政务信息系统密码应用方案设计
——以某信用平台为例

高 崑

（安徽电信规划设计有限责任公司，安徽 合肥 230001）

0 引 言

政务信息系统是现代政务信息治理和信息科技发展相结合的产物，是国家关键信息基础设施，一旦遭到破坏将对国家安全、社会稳定、经济繁荣以及民生改善等造成严重损失。在“互联网+政务服务”的大背景下，政务信息系统融合了大量跨部门、跨平台的数据，易遭受网络攻击，存在用户假冒、数据篡改、信息泄露等安全风险。如何为政务信息系统提供更加可靠的安全保障，是当前政务信息系统建设发展过程中亟需解决的问题。密码技术是网络安全的核心技术和基础支撑，在身份鉴别、访问控制、安全隔离、数据加密等方面具有不可替代的重要作用。密码应用也是解决政务信息系统安全保障问题的基础技术手段，与其他类型的网络信息安全保护手段相比，密码技术具有最有效、最可靠和最经济的特点[1]。

本文在深入研究《政务信息系统密码应用与安全性评估工作指南》《信息安全技术 密码模块安全要求》（GB/T 37092—2018）以及《信息安全技术 信息系统密码应用基本要求》（GB/T 39786—2021）等政策文件及标准规范的基础上，对政务信息系统密码应用改造的目标、实际需求以及技术方案进行分析，进一步探讨密码应用改造中存在的难点及问题。

1 政务信息系统密码应用目标

密码应用的目标是建设合规、正确、有效的密码安全体系，并与系统整体网络安全等级保护相结合，综合考虑系统物理和环境、网络和通信、设备和计算、应用和数据、安全管理等层面的密码应用需求，形成体系化、分层次、合理可行的密码支撑保障体系。满足《信息安全技术 信息系统密码应用基本要求》（GB/T 39786—2021）中3 级指标要求，并为密码应用的安全性评估奠定基础[2]。

2 政务信息系统密码应用需求分析

根据《信息安全技术 信息系统密码应用基本要求》（GB/T 39786—2021），从物理和环境安全、设备和计算安全、应用和数据安全、安全管理等层面对本系统进行风险分析，得出本系统的密码应用需求。

2.1 物理和环境安全

物理和环境安全是信息系统安全的基本层面。物理环境可能面临多种威胁，既包含自然、环境和技术故障等非人为因素的威胁，也包含人员失误和恶意攻击等人为因素的威胁。利用密码技术可以有效阻断外界对信息系统重要场所、监控设备的直接入侵，并确保监控记录不被恶意篡改。

2.2 网络和通信安全

需部署符合国密标准的安全套接层（Secure Socket Layer，SSL）虚拟专用网络（Virtual Private Network，VPN）安全网关，对通过电子政务外网访问安徽省信用平台的用户终端进行身份鉴别，建立安全数据传输通道，保证网络边界访问控制信息的完整性，防止访问控制信息被非法篡改。

2.3 设备和计算安全

设备和计算安全层面使用的密码算法、密码技术、密码服务和密钥管理，由国密安全浏览器、符合《服务器密码机技术规范》（GM/T 0030—2014）的服务器密码机、符合《智能密码钥匙技术规范》（GM/T 0027—2014）的智能密码钥匙（UKey）、数字证书组成，实现设备与计算层的功能需求。以上的密码产品符合《信息安全技术 密码模块安全要求》（GM/T 37092—2018）的2 级要求。

2.4 应用和数据安全

需部署符合国密标准的服务器密码机，应用通过调用服务器密码机，对登录平台的用户和管理员的身份鉴别数据、重要应用业务数据、虚拟机镜像文件等进行传输机密性、完整性保护，以及存储的机密性和完整性保护，防止重要数据被窃取和被篡改。密码应用详细指标要求如表1 所示。

表1 密码应用详细指标要求

2.5 国产化需求

当前，我国密码技术能力已达到国际先进水平，自主设计的商用密码算法ZUC、SM2 和SM9 已成为国际标准，并在金融、税务、海关、电力、公安等重要领域的网络和信息系统中广泛应用。随着政务信息应用的多样化、移动化发展，多数系统要求达到等保三级的安全保障能力，更加强调了各类国产密码的应用。在系统密码应用中，需依据用户实际需求选择合适的国产密码技术为政务应用提供服务。

3 某信用平台密码应用改造方案

根据某信用平台的部署方式和业务功能，在满足总体性、完备性、经济性原则的基础上，设计一套科学合理、目标明确、措施完备的密码应用技术方案。通过部署服务器密码机、签名验签系统、IPSec/SSL VPN 安全认证网关、智能密码钥匙、国密安全浏览器这些密码服务及产品，并正确配置，满足安徽省信用平台系统的应用需求，形成体系化、分层次、合理可行的密码支撑保障体系，为信息系统提供全方位的密码应用防护。密码应用技术框架如图1 所示。

图1 某信用平台密码应用改造架构

3.1 物理和环境安全

在平台所在机房部署符合《采用非接触卡的门禁系统密码应用技术指南》（GM/T 0036—2014）的电子门禁系统，使用SM4 算法进行密钥分散，实现门禁卡的一卡一密，并基于SM4 算法对人员身份进行鉴别；使用HMAC-SM3 技术对门禁进出记录进行完整性保护；部署符合密码相关国家、行业标准要求的国密摄像头与视频监控系统，实现对视频监控数据进行完整性保护。

物理和环境安全层面使用的密码算法、密码技术、密钥管理由符合《采用非接触卡的门禁系统密码应用技术指南》（GM/T 0036—2014）的电子门禁系统，符合国家、行业标准的国密摄像头与视频监控系统实现。

3.2 网络和通信安全

在数据中心机房的网络出入口和运维管理区分别部署符合《SSL VPN 网关产品规范》（GM/T 0025—2014）的SSL VPN 安全网关。网络和通信安全层面使用的密码算法、密码技术、密钥管理由符合《SSL VPN 网关产品规范》（GM/T 0025—2014）的SSL VPN 安全网关实现。

3.3 设备和计算安全

部署符合《SSL VPN 网关产品规范》（GM/T 0025—2014）的SSL VPN 安全网关（即为网络和通信安全中部署在运维管理出入口的SSL VPN 安全网关），向政务信息系统的系统管理员配发USB 接口的智能密码钥匙（USBKey），对系统管理员进行身份鉴别，并对远程管理身份鉴别信息的传输进行加密保护，防止非授权人员登录、管理员远程登录身份鉴别信息被非授权窃取。

在数据中心机房部署符合相关国家、行业密码应用标准要求的密码资源池，系统地访问控制信息、设备日志、重要可执行程序通过申请密码服务平台的完整性校验服务实现完整性保护，确保重要可执行程序的来源真实性。

设备和计算安全层面所使用的密码算法、密码技术、密码服务、密钥管理由符合《SSL VPN 网关产品规范》（GM/T 0025—2014）、《云服务器密码机技术规范》（GM/T 0104—2021）、《智能密码钥匙技术规范》（GM/T 0027—2014）的SSL VPN 安全网关、云服务器密码机、USBKey 实现。

3.4 应用和数据安全

利用身份认证网关为应用系统提供基于国密数字证书的身份认证功能；利用签名服务器提供应用层面的数据安全保护。应用系统通过调用服务器密码机提供的客户端控件和服务端接口，基于接口提供的数据完整性和保密性函数，针对如信用报告等需要传输和存储的重要数据进行加密与签名，保证传输过程中和存储过程中关键信息的机密性、完整性。服务器密码机提供基础的密码运算和密钥管理服务[3-5]。

以信用平台为例，所涉及的应用数据安全包括身份鉴别、敏感数据传输加密、敏感数据存储加密，按照数据分类管理定义，将数据分为低密、中密、高密，如表2 所示。

表2 平台数据密级

4 密码服务平台

原则上，政务云体系下需要建设统一的密码服务平台。密码服务平台为云租户（应用系统）提供按需高效、弹性可扩展的密码服务，实现对密码应用服务的统一管理、统一调度、统一监控，同时满足接入政务云上系统在密码应用安全性评估上的需求。此外，密码服务平台设计分为密码服务系统、基础密码服务系统以及密码支撑系统，这3 层服务构成从低到高的层级关系，低层可为上层提供密码服务支撑。

密码服务系统包含经过功能封装的密码功能服务，直面各个信息系统提供多种密码服务。密码服务层主要由密码服务应用程序编程接口（Application Programming Interface，API）组成。密码服务API 技术符合商用密码行业标准。密码服务支持租户的密码服务应用、支持云租户到云平台的传输密码保护、支持云平台数据存储密码保护、支持管理员的登录认证和数据传输保护、支持租户的登录认证。

密码支撑系统为密码服务平台的密码基础设施，即密码资源池，主要包括云服务器密码机、透明传输加密服务器、透明存储加密服务器、SSL VPN 安全网关、国密身份认证系统服务器、统一密钥管理平台专属硬件、密码平台专属硬件。

基础密码服务系统基于密码支撑系统中的密码基础设施，将面向应用场景的密码功能集合在一起，打包成易部署、易使用的虚拟机模板、微服务模板软件，在云中以虚拟机实例、微服务实例、软件中间件的形态提供服务。

5 结 论

政务信息系统密码应用改造将是未来各级政府大力推动的工作之一，本文的研究在一定程度上对密码应用改造所涉及的领域及关注的重点进行了分析。从安徽省政务信息系统部署架构出发，在实施密码应用改造的过程中，应突出政务云平台的整体性和一致性，密码应用采用统一协调的方案。网络和通信安全以政务云边界为网络边界，密码应用实施考虑政务云平台整体的数据通信安全；设备和计算安全以系统包含的政务云平台虚拟机、本地应用服务器、数据库服务器以及存储设备为实施对象；应用和数据安全以平台的服务端应用数据安全和存储数据安全来实施密码应用。此外，在本次研究过程中也发现，政务信息系统密码应用改造仍存在如安全密钥（UKey）难以全用户覆盖等现实问题，后期实施过程中一般会采用生物识别的技术手段予以替代。