中國密碼學會：政務領域政務云密碼應用與安全性評估實施指南（34頁）.pdf

《中國密碼學會：政務領域政務云密碼應用與安全性評估實施指南（34頁）.pdf》由會員分享，可在線閱讀，更多相關《中國密碼學會：政務領域政務云密碼應用與安全性評估實施指南（34頁）.pdf（34頁珍藏版）》請在三個皮匠報告上搜索。

1、 政務領域政務云政務領域政務云 密碼應用與安全性評估實施指南密碼應用與安全性評估實施指南 中國密碼學會密評聯委會中國密碼學會密評聯委會 二二二四年二四年四四月月 政務領域政務云密碼應用與安全性評估實施指南 目目 錄錄 前 言.I 1 場景概述.1 1.1 場景相關政策要求.1 1.2 典型場景介紹.1 1.2.1 場景代表性.1 1.2.2 政務云平臺場景介紹.2 1.3 技術標準和指導性文件.3 2 密碼應用需求.4 2.1 風險分析和安全需求.4 2.1.1 物理和環境安全.4 2.1.2 網絡和通信安全.5 2.1.3 設備和計算安全.6 2.1.4 應用和數據安全.6 2.1.5 安全

2、管理.8 2.1.6 主要保護對象.8 2.2 場景對密碼應用的特殊要求.11 3 密碼應用實施指南.11 3.1 典型場景業務的密碼應用設計.11 3.1.1 物理和環境安全.12 3.1.2 網絡和通信安全.12 3.1.3 設備和計算安全.13 3.1.4 應用和數據安全.13 3.1.5 密鑰管理安全.14 3.1.6 安全管理.16 3.2 密碼產品/服務選擇和部署.16 3.3 與 GB/T 39786 對照情況說明.18 3.4 注意事項.20 4 密碼應用安全性評估實施指南.21 4.1 主要測評指標的選擇和確定.21 4.2 主要測評內容.23 4.2.1 現場測評方法.23

3、 4.2.2 測評實施.24 4.3 主要測評結果.29 政務領域政務云密碼應用與安全性評估實施指南 4.4 注意事項.30 政務領域政務云密碼應用與安全性評估實施指南 I 前前 言言 為貫徹落實中華人民共和國密碼法 商用密碼管理條例等法律法規，促進政務領域政務云場景中商用密碼的合規、正確、有效應用，依據國家密碼政策要求和標準規范，制定本指南。本指南可用于指導各級政務云平臺（泛指承載政務信息系統運行的云平臺）建設單位、運營單位以及商用密碼應用安全性評估機構規范開展商用密碼應用和安全性評估工作，也可供集成單位參考。本指南主要依據 GB/T 39786-2021信息安全技術 信息系統密碼應用基本要

4、求等密碼應用與安全性評估標準規范編制。本指南中任何與當前或后續發布的密碼國家標準和行業標準不一致之處，以相關密碼國家標準和行業標準為準。必要時本指南將根據最新的管理要求與相關技術標準進行更新。本指南分為四章。第一章主要梳理政務云平臺典型應用場景；第二章主要對政務云平臺相關風險、密碼應用需求、保護對象進行梳理；第三章主要對政務云平臺進行密碼應用設計；第四章主要對政務云平臺密碼應用安全性評估工作進行梳理。本指南針對網絡安全等級保護第三級信息系統密碼應用要求進行設計，三級以下及四級信息系統可根據 GB/T 39786 結合系統實際進行相應調整。相關密碼應用措施和技術路線不限于固定方式，政務云平臺建設

5、單位和運營單位可根據自身已有密碼應用基礎，結合實際進行密碼應用改造，以滿足相關密碼管理要求。本指南主要針對云平臺管理應用自身密碼應用，在滿足政務云平臺自身密碼應用的同時，政務云平臺還應根據云上應用需求提供滿足密碼應用要求的物理環境（門禁、監控）、安全運維方式、公共傳輸通道（如 IPSec VPN）等云上應用難以解決的必要的公共基礎設施密碼支撐能力。本指南主要起草單位：國家信息中心、中電科網絡安全科技股份有限公司、格爾軟件股份有限公司、長春吉大正元信息技術股份有限公司、中國科學院信息工程研究所、國家信息技術安全研究中心、智巡密碼（上海）檢測技術有限公司、中國信息通信研究院、西安得安信息技術有限公

6、司、北京信安世紀科技股份有限公司、同智偉業軟件股份有限公司、國家密碼管理局商用密碼檢測中心、四川省大數據中心、海南省大數據管理局、福建省密碼管理局、安徽省大數據中心。本標準主要起草人：魏連、王笑強、楊紹亮、杜小建、李元龍、南旭東、郭宏杰、郭亓元、王姮力、秦小龍、王小勇、李丹、閻亞龍、馬原、魏東賓、牟杰、朱典、徐輝、陳天宇、吳冬宇、劉軍榮、李佳曦、王珂、朱立通、王永起、李政坪、宋曉勇、王泉景。政務領域政務云密碼應用與安全性評估實施指南 1 1 場景概述場景概述 1.1 場景相關政策要求場景相關政策要求 商用密碼應用安全性評估管理辦法（國家密碼管理局令第 3 號）要求，重要網絡與信息系統建設階段，

7、其運營者應當按照通過商用密碼應用安全性評估的商用密碼應用方案組織實施，落實商用密碼安全防護措施，建設商用密碼保障系統。重要網絡與信息系統運行前，其運營者應當自行或者委托商用密碼檢測機構開展商用密碼應用安全性評估。網絡與信息系統未通過商用密碼應用安全性評估的，運營者應當進行改造，改造期間不得投入運行。重要網絡與信息系統建成運行后，其運營者應當自行或者委托商用密碼檢測機構每年至少開展一次商用密碼應用安全性評估，確保商用密碼保障系統正確有效運行。未通過商用密碼應用安全性評估的，運營者應當進行改造，并在改造期間采取必要措施保證網絡與信息系統運行安全。國家政務信息化項目建設管理辦法（國辦發201957

8、號）要求，政務信息化項目建設單位，應同步規劃、同步建設、同步運行密碼保障系統并定期進行評估。項目備案文件應當包括項目名稱、建設單位、審批部門、績效目標及績效指標、投資額度、運行維護經費、經費渠道、信息資源目錄、信息共享開放、應用系統、等級保護或者分級保護備案情況、密碼應用方案和密碼應用安全性評密碼應用方案和密碼應用安全性評估報告估報告等內容，其中改建、擴建項目還需提交前期項目第三方后評價報告。國家政務信息化項目建成后半年內，項目建設單位應當按照國家有關規定申請審批部門組織驗收，提交驗收申請報告時應當一并附上項目建設總結、財務報告、審計報告、安全風險評估報告、密碼應用安全性評估報告密碼應用安全性

9、評估報告等材料。對于不符合密碼應用和網絡安全要求，或者存在重大安全隱患的政務信息系統，不安排運行維護經費，項目建設單位不得新建、改建、擴建政務信息系統。各部門應當嚴格遵守有關保密等法律法規規定，構建全方位、多層次、一致性的防護體系，按要求采用密碼技術密碼技術，并定期開展密碼應用安全性評估并定期開展密碼應用安全性評估，確保政務信息系統運行安全和政務信息資源共享交換的數據安全。請進一步加強國家政務信息系統密碼應用與安全性評估的工作的函（國密局2020119 號）要求，各項目建設單位按照辦法密碼應用與安全性評估的有關要求，同步規劃、同步建設、同步運行密碼保障系統并定期進行密碼應用安全性評估，保障密碼

10、應用與安全性評估經費，配備密碼保障系統管理和運維人員。1.2 典型場景介紹典型場景介紹 1.2.1 場景代表性場景代表性 政務領域政務云密碼應用與安全性評估實施指南 2 隨著信息技術的發展，云計算已經被廣泛應用。為降低系統成本，打通數據融合，越來越多的政府及事業單位的系統選擇部署在云上。云計算技術融合了軟硬件資源，采用了虛擬化技術，主機邊界和網絡邊界相對于傳統數據中心來講變得非常模糊，風險不但來自南北流量，還來自東西流量，部署在云平臺上的系統，其安全風險也隨之增加。政務信息系統上云是國家統籌推進政務數據共享和應用的重要舉措，國家政務信息化項目建設管理辦法（國辦發201957 號）要求項目建設單

11、位應當充分依托云服務資源開展集約化建設。國務院關于加強數字政府建設的指導意見（國發202214 號）要求，強化政務云平臺支撐能力，國務院各部門政務云納入全國一體化政務云平臺體系統籌管理；各地區按照省級統籌原則開展政務云建設，集約提供政務云服務。截至 2022 年 10 月，全國 31 個?。ㄗ灾螀^、直轄市）和新疆生產建設兵團云基礎設施基本建成，超過 70%的地級市建設了政務云平臺，政務信息系統逐步遷移上云，初步形成集約化建設格局。云計算應用后，業務應用呈現資源虛擬化、數據集中化、應用服務化的特點，促使安全防護理念發生深刻改變，對云上密碼服務模式、密碼應用場景及密碼服務能力提出了前所未有的高要求

12、。1.2.2 政務云平臺場景介紹政務云平臺場景介紹 典型政務云平臺系統整體架構圖如圖 1 所示。圖圖 1 典型政務云平臺系統整體架構圖典型政務云平臺系統整體架構圖 政務領域政務云密碼應用與安全性評估實施指南 3(1)物理資源層。物理資源層包括政務云平臺運行所需要的基礎支撐物理環境，包括計算資源和存儲資源等。(2)資源抽象控制層。資源抽象控制層通過虛擬化技術，負責對底層硬件資源進行抽象，對底層硬件故障進行屏蔽，統一調度計算、存儲、網絡、安全資源池，并提供資源的統一部署和監控。(3)云服務層。服務層提供完整的 laaS(Infrastructure as a service,基礎設施即服務）、Pa

13、aS（Platform as a Service,平臺即服務）和 SaaS（Software as a Service,軟件即服務）三層云服務，政務云平臺的主要業務在云服務層面運行。政務云平臺典型場景業務流程如表 1 所示。表表 1 政務云典型場景業務流程梳理政務云典型場景業務流程梳理 序號序號 業務名稱業務名稱 業務流程描述業務流程描述 1 云平臺管理 云平臺管理員登錄云平臺管理應用，完成對云平臺的管理。2 云上應用管理 租戶登錄政務云平臺管理應用，進行云上應用的部署和管理工作。3 虛擬機遷移、快照恢復 云平臺中虛擬機進行遷移的過程；虛擬機鏡像文件、快照文件生成、存儲、傳輸和使用的過程。1.

14、3 技術標準和指導性文件技術標準和指導性文件 本文件參考的技術標準和指導性文件如下：GB/T 20518-2018信息安全技術 公鑰基礎設施 數字證書格式規范 GB/T 25056-2018 信息安全技術 證書認證系統密碼及其相關安全技術規范 GB/T 32905-2016信息安全技術 SM3 密碼雜湊算法 GB/T 32907-2016信息安全技術 SM4 分組密碼算法 GB/T 33560-2017信息安全技術 密碼應用標識規范 GB/T 35276-2017信息安全技術 SM2 密碼算法使用規范 GB/T 35291-2017信息安全技術 智能密碼鑰匙應用接口規范 GB/T 36322-

15、2018信息安全技術 密碼設備應用接口規范 GB/T 36968-2018信息安全技術 IPSec VPN 技術規范 GB/T 37033-2018信息安全技術 射頻識別系統密碼應用技術要求 GB/T 37092-2018信息安全技術 密碼模塊安全要求 GB/T 38540-2020信息安全技術 安全電子簽章密碼技術規范 GB/T 38556-2020信息安全技術 動態口令密碼應用技術規范 GB/T 38629-2020信息安全技術 簽名驗簽服務器技術規范 政務領域政務云密碼應用與安全性評估實施指南 4 GB/T 38636-2020信息安全技術 傳輸層密碼協議（TLCP）GB/T 39786

16、-2021信息安全技術 信息系統密碼應用基本要求 GM/T 0018-2012 密碼設備應用接口規范 GM/T 0024-2014 SSL VPN 技術規范 GM/T 0025-2014 SSL VPN 網關產品規范 GM/T 0026-2014 安全認證網關產品規范 GM/T 0027-2014 智能密碼鑰匙技術規范 GM/T 0030-2014 服務器密碼機技術規范 GM/T 0036-2014 采用非接觸卡的門禁系統密碼應用技術指南 GM/T 0050-2016 密碼設備管理 設備管理技術規范 GM/T 0051-2016 密碼設備管理 對稱密鑰管理技術規范 GM/T 0104-2021

17、 云服務器密碼機技術規范 GM/T 0115-2021 信息系統密碼應用測評要求 GM/T 0116-2021 信息系統密碼應用測評過程指南 GM/Y 5001-2019 密碼標準應用指南 GM/Y 5002-2018 云計算身份鑒別服務密碼標準體系 GM/Z 4001-2013 密碼術語 GW 0013-2017 政務云安全要求 GW 0202-2014 國家電子政務外網安全接入平臺技術規范 GW 0206-2014 接入政務外網的局域網安全技術規范 信息系統密碼應用高風險判定指引 商用密碼應用安全性評估量化評估規則 商用密碼安全性評估 FAQ 2 密碼應用需求密碼應用需求 2.1 風險分析

18、和安全需求風險分析和安全需求 2.1.1 物理和環境安全物理和環境安全（一）風險分析（一）風險分析(1)存在非法人員進入政務云平臺所在物理機房等重要物理環境，對軟硬件設備和數據進行直接破壞的風險；(2)存在政務云平臺所在物理機房等重要物理環境電子門禁進出記錄，視頻監控音像記錄等遭到篡改，非法人員進出情況被掩蓋的風險。（二）密碼應用需求（二）密碼應用需求(1)部署符合 GM/T 0036 等標準的電子門禁系統，采用基于對稱密碼算法或密碼雜湊算法的消息鑒別碼(MAC)機制、基于公鑰密碼算法的數字簽名機制等政務領域政務云密碼應用與安全性評估實施指南 5 密碼技術，對進入政務云平臺所在物理機房等重要物

19、理區域人員進行身份鑒別。(2)采用基于對稱密碼算法或密碼雜湊算法的消息鑒別碼(MAC)機制、基于公鑰密碼算法的數字簽名機制等密碼技術，對政務云平臺所在物理區域的視頻監控音像記錄數據及電子門禁系統進出記錄等數據進行存儲完整性保護。如果政務云部署涉及多個物理機房，所有物理機房均應進行保護。2.1.2 網絡和通信安全網絡和通信安全（一）風險分析（一）風險分析(1)互聯網與政務外網、瀏覽器與服務端、VPN 客戶端與 VPN 網關、政務云平臺與災備中心、各政務云之間等各類相關通信信道。在各網絡通信信道傳輸過程中存在通信實體身份被仿冒，非法接入政務云平臺的風險。(2)數據在各網絡通信信道傳輸過程中存在被篡

20、改的風險。(3)重要數據在各網絡通信信道傳輸過程中存在被非授權截取的風險。(4)網絡邊界的 VPN 中的訪問控制列表、防火墻的訪問控制列表、邊界路由的訪問控制列表等進行網絡邊界訪問控制的信息存在被篡改，非法通信實體接入網絡的風險。(5)非法設備從外部網絡接入云平臺內部網絡，或網絡邊界被破壞的風險。（二）密碼應用需求（二）密碼應用需求(1)采用基于對稱密碼算法或密碼雜湊算法的消息鑒別碼（MAC）機制、基于公鑰密碼算法的數字簽名機制等密碼技術對政務云平臺與互聯網、瀏覽器與服務端、VPN 客戶端與 VPN 網關、政務云平臺與災備中心、各政務云之間等通信信道中的通信實體進行身份鑒別/雙向身份鑒別，保證

21、通信實體身份的真實性。(2)采用基于對稱密碼算法或密碼雜湊算法的消息鑒別碼（MAC）機制、基于公鑰密碼算法的數字簽名機制等密碼技術，對通信過程中敏感信息或通信報文進行完整性保護。(3)采用密碼技術的加解密功能對通信過程中敏感信息或通信報文進行機密性保護。(4)采用基于對稱密碼算法或密碼雜湊算法的消息鑒別碼（MAC)機制、基于公鑰密碼算法的數字簽名機制等密碼技術，對政務云平臺網絡邊界的 VPN 中的訪問控制列表、防火墻的訪問控制列表、邊界路由的訪問控制列表等網絡邊界訪問控制信息進行完整性保護。(5)采用基于對稱密碼算法或密碼雜湊算法的消息鑒別碼（MAC)機制、基于公鑰密碼算法的數字簽名機制等密碼

22、技術，對從外部連接到內部網絡的設備進行接入認證?！鞍踩尤胝J證”指標在 GB/T 39786 中針對網絡安全等級保護第三級信息系統要求為“可”，建設單位和使用單位可結合實際情況自行決定是否納入標準符合性測評范圍。政務領域政務云密碼應用與安全性評估實施指南 6 2.1.3 設備和計算安全設備和計算安全（一）風險分析（一）風險分析(1)政務云平臺上的通用設備、網絡及安全設備、密碼設備、各類虛擬設備、數據庫管理系統等，存在被非法人員登錄的風險。(2)遠程管理政務云平臺中各類物理及虛擬設備時，存在搭建的遠程管理通道被非法使用，或傳輸的管理數據被非授權獲取和篡改的風險。(3)設備操作系統的系統權限訪問控

23、制信息、系統文件目錄的訪問控制信息、數據庫中的數據訪問控制信息、堡壘機等第三方運維系統中的權限訪問控制信息等被篡改，導致設備資源被登錄設備的其他用戶獲取的風險。(4)通用設備、網絡及安全設備、密碼設備、各類虛擬設備等設備中的重要信息資源安全標記存在被篡改的風險。(5)通用設備、網絡及安全設備、密碼設備、各類虛擬設備等設備中的日志記錄存在被篡改，以掩蓋設備被非法操作的風險。(6)通用設備、網絡及安全設備、密碼設備、各類虛擬設備等設備中的重要可執行程序，存在被篡改或來源不可信的風險。（二）密碼應用需求（二）密碼應用需求(1)采用動態口令機制、基于對稱密碼算法或密碼雜湊算法的消息鑒別碼（MAC）機制

24、、基于公鑰密碼算法的數字簽名機制等密碼技術對設備運維管理人員等登錄設備的用戶進行身份鑒別，保證登錄設備用戶的身份真實性。(2)采用密碼技術建立安全的信息傳輸通道，實現對遠程管理人員的身份鑒別，以及傳輸數據的機密性和完整性保護。(3)采用基于對稱密碼算法或密碼雜湊算法的消息鑒別碼（MAC）機制、基于公鑰密碼算法的數字簽名機制等密碼技術對設備操作系統的系統權限訪問控制信息、系統文件目錄的訪問控制信息、數據庫中的數據訪問控制信息、堡壘機等第三方運維系統中的權限訪問控制信息等進行完整性保護。(4)采用基于對稱密碼算法或密碼雜湊算法的消息鑒別碼（MAC)機制、基于公鑰密碼算法的數字簽名機制等密碼技術對通

25、用設備、網絡及安全設備、密碼設備、各類虛擬設備等設備中的重要信息資源安全標記進行完整性保護（根據密碼應用方案決定是否納入）。(5)采用基于對稱密碼算法或密碼雜湊算法的消息鑒別碼（MAC）機制、基于公鑰密碼算法的數字簽名機制等密碼技術對通用設備、網絡及安全設備、密碼設備、各類虛擬設備等設備中的日志記錄進行完整性保護。(6)采用基于對稱密碼算法或密碼雜湊算法的消息鑒別碼（MAC）機制、基于公鑰密碼算法的數字簽名機制等對通用設備、網絡及安全設備、密碼設備、各類虛擬設備等設備中的重要可執行程序進行完整性保護以及其來源的真實性保護。2.1.4 應用和數據安全應用和數據安全 政務領域政務云密碼應用與安全性

26、評估實施指南 7（一）風險分析（一）風險分析(1)政務云平臺管理應用存在被非法人員登錄的風險。(2)政務云平臺的權限、標簽等能夠決定系統應用訪問控制的措施等信息存在被篡改，導致應用資源被登錄的其他用戶獲取的風險。(3)政務云平臺中重要信息資源安全標記存在被篡改的風險。(4)政務云平臺中傳輸或存儲的重要數據（如身份鑒別信息、鏡像文件和快照文件中的敏感信息、云資源管理敏感信息等重要業務數據、重要審計數據、云平臺管理員及租戶的身份證號、手機號等個人敏感信息），存在被外部攻擊者非法獲取或篡改的風險；鏡像文件、快照文件存在被篡改的風險。(5)虛擬機監控器（VMM）在虛擬機遷移過程中的指令等云管平臺內部的

27、重要指令存在被篡改或來源不可信的風險。(6)云平臺管理員、云上租戶的關鍵操作，存在否認其所做的操作的風險。(7)政務云平臺管理應用的重要業務日志記錄存在被篡改，導致非法操作被掩蓋的風險。（二）密碼應用需求（二）密碼應用需求(1)采用動態口令機制、基于對稱密碼算法或密碼雜湊算法的消息鑒別碼（MAC)機制、基于公鑰密碼算法的數字簽名機制等密碼技術對云平臺管理員、云上租戶登錄政務云平臺管理應用時進行身份鑒別。(2)采用基于對稱密碼算法或密碼雜湊算法的消息鑒別碼（MAC）機制、基于公鑰密碼算法的數字簽名機制等密碼技術，對政務云平臺的權限、標簽等能夠決定系統應用訪問控制的措施等信息進行完整性保護。(3)

28、采用基于對稱密碼算法或密碼雜湊算法的消息鑒別碼（MAC）機制、基于公鑰密碼算法的數字簽名機制等密碼技術對政務云平臺管理應用的重要信息資源安全標記進行完整性保護（根據密碼應用方案決定是否納入）。(4)采用密碼技術的加解密功能對政務云平臺中的身份鑒別信息、鏡像文件和快照文件中的敏感信息、云資源管理敏感信息等重要業務數據、重要審計數據、云平臺管理員及租戶的身份證號、手機號等個人敏感信息等重要數據在傳輸和存儲過程中進行機密性保護。(5)采用基于對稱密碼算法或密碼雜湊算法的消息鑒別碼（MAC）機制、基于公鑰密碼算法的數字簽名機制等密碼技術對政務云平臺中的身份鑒別信息、鏡像文件和快照文件中的敏感信息、云資

29、源管理敏感信息等重要業務數據、重要審計數據、云平臺管理員及租戶的身份證號、手機號等個人敏感信息等重要數據在傳輸和存儲過程中進行完整性保護，對鏡像文件、快照文件等重要數據進行完整性保護。(6)采用基于公鑰密碼算法的數字簽名機制等密碼技術對云平臺管理員、云租戶的關鍵操作等數據原發行為和接收行為實現不可否認性。政務領域政務云密碼應用與安全性評估實施指南 8(7)采用基于對稱密碼算法或密碼雜湊算法的消息鑒別碼（MAC）機制、基于公鑰密碼算法的數字簽名機制等密碼技術，對政務云平臺管理應用的重要業務日志做完整性保護。(8)采用基于對稱密碼算法或密碼雜湊算法的消息鑒別碼（MAC）機制、基于公鑰密碼算法的數字

30、簽名機制等對虛擬機監控器（VMM）在虛擬機遷移過程中的指令等云管平臺內部的重要指令進行完整性保護以及其來源的真實性保護。2.1.5 安全管理安全管理（一）風險分析（一）風險分析 政務云平臺密鑰管理規則、安全管理制度、管理流程不健全，執行不到位，職責不明確等，存在密碼未進行合規、正確、有效使用的風險。(二二)密碼應用需求密碼應用需求 制定密碼應用方案，并委托密評機構或組織專家對密碼應用方案進行評估，評估通過后，建設密碼保障系統，制定密碼相關的管理制度；系統改造完成后，委托密評機構對系統進行密碼應用安全性評估。2.1.6 主要保護對象主要保護對象 政務云平臺主要保護對象如表 2 所示。表表 2 主

31、要保護對象主要保護對象 序號序號 相關相關 業務業務 保護對象保護對象 保護對象描述保護對象描述 安全需求安全需求 1 云 平 臺管理/云上 應 用管理/虛擬 機 遷移、快照恢復 身份鑒別信息 1）管理人員登錄堡壘機、應用/數據庫服務器等設備的口令。2）云平臺管理員登錄云平臺管理應用的口令。3）云上租戶登錄云平臺管理應用的口令。4）如果涉及動態口令、短信驗證碼等身份鑒別方式，還應注意對相關一次性口令的傳輸機密性保護，防止中間人攻擊。真實性 傳輸機密性 存儲機密性 傳輸完整性 存儲完整性 不可否認性 云平臺管理應用中的重要數據 1）鏡像文件和快照文件中的敏感信息、云資源管理敏感信息等重要業務數據

32、。2）重要審計數據 3）云平臺管理員及租戶的身份證號、手機號等個人敏感信息。真實性 傳輸機密性 存儲機密性 傳輸完整性 存儲完整性 不可否認性 政務領域政務云密碼應用與安全性評估實施指南 9 云平臺管理應用中的重要指令 虛擬機監控器（VMM）在虛擬機遷移過程中的指令等云管平臺內部的重要指令。真實性 傳輸機密性 存儲機密性 傳輸完整性 存儲完整性 不可否認性 鏡像和快照文件 1）鏡像文件 2）快照文件 真實性 傳輸機密性 存儲機密性 傳輸完整性 存儲完整性 不可否認性 日志記錄 1）通用設備、網絡及安全設備、密碼設備、各類虛擬設備等設備中的日志記錄。2）云平臺管理應用的重要業務日志。真實性 傳輸

33、機密性 存儲機密性 傳輸完整性 存儲完整性 不可否認性 訪問控制信息 1）網絡邊界的 VPN 中的訪問控制列表、防火墻的訪問控制列表、邊界路由的訪問控制列表等進行網絡邊界訪問控制的信息。2）物理和虛擬設備操作系統的系統權限訪問控制信息、系統文件目錄的訪問控制信息、數據庫中的數據訪問控制信息、堡壘機等第三方運維系統中的權限訪問控制信息等。3）應用系統的權限、標簽等能夠決定系統應用訪問控制的措施等信息。真實性 傳輸機密性 存儲機密性 傳輸完整性 存儲完整性 不可否認性 重要信息資源安全標記 1）通用設備、網絡及安全設備、密碼設備、各類虛擬設備等設備中的重要信息資源安全標記。2）云平臺管理應用的重要

34、信息資源安全標記。真實性 傳輸機密性 存儲機密性 傳輸完整性 存儲完整性 政務領域政務云密碼應用與安全性評估實施指南 10 不可否認性 重要可執行程序 通用設備、網絡及安全設備、密碼設備、各類虛擬設備等設備中的重要可執行程序。真實性 傳輸機密性 存儲機密性 傳輸完整性 存儲完整性 不可否認性 視頻監控音像記錄 政務云平臺所在物理機房等重要物理區域的視頻監控音像記錄。真實性 傳輸機密性 存儲機密性 傳輸完整性 存儲完整性 不可否認性 電子門禁系統進出記錄 政務云平臺所在物理機房等重要物理區域的電子門禁系統的進出記錄。真實性 傳輸機密性 存儲機密性 傳輸完整性 存儲完整性 不可否認性 進入重要物理

35、區域的人員的身份鑒別 進入政務云平臺所在物理機房等重要物理區域人員的身份鑒別。真實性 傳輸機密性 存儲機密性 傳輸完整性 存儲完整性 不可否認性 通信雙方的身份鑒別 1）瀏覽器與云平臺管理應用通信信道的身份鑒別。2）VPN 客戶端與 SSL VPN 通信信道的身份鑒別。3）政務云平臺與災備中心、各政務云之間通信信道的身份鑒別。真實性 傳輸機密性 存儲機密性 傳輸完整性 存儲完整性 不可否認性 網絡設備接入時的身份鑒別 從外部連接到內部網絡的設備接入認證時的身份鑒別。真實性 傳輸機密性 存儲機密性 傳輸完整性 存儲完整性 政務領域政務云密碼應用與安全性評估實施指南 11 不可否認性 登錄操作系統

36、和數據庫系統的用戶身份鑒別 管理人員登錄通用設備、網絡及安全設備、密碼設備、各類虛擬設備等設備、數據庫管理系統的身份鑒別。真實性 傳輸機密性 存儲機密性 傳輸完整性 存儲完整性 不可否認性 重要可執行程序來源 通用設備、網絡及安全設備、密碼設備、各類虛擬設備等設備中的重要可執行程序。真實性 傳輸機密性 存儲機密性 傳輸完整性 存儲完整性 不可否認性 應用系統用戶的身份鑒別 1）云平臺管理員身份鑒別 2）云上租戶身份鑒別 真實性 傳輸機密性 存儲機密性 傳輸完整性 存儲完整性 不可否認性 數據原發行為、數據接收行為 云平臺管理員和租戶的關鍵操作。真實性 傳輸機密性 存儲機密性 傳輸完整性 存儲完

37、整性 不可否認性 2.2 場景對密碼應用的特殊要求場景對密碼應用的特殊要求（1）政務云平臺可能存在跨越不同的物理機房以及跨越不可控區域的情況，需保證密碼設備調用的安全性。（2）政務云平臺服務提供者應支持租戶自行部署相關設備。3 密碼應用實施指南密碼應用實施指南 3.1 典型場景業務的密碼應用設計典型場景業務的密碼應用設計 政務云整體密碼應用設計框架如圖 2 所示：政務領域政務云密碼應用與安全性評估實施指南 12 密碼支撐密碼應用傳輸安全網絡可信接入訪問控制身份認證安全通信網絡云平臺管理人員/租戶政務云可信接入.網絡與接入安全密碼應用異地災備網絡傳輸云平臺安全物理資源層安全密碼應用物理和環境安全

38、密碼應用網絡和通信安全密碼應用設備和計算安全密碼應用資源抽象層（虛擬資源）安全密碼應用虛擬網絡安全虛擬主機安全虛擬存儲安全云平臺管理應用政務云平臺管理應用云操作系統安全應用和數據安全密碼應用密碼設備與系統身份認證日志完整性操作不可否認性數據存儲加密數據傳輸加密快照恢復密碼管理管理制度人員管理應急處置密碼標準密碼服務標準密碼應用標準密碼管理標準政務云之間網絡傳輸實施管理密碼基礎設施云服務器密碼機簽名驗簽服務器安全認證網關智能密碼鑰匙SSL/IPSEC VPN 密鑰管理基礎設施電子認證基礎設施虛擬機遷移 服務器密碼機 圖圖 2 政務云平臺系統密碼應用架構圖政務云平臺系統密碼應用架構圖 3.1.1

39、物理和環境安全物理和環境安全 在政務云平臺物理機房等重要物理區域部署符合 GB/T 37033 標準、GM/T 0036 等標準的電子門禁系統，對進入物理區域人員身份進行鑒別。部署視頻加密系統或使用符合相關國家、行業標準要求的服務器密碼機或簽名驗簽服務器，對視頻監控系統視頻記錄進行完整性保護。電子門禁系統自身實現或使用符合相關國家、行業標準要求的服務器密碼機或簽名驗簽服務器，對電子門禁進出記錄進行完整性保護。3.1.2 網絡和通信安全網絡和通信安全 在政務云平臺的網絡邊界建議部署符合 GM/T 0024、GM/T 0025 標準的 SSL VPN 網關，在客戶端部署 VPN 客戶端及符合 GM

40、/T 0027 標準的智能密碼鑰匙或符合 GB/T 38556 標準的動態令牌，通過 VPN 對客戶端進行身份鑒別，實現政務云平臺管理員和云上租戶、運維人員的跨網接入認證、傳輸信道加密和完整性保護。在政務云平臺管理應用服務端部署服務器證書，可在客戶端部署國密瀏覽器，使用合規的 SSL 協議，實現客戶端對政務云平臺管理應用的身份鑒別（或雙向身份鑒別）、傳輸信道機密性和完整性保護。若采用基于商用密碼的數字證書，密鑰的安全性應由簽名驗簽服務器、服務器密碼機、網關、密碼卡等合規的密碼產品保證。在各政務云平臺網絡邊界和災備中心部署符合 GB/T 36968 標準的 IPsec VPN，實現政務云平臺與災

41、備中心、各政務云之間通信信道的身份鑒別、傳輸加密和完整性保護?？稍谡赵破脚_中部署符合密碼相關國家、行業標準要求的服務器密碼機或政務領域政務云密碼應用與安全性評估實施指南 13 簽名驗簽服務器，對政務云平臺網絡邊界的 VPN 中的訪問控制列表、防火墻的訪問控制列表、邊界路由的訪問控制列表等網絡邊界訪問控制信息進行完整性保護。3.1.3 設備和計算安全設備和計算安全 目前應用服務器、數據庫服務器、數據庫管理系統等通用設備的身份鑒別采用密碼技術實現難度較大，可部署符合 GM/T 0024、GM/T 0025 標準的 SSL VPN或符合 GM/T 0026 標準的安全認證網關或符合 GB/T 38

42、556 標準的動態令牌認證系統對接堡壘機，或部署通過商用密碼檢測認證的堡壘機，設備運維管理人員通過使用智能密碼鑰匙或動態令牌實現登錄堡壘機的身份鑒別，通過堡壘機統一運維管理設備。運維管理人員通過使用智能密碼鑰匙或動態令牌實現密碼設備的本地運維管理。在堡壘機部署服務器證書，在運維終端部署國密瀏覽器或網關客戶端，使用合規的 SSL 協議，建立安全管理數據傳輸通道。在政務云平臺中部署符合密碼相關國家、行業標準要求的服務器密碼機或簽名驗簽服務器，對設備訪問控制信息、日志記錄、重要可執行程序（重要信息資源安全標記根據密碼應用方案決定是否納入）等進行完整性保護。通用設備、網絡及安全設備、各類虛擬設備等設備

43、中的重要可執行程序更新、升級，提供者進行數字簽名以實現其來源的真實性保護。3.1.4 應用和數據安全應用和數據安全 在政務云平臺管理應用服務端部署安全認證網關或動態令牌認證系統，政務云平臺管理員和云上租戶通過使用智能密碼鑰匙或動態令牌實現政務云平臺管理應用登錄。在政務云平臺管理應用服務端部署服務器密碼機或簽名驗簽服務器，對應用系統的訪問控制信息、重要業務日志、重要數據（重要信息資源安全標記根據密碼應用方案決定是否納入）進行存儲完整性保護。在政務云平臺管理應用服務端部署密鑰管理系統、服務器密碼機、數據庫加密系統、加密數據庫系統、密碼卡、密碼模塊等，對政務云平臺管理應用的重要數據進行存儲機密性保護

44、。政務云平臺管理應用管理員和云上租戶通過 PC 端智能密碼鑰匙，應用服務端通過密碼設備可對系統中的重要數據封裝數字信封，實現重要數據傳輸過程中的機密性、完整性保護。在虛擬機遷移等過程中，加入身份鑒別和防篡改機制，以保證虛擬機監控器（VMM）在虛擬機遷移過程中的指令等云管平臺內部的重要指令的傳輸完整性及來源的真實性。政務云平臺管理應用服務端部署符合 GM/T 0033 標準的時間戳服務器，智能密碼鑰匙等對政務云平臺管理員和云上租戶等關鍵行為進行數字簽名，實現數政務領域政務云密碼應用與安全性評估實施指南 14 據原發行為、數據接收行為的不可否認性。采用密碼技術對鏡像文件、快照文件在備份和恢復過程中

45、進行完整性保護。3.1.5 密鑰管理安全密鑰管理安全 系統密鑰管理由密鑰管理系統完成，為政務云平臺管理應用提供密鑰的生成、分發、存儲、備份、歸檔、恢復、更新、銷毀等密鑰的全生命周期的管理。密鑰管理的設計遵循 GM/T 0038、GM/T 0050、GM/T 0051 等標準。采用通過認證的隨機數發生器在可控環境中生成密鑰或密鑰協商過程中的隨機值，并在密鑰協商之前及協商過程中驗證對方身份的真實性。使用帶有訪問控制機制的存儲介質傳輸明文密鑰，或指定相關管理制度以保證密鑰在分發過程中的安全性，若密鑰在不可控環境中分發，需使用密碼技術保護密鑰的機密性和完整性。密鑰在存儲過程中，加密密鑰的口令應以密文存

46、儲，除公鑰外的密鑰在不可控環境中需以密文形式存儲，并保證密鑰不被非授權的訪問、使用、泄露、修改和替換。規范密鑰的使用及管理，按照密鑰用途正確使用密鑰，防止出現因操作不當導致的密鑰泄露問題。公鑰在使用過程中需與實體間存在關聯關系，可使用經過完備的公鑰驗證機制的 PKI 技術進行關聯，若存在多個實體使用密鑰的場景，需要建立完備的密鑰使用控制機制。需建立密鑰已泄露或存在泄露風險時的密鑰更新、銷毀/撤銷機制及密鑰恢復使用時的鑒別機制。政務云平臺管理應用包括對稱和非對稱兩種密鑰體系，密碼產品內部工作流程涉及的密鑰管理策略不做描述。（1）對稱密鑰體系 政務云涉及到的主要對稱密鑰包括數據加密密鑰及 MAC

47、密鑰，對稱密鑰的全生命周期管理如表 3 所示。表表 3對稱密鑰列表對稱密鑰列表 序序號號 密鑰密鑰名稱名稱 產生產生 分發分發 存儲存儲 使用使用 導入和導入和導出導出 歸檔歸檔 備份和恢備份和恢復復 銷毀銷毀 1 應用傳輸加密密鑰 在密碼設備內產生 經非對稱密鑰加密后分發 使用完成后銷毀不涉及存儲 在密碼設備內使用 不涉及該密鑰的導入和導出 不涉及該密鑰的歸檔 不涉及密鑰備份和恢復 在密碼設備內完成銷毀 2 網 絡傳 輸加 密密鑰 按照標準握手協議協商生成 不涉及該密鑰的分發 存儲在密碼設備易失性存儲介質中 在密碼設備內使用 不涉及該密鑰的導入和導出 不涉及該密鑰的歸檔 不涉及該密鑰的備份和

48、恢復 在連接斷開或設備斷電時應銷毀 政務領域政務云密碼應用與安全性評估實施指南 15 3 數據加密存儲密鑰 在密碼設備內產生 不涉及該密鑰的分發 在密碼設備中存儲 在密碼設備內使用 不涉及該密鑰的導入和導出 不涉及該密鑰的歸檔 利用密碼設備自身的密鑰備份和恢復機制實現 在密碼設備內完成銷毀 4 MAC密鑰 在密碼設備內產生 不涉及該密鑰的分發 在密碼設備中存儲 在密碼設備內使用 不涉及該密鑰的導入和導出 不涉及該密鑰的歸檔 利用密碼設備自身的密鑰備份和恢復機制實現 在密碼設備內完成銷毀（2）非對稱密鑰體系 政務云涉及到的非對稱密鑰包括：根 CA 簽名密鑰對、CA 簽名密鑰對、用戶簽名密鑰對、云

49、平臺管理員/云上租戶加密密鑰對、服務器簽名密鑰對及服務器加密密鑰對，非對稱密鑰的全生命周期管理如表 4 所示。表表 4非對稱密鑰列表非對稱密鑰列表 序序號號 密鑰密鑰 名稱名稱 產生產生 分發分發 存儲存儲 使用使用 導入和導入和導出導出 歸檔歸檔 備份和備份和恢復恢復 銷毀銷毀 1 云平臺管理員/云上租戶簽名私鑰 在智能密碼鑰匙內生成 不進行分發 在智能密碼鑰匙內存儲 在智能密碼鑰匙內使用 不進行導入和導出 不涉及該密鑰的歸檔 不涉及該密鑰的備份和恢復 在智能密碼鑰匙內部銷毀 2 云平臺管理員/云上租戶簽名公鑰 在智能密碼鑰匙內生成 以證書形式分發 以證書形式存儲 以證書形式使用 以證書形式

50、導入和導出 以證書形式歸檔 以證書形式備份恢復 由 CA進行撤銷 3 云平臺管理員/云上租戶加密私鑰 由 CA生成 由 CA以離線方式進行分發 在智能密碼鑰匙內存儲 在智能密碼鑰匙內使用 由簽名密鑰進行加密后導入 由 CA歸檔 由 CA進行備份和恢復 在智能密碼鑰匙內部銷毀 4 云平臺管理員/云上租戶加密公鑰 由 CA生成 以證書形式分發 以證書形式存儲 以證書形式使用 以證書形式導入和導出 以證書形式歸檔 以證書形式備份恢復 由 CA進行撤銷 5 云平臺管理應用簽名私鑰 在密碼設備內生成 不進行分發 在密碼設備內存儲 在密碼設備內使用 不進行導入和導出 不涉及該密鑰的歸檔 不涉及該密鑰的備份

51、和恢復 在密碼設備內部銷毀 6 云平臺管理應用簽名公鑰 在密碼設備內生成 以證書形式分發 以證書形式存儲 以證書形式使用 以證書形式導入和導出 以證書形式歸檔 以證書形式備份恢復 由 CA進行撤銷 政務領域政務云密碼應用與安全性評估實施指南 16 7 云平臺管理應用加密私鑰 由 CA生成 由 CA以離線方式進行分發 在密碼設備內存儲 在密碼設備內使用 由簽名密鑰進行加密后導入 由 CA歸檔 由 CA進行備份和恢復 在密碼設備內部銷毀 8 云平臺管理應用加密公鑰 由 CA生成 以證書形式分發 以證書形式存儲 以證書形式使用 以證書形式導入和導出 以證書形式歸檔 以證書形式備份恢復 由 CA進行撤

52、銷 注：以軟件密碼模塊、協同簽名等方式使用密鑰的情況略。3.1.6 安全管理安全管理 根據 GB/T 39786 中安全管理相關要求，結合部門已有制度，制定完善政務云平臺相關安全管理制度、密鑰管理規則及應急處置預案，根據制度執行，并定期開展密碼應用安全性評估及攻防對抗演習。密碼應用安全管理制度至少應包含密鑰管理規則、操作規程、發布流程、崗位職責、上崗人員培訓、安全崗位人員考核、關鍵崗位人員保密和調離等相關內容。建設運行階段應制定密碼應用方案、密鑰安全管理策略、實施方案，投入運行前應進行密碼應用安全性評估。應嚴格根據相關制度執行并對相關過程記錄進行留存。如：a)建立政務云平臺的安全管理機構，分配

53、各部門安全管理職責，制定機構安全管理制度及策略；b)明確政務云平臺管理人員組成，分配職責，制定人員安全管理策略，明確各管理員的崗位職責和作業流程；c)制定政務云平臺的機房及辦公區等物理環境密碼應用的安全管理策略；d)制定政務云平臺的介質、設備等密碼應用的安全管理策略；e)制定政務云平臺的運行安全管理策略；f)針對所有設備相關的安全策略定期或不定期備份，并制定管理辦法；g)制定政務云平臺的安全事件處置和應急管理策略 3.2 密碼產品密碼產品/服務選擇和部署服務選擇和部署 典型政務云平臺密碼應用部署如圖 3 所示。在政務云平臺政務外網側、互聯網側可按需部署云服務器密碼機、SSL VPN、IPsec

54、 VPN、安全認證網關、簽名驗簽服務器、數據庫加密系統、加密數據庫系統、時間戳服務器、服務器密碼機、動態令牌認證系統、密鑰管理系統等密碼產品?？蛻舳税葱枧渲弥悄苊艽a鑰匙、動態令牌、國密瀏覽器、VPN 客戶端等密碼模塊，滿足客戶端密碼應用需求。政務領域政務云密碼應用與安全性評估實施指南 17 圖圖 3 典型政務云平臺密碼應用部署圖典型政務云平臺密碼應用部署圖 在滿足政務云平臺自身密碼應用的同時，政務云平臺還應根據云上應用需求提供滿足密碼應用要求的物理環境（門禁、監控）、安全運維方式、公共傳輸通道（如 IPSec VPN）等云上應用難以解決的必要的公共基礎設施密碼支撐能力。政務云平臺密碼應用建設涉

55、及到的產品及服務如表 5 所示，政務云平臺服務提供者可結合自身實際需求選擇部署或增加其他必要的密碼產品與服務。表表 5 密碼產品密碼產品/服務服務 序號序號 密碼產品密碼產品/服務名稱服務名稱 在場景中提供的密碼功能在場景中提供的密碼功能 1 電子門禁系統 保證政務云平臺所在機房等重要區域的人員進出身份真實性。2 云服務器密碼機/服務器密碼機/密碼卡 提供 SM2/3/4 等標準密碼服務接口，為政務云平臺提供密碼運算、密鑰生成及存儲等功能，實現重要數據、日志記錄等信息的機密性、完整性保護。3 簽名驗簽服務器 提供數字簽名、驗簽服務接口，為政務云平臺提供證書管理和驗證等功能。4 智能密碼鑰匙 提

56、供 SM2/3/4 等標準密碼服務接口，實現管理員、云上租戶、用戶的身份鑒別、信源加密和關鍵行為的不政務領域政務云密碼應用與安全性評估實施指南 18 可否認性。5 動態令牌認證系統 動態令牌 客戶端令牌介質，結合服務端動態令牌認證系統提供動態口令認證，實現管理員、租戶的身份鑒別。6 SSL VPN/IPsec VPN IPSec VPN 用于實現各級政務云平臺之間、政務云平臺與災備中心安全通信信道的建立；SSL VPN 用于實現管理人員、租戶的跨網訪問安全通信信道的建立 7 安全瀏覽器密碼模塊 配合政務云平臺管理應用服務器證書使用合規的SSL 協議，建立 HTTPS 安全通信信道。8 安全認證

57、網關 為設備、云平臺管理應用系統提供基于數字證書的身份鑒別、傳輸信道加密、應用代理、訪問控制等功能。9 時間戳服務器 提供時間戳服務接口，配合數字簽名技術實現數據原發行為的不可否認性。11 數據庫加密系統/加密數據庫系統 提供數據加解密功能。12 密鑰管理系統 對政務云平臺管理應用中各種密鑰進行全生命周期集中管理。3.3 與與 GB/T 39786 對照情況說明對照情況說明 本實施指南針對網絡安全等級保護第三級信息系統密碼應用要求進行設計，三級以下及四級信息系統的建設單位和使用單位可根據 GB/T 39786-2021信息安全技術 信息系統密碼應用基本要求結合系統實際進行相應調整。政務云平臺密

58、碼應用設計與 GB/T 39786 對照情況說明如表 6 所示。表表 6 與與 GB/T 39786 對照情況說明對照情況說明 安全層面安全層面 指標項指標項 采取的密碼措施采取的密碼措施 物理和環境安全 身份鑒別 1）在政務云平臺物理機房等重要物理區域部署符合 GB/T 37033 標準、GM/T 0036 等標準的電子門禁系統，對進入物理區域人員身份進行鑒別。2）部署視頻加密系統或使用符合相關國家、行業標準要求的服務器密碼機或簽名驗簽服務器，對視頻監控系統視頻記錄進行完整性保護。3）電子門禁系統自身實現或使用符合相關國家、行業標準要求的服務器密碼機或簽名驗簽服務器，對電子門禁進出記錄進行完

59、整性保護。電子門禁記錄數據存儲完整性 視頻監控記錄數據存儲完整性 政務領域政務云密碼應用與安全性評估實施指南 19 網絡和通信安全 身份鑒別 1）在政務云平臺的網絡邊界部署符合 GM/T 0024、GM/T 0025標準的 SSL VPN 網關，在客戶端部署 VPN 客戶端及符合 GM/T 0027 標準的智能密碼鑰匙或符合 GB/T 38556 標準的動態令牌，通過 VPN 對客戶端進行身份鑒別，實現政務云平臺管理員和云上租戶、運維人員的跨網接入認證、傳輸信道加密和完整性保護。2）在政務云平臺管理應用服務端部署服務器證書，在客戶端部署國密瀏覽器，使用合規的 SSL 協議，實現客戶端對政務云平

60、臺管理應用的身份鑒別（或雙向身份鑒別）、傳輸信道加密和完整性保護。3）在各政務云平臺網絡邊界和災備中心部署符合 GB/T 36968 標準的 IPsec VPN，實現政務云平臺與災備中心、各政務云之間通信信道的身份鑒別、傳輸加密和完整性保護。4）在政務云平臺中部署符合密碼相關國家、行業標準要求的服務器密碼機或簽名驗簽服務器，對政務云平臺網絡邊界的 VPN 中的訪問控制列表、防火墻的訪問控制列表、邊界路由的訪問控制列表等網絡邊界訪問控制信息進行完整性保護。通信數據完整性 通信過程中重要數據的機密性 網絡邊界訪問控制信息的完整性 安全接入認證 設備和計算安全 身份鑒別 1）部署符合 GM/T 00

61、24、GM/T 0025 標準的 SSL VPN 或符合 GM/T 0026 標準的安全認證網關或符合 GB/T 38556標準的動態令牌認證系統對接堡壘機，或部署通過商用密碼檢測認證的堡壘機，設備運維管理人員通過使用智能密碼鑰匙或動態令牌實現登錄堡壘機的身份鑒別，通過堡壘機統一運維管理設備。運維管理人員通過使用智能密碼鑰匙或動態令牌實現密碼設備的本地運維管理。2）在堡壘機部署服務器證書，在運維終端部署國密瀏覽器或網關客戶端，使用合規的 SSL 協議，建立安全管理數據傳輸通道。3）在政務云平臺中部署符合密碼相關國家、行業標準要求的服務器密碼機或簽名驗簽服務器，對設備訪問控制信息、重要信息資源安

62、全標記、日志記錄、重要可執行程序等進行完整性保護。4）通用設備、網絡及安全設備、各類虛擬設備等設備中的重要可執行程序更新、升級，提供者進行數字簽名以實現其來源的真實性保護。遠程管理通道安全 系統資源訪問控制信息完整性 重要信息資源安全標記完整性 日志記錄完整性 重要可執行程序完整性、重要可政務領域政務云密碼應用與安全性評估實施指南 20 執行程序來源真實性 應用和數據安全 身份鑒別 1）在政務云平臺管理應用服務端部署安全認證網關或動態令牌認證系統，政務云平臺管理員和云上租戶通過使用智能密碼鑰匙或動態令牌實現政務云平臺管理應用登錄。2）在政務云平臺管理應用服務端部署服務器密碼機或簽名驗簽服務器，

63、對應用系統的訪問控制信息、重要業務日志、重要信息資源安全標記、重要數據進行存儲完整性保護。3）在政務云平臺管理應用服務端部署密鑰管理系統、服務器密碼機、數據庫加密系統、加密數據庫系統、密碼卡、密碼模塊等，對政務云平臺管理應用的重要數據進行存儲機密性保護。4）政務云平臺管理應用管理員和云上租戶通過 PC 端智能密碼鑰匙，應用服務端通過密碼設備可對系統中的重要數據封裝數字信封，實現重要數據傳輸過程中的機密性、完整性保護。5）在虛擬機遷移等過程中，加入身份鑒別和防篡改機制，以保證虛擬機監控器（VMM）在虛擬機遷移過程中的指令等云管平臺內部的重要指令的傳輸完整性及來源的真實性。6）政務云平臺管理應用服

64、務端部署符合 GM/T 0033 標準的時間戳服務器，智能密碼鑰匙等對政務云平臺管理員和云上租戶等關鍵行為進行數字簽名，實現數據原發行為、數據接收行為的不可否認性。7）采用密碼技術對鏡像文件、快照文件在備份和恢復過程中進行完整性保護。訪問控制信息完整性 重要信息資源安全標記完整性 重要數據傳輸機密性 重要數據存儲機密性 重要數據傳輸完整性 重要數據存儲完整性 不可否認性 3.4 注意事項注意事項（1）針對政務云平臺所處不同機房或跨域不可控區域的情況，應分別部署密碼資源池（物理設備）。若存在業務數據跨機房傳輸，或跨機房調用密碼支撐能力的情況，應在兩機房分別部署密碼設備（如 IPSec VPN）保

65、證傳輸通道的安全性。（2）若政務云平臺同時為云上應用提供密碼支撐能力，政務云平臺自身的密碼資源池應和云上應用的密碼資源池分開部署。（3）云上應用系統所處的政務云平臺通過密評（即獲得“符合”或“基本符合”的結論）后，云上應用系統才能通過密評。政務領域政務云密碼應用與安全性評估實施指南 21（4）云上應用系統所處的云平臺的安全級別應不低于云上應用系統。（5）云平臺可結合自身實際情況，選擇使用物理密碼機或構建密碼資源池。采用密碼資源池的方式部署時，需采取有效措施保證各云平臺管理應用租戶、虛擬機等使用的密鑰隔離和密碼運算相對獨立。若采用密碼資源池方式提供密碼運算，需對密碼資源調用方進行身份鑒別，并對訪

66、問控制信息進行完整性保護。4 密碼應用安全性評估實施指南密碼應用安全性評估實施指南 4.1 主要測評指標的選擇和確定主要測評指標的選擇和確定 本指南密碼應用安全評估實施選擇 GB/T 39786 中第三級安全要求作為測評工作的基本指標，結合政務云平臺密碼應用情況給出測評建議。主要測評指標的選擇和確定如表 7 所示。表表 7 主要測評指標的選擇和確定主要測評指標的選擇和確定 類型類型 指標項指標項 不適用情況說明不適用情況說明 主要適用指標 技術要求 物理和環境安全 身份鑒別 無 電子門禁記錄數據存儲完整性 視頻監控記錄數據存儲完整性 網絡和通信安全 身份鑒別 通信數據完整性 通信過程中重要數據

67、的機密性 網絡邊界訪問控制信息的完整性 設備和計算安全 身份鑒別 遠程管理通道安全 系統資源訪問控制信息完整性 日志記錄完整性 重要可執行程序完整性、重要可執行程序來源真實性 應用和數據安全 身份鑒別 訪問控制信息完整性 重要數據傳輸機密性 重要數據存儲機密性 重要數據傳輸完整性 重要數據存儲完整性 不可否認性 管管理制具備密碼應用安全管理制度 政務領域政務云密碼應用與安全性評估實施指南 22 理要求 度 密鑰管理規則 建立操作規程 定期修訂安全管理制度 明確管理制度發布流程 制度執行過程記錄留存 人員管理 了解并遵守密碼相關法律法規和密碼管理制度 建立密碼應用崗位責任制度 建立上崗人員培訓制

68、度 定期進行安全崗位人員考核 建立關鍵崗位人員保密制度和調離制度 建設運行 制定密碼應用方案 制定密鑰安全管理策略 制定實施方案 投入運行前進行密碼應用安全性評估 定期開展密碼應用安全性評估及攻防對抗演習 應急處置 應急策略 事件處置 向有關主管部門上報處置情況 常見不適用指標 網絡和通信安全 安全接入認證 建設單位和使用單位可結合實際情況自行決定是否納入標準符合性測評范圍。設備和計算安全 重要信息資源安全標記完整性 根據信息系統的密碼應用方案和方案評估意見（以及信息系統是否存在重要信息資源安全標記）決定是否納入標準符合性測評范圍。應用和數據安全 重要信息資源安全標記完整性 根據信息系統的密碼

69、應用方案和方案評估意見（以及信息系統是否存在重要信息資源安全標記）決定是否納入標準符合性測評范圍。政務領域政務云密碼應用與安全性評估實施指南 23 4.2 主要測評內容主要測評內容 測評實施主要是采用相應的測評方法對系統中需要保護的對象進行測評，獲取需要的證據。本章依據 GM/T 0116、GM/T 0115、商用密碼應用安全性評估FAQ，結合政務云平臺主要保護對象（見“表 2”），確定各個層面的測評對象和測評方法。4.2.1 現場測評方法現場測評方法（1）現場測評方法）現場測評方法 商用密碼應用安全性評估使用的測評方法包括：1）訪談：通過與受測單位的相關人員進行交談和問詢，了解信息系統技術和

70、管理方面的一些基本信息，并對一些測評內容進行確認；2）文檔審查：審核受測單位提交的有關信息系統安全的各個方面的文檔，如：受測系統總體描述文件，受測系統密碼總體描述文件，安全管理制度文件，密鑰管理制度，各種密碼安全規章制度及相關過程管理記錄、配置管理文檔，受測單位的信息化建設與發展狀況以及聯絡方式；密碼應用方案及評審意見，安全保護等級定級報告，系統驗收報告，安全需求分析報告，安全總體方案，自查或上次評估報告等。通過對這些文檔的審核與分析，確認測評的相關內容是否達到安全保護等級的要求；3）實地查看：現場查看測評對象所處的環境、外觀等情況；4）配置檢查：查看測評對象的相關配置；5）工具測試：根據受測

71、信息系統的實際情況，密評人員使用適合的技術工具對其進行測試。（2）測評工具）測評工具 政務云平臺密評工作參照 GM/T 0115，結合具體實際需求，可使用如表 8 所示的密評工具。表表 8 密評工具清單密評工具清單 序號序號 工具名稱工具名稱 主要功能主要功能 1 協議分析工具 1)捕獲并解析通信數據，分析通信協議密碼算法協商過程。2)解析密碼算法或密碼套件標識是否屬于已發布為標準的商用密碼算法。3)分析傳輸的重要數據或鑒別信息是否為密文，數據格式(如分組長度等)是否符合預期。4)分析受完整性保護的數據在傳輸時的數據格式(如簽名長度、MAC 長度)是否符合預期。政務領域政務云密碼應用與安全性評

72、估實施指南 24 序號序號 工具名稱工具名稱 主要功能主要功能 2 算法驗證工具 對密碼算法進行分析校驗 3 數字證書格式合規性檢測工具 用于驗證生成或使用的證書格式是否符合 GB/T 20518-2018信息安全技術 公鑰基礎設施 數字證書格式規范的有關要求。4.2.2 測評實施測評實施 4.2.2.1 密碼技術應用測評（1）物理和環境安全）物理和環境安全 1)測評對象測評對象 物理和環境安全層面的測評對象為政務云平臺所在物理機房，具體為機房的電子門禁系統、視頻監控系統。物理和環境安全層面涉及的測評對象和采用的測評方式如表 9 所示。表表 9 測評對象和測評方式測評對象和測評方式 層面（類）

73、層面（類）測評對象測評對象 測評方式測評方式 物理和環境安全 政務云平臺所在物理機房（電子門禁系統和視頻監控系統）訪談 文檔審查 實地查看 配置檢查 工具測試 2)測評實施要點測評實施要點 物理和環境安全層面測評指標包括人員進入機房時采用身份鑒別方式，電子門禁記錄數據和視頻監控記錄數據保護措施。測評時可按照 GM/T 0115 中 6.1 章節描述的測評方法實施測評。如果政務云部署涉及多個物理機房，所有物理機房均應進行測評。（2）網絡和通信安全）網絡和通信安全 1)測評對象測評對象 根據政務云平臺中的各典型業務及其密碼應用實現，分析網絡和通信安全層面涉及的測評對象，測評對象包括互聯網與政務外網

74、、瀏覽器與服務端、VPN 客戶端與 SSL VPN、政務云平臺與災備中心、各政務云之間等各類相關通信信道。網絡和通信安全層面可能涉及的測評對象和采用的測評方式如表 10 所示。表表 10 測評對象和測評方式測評對象和測評方式 層面（類）層面（類）測評對象測評對象 測評方式測評方式 網絡和通信安全 互聯網與政務外網之間的通信信道 訪談 政務領域政務云密碼應用與安全性評估實施指南 25 瀏覽器與服務端之間的通信信道 文檔審查 實地查看 配置檢查 工具測試 VPN 客戶端與 SSL VPN 之間的通信信道 政務云平臺與災備中心之間的通信信道 各政務云之間等各類相關通信信道 網絡邊界訪問控制信息 提供

75、設備入網接入認證功能的設備或組件、密碼產品 運維管理人員遠程管理數據傳輸通道 2)測評實施要點測評實施要點 網絡和通信安全層面測評指標包括對通信實體身份鑒別、通信數據完整性、重要數據的機密性、網絡邊界訪問控制信息的完整性、安全接入認證等。測評實施要點包括以下三個方面：a)訪談安全管理人員，了解各通信信道在通信過程中采用的通信協議。了解各數據傳輸信道的傳輸保護機制及其中涉及的密鑰生命周期管理需求。b)核查密碼產品是否符合法律法規的相關要求，需依法接受檢測認證的，核查是否經商用密碼認證機構認證合格；了解密碼產品的型號和版本等配置信息，核查密碼產品是否符合密碼模塊標準中相應安全等級及以上安全要求，并

76、核查密碼產品的使用是否滿足其安全運行的前提條件，如其安全策略或使用手冊說明的部署條件。c)在檢查點接入協議分析工具抓取通信數據包，捕獲并分析各通信信道的通信數據，并結合代碼片段審查、配置核查、日志核查、算法校驗、數字證書校驗等方式，對訪談了解到的各數據傳輸信道機制進行確認。確認相關通信信道是否采用密碼技術實現通信實體身份鑒別、通信數據完整性保護、重要數據機密性和網絡邊界訪問控制信息完整性保護。（3）設備和計算安全）設備和計算安全 1)測評對象測評對象 政務云平臺在設備和計算安全層面涉及的測評對象包括通用設備、網絡及安全設備、密碼設備、各類虛擬設備的操作系統和數據庫系統等。設備和計算安全層面可能

77、涉及的測評對象和采用的測評方式如表 11 所示。表表 11 設備和計算安全測評對象和測評方式設備和計算安全測評對象和測評方式 層面（類）層面（類）測評對象測評對象 測評方式測評方式 設備和計算安全 通用設備 訪談 文檔審查 實地查看 配置檢查 工具測試 各類虛擬設備 網絡及安全設備 數據庫管理系統 密碼設備 注：交換機、網閘、防火墻、WAF 等未使用密碼功能的網絡設備、安全設備一般不納入設備和計算安全層面的測評范圍。政務領域政務云密碼應用與安全性評估實施指南 26 2)測評實施要點測評實施要點 設備和計算安全層面測評指標包括登錄設備時采用的身份鑒別方式、遠程管理通道安全、系統資源訪問控制信息完

78、整性、日志記錄完整性、重要可執行程序完整性與來源真實性等。測評時可按照 GM/T 0115 中 6.3 章節描述的測評方法實施測評。如果設備存在遠程管理情況，還應分析信息傳輸通道安全。（4）應用和數據安全）應用和數據安全 1)測評對象測評對象 政務云平臺在應用和數據安全層面涉及的測評對象為政務云平臺管理應用，應用和數據安全層面涉及的測評對象和采用的測評方式如表 12 所示。政務云平臺管理應用涉及的應用用戶包括云平臺管理員、云上租戶，應用和數據安全身份鑒別需求如表 13 所示。政務云平臺管理應用涉及的關鍵數據包括云平臺管理員登錄云平臺管理應用的口令、云上租戶登錄云平臺管理應用的口令、鏡像文件和快

79、照文件中的敏感信息、云資源管理敏感信息等重要業務數據、重要審計數據、云平臺管理員及租戶的身份證號/手機號等個人敏感信息、鏡像文件、快照文件、重要業務日志、虛擬機監控器（VMM）在虛擬機遷移過程中的指令等云管平臺內部的重要指令等，應用和數據安全關鍵數據密碼保護需求如表 14 所示。政務云平臺涉及的不可否認性需求如表 15 所示。表表 12 應用和數據安全測評對象和測評方式應用和數據安全測評對象和測評方式 層面（類）層面（類）測評對象測評對象 測評方式測評方式 應用和數據安全 政務云平臺管理應用 訪談 文檔審查 實地查看 配置檢查 工具測試 表表 13 應用和數據安全身份鑒別需求應用和數據安全身份

80、鑒別需求 序號序號 應用用戶應用用戶 身份鑒別需求身份鑒別需求 1 云平臺管理員 2 云上租戶 表表 14 應用和數據安全關鍵數據密碼保護需求應用和數據安全關鍵數據密碼保護需求 序號序號 關鍵數據關鍵數據 密碼保護需求密碼保護需求 傳輸傳輸 機密性機密性 傳輸傳輸 完整性完整性 存儲存儲 機密性機密性 存儲存儲 完整性完整性 1 云平臺管理員登錄云平臺管理應用的口令 政務領域政務云密碼應用與安全性評估實施指南 27 2 云上租戶登錄云平臺管理應用的口令 3 鏡像文件和快照文件中的敏感信息、云資源管理敏感信息等重要業務數據 4 重要審計數據 5 云平臺管理員及租戶的身份證號、手機號等個人敏感信息

81、 6 鏡像文件 7 快照文件 8 重要業務日志 9 虛 擬 機 監 控 器（VMM）在虛擬機遷移過程中的指令等云管平臺內部的重要指令 表表 15 應用和數據安全不可否認性需求應用和數據安全不可否認性需求 序號序號 操作行為操作行為 不可否認性需求不可否認性需求 1 云平臺管理員和租戶的關鍵操作 2)測評實施要點測評實施要點 應用和數據安全層面測評指標包括身份鑒別、訪問控制信息完整性、重要數據傳輸機密性和完整性、重要數據存儲機密性和完整性、關鍵操作不可否認性。測評實施要點包括：a)身份鑒別身份鑒別 在測評實施過程中，首先，通過訪談方式了解政務云平臺管理員訪問政務云平臺管理應用時的身份鑒別方式，了

82、解是否使用密碼技術進行身份鑒別以及涉及的密鑰生命周期管理。其次，采取機制分析、代碼片段審查、配置核查、日志核查、數字證書校驗等方式，對訪談了解到的身份鑒別機制進行確認。具體包括但不限于：通過審查代碼片段、查看密碼產品調用日志、校驗數字證書格式、分析簽名值等方式，確認采用的密碼技術，確認密碼產品是否被正確調用；通過分析其身份鑒別過程相關密碼運算環境，相關密鑰生命周期管理機制等，分析其密碼運算環境、密鑰管理是否安全。b)訪問控制信息完整性訪問控制信息完整性 可通過核查數據庫、數據庫敏感字段設置策略、代碼實現片段、密碼產品調用日志等方式核查政務云平臺管理應用是否使用密碼技術對訪問控制信息進行政務領域

83、政務云密碼應用與安全性評估實施指南 28 完整性保護?；谝陨虾瞬榻Y果，并通過核查數據庫中存儲的完整性字段，分析其長度是否與聲稱采用密碼算法輸出長度一致，確認采用的密碼技術。c)重要數據傳輸機密性、完整性重要數據傳輸機密性、完整性 首先，通過訪談方式了解政務云平臺管理應用在實際業務應用中傳輸的重要數據；了解相關重要數據在傳輸過程中是否使用密碼技術實現信源到信宿的傳輸機密性、完整性和來源真實性保護以及涉及的密鑰生命周期管理。其次，采取機制分析、代碼片段審查、配置核查、日志核查、算法校驗、數字證書校驗等方式，對訪談了解到的關鍵數據傳輸機密性、完整性保護實現機制進行確認。具體包括但不限于：通過對政務

84、云平臺管理應用梳理傳輸的關鍵數據進行核實和確認；通過審查代碼片段、查看密碼產品調用日志、分析簽名值或分析 HMAC 長度是否與聲稱采用密碼算法輸出長度一致等方式，確認采用的密碼技術，通過分析其數據傳輸機密性、完整性和來源真實性保護運算環境，相關密鑰生命周期管理機制等，分析其密碼運算環境、密鑰管理是否安全。需保證鏡像文件、快照文件的傳輸完整性。d)重要數據存儲機密性、完整性重要數據存儲機密性、完整性 在測評實施過程中，首先，通過訪談方式了解政務云平臺管理應用在實際業務應用中存儲的關鍵數據，了解相關數據在存儲時是否采用密碼技術進行機密性和完整性保護以及涉及的密鑰生命周期管理。其次，采取機制分析、代

85、碼片段審查、配置核查、日志核查、端口掃描、算法校驗、數字證書校驗等方式，對訪談了解到的關鍵數據存儲機密性、完整性保護實現機制進行確認。具體包括但不限于：通過對政務云平臺管理應用梳理存儲的關鍵數據進行核實和確認；然后，通過審查代碼片段、查看應用運行日志、分析簽名值或分析 HMAC 長度是否與聲稱采用密碼算法輸出長度一致、對存儲的重要數據進行分析等方式，確認采用的密碼技術，確認密碼產品是否被正確調用，確認數據存儲機密性、完整性保護實現是否正確；通過分析其數據存儲機密性、完整性保護運算環境，相關密鑰生命周期管理機制等，分析其密碼運算環境、密鑰管理是否安全。需保證鏡像文件、快照文件的存儲完整性。e)關

86、鍵操作行為不可否認性關鍵操作行為不可否認性 首先，通過訪談方式了解政務云平臺管理應用在實際業務應用中涉及需要進行不可否認性保護的關鍵操作行為，了解相關操作在實施時是否采用密碼技術進行不可否認性保護以及涉及的密鑰生命周期管理。其次，采取機制分析、代碼片段審查、配置核查、日志核查、端口掃描、算法校驗等方式，對訪談了解到的關鍵操作不可否認性實現機制進行確認。具體包括但不限于：通過分析報文數據確認是否包含簽名數據；然后，通過審查代碼片段、查看應用運行日志、分析簽名值或分析 HMAC 長度是否與聲稱采用密碼算法輸出長度一致、對存儲的操作報文數據進行分析等方式，確認采用的密碼技術，政務領域政務云密碼應用與

87、安全性評估實施指南 29 確認密碼產品是否被正確調用，確認關鍵操作行為不可否認性保護實現是否正確；通過分析其不可否認性保護運算和校驗環境，相關密鑰生命周期管理機制等，分析其密碼運算環境、密鑰管理是否安全。f)虛擬機遷移虛擬機遷移 在虛擬機遷移等過程中，加入身份鑒別和防篡改機制，以保證虛擬機監控器（VMM）在虛擬機遷移過程中的指令等云管平臺內部的重要指令的傳輸完整性及來源的真實性。4.2.2.2 安全管理測評（1）測評對象）測評對象 安全管理測評包括管理制度、人員管理、建設運行和應急處置四個層面。涉及的測評對象和采用的測評方式如表 16 所示。表表 16 安全管理測評對象和測評方式安全管理測評對

88、象和測評方式 層面（類）層面（類）測評對象測評對象 測評方式測評方式 管理制度 管理體系（包括安全管理制度類文檔、密碼應用方案、密鑰管理制度及策略類文檔、操作規程類文檔、記錄表單類文檔、系統相關人員）訪談 文檔審查 人員管理 管理體系（包括安全管理制度類文檔、記錄表單類文檔、系統相關人員）訪談 文檔審查 建設運行 密碼應用方案、密鑰管理制度及策略類文檔、密碼實施方案、密碼應用安全性評估報告、密碼應用安全管理制度、攻防對抗演習報告、整改文檔 訪談 文檔審查 管理體系（包括安全管理制度類文檔、記錄表單類文檔、系統相關人員）訪談 文檔審查 應急處置 管理體系（包括密碼應用應急處置方案、應急處置記錄類

89、文檔、安全事件發生情況及處置情況報告、系統相關人員）訪談 文檔審查（2）測評實施要點）測評實施要點 安全管理測評實施主要通過訪談和文檔審查，檢查管理制度是否全面、規范、合理；訪談系統相關人員，確認人員是否了解并遵守密碼相關法律法規、是否正確使用密碼相關產品。具體可按照 GM/T 0115 中 6.5 至 6.8 章節描述的測評方法實施測評。4.3 主要測評結果主要測評結果 結合 4.1、4.2 章節確定的測評指標和測評內容，根據 GM/T 0115、GM/T 0116結果判定規則，得出各個測評對象和測評單元的測評結果。進一步從單元間、層政務領域政務云密碼應用與安全性評估實施指南 30 面間進行

90、測評和綜合安全分析，得出整體測評結果。由于部分測評對象測評結果的得出需要結合系統具體實現，且測評結果判定依據比較明確，此處不再進行具體描述。在整體測評階段，應依照 GM/T 0115 的整體測評要求，考慮是否存在單元間和層面間的彌補情況。在風險分析和評價階段，應依照 GM/T 0115 的風險分析和評價中的要求執行。另外，可根據安全威脅嚴重程度、安全威脅發生頻率和關聯資產價值等方面進行具體分析和評價工作。4.4 注意事項注意事項 在測評過程中應注意以下事項。（1）在實施系統測評前，應根據被測單位需求和系統業務情況，明確被測系統的網絡邊界和測評范圍。（2）政務云平臺管理應用用戶身份鑒別可能通過動

91、態令牌或智能密碼鑰匙實現身份鑒別，以上 2 種身份鑒別機制存在差異，應注意在測評實施過程中，應根據不同實現機制采用不同的測評方式。（3）對于通過互聯網或者其他跨網絡使用 VPN 進行運維管理的情況，此時遠程管理終端與 VPN 之間的通信信道也應作為網絡和通信安全層面的測評對象進行測評。（4）系統實現過程中，可能會采用多種緩解措施降低未使用密碼技術帶來的安全問題。此時應該根據具體場景和實際情況分析緩解措施如何降低風險，判斷緩解措施是否有效等。如在設備和計算安全層面，用戶登錄堡壘機時應使用密碼技術對用戶身份進行鑒別。如果未采用密碼技術，但采用了其他緩解措施（采用多因素鑒別機制且只能在內部網絡登錄），在風險判定時應判斷緩解措施是否能有效降低風險。