信阳市电子政务外网系统密码应用案例
(一)背景介绍
信阳市电子政务外网系统由市政府办公室2016年建设并投入使用,2019年职能整体划转至信阳市行政审批和政务信息管理局,目前,网络安全和网络设备运维分别是原厂北京天融信网络安全科技有限公司和锐捷网络负责,机房托管在移动公司8楼机房。
信阳市电子政务外网为全市政务部门及部分国有企业提供基础网络服务,运行了很多关系国计民生的业务系统,存储、流转的很多数据较敏感或涉及个人隐私信息。本案例以商用密码作为基础支撑和核心能力,切实提升了政务外网网络安全保障能力,有效的支撑我市在经济调节、市场监管、社会管理和公共服务等方面的需要,进一步为信阳市政府深化“放管服”改革、开展“互联网 + 政务服务”、提升社会治理能力等保驾护航。
(二)详细介绍
一、设计目标及原则
1. 建设目标
本项目设计内容为面向信阳市电子政务外网系统,设计密码安全应用方案,使其满足GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》中对于等级保护三级信息系统的密码应用要求。
本方案严格按照《中华人民共和国密码法》及商用密码有关规范,以落实网络安全等级保护、根据GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》等相关标准为原则,建设密码基础设施。从身份鉴别、数据传输机密性与完整性保护、密钥安全管理层面,采用SM系列密码算法、安全合规的密码产品和密码技术,保证信阳市电子政务外网系统符合GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》中对于等保三级信息系统的密码应用要求。
2. 设计原则
本项目采用如下设计原则:
2.1. 总体性原则
通过从整体层面,对信阳市行政审批和政务信息管理局电子政务外网系统的密码应用开展顶层设计,明确密码应用需求和预期目标,并与网络安全保护等级相结合,通过成体系的设计形成涵盖技术、管理、实施保障的整体方案,为在信阳市行政审批和政务信息管理局电子政务外网系统中落实密码应用相关要求奠定基础。
2.2. 完备性原则
围绕信阳市行政审批和政务信息管理局电子政务外网系统实际网络情况与安全保护等级,站在整体角度,通过自上而下的体系化设计,综合考虑网络和通信安全、设备和计算安全等多个层面密码应用需求,设计信阳市行政审批和政务信息管理局电子政务外网系统密码应用改造方案。
2.3. 经济性原则
结合信阳市行政审批和政务信息管理局电子政务外网系统规模,在合理、够用的前提下设计满足GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》的密码应用改造方案,确保信阳市行政审批和政务信息管理局电子政务外网系统密码应用改造投资合理,规模适度,避免资金浪费和过度保护。
2.4. 产品一致性原则
所选密码产品优先选用经市场检验、技术成熟的产品或设备。为保证密码设备的兼容性与工作稳定性,结合密码产品的实际组成架构,优先选择密码产品本身与其内置密码模块为同一品牌的产品。
二、密码应用需求响应
根据GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》的第三级别标准,结合密码应用测评要求,从物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全、密钥管理、安全管理等方面对信阳市电子政务外网系统进行密码应用需求与安全风险分析,并提出相应的响应措施。
2.1物理和环境安全
目前机房已采用了7*24小时专人值守方式,对进入机房的人员核实并登记身份信息和记录出入机房的时间,同时机房配置有视频监控系统,可以机房重要区域进行7*24小时,视频监控影像保存6个月,能够有效降低物理和环境方面的安全风险。故本项目不对信阳市行政审批和政务信息管理局机房进行密码应用改造。
2.2网络和通信安全
(1)在信阳市行政审批和政务信息管理局机房运维管理区、互联网出口区分别部署IPSEC/SSL VPN综合安全认网关,为运维人员配发智能密码钥匙并签发用户数字证书,为IPSEC/SSL VPN综合安全认网关签发设备数字证书,通过SM2数字证书+口令的“双因子”认证方式,实现对本地运维人员和远程运维人员的身份进行鉴别,保证运维人员身份的真实性。
(2)通信过程中,采用国密SSL协议实现登录客户端与服务端之间的密钥协商,采用ECC(SM2)_SM4_SM3的SSL算法套件,实现通信过程中数据的完整性和机密性保护。
(3)部署在信阳市电子政务外网系统的运维管理区、互联网出口区的IPSEC/SSL VPN综合安全认网关支持采用数字签名技术采用对设备自身的访问控制信息进行完整性保护;其它网络边界设备应不具备密码应用改造条件,故不对其访问控制信息进行完整性保护。
(4)上述响应措施中使用的数字证书由第三方电子认证机构的CA系统签发,确保证书服务符合法律法规的相关要求;采用具有商用密码产品认证证书的IPSEC/SSL VPN综合安全认网关、智能密码钥匙实现密码运算和密钥管理。
(5)以上采用的密码产品“IPSEC/SSL VPN综合安全认网关、国密浏览器、智能密码钥匙”已达到GB/T 37092—2018二级密码模块的安全要求。
2.3设备和计算安全
(1)在运维管理区、互联网出口区部署IPSEC/SSL VPN综合安全认网关,为运维管理设备的运维人员配发智能密码钥匙并签发用户数字证书,通过SM2数字证书+口令的“双因子”认证方式,采用IPSEC/SSL VPN综合安全认网关对运维人员进行身份鉴别,实现对登录设备的运维人员的身份进行鉴别,保证运维人员身份的真实性。
(2)远程管理时,采用部署在互联网出口区的IPSEC/SSL VPN综合安全认网关与远程管理终端建立基于国密SSL协议的安全传输通道,保证远程管理相关信息的传输通道安全。
(3)本项目中密码设备(IPSEC/SSL VPN综合安全认网关)支持对自身的系统资源访问控制信息进行完整性保护,其它设备不具备密码应用改造条件,故不对其它设备的系统资源访问控制信息进行完整性保护。
(4)本项目中设备无敏感信息资源安全标记,故不适用“宜采用密码技术保证设备中的敏感信息资源安全标记的完整性”测评要求。
(5)本项目中密码设备(IPSEC/SSL VPN综合安全认网关、服务器密码机)支持对自身的日志信息进行完整性保护,其它设备的运行日志数据可上传至日志服务器,由日志服务器调用服务器密码机提供的SM3+HMAC服务,对设备运行日志数据进行完整性防护。
(6)本项目除密码设备外,其它设备不具备密码应用改造条件,故不对其它设备的重要可执行程序不作完整性保护,也不对其来源进行真实性验证。
(6)上述响应措施中使用的数字证书由第三方电子认证机构的CA系统签发,确保证书服务符合法律法规的相关要求;采用具有商用密码产品认证证书的IPSEC/SSL VPN综合安全认网关、国密浏览器、智能密码钥匙、服务器密码机实现密码运算和密钥管理。
(7)以上采用的密码产品“IPSEC/SSL VPN综合安全认网关、国密浏览器、智能密码钥匙、服务器密码机”已达到GB/T 37092二级密码模块的安全要求。
2.4应用和数据安全
目前信阳市电子政务外网系统未承载应用系统功能模块,故本项目不涉及应用和数据层面的密码应用改造。
2.5密钥管理
本项目中密钥管理包括密钥的产生、分发、存储、使用、更新、归档、撤销、备份、恢复和销毁等环节。以下各个环节的密钥管理的响应措施:
(1) 密钥产生
本项目中密码设备的签名密钥由密码设备自身产生,运维人员的签名密钥由智能密码钥匙产生。本项目中的密码设备、运维人员的加密密钥对由第三方CA机构的密钥管理中心产生。
(2) 密钥分发
本项目中密码设备、运维人员的加密密钥对由第三方CA机构的密钥管理中心分发到密码设备中。
(3) 密钥存储
本项目中的密钥除公钥外,不以明文方式存储在密码产品之外,基于密码设备自身的安全机制对密码进行安全存储,防止密钥被非授权的访问或篡改。
本项目中公钥以证书的形式存在,公钥在使用之前,必须对其证书进行有效性验证,以防止公钥被非授权篡改。
(4) 密钥使用
明确项目中每个密钥的用途,使用密钥前必须获得授权,使用公钥证书前对其进行有效性验证,采用符合国家密码标准的产品和技术对以防止密钥被泄露和替换。本项目中使用密钥都有有效期,采取数字签名、日志审计等技术保证密钥更换时的安全性。
(5) 密钥更新
密钥更新发生在密钥超过使用期限、已泄露或存在泄露风险时,依据密钥更新策略进行更新。
(6) 密钥归档
本项目中除加密密钥需要由第三方CA机构的密钥管理系统进行归档外,其它密钥不需要归档。
(7) 密钥撤销
当设备证书、用户证书到期后,密钥自然撤销,撤销后的密钥不再具备使用效力。
(8) 密钥备份
本项目中采用密码设备自身的密钥备份机制进行备份,以确保备份密钥的机密性和完整性;密码设备支持对密钥备份行为进行审计,并生成审计信息,包括备份的主体、备份的时间等。
(9) 密钥恢复
本项目中仅支持用户密钥恢复,用户密钥恢复参照第三方CA机构的相关管理制度执行。
(10) 密钥销毁
本项目中,除智能密码钥匙外其它密码设备内的密钥销毁,采用密码设备自身密钥销毁机制执行销毁操作。
三、密码应用技术方案设计
(1)密码应用技术框架
本项目信阳市电子政务外网系统密码应用改造和密码基础设施设计从用户接入认证层面,到服务端密码应用支撑层面进行统一规划设计,其密码应用技术框架如下图所示。
信阳市电子政务外网系统密码应用技术框架
(2)密码基础设施部署设计
本项目按照“整体规划、安全合规、集约高效、按需服务”的原则,结合信阳市电子政务外网系统的网络结构和实际部署方式,建设统一的密码应用服务体系,实现密码资源的高效利用。
在运维管理区、互联网出口区旁路部署IPSEC/SSL VPN综合安全网关和服务器密码机,其中服务器密码机采用双机热备部署方式。运维人员通过IPSEC/SSL VPN综合安全网关的身份鉴别后,可通过堡垒机执行运维管理操作;为服务器密码机与日志服务器之间网络通信配置安全策略,确保服务器密码机能够为日志服务器提供密码服务。
密码基础设施部署拓扑架构示意图
(3)网络和通信安全
网络和通信安全层面,要求采用密码技术,实现登录用户的身份鉴别、访问控制信息的完整性保护和数据传输的机密性与完整性保护,在客户端与服务之间建立一条安全的数据传输通道。
3.3.1设计原理
通过在运维管理区部署IPSEC/SSL VPN综合安全网关,实现运维人员接入的身份鉴别和国密SSL安全传输通道的建立。
3.3.2身份认证层面
采用基于PKI体系的SM2数字证书实现运维人员的身份鉴别,数字证书由第三方CA机构签发。本地运维人员的PC端采用key+国密浏览器实现登录人员身份认证。
互联网远程运维人员全部为PC端登录,统一配发智能密码钥匙(key),并将SM2数字证书签发到智能密码钥匙中,在运维人员的远程运维终端上部署VPN客户端,采用“key+VPN客户端”实现登录人员身份认证。
3.3.3访问控制层面
部署IPSEC/SSL VPN综合安全网关,对接入用户的访问控制权限进行统一管理。采用组+用户的授权策略,针对不同用户的角色,划分到不同用户组进行单独的授权管理。访问控制授权列表通过IPSEC/SSL VPN综合安全网关系统管理员施加SM2数字签名,实现访问控制信息的完整性保护。
除边界防火墙外,其他网络安全设备统一纳入到IPSEC/SSL VPN综合安全网关实现远程管理,通过IPSEC/SSL VPN综合安全网关访问控制授权列表,实现对网络边界安全设备的统一授权管理。
3.3.4安全传输层面
IPSEC/SSL VPN综合安全网关支持L4层和L7层的国密SSL接入,建立基于ECC_SM4_SM3算法套件的安全传输通道。适应国密浏览器和非国密浏览器的安全接入。客户端登录时,调用智能密码钥匙与服务端之间进行SSL密钥协商,建立国密SSL安全传输通道,通过ECC_SM4_SM3协议算法套件,实现数据传输的机密性和完整性保护。传输机密性通过SM4算法加密实现,SM4密钥通过客户端与服务端协商生成,数据完整性通过SM3+HMAC实现,HMAC密钥通过客户端与服务端协商产生,密钥定期更新。
密码服务流程:身份认证服务和安全传输通道建立
身份认证服务流程
安全传输通道建立流程
(4) 在设备和计算安全层面实现身份鉴别、远程运维、日志完整性,防止信息被非授权窃取,设备安全运维和日志数据的完整性保护。
3.4.1远程运维
本项目远程运维模式下,管理员通过国密SSL安全传输通道,对设备进行安全运维操作。运维过程中,所有的数据传输,均通过国密SSL协议进行机密性和完整性保护。通过IPSEC/SSL VPN综合安全网关的访问控制机制,实现对运维服务的访问控制管理。访问控制信息的完整性保护通过IPSEC/SSL VPN综合安全网关管理员施加SM2数字签名来实现。
3.4.2日志完整性
本项目中部署的密码设备(IPSEC/SSL VPN综合安全网关、服务器密码机),采用SM2数字签名技术,对操作日志进行数字签名,保障设备日志数据的完整性。
其他设备的系统日志完整性保护通过将设备日志数据上传至日志服务器,日志服务器调用服务器密码机对日志数据计算消息鉴别码,将消息鉴别码与设备日志数据一同存储,从而实现设备日志数据的完整性保护。
四、密码应用管理和运维保障
(1)管理体系设计
本项目遵循CMMI质量管理系统、信息安全服务体系,密码安全管理小组负责各管理制度的制定和发布,密码安全的管理人员,分为系统管理员、安全保密管理员、安全审计员和密钥管理人员、密码操作员,各角色按照日常安全管理制度、安全保密制度、密码安全管理制度严格执行岗位职责。
(2)运维保障设计
本项目的运维管理由项目承建单位组织专业人员成立专门的管理、运维团队。在本项目正式实施后,由项目承建单位成立密码维护小组及联合密码厂商人员、系统管理员、机房管理员等人员,协助本单位做好本项目的日常运维管理工作。其中将严格按照等级保护系统建设管理基本要求,对于系统运行的环境、资产、介质、设备、网络安全、系统安全、恶意代码防范、密码、变更、备份与恢复、安全事件处置、应急预案进行管理,并制定相应的管理制度和规定。
(三)案例特色
本项目按照“整体规划、安全合规、集约高效、按需服务”的原则,结合信阳市电子政务外网系统的网络结构和实际部署方式,建设统一的密码应用服务体系,实现密码资源的高效利用。
在运维管理区、互联网出口区旁路部署IPSEC/SSL VPN综合安全网关和服务器密码机,其中服务器密码机采用双机热备部署方式。运维人员通过IPSEC/SSL VPN综合安全网关的身份鉴别后,可通过堡垒机执行运维管理操作;为服务器密码机与日志服务器之间网络通信配置安全策略,确保服务器密码机能够为日志服务器提供密码服务。
本方案中涉及的密钥管理机制列表如下:
用户(运维人员)密钥对 | |
密钥生成 | 签名密钥对采用智能密码钥匙中的物理噪声源芯片产生。 加密密钥对由第三方CA的密钥管理系统产生 |
密钥存储 | 安全存储在智能密码钥匙的密钥存储区 |
密钥分发 | 不涉及在线分发,加密密钥对和签名公钥采用离线方式导入 |
密钥导入与导出 | 加密密钥对和签名公钥证书通过离线方式导入,加密密钥对的私钥采用数字信封机制进行保护。签名公钥通过PKCS#10格式的证书请求文件导出。 |
密钥使用 | 用于登录过程中的身份认证和密钥协商,关键业务操作过程中的数字签名。 |
密钥备份与恢复 | 加密密钥对由第三方CA机构代为备份保存,签名密钥对不涉及备份恢复。 |
密钥归档 | 加密密钥对由第三方CA机构统一归档。 |
密钥销毁 | 本地密钥存储区进行0XFF覆盖。本地密钥销毁后,告知第三方CA中心,同步吊销用户签名证书和加密证书。加密密钥对由CA中心归档。 |
IPSEC/SSL VPN综合安全网关密钥 | |
密钥生成 | 签名密钥对由内置PCI-E密码卡上的两片WNG9物理噪声源芯片异或产生。 加密密钥对由第三方CA机构产生。 |
密钥存储 | 安全存储在PCI-E密码卡上的密钥存储区。 |
密钥分发 | 不涉及在线分发,加密密钥对和签名公钥采用离线方式导入。 |
密钥导入与导出 | 加密密钥对和签名公钥证书通过离线方式导入,加密密钥对的私钥采用数字信封机制进行保护。签名公钥通过PKCS#10格式的证书请求文件导出。 |
密钥使用 | 用于登录过程中的身份认证和密钥协商。 |
密钥备份与恢复 | 采用3/5门限机制进行加密备份恢复,备份恢复密钥分散存储在5只专用智能密码钥匙中。 |
密钥归档 | 加密密钥对由第三方CA机构统一归档 |
密钥销毁 | 本地密钥存储区进行0XFF覆盖。本地密钥销毁后,告知第三方CA机构,同步吊销用户签名证书和加密证书。加密密钥对由第三方CA机构归档。 |
HMAC密钥(对称密钥 | |
密钥生成 | 由日志服务器配套服务器密码机产生真随机数,生成HMAC密钥。 |
密钥存储 | 安全存储在密码机内置PCI-E密码卡中的密钥存储区。 |
密钥分发 | 不涉及密钥分发。 |
密钥导入与导出 | 不涉及密钥导入导出。 |
密钥使用 | 用于日志服务器内日志数据的完整性保护。 |
密钥备份与恢复 | 采用3/5门限机制进行加密备份恢复,备份恢复密钥分散存储在5只专用智能密码钥匙中。 |
密钥归档 | 不涉及密钥归档。 |
密钥销毁 | 密钥存储区进行0XFF覆盖。 |
(四)实际效果评估
本项目建设内容为面向信阳市电子政务外网系统,设计密码安全应用方案,使其满足GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》中对于等级保护三级信息系统的密码应用要求。
(五)先进性评估
本项目严格按照《中华人民共和国密码法》及商用密码有关规范,以落实网络安全等级保护、根据GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》等相关标准为原则,建设密码基础设施。从身份鉴别、数据传输机密性与完整性保护、密钥安全管理层面,采用SM系列密码算法、安全合规的密码产品和密码技术,保证信阳市电子政务外网系统符合GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》中对于等保三级信息系统的密码应用要求。一是总体性原则。通过从整体层面,对信阳市电子政务外网系统的密码应用开展顶层设计,明确密码应用需求和预期目标,并与网络安全保护等级相结合,通过成体系的设计形成涵盖技术、管理、实施保障的整体方案,为在信阳市电子政务外网系统中落实密码应用相关要求奠定基础。二是完备性原则。围绕信阳市电子政务外网系统实际网络情况与安全保护等级,站在整体角度,通过自上而下的体系化设计,综合考虑网络和通信安全、设备和计算安全等多个层面密码应用需求,设计信阳市电子政务外网系统密码应用改造方案。三是经济性原则。结合信阳市电子政务外网系统规模,在合理、够用的前提下满足GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》的密码应用改造方案,确保信阳市电子政务外网系统密码应用改造投资合理,规模适度,避免资金浪费和过度保护。四是产品一致性原则。所选密码产品选用经市场检验、技术成熟的产品或设备。为保证密码设备的兼容性与工作稳定性,结合密码产品的实际组成架构,优先选择了密码产品本身与其内置密码模块为同一品牌的产品。
扫一扫在手机打开当前页