引言

 

本文将详细阐述从物理和环境安全、网络和通信安全、设备和计算安全到应用和数据安全的设计思路。最后再通过一个实际应用案例进一步呈现数字政府密码应用的场景，来探讨密码技术的实际应用。

一、密码应用技术管理设计

本章节主要是针对等级保护第三级信息系统的密码应用技术要求进行设计的。

1. 物理和环境安全

这一层面的安全主要是看数字政府信息化系统所部署的机房。目前云平台被广泛使用，现如今很多系统都是部署在各省份的政务云上，对于部署在政务云上的系统来说，系统所部署的机房也就是云平台的机房，属于云平台被完全评估的支撑能力，因此在云平台通过密评且云平台的安全等级不低于云上系统的情况下，云上系统的物理和环境安全层面的测评结论可以直接复用云平台的。

在本章节以单位本地管理的机房为例，来描述有关物理和环境安全层面的密码改造。当数字政府信息化系统所使用的物理或虚拟设备部署在本单位内部机房中时，采用国密产品及技术鉴别进出机房人员的身份信息，并对进出机房的门禁记录和视频监控记录做完整性保护。如在机房中安装符合GM/T 0036-2014《采用非接触卡的门禁系统密码应用技术指南》的国密电子门禁系统、国密视频监控系统。物理和环境安全设计示意图如下图。

图1 物理和环境安全设计示意图

针对物理和环境安全层面的身份鉴别指标，在机房中部署国密门禁系统使用国密算法（如SM4算法等）进行密钥分散，实现门禁卡的一卡一密，并基于国密算法（如SM1/SM4算法等）对人员身份进行鉴别；针对电子门禁记录数据存储完整性指标，由门禁系统采用HMAC-SM3等技术实现；针对视频监控记录数据存储完整性指标，在机房中部署视频监控系统采用HMAC-SM3等技术实现。

2. 网络和通信安全

这一层面我们需要确定好数字化政府信息化系统的所有跨网络边界的通信信道，如政务外网业务用户PC端访问系统、互联网移动终端用户访问系统、系统管理员访问系统等所产生的通信信道。

数字政府信息化系统的网络边界处需部署符合相关国家和行业标准的VPN网关，保证网络通信过程中数据传输的机密性和完整性，并且PC终端应安装VPN客户端或者国密浏览器，移动终端需安装VPN客户端或者APP集成SSL密码模块，服务端也需安装国密SSL VPN安全网关。网络和通信安全设计示意图如下图。

图2 网络和通信安全设计示意图

针对网络和通信安全层面的身份鉴别指标，在系统边界部署符合GM/T 0025-2014《SSL VPN网关产品规范》的SSL VPN网关，用户终端安装国密浏览器或者VPN客户端，建立基于TLCP协议的通信信道，证书采用SM2证书，由合规的第三方电子认证服务机构颁发，采用基于SM2公钥密码算法的数字签名机制对通信实体真实性进行鉴别；针对通信数据完整性指标，采用基于HMAC-SM3密码杂凑算法的消息鉴别码机制来确保通信过程中数据的完整性；针对通信过程中重要数据的机密性指标，在完成身份鉴别建立通信信道后，使用对称加密算法SM4对传输内容进行加密，以保障通信信道中重要数据的机密性；针对网络边界访问控制信息的完整性，基于SSL VPN网关自身实现其网络边界访问控制信息的完整性。针对安全接入认证指标，对于三级系统来说，这个指标为“可”，可以自行决定是否纳入测评范围，没有相关的安全需求，可作为不适用项处理。

3. 设备和计算安全

这一层面我们主要是针对系统中的堡垒机、服务器、数据库、密码产品这类设备，堡垒机主要是用来增强设备和计算安全，但它的主要功能是缓解外部人员攻击，并且提供事前防御、事中控制、事后审计等功能。登录堡垒机需要验证人员的合法性，以及确保登录过程中数据的机密性和完整性，因此需要向相关人员配发符合GM/T 0027-2014《智能密码钥匙技术规范》的智能密码钥匙，以鉴别管理员身份以及防止非授权人员登录。

一般在设备层面，我们主要使用智能密码钥匙和服务器密码机来满足设备和计算安全层面的相关要求，为运维终端用户配备智能密码钥匙、国密浏览器实现身份鉴别与安全远程管理，堡垒机前端需部署SSL VPN等密码设备，如果要实现重要信息资源安全标记和日志这些数据的完整性，服务端需部署服务器密码机等实现。不过这个安全标记基本上没有设备涉及，所以一般为不适用，而日志记录完整性实现也比较困难，因此大多是采用风险缓解措施来替代。设备和计算安全设计示意图如下图。

图3 设备和计算安全设计示意图

针对设备和计算安全层面的身份鉴别指标，管理、运维、审计人员需使用智能密码钥匙进行身份鉴别后登录，并通过运维专用的SSL VPN搭建安全传输通道以访问堡垒机，对密码产品和通用服务器资源进行统一管理。运维用户登录堡垒机需采用合规的第三方电子认证服务机构签发的SM2证书和智能密码钥匙进行身份鉴别，防止非授权人员登录。而其他设备（服务器、数据库）的身份鉴别由于改造困难，可以通过身份鉴别符合的堡垒机作为缓解措施，对于密码产品，需要部署具有商用密码产品认证证书且密码模块安全等级符合系统密码应用等级需求的密码产品，由于经过了商用密码检测认证，这些密码产品设备层面大多数指标可以直接符合，无需改造。

针对远程管理通道安全指标，一般的堡垒机基本上都是采用TLS协议进行远程运维管理，除非购买国密的堡垒机，里面配置有密码模块，可以实现使用TLCP协议对堡垒机进行远程运维。但是由于预算原因很多情况下都是通过网络层合规的运维通道，并且仅通过登录运维专用VPN登录运维堡垒机再登录运维其他系统设备来缓解远程管理的安全风险。针对系统资源访问控制信息完整性指标，由于各设备底层资源开放程度不同，不同设备可能有不同的访问控制保护措施。那些未能完全实现访问控制保护的设备需采取严格的权限管理，根据权限分离原则，只为管理员分配必要的最小权限，通过严格的管理措施降低安全风险。

针对重要信息资源安全标记完整性指标，在数字政府信息化系统中，密码应用需要检查是否为重要信息资源进行了安全标记，若已标记，则需采用服务器密码机提供数据完整性保护，保障安全标记的完整性。未进行安全标记的信息资源可作为不适用项，但需阐述不适用的理由。不过，上文也说到目前为止市面上的大多数设备都没有强制访问控制这个需求，因此基本上都是列为不适用。针对日志记录完整性指标，通用服务器等设备的日志记录由应用系统或自身的审计功能去管理，并使用服务器密码机提供数据完整性保护。针对重要可执行程序完整性、重要可执行程序来源真实性指标，受应用支撑及当前产业支撑水平所限，确保重要可执行程序的完整性和来源真实性是一个挑战，所以基本上采用相应的风险缓解措施，需确保重要可执行程序均从官方渠道获取，在安装前对程序进行验证，保证其没有被篡改，从而在一定程度上降低安全风险。

4. 应用和数据安全

对于这一安全层面，我们关注的就是应用系统本身。首先是保护终端安全。对于PC终端，采用智能密码钥匙和国密浏览器，为用户提供了一个安全的上网环境，确保数据传输的安全性。对于移动终端，集成移动密码模块和SSL密码模块，确保移动设备上的数据传输和存储的安全性，同时为移动设备用户提供了一个安全的应用环境。

其次是保护业务服务端安全。通过集成密码服务平台、SSL VPN、服务器密码机、签名验签服务器和电子签章系统等，为服务端数据提供了全方位的安全保障。在整个系统中，通过安全网关，实现业务应用与终端之间的身份鉴别和数据的安全传输。业务应用中的重要数据以密文形式存储，进一步增强数据的安全性。密码服务为业务应用提供统一身份认证服务、数据加解密服务和签名验签服务等。这些服务确保了系统用户身份的真实性，确保了数据传输和存储的安全性。涉及法律层面的责任认定时，密码服务还提供电子签章服务，为应用系统关键操作的不可否认性进行保护。应用和数据安全设计示意图如下图。

图4 应用和数据安全设计示意图

针对应用和数据安全层面的身份鉴别指标，身份鉴别基于数字证书，采用SM2算法实现，为PC端用户配发智能密码钥匙，智能密码钥匙里面存储着用户的个人证书，并且由合规的第三方电子认证服务机构颁发。移动用户则采用智能终端安全密码模块实现，这个模块可以提供传统硬件U-Key的功能基于软件而不依赖硬件密码芯片，实现了密码设备、密码运算和CA数字证书存储等功能，是实现移动互联网应用安全的核心。

针对系统访问控制信息的完整性指标，通过调用部署好的服务器密码机或者签名验签服务器来实现，采用HMAC-SM3算法或者SM2算法对系统的访问控制信息进行数字签名，实现完整性保护；针对重要信息资源安全标记完整性指标，这个同设备层一样，基本上没有系统存在安全标记，所以都是列为不适用；针对重要数据的存储机密性和完整性指标，同访问控制信息一样，调用服务器密码机或者签名验签服务器实现，分别采用SM4、HMAC-SM3算法实现机密性和完整性。针对重要数据的传输机密性和完整性指标，在实际环境中，实现难度较大，所以大多数情况下利用网络层建立起合规的通信信道来缓解此处的传输风险。

针对不可否认性指标，在密码应用设计中，我们需对数字政府信息化系统中具备法律责任认定的文件进行操作行为抗抵赖性保护，主要技术有数字签名与可信时间服务等。若数字政府信息化系统所产生及管理的业务数据未涉及法律责任认定，操作行为抗抵赖性保护可以作为不适用项处理，并阐述清楚理由，不纳入密码改造范围。

二、数字政府密码应用案例——公积金业务

该市住房公积金管理中心信息管理系统属于等级保护三级系统。该市住房公积金管理中心国产密码保护能力不足，导致系统敏感数据、重要文件通过明文进行存储和传输，缺少数据真实性、机密性、完整性和抗抵赖性保护，与相关文件的密码保护要求存在一定差距，存在安全隐患。该市住房公积金管理中心信息管理系统安全体系未满足信息系统等级保护要求。总体而言，该市住房公积金管理中心信息管理系统在密码应用方面不容乐观。

1. 密码应用现状

目前，该市住房公积金管理中心信息管理系统涉及到大量敏感数据，数据传输安全格外重要，但网络通信信道未采用密码技术对通道中传输的数据进行保护。

该市住房公积金管理中心信息管理系统访问用户有三种，移动终端用户、办公人员PC端、管理员PC端，均采用“用户名+口令”的方式进行身份鉴别，存在高风险。信息系统中的用户数据、管理数据、业务数据在服务端大多是明文存储或者使用不合规、不安全的算法加密，并且也没有做完整性相关的保护。

由于系统属于公积金业务，因此存在有审批文件等签章行为，未采用密码技术对这些操作进行不可否认性的保护，存在人员否认所做操作的风险。

2. 密码应用方案设计

根据上面梳理的当前系统所存在的一些比较严重的安全问题，我们针对其做了一个解决方案来实现上述需求。如下图为系统的密码应用部署图，通过部署数据加解密系统、电子文件安全验证系统、移动智能终端安全密码模块、SSL密码模块、智能密码钥匙、服务器密码机、签名验签服务器、国密SSLVPN安全网关等密码产品，并正确配置，满足信息系统的密码应用需求。

图5 系统密码应用部署图

数据加解密系统主要为本信息系统提供敏感数据、文件等存储机密性服务；电子文件安全验证系统主要实现业务、访问控制、日志记录等配置数据的完整性；移动智能终端安全密码模块主要是为移动终端用户提供身份鉴别服务；国密SSL VPN安全网关主要用于在网络上建立安全的信息传输通道，配合安全浏览器密码模块构建基于国密算法的SSL安全传输通道，为系统用户PC端、移动终端与系统之间的通信信道中传输的数据提供完整性和机密性保护；智能密码钥匙里面存放有用于标识用户身份的数据证书，实现对登录系统用户的身份鉴别；服务器密码机主要为系统对接的密码产品提供算法等密码运算服务、密钥服务，同时提供安全、完善的密钥管理能力；签名验签服务器能够提供基于数字证书的数字签名验签服务，提供CRL、OCSP等多种证书有效性验证，可以满足用户在网络中行为的不可否认性，信息完整性、机密性等需求。