在滿足系統密碼需要的前提下，要求其性能指標保持先進水平，3、經濟性原則要求設備價格合理，在使用過程中能耗、維護費用低。設備選型首先應考慮的是生產上適用，只有應用場景上適用的設備才能發揮其投資效果；其次是技術上先進，技術上先進必須以適用應用場景為前提，以獲得最大經濟效益為目的；最后，把應用場景上適用、一旦設備出現故障時，應保障設備及時得到維修，以保持設備5.6.2軟件硬件設備清單備注1利舊包括數據加解密、簽名驗證、供密鑰管理和密碼運算服務。具備國家密碼管理局商用密碼檢測中心頒發的《商用密碼產品認證2VPN綜合安全網關2分別部署于電子政務外網和互聯網；采用國密SM2\SM3\SM4等國密算法，提供機密性、完整性保護、數據源認證等安全防護功能，通過身份認證、訪問控制及終端安全接入技術，保障傳輸安全，為用戶訪問內部網絡和應用提供安全接入功能。具備國家密碼管理局商用密碼檢測中心頒發利舊3智能密碼鑰匙提供認證、消息摘要等密碼服務，需配套第三方合規機構頒發4堡壘機提供運維操作審計、集中管控等功能5.6.3部署示意圖及說明政務外網區互聯網區書(新增)網絡核心域其他業務用戶防火墻單位辦公業務用戶匙+數字證VPN綜合安單位遠程辦公業務匙+數字證互聯網業務域運維人員互聯網安全管理域網關密碼產品。服務器密碼機為xx系統提供底層密碼資源，通過5.7密鑰管理序號密鑰類型使用算法密鑰作用密鑰歸檔1SSLVPN安全網關簽名密鑰對非對稱身份鑒別成SSLVPN安全網關存儲網關重新生成安全網關備份恢復2對非對稱身份鑒別安全網關備份恢復3SSLVPN安全網關加密密鑰對非對稱密鑰成SSLVPN安全網關存儲安全導入到SSL稅務電子證書管理中心產生導入安全網關備份恢復密鑰管理系統歸檔書管理中心4SSLVPN安全網關加密密鑰對非對稱密鑰服務器密系統安全導入到安全網關備份恢復歸檔5會話密鑰對稱加密保護通信數據全網關與不存儲新序號密鑰類型使用密鑰作用密鑰復密鑰歸檔1身份鑒別密鑰對非對稱用于用戶登錄應用系統時進行身份鑒別用戶Ukey安不支持成備份與恢復不支持服務器密2數據存儲加密密鑰服務器密安全存儲不支持備份恢復不支持服務器密3數據存儲完整非對稱服務器密不支持備份恢復不支持服務器密6安全管理方案6.1管理制度根據GB/T39786-2021《信息安全技術信息系統密碼應用基本要求》中安全管理制度方面的要求，制定與本系統相適應的密碼安全管理制度和操作規范，內容至少包含密碼設計、建設、運維、人員、設備、密鑰等6個方面，并同步在單位現有的制度發布流程中補充密碼相關管理制度發布流程，待新制定的密碼安全管理制度和操作規范內部評審通過后，按照密碼相關管理制度發布流程予以發按照本系統設計的密碼應用，梳理應用系統密鑰體系，并制定相應的密鑰管理規則，需涵蓋密鑰的產生、分發、存儲、使用、更6.2人員管理6.2.1人員組織單位內部設立密碼應用領導工作組，并成立密碼應用工作運維各成員應該了解并遵守密碼相關法律法規、密碼應用安全管理6.2.2崗位管理(1)各信息系統應規范密碼應用崗位工作，設置密鑰管理員、密碼安全審計員、密碼操作員等關鍵安全崗位，根據系統實際情況，(2)對關鍵崗位建立多人共管機制。(3)密鑰管理、密碼安全審計、密碼操作人員職責互相制約互相監督，其中密碼安全審計員崗位不可與密鑰管理員、密碼操作員(4)相關設備與系統的管理和使用賬號不得多人共用。2、崗位人員管理(1)對關鍵人員應簽訂保密合同，承擔保密義務。(2)保密對象包括：安全管理制度類文檔和記錄表單類文檔；保密人員包括：系統負責人、安全主管、密鑰管理員、密碼審計員、(3)密碼崗位人員離崗時，應及時終止離崗人員的所有密碼應6.2.3職責和權限領導工作組負責系統密碼應用統籌管理工作，監督、管理與考運維組負責密碼系統、密碼產品具體運維管理工作，協助各系每一個系統應確定一個密碼應用運維工作組，每個密碼應用運維工作組成員應包括：系統負責人、安全主管、密鑰管理員、密碼審計員、密碼操作員等。各系統運維工作組成員由密碼應用領導工(1)系統負責人：云上業務系統總負責人，負責云上業務系統(2)安全主管：負責云上業務系統密碼應用的具體工作，制定工作方案，工作任務分配和人員管理。協助項目實施及應用處置工(3)密鑰管理員：負責密碼應用平臺中各種密碼設備的密鑰管理和證書管理，各系統應配備2名以上密鑰管理員，并互為AB角。(4)密碼安全審計員：負責對系統密碼應用、密碼設備的操作及記錄進行審計，審計操作有否違規情況，各項操作是否有依據，操作記錄是否清晰完整等，各系統應配備2名以上密碼安全審計員，(5)密碼操作員：負責系統密碼應用、密碼設備的具體操作、管理與運維，以及相關日志、配置等信息和文件的備份，定期上傳完整性保護系統進行完整性保證校驗等工作。每個設備應配置2名專家組在系統所屬方的指導下組建，給客戶、各系統建設開發設計單位提供密碼技術專業意見，在項目初步設計評審中指導審核密碼應用設計方案。協助建設方開展密碼運行應急處置、培訓等工專家組組長及其成員在行業協會、專業研究機構、測評機構中6.2.4培訓應每年制定針對涉及密碼的操作和管理的人員的培訓計劃對密碼應用崗工作人員，應進行專門培訓，確保其具備崗位所需專業技培訓對象包括：系統負責人、安全主管、密鑰管理員、密碼審每次培訓都應有詳細記錄，并對培訓資料、培訓情況、表單文6.2.5建設運行完成本方案編制后，委托密評機構對本方案進行評估，評估通過后，將本系統密碼應用方案向xx密碼管理局備案，并同步對本系統進行密碼應用建設，選用通過檢測認證合格的密碼服務，合規、依據評估通過的密碼應用方案在建設完成后，委托密評機構對本系統進行密碼應用安全性評估，密碼應用安全性評估通過后上線6.2.6應急處置根據信息系統實際，制定密碼應用應急處置方案，方案內容包括：潛在的安全事件分析、應急處置組織機構與職責、應急處置預潛在的安全事件分析.1事件分類按項目時間周期劃分，對系統可用性、安全性會造成影響的密①項目實施過程中的安全事件，主要包括：因業務系統開發商的工作疏忽或對密碼產品接口掌握不全，造成業務系統無法正常使用密碼產品的事件；因密碼產品實施人員工作疏忽，造成密碼產品無法正常工作的事件；因業務系統開發商的工作疏忽或對密碼產品②密碼運行過程中出現的安全事件，主要包括：辦公用戶證書失效，造成辦公用戶無法正常登錄業務系統進行維護和管理工作，對業務系統的可用性可能會造成影響；業務系統服務器證書失效，造成服務器證書驗證失敗，影響業務系統的正常訪問；服務端密鑰泄露，造成關鍵敏感數據存儲與傳輸的私密性、完整性被破解；服務端密碼設備故障，造成業務系統身份鑒別、數據安全存儲、數據安全傳輸等功能異常；密碼設備的安全漏洞，造成密碼設備可以被應急處置組織機構與職責碼服務的專業技術支持，參與和協助商用密碼服務應急響應計劃的應急處置預案設計.1系統密碼應用集成故障應急處置出現問題的原因因業務系統開發商的工作疏忽或對密碼產品接口掌握不全，造成業務系統無法正常使用密碼產品的事件。問題影響密碼應用在業務的生產系統驗證失效。事前防范①進行密碼應用算法回退；①校驗模擬系統和生產系統間的差異；②充份分析所遇到的問題細節；③待所有問題解決后再進行二次上線驗證。出現問題的原因因密碼產品實施人員工作疏忽，造成密碼產品無法正常問題影響事前防范上線生產前充份驗證設備配置文檔，并且多次的壓力測試和功能測試。①進行密碼應用算法回退；②密碼產品部署回退，定位問題。①分析模擬系統和生產系統間的差異；②全面分析失敗上線的原因；出現問題的原因統密碼應用存在漏洞的事件，典型的有：身份鑒別時對證書有效性驗證不嚴謹，造成已過期的、被注銷的、非受信CA頒發的證書可以通過認證；身份鑒別時沒有采用隨機數簽名，造成身份鑒風險影響有心攻擊信息的黑客很容易蒙混到信息系統內部事前防范①技術上對認證的原理進行了理論性的認證，并②可復制參考的集成示例，接口介紹文檔；③寬且廣的測試案例的覆蓋。①系統全面回退到使用證書登錄前的狀態；①開發人員重新參考方案，做原理層的深入了解，充份理解示例代碼，接口說明文檔；②重新做證書認證產品的接入；③寬且廣的測試案例的覆蓋，β測試。延誤了強身份認證的上線進度，給系統安全性存在身份認證方面的不足，容易受到黑客密碼窮舉，撞庫等方面的攻擊，存在內部信息泄漏的風險。出現問題的原因辦公用戶證書在過期前沒有及時去續期、辦公用戶證書介質PIN鎖死或介質損壞。風險影響辦公用戶無法正常登錄業務系統進行維護和管理工作，對業務系統的可事前防范設立規范制度要求：管理員每個月定期查看辦公用戶證書的有效時間，設置兩個管理證書介質互為備份。①采用備份的管理證書介質登錄系統；①加強規范制度的落實措施；②強調備份的重要性，備份的使用周期要比應用中的產品周期長1.5-2管理員登錄不及時導致系統維護不及時，造成密碼服務的連續性服務中斷。出現問題的原因①業務系統的服務器證書在過期前沒有及時去續期；②業務系統IP或域名修改沒有及時申請新的IP或域名證書。風險影響服務器證書驗證失敗，影響業務系統的正常訪問。事前防范務器證書可繼續服務的時間；②系統的任意修改需要做出風險評估后，落實準備改。①針對證書過期問題，一方面管理員需要盡快為期；另一方面向CA機構申請臨時服務器證書過渡網站正常應用；②沒有及時申請新問題，采用IP或域名回退機制，后再做IP或域名的切換。①加強規范制度的落實措施；①影響信息系統的IP或域名切換進度；②臨時證書申請過程和機制回退造成密碼服務的連續性服務中出現問題的原因服務端的密碼設備里的密鑰(包括私鑰、對稱密鑰、風險影響關鍵敏感數據存儲與傳輸的私密性、完整性被破解。事前防范①密鑰對應的信息系統應用模塊做好登記；①評估密鑰泄漏可能波及到的系統范圍；②在密碼服務系統中采用新的一套密鑰；③信息系統盡快做好密鑰切換工作與新密鑰驗證；④銷毀舊密鑰，做好新密鑰的備份措施和安全控制措施。①追蹤密鑰外泄的原因；②加強制度的管理；③強化密鑰管理安的全意識。密鑰外泄的信息系統數據存在泄漏的風險。出現問題的原因服務端的密碼設備故障事件。風險影響業務系統身份鑒別、數據安全存儲、數據安全傳輸等功能異常。事前防范①做好密碼服務設備的雙套運行備份；②做好密碼服務設備的密鑰備份。事中處理①馬上使用備用設備替換現有密碼服務系統設備，隔離出問題的密碼服務系統設備；存有關記錄及日志或審計記錄；③如果滿足下列情況之一的，應立即向信息中心負責人通報情況，申請由應急響應小組協助處理：密碼服務系統設備在2小時內無法處理完畢的；密碼服務系統設備涉臨淘汰，市場上無法找到替代密碼服務的設④在應急響應小組協助修復設備后，進行密碼系統和相關數據恢復，檢查密碼系統數據的完整性；⑤相關密碼服務故障事件處理完畢，重新接入網絡。事后處置①總結事件處理情況，將有關情況向安全領導小組領導匯報有關情況，并提出防范再度爆發的解決方案；②配合應急響應小組實施必要的安全加固。損失評估出現問題的原因風險影響事前防范①及時根據密碼服務設備廠家發布的漏洞進行補丁修復；②定期觀查密碼服務器的運行日志，把握密碼設備①加強與密碼設備廠家的溝通，盡可能在漏洞公②評估漏洞事件可能帶來的系統風險。密碼設備可以被非法訪問、私鑰可被猜測等安全信息公告流程.1事件發生后①在發生信息安全事故后，各部門應在發生事故最短時間內報②由信息中心負責人組織人員與相關的技術支持單位聯系，進③確認安全事故處理責任人，較大的事件需要及時上報到應急⑥事件處理后需要對本次發現的事件進行總結，汲取教訓，加.2事件處置完成后事件處置完成后及時向同級的密碼主管部門報告事件發生情況①匯總應急事件可能波及到的外部機構、互聯的單位系統以及④整理應急事件的處理過程以及防范措施等相關材料與所有報損失評估安全事件發生后，安全應急分管領導迅速與損失評估小組聯系，確定損失評估小組的人員名單，下發通知到需要應急處置的應用部門，盡快為損失評估小組開通機房門禁，系統登錄，檢視設備等的權限。應用部門負責核實損失評估人員身份，配合損失評估小組提損失評估小組到達現場，執行損失分析評估工作。損失評估主要從事件發生后，造成的信息資產損失、服務中斷造成的社會經濟最后，損失評估小組根據對安全事件的分析評估，制定出損失評估報告。損失評估報告的要點主要包括：評估目的、評估范圍和預案激活條件6.3密碼軟硬件與介質管理2、支撐服務2、文檔和介質管理人員：負責密鑰管理、信任服務等業務開展過程中接收或形成的各類文檔、資料等保管工作；負責密碼密鑰介6.4運維管理6.4.1運維工作總體要求運維團體職責是保障系統密碼應用支撐平臺能夠正常運行、業(1)保證密碼支撐平臺的正常運行；(2)規范運行維護操作流程，制定相關管理守則，做好維護管(3)定期對密碼支撐平臺相關的系統進行系統自檢和安全性自(4)定期對關鍵數據進行備份并妥善保管，定期對備份設備可(5)按照操作規程，定期將日志文件、控制信息文件提交完整6.5其他6.5.2制度發布7安全與合規性分析7.1密碼應用合規性(技術)對照表適用)說明施)通過)物理和環境安全身份鑒別宜適用/電子門禁記錄數宜適用/宜適用/網絡和通信安全身份鑒別應適用1、業務人員、管理人員從互聯網或電子政務外網PC端通過WEB瀏覽器經身份認證后登錄xx系統業務時，采用基于TLS1.2的HTT道，證書采用RSA,密鑰長度為2048bit,保證服務端身份的真實性；2、運維人員從互聯網或電子政務外網通過PCIPSEC/SSLVPN綜合安全網關的客戶端使用SSLVPN的方式連接到xx系統的網絡，采用SM2對運維人員進行身份鑒別，運維人員的數字證書由第三方合/宜適用1、運維人員從互聯網或電子政務外網通過PC終端進行遠程訪問時，使用IPSEC/SSLVPN綜合安全網關的客戶端通過SSL綠化監督業務的網絡，訪問控制列表由IPSEC/SSLV/2、業務人員和管理人員從互聯網或電子政身份認證后訪問園林綠化監督業務時，其訪問控制都建立IP+MAC地址綁定的訪問控制列表，從而降低網絡邊界未采用密碼技術應適用1、業務通道業務人員、管理人員從互聯網或電子政務外網PC端通過W覽器經身份認證后登錄園林綠化監