信創與密碼應用論壇（北京）-劉志樂《密碼乘云,助力政府數字轉型》（24頁）.pdf

《信創與密碼應用論壇（北京）-劉志樂《密碼乘云,助力政府數字轉型》（24頁）.pdf》由會員分享，可在線閱讀，更多相關《信創與密碼應用論壇（北京）-劉志樂《密碼乘云,助力政府數字轉型》（24頁）.pdf（24頁珍藏版）》請在三個皮匠報告上搜索。

1、密碼乘云,助力政府數字轉型Cloud computing combined with password helps government digital transformation劉志樂Tony Liu首席安全官、高級副總裁Chief Safety Officer、Senior Vice PresidentCONTENTS目 錄01.背景需求數字政府重磅政策落地，數字經濟大潮下政府先行密碼體系是網絡安全環境的基礎02.解決方案云上密碼建設滿足業務系統的數據安全，確保政務、企業、民生信息化建設的全方位、多層次、多維度的信息安全03.應用案例通過某市政務云、某省信創云應用案例展示云上密碼建設對數

2、字化轉型的實踐效益2022 WEST L AKE CYBERSECURIT YCONFERENCE01背景需求數字政府重磅政策落地，數字經濟大潮下政府先行密碼體系是網絡安全環境的基礎國家要求：2022年06月23日日國辦發布國務院關于加強數字政府建設的指導意見 時間節點：2025、2035兩個重要時間節點，2025年數字政府體系框架基本形成，2035年數字政府基本建成。數字政府自身重點建設任務：“管、辦”兩方面齊發力。重視數據要素賦能，基礎設施建設及安全保障成為重中之重。強化政務云平臺支撐能力，統籌整合現有政務云資源，構建全國 一體化政務云平臺體系；加強重點共性應用支撐能力，包括身份認證、電子

3、證照共享、數字檔案、財政電子票據、非稅收電子化等。將考核結果作為領導干部考核重要參考，組織、機制等方面的約束、考核體現了政策的重要性，相關措施有望成為建設的重要動力。01.數字政府重磅政策落地，數字經濟大潮下政府先行云計算移動/互聯業務隱私保護大數據n 數據即“價值”，數據即“未來”；n“大”數據，“有量”“有價值”；n 業務上云后的安全擔憂；n 移動互聯下的安全風險；n 隱私保護是法律、道德底線；n“開放”與“安全”的新命題；n“先進”與“風險”并存；n 安全的“老傳統”與“新思想”。數據安全是數字化改革的基石01.數字化改革下安全的新思考社會公民企業部門亟需開放有價值數據，促進數字經濟、數

4、字社會發展擔心個人信息安全不敢開放不知如何開放擔心商業秘密泄露01.數據共享開放下對數據安全的擔憂中國的核心領域長期以來都是沿用3DES、SHA-1、RSA等國際通用的密碼算法體系及相關標準，上述三種國際通行的密碼算法體系均為美國機構提出，其中SHA-1是由美國國家安全局（NSA）設計，最為著名的RSA密碼算法，則由三位麻省理工學院教授提出。但通用的國際密碼算法頻繁被爆出漏洞。01.國際算法 數據安全隱患國家要求：2019年12月30 日國辦發布國家政務信息化項目建設管理辦法要求：“同步規劃、同步建設、同步運行密碼保障系統并定期進行密碼應用安全性評估”（三同步一評估）對于不符合密碼應用和網絡安

5、全要求，或者存在重大安全隱患的政務信息系統，不安排運行維護經費，項目建設單位不得新建、改建、擴建政務信息系統。公安部要求：2020年9月22日，公安部印發貫徹落實網絡安全等級保護制度和關鍵信息基礎設施安全保護制度的指導意見要求：第三級及以上網絡在規劃、建設和運行階段充分考慮符合要求的密碼產品及服務，并在網絡安全等保測評中同步開展商用密碼應用安全性評估工作（三級系統要用密碼過密評）01.密碼應用國家標準發布國家密碼管理局要求：2020年8月20日發布的商用密碼管理條例(修訂草案征求意見稿)要求：非涉密的關鍵信息基礎設施、網絡安全等級保護第三級以上網絡、國家政務信息系統等網絡與信息系統，其運營者應

6、當使用商用密碼進行保護，同步規劃、同步建設、同步運行商用密碼保障系統，自行或委托商用密碼檢測機構開展商用密碼應用安全性評估。國家密碼管理局要求：第二章第十條 關鍵信息基礎設施、網絡安全等級保護第三級及以上信息系統，每年至少評估一次。01.密碼應用國家標準發布88.6116.2899.51127.38151.64239.4128335046631.24%-14.42%28.01%19.05%57.88%18.21%23.67%33.14%-0.2-0.100.10.20.30.40.50.60.70501001502002503003504004505002012年2013年2014年2015年

7、2016年2017年2018年2019年2020年產業規模（單位：億元）增長率受網絡安全法和“十三五”國家信息化規劃等政策法規驅動，商用密碼產業規模大幅度上升受密碼法實施影響，商用密碼產業規模進一步上升01.當前密碼產業背景 隨著云計算產業的蓬勃發展，許多重要業務系統遷入云平臺中，使得云計算的安全保障越來越重要。因此，應當營造安全可靠的云環境，切實保障專有云平臺中各類業務系統的數據安全，確保政務、企業、民生信息化建設的全方位、多層次、多維度的信息安全，滿足密碼應用安全性評估要求。隨著云計算、物聯網、大數據、移動互聯網的發展，缺乏數據有效保護手段，存在大量數據明文傳輸、明文存儲現象密碼設備種類、

8、廠家、用途及分布多樣化；設備通信協議、系統架構、應用協議等多樣化缺乏統一管理平臺，在多密碼設備的情況下，難以對系統調用的密碼服務進行統一管控；缺乏安全運營機制，難以形成安全事件處置閉環業務系統種類繁多，單獨進行密碼建設容易形成資源浪費、統一管理困難；改造難度大，需要系統開發商集成國密接口01.業務上云 數據安全不容忽視統 統一基礎，建設統一的密碼基礎支撐平臺通過密碼基礎支撐實現網絡可信互聯、安全互通，為用戶及各類智慧業務應用提供統一密碼管理、密碼監管、身份認證等密碼基礎支撐服務。保密碼應用保障，為密碼應用提供安全技術保障保障基于商用密碼的數據全生命周期的安全，保障關鍵信息基礎設施的安全，從感、

9、傳、知、用四個層次形成一體化的密碼技術保障體系。服利用密碼應用支撐平臺，提供統一的密碼服務面向云端、物端、移動端提供跨域身份信任服務、電子印章服務、安全數據共享交換和安全移動辦公等密碼服務。管做好密碼使用管理、監管和應用安全評估工作對城市態勢提供有利的安全支撐、密碼服務保障，加強對網絡空間安全的密碼監管、應用安全性評估和測評工作。01.云密碼建設目標02解決方案云上密碼建設滿足業務系統的數據安全確保政務、企業、民生信息化建設的全方位、多層次、多維度的信息安全通過國產密碼算法與密碼技術，實現重要數據在傳輸、存儲等場景中的安全防護數據安全防護根據密碼應用國家標準要求，建設物理、網絡、設備、應用四位

10、一體的密碼保障體系國密體系建設具備密碼能力整合、服務輕量化、管理統一的優勢，可一站式滿足用戶多樣化的密碼應用需求，云上業務實現密碼應用的最優選擇。密碼服務平臺方案針對于國密改造難度大的問題，提供多種輕量化改造的解決方案，無需業務系統二次改造輕量化改造模式02.云上密碼建設最優選是什么？產品定位密碼服務平臺，面向專有云平臺云上系統提供集中化、虛擬化、透明化的密碼服務產品核心能力面向各租戶的信息系統提供多種密碼服務，以服務調用的形式，滿足密評要求各租戶能夠自由調度其下信息系統所使用的密碼資源，實現密碼資源的統一調度與管理各類密碼服務與密碼資源的監測預警02.密碼服務平臺架構設計 密碼服務平臺由密碼

11、資源層、密碼支撐層、密碼服務層、密碼管理后臺組成，其中三層密碼服務構成從低到高的層級關系，低層可為上層提供密碼能力支撐。02.密碼服務平臺架構說明線上提供各類密碼資源的申請服務各租戶根據被測信息系統所需要的密碼資源情況，在線上申請所需的密碼服務，并實現密碼應用改造，即可滿足密評要求。傳輸加密服務：為多類型的終端提供傳輸加密服務，包括需集成改造的字段級傳輸加密、通過網絡配置修改的流量攔截式加密；存儲加密服務：提供不同顆粒度的存儲加密服務，包括需集成改造的字段級存儲加密、通過安裝加解密軟件的表級別存儲加密。密碼服務業務系統2業務系統1API網關API網關負載均衡密鑰管理服務身份認證服務傳輸加密服務

12、存儲加密服務完整性校驗服務時間戳服務負載均衡密碼支撐層密碼資源層安全通道服務數字簽名服務02.密碼服務調用機構權限管理用戶權限管理狀態信息監測資源分配-機構資源分配-應用告警信息監測對不同租戶支持不同的權限分配根據權限級別的設置，租戶能夠實現本單位密碼管理員設立、密碼資源調度、資源監測的功能密碼管理員的設置在指定租戶下，支持設立密碼管理員。通過手機號、郵箱的信息填寫，支持異常情況的報警機制密碼資源的狀態監測支持查看密碼基礎設施的負載情況，支持連接數、CPU、內存、磁盤等資源的組合或單獨報表展現對不同機構實現密碼資源的分配根據各機構的業務需要，實現某項密碼資源的按需分配對不同應用實現密碼資源的分

13、配根據所申請的密碼資源，租戶可對其應用進行密碼資源的按需分配告警服務與告警日志支持查看密碼基礎設施的負載情況、使用情況02.密碼資源管理 密碼服務平臺的支持彈性擴容的特點，能夠滿足功能不斷擴展以及系統容量和用戶數量不斷增長的要求，使系統不會因將來內容和功能上的擴充而導致數據安全需求無法滿足的情況?！凹s化”理念 密碼服務平臺的建設，能夠體現“集約化”的理念，減少了各單位為滿足密碼應用安全性評估的需要而重復投資密碼基礎設施，避免了安全系統的重復建設，節省密碼應用領域的建設成本，節省支出。輕量化改造模式 密碼服務平臺提供多類型的密碼服務，包括無需信息系統集成改造的透明傳輸加密、透明存儲加密等，能夠

14、應對政務云平臺上多樣化的信息系統，滿足不同應用在密評上的需求，減少系統二次改造的成本。彈性可擴容02.優勢特點03應用案例通過某市政務云、某省信創云應用案例展示云上密碼建設對數字化轉型的實踐效益 考慮到平臺接入的信息系統的網絡架構、用戶場景等情況的不一致性，調用的各類密碼服務也會存在一定區別。以B/S架構系統為例，通過密鑰管理服務、傳輸加密服務（透明）、存儲加密服務（透明）、身份認證服務、完整性校驗服務的調用，應用可以實現登錄系統用戶的統一身份認證、數據傳輸與存儲的機密性、完整性保護。根據信息系統的情況，支持不同服務的勾選：l 傳輸加密服務：透明傳輸加密服務（B/S架構）、需改造的傳輸加密服務

15、l 存儲加密服務：透明存儲加密服務（表級別）、需改造的字段級存儲加密服務03.典型場景云上政務系統接入l 結合浪潮政務云架構，搭建密碼資源池l 各類密碼服務需能確保多類型業務系統的密評需求l 一期建設的資源池體量能夠滿足兩個系統的密評需求l 通過打造密評樣板間，促使多個云上系統來調用密碼服務項目背景核心訴求 根據GB/T39786-2021信息安全技術信息系統密碼應用基本要求，某市工業和信息化局需要在浪潮政務云搭建密碼資源池，組建各類密碼服務，為云上系統提供合規的密碼服務。一期規模密碼服務平臺建設清單序號產品名稱單位備注1密碼服務平臺套管理后臺2統一密鑰管理平臺套軟件3軟件密碼模塊套軟件（應用

16、系統集成）4密鑰管理系統套軟件5協同簽名系統套軟件6傳輸透明加密系統套軟件7數據庫加密軟件套軟件（安裝在數據庫中）8透明傳輸加密專屬服務器臺硬件（密碼基礎設施）9云服務器密碼機臺硬件（密碼基礎設施）10SSL VPN安全網關臺硬件（密碼基礎設施）11USBKey個硬件（密碼基礎設施）運維管理人員身份鑒別13簽名驗簽服務器臺硬件（密碼基礎設施）14時間戳服務器臺硬件（密碼基礎設施）項目成果 目前密碼服務平臺已在浪潮云部署密碼資源池，并通過兩個系統（B/S架構、C/S架構）打造密評樣板間。03.用戶案例某市工信局政務云 服務內容項目背景 H省大數據局“信創云”，是全省統一規劃的政務國產化云平臺，基

17、于真正的國產化平臺，有效保障信息安全，避免了國外芯片預留后門的問題。信創云建成后，將逐步承接各廳局政務系統的遷移，并提供整體的網絡安全、密碼應用安全防護措施。應用密碼技術建立虛擬化安全機制，保障虛擬化安全；應用密碼技術建立用戶資源隔離機制，防止非授權訪問；建立數據加密存儲和傳輸機制，保障關鍵業務數據安全。信創系列國密產品加強國產密碼應用敏感數據安全存儲業務數據加密傳輸業務接入身份認證客戶端無需安裝插件應用“零改造”對接終端用戶無感知操作項目成果本項目涉及大量舊有系統遷移改造，傳統密碼應用解決方案需要大量定制開發，我司多款密碼產品不但可兼容適配信創云部署環境，且僅涉及少量改造或無需用戶改造應用，

18、更加適合多租戶環境，且部署管理方便，獲得用戶的高度認可。信創通過自主可控產品研發、自主可控算法替代，建立自主可控安全可靠的網絡安全能力體系，其中以政務云平臺的國產化覆蓋最具代表性。H省、HZ市信創云密碼建設項目滿足信創及國密的雙重建設要求，為全國各地信創云密碼建設打響知名度。03.用戶案例-某省信創云實踐成果 密碼服務平臺目前已經在H市數據資源管理局、S市大數據發展管理局、K市工業和信息化管理局、Y省地礦測繪院等多個單位得到應用和實踐。通過平臺建設，打造行業標桿項目，各省市的大數據資源管理局提供借鑒與推廣意義，強化密碼在保障敏感數據等方面的支撐作用，助力政府數據產業快速安全發展。實踐效益 實現密碼資源的統一管理：利用平臺化手段實現密碼能力的整合、復用，提供各類密碼服務，實現密碼資源按需分配、彈性擴容。減少密碼基礎設施重復投資：建設標準統一、集約化的共性安全支撐平臺，減少基礎設施重復投資，避免安全系統重復建設。降低開發、運營和運維成本：實現密碼業務的融合協同、應用的快速開發部署、安全的整體防護、資源的統一調配與管理，極大的降低了開發、運營和運維成本。保障信息系統運行安全：通過統籌設計云上系統的密碼安全體系，盡可能消除政務云平臺政務信息系統的安全隱患，保障政務數據運行質量和安全。03.密碼服務上云成功實踐與效益