政务领域政务服务平台密码应用与安全性评估实施指南.pdf

政务领域政务服务平台政务领域政务服务平台 密码应用与安全性评估实施指南密码应用与安全性评估实施指南 中国密码学会密评联委会中国密码学会密评联委会 二二二四年二四年四四月月 目目 录录 前 言.I 1 场景概述.1 1.1 场景相关政策要求.1 1.2 典型场景介绍.2 1.2.1 场景代表性.2 1.2.2 政务服务平台场景介绍.3 1.3 技术标准和指导性文件.6 2 密码应用需求.7 2.1 风险分析和安全需求.7 2.1.1 物理和环境安全.7 2.1.2 网络和通信安全.7 2.1.3 设备和计算安全.8 2.1.4 应用和数据安全.9 2.1.5 安全管理.10 2.1.6 主要保护对象.10 2.2 场景对密码应用的特殊要求.14 3 密码应用实施指南.14 3.1 典型场景业务的密码应用设计.14 3.1.1 物理和环境安全.15 3.1.2 网络和通信安全.16 3.1.3 设备和计算安全.16 3.1.4 应用和数据安全.16 3.1.5 密钥管理安全.17 3.1.6 安全管理.19 3.1.7 密码应用工作流程示例.20 3.2 密码产品/服务选择和部署.22 3.3 与 GB/T 39786 对照情况说明.24 3.4 注意事项.27 4 密码应用安全性评估实施指南.27 4.1 主要测评指标的选择和确定.27 4.2 主要测评内容.29 4.2.1 现场测评方法.29 4.2.2 测评实施.30 4.3 主要测评结果.36 4.4 注意事项.37 I 前前 言言 为贯彻落实中华人民共和国密码法 商用密码管理条例等法律法规，促进政务领域政务服务平台场景中商用密码的合规、正确、有效应用，依据国家密码政策要求和标准规范，制定本指南。本指南可用于指导各级政务服务平台相关系统建设单位和使用单位以及商用密码应用安全性评估机构规范开展商用密码应用和安全性评估工作，也可供集成单位参考。本指南主要依据 GB/T 39786-2021信息安全技术 信息系统密码应用基本要求等密码应用与安全性评估标准规范编制。本指南中任何与当前或后续发布的密码国家标准和行业标准不一致之处，以相关密码国家标准和行业标准为准。必要时本指南将根据最新的管理要求与相关技术标准进行更新。本指南分为四章。第一章主要梳理政务服务平台典型应用场景；第二章主要对政务服务平台相关风险、密码应用需求、保护对象进行梳理；第三章主要对政务服务平台进行密码应用设计；第四章主要对政务服务平台密码应用安全性评估工作进行梳理。本指南针对网络安全等级保护第三级信息系统密码应用要求进行设计，三级以下及四级信息系统可根据 GB/T 39786 结合系统实际进行相应调整。相关密码应用措施和技术路线不限于固定方式，政务服务平台相关建设单位和使用单位可根据自身已有密码应用基础，结合实际进行密码应用改造，以满足相关密码管理要求。本指南主要起草单位：国家信息中心、中电科网络安全科技股份有限公司、格尔软件股份有限公司、长春吉大正元信息技术股份有限公司、中国科学院信息工程研究所、国家信息技术安全研究中心、智巡密码（上海）检测技术有限公司、西安得安信息技术有限公司、北京信安世纪科技股份有限公司、同智伟业软件股份有限公司、国家密码管理局商用密码检测中心、四川省大数据中心、海南省大数据管理局、福建省密码管理局、安徽省大数据中心。本标准主要起草人：魏连、王笑强、杨绍亮、杜小建、李元龙、南旭东、郭宏杰、郭亓元、王姮力、秦小龙、王小勇、李丹、阎亚龙、马原、魏东宾、牟杰、朱典、冯世宇、徐辉、陈天宇、吴冬宇、刘军荣、王珂、朱立通、王永起、唐鸣、宋晓勇、王泉景。政务领域政务服务平台密码应用与安全性评估实施指南 1 1 场景概述场景概述 1.1 场景相关政策要求场景相关政策要求 商用密码应用安全性评估管理办法（国家密码管理局令第 3 号）要求，重要网络与信息系统建设阶段，其运营者应当按照通过商用密码应用安全性评估的商用密码应用方案组织实施，落实商用密码安全防护措施，建设商用密码保障系统。重要网络与信息系统运行前，其运营者应当自行或者委托商用密码检测机构开展商用密码应用安全性评估。网络与信息系统未通过商用密码应用安全性评估的，运营者应当进行改造，改造期间不得投入运行。重要网络与信息系统建成运行后，其运营者应当自行或者委托商用密码检测机构每年至少开展一次商用密码应用安全性评估，确保商用密码保障系统正确有效运行。未通过商用密码应用安全性评估的，运营者应当进行改造，并在改造期间采取必要措施保证网络与信息系统运行安全。国务院关于加快推进“互联网+政务服务”工作的指导意见（国发201655 号）要求，加强网络和信息安全保护。按照国家信息安全等级保护制度要求，加强各级政府网站信息安全建设，健全“互联网+政务服务”安全保障体系。明确政务服务各平台、各系统的安全责任，开展等级保护定级备案、等级测评等工作，建立各方协同配合的信息安全防范、监测、通报、响应和处置机制。加强对电子证照、统一身份认证、网上支付等重要系统和关键环节的安全监控。提高各平台、各系统的安全防护能力，查补安全漏洞，做好容灾备份。建立健全保密审查制度，加大对涉及国家秘密、商业秘密、个人隐私等重要数据的保护力度，提升信息安全支撑保障水平和风险防范能力。国务院办公厅关于印发“互联网+政务服务”技术体系建设指南的通知（国办函2016108 号）要求，遵循国家信息安全等级保护相关规范以及国家保密管理和密码管理的有关要求，建立健全“互联网+政务服务”安全保障体系。整体考虑、顶层规划“互联网+政务服务”安全保障体系的建设，按照信息系统安全等级保护要求构建数据存储环境、应用系统环境、运行管理机制，确保政务数据安全和公民个人数据合法应用。安全保障体系要与“互联网+政务服务”应用系统同步建设，对所建安全保障体系要进行重点保护、实施动态调整。加大对平台中各类公共信息、个人隐私等重要数据的保障力度，加强平台中各类公共信息、个人隐私等重要数据的安全防护，建立数据安全规范。在系统后台对每类数据的安全属性进行必要的定义和设置，详细规定数据的开放范围和开放力度，并严格执行相应的权限管理。国务院关于加快推进全国一体化在线政务服务平台建设的指导意见（国办函201827 号）要求，加强政务大数据安全管理，制定平台数据安全管理办政务领域政务服务平台密码应用与安全性评估实施指南 2 法，加强对涉及国家利益、公共安全、商业秘密、个人隐私等重要信息的保护和管理。应用符合国家要求的密码技术产品加强身份认证和数据保护，优先采用安全可靠软硬件产品、系统和服务，以应用促进技术创新，带动产业发展，确保安全可控。应用基于商用密码的数字签名等技术，依托国家政务服务平台建设权威、规范、可信的国家统一电子印章系统。国家政务信息化项目建设管理办法（国办发201957 号）要求，政务信息化项目建设单位，应同步规划、同步建设、同步运行密码保障系统并定期进行评估。项目备案文件应当包括项目名称、建设单位、审批部门、绩效目标及绩效指标、投资额度、运行维护经费、经费渠道、信息资源目录、信息共享开放、应用系统、等级保护或者分级保护备案情况、密码应用方案和密码应用安全性评密码应用方案和密码应用安全性评估报告估报告等内容，其中改建、扩建项目还需提交前期项目第三方后评价报告。国家政务信息化项目建成后半年内，项目建设单位应当按照国家有关规定申请审批部门组织验收，提交验收申请报告时应当一并附上项目建设总结、财务报告、审计报告、安全风险评估报告、密码应用安全性评估报告密码应用安全性评估报告等材料。对于不符合密码应用和网络安全要求，或者存在重大安全隐患的政务信息系统，不安排运行维护经费，项目建设单位不得新建、改建、扩建政务信息系统。各部门应当严格遵守有关保密等法律法规规定，构建全方位、多层次、一致性的防护体系，按要求采用密码技术密码技术，并定期开展密码应用安全性评估并定期开展密码应用安全性评估，确保政务信息系统运行安全和政务信息资源共享交换的数据安全。国务院关于加强数字政府建设的指导意见（国发202214 号）要求，加强关键信息基础设施安全保护和网络安全等级保护，建立健全网络安全、保密监测预警和密码应用安全性评估的机制，定期开展网络安全、保密和密码应用检查，提升数字政府领域关键信息基础设施保护水平。全国一体化政务大数据体系建设指南的通知(国办函2022102 号)要求，形成制度规范、技术防护和运行管理三位一体的全国一体化政务大数据安全保障体系。1.2 典型场景介绍 1.2.1 场景代表性场景代表性 政务服务平台是建设“数字政府”的重要组成，是政府机关面向办事群众提供政务服务的重要环节。截至目前，各省（区、市）人民政府、国务院有关部门普遍建成网上政务服务平台，已经形成了覆盖全国的整体联动、部门协同、省级统筹、一网办理的“互联网+政务服务”技术和服务体系，实现政务服务的标准化、精准化、便捷化、平台化、协同化，政务服务流程显著优化，服务形式更加多元，服务渠道更为畅通，群众办事满意度显著提升。在基于大数据技术的政务数据全面共享背景下，各级政务服务平台的数据安全体系并未有效打通，数据安全边界消失，公民个人隐私数据、企业商业秘密数政务领域政务服务平台密码应用与安全性评估实施指南 3 据等重要数据泄露的威胁日益加剧，需要利用密码技术建立统一的数据安全支撑体系，保障政务服务数据在流转和使用时得到有效的管控。1.2.2 政务服务平台政务服务平台场景介绍场景介绍 政务服务平台是各级政务服务实施机构运用互联网、大数据、云计算等技术手段，整合各类政务服务事项和业务办理等信息，通过网上大厅、办事窗口、移动客户端、自助终端等多种形式，结合第三方平台，为自然人和法人提供一站式办理的政务服务的网上服务平台。政务服务平台体系由国家级平台、省级平台、地市级平台三个层级组成，各层级之间通过政务服务数据共享平台进行资源目录注册、信息共享、业务协同、监督考核、统计分析等，实现政务服务事项就近能办、同城通办、异地可办。政务服务平台层级体系如图 1 所示。图图 1 政务服务平台层级体系图政务服务平台层级体系图 政务服务平台主要由互联网政务服务门户、政务服务管理平台、业务办理系统和政务服务数据共享平台四部分构成。平台各组成部分之间需实现数据互联互通，各组成部分之间的业务流、信息流如图 2 所示。图图 2 政务服务平台系统组成图政务服务平台系统组成图 政务领域政务服务平台密码应用与安全性评估实施指南 4 互联网政务服务门户统一展示、发布政务服务信息，接受自然人、法人的政务服务申请信息，经与政务服务数据共享平台进行数据验证、比对和完善后，发送至政务服务管理平台进行处理，将相关受理、办理和结果信息反馈申请人。政务服务管理平台把来自互联网政务服务门户的申请信息推送至政务服务数据共享平台，同步告知业务办理系统；政务服务管理平台从政务服务数据共享平台获取并向互联网政务服务门户推送过程和结果信息，考核部门办理情况。业务办理系统在政务服务数据共享平台取得申请信息和相关信息后进行业务办理，将办理过程和结果信息推送至政务服务数据共享平台，同步告知政务服务管理平台。政务服务数据共享平台汇聚政务服务事项、电子证照等数据，以及来自互联网政务服务门户的信息、政务服务管理平台受理信息、业务办理系统办理过程和结果，实现与人口、法人等基础信息资源库的共享利用。政务服务平台技术架构由基础设施层、数据资源层、应用支撑层、业务应用层、用户及服务层五个层次组成，政务服务平台技术架构如图 3 所示。自然人法人实体大厅PC电脑移动终端自助服务终端呼叫热线互联网政务服务门户互联网政务服务门户用户注册事项发布事项办理用户互动办事查询服务评价政务服务事项管理政务服务运行管理电子监察管理电子证照管理统建业务办理系统统建业务办理系统政务服务管理平台政务服务管理平台业务办理系统业务办理系统CA和电子印章工作流引擎电子表单消息服务支付平台物流平台用户管理及认证政务服务数据共享平台政务服务数据共享平台（政务信息资源共享目录与数据交换政务信息资源共享目录与数据交换）人口库法人库地理空间库政务服务事项库电子证照库投资项目库办事过程信息库监管信息共享库电子政务网络互联网计算及存储设施信息安全设施用户及用户及服务层服务层业务业务应用层应用层应用应用支撑层支撑层数据数据资源层资源层基础基础设施层设施层安全与运维保障体系安全与运维保障体系标准规范与管理制度标准规范与管理制度 图图 3 政务服务平台技术架构图政务服务平台技术架构图 政务服务业务办理全过程依托政务服务数据共享平台支撑，业务数据在互联网政务服务门户、政务服务管理平台、业务办理系统之间流转，政务服务平台具体全过程业务流程示意图如图 4 所示。政务领域政务服务平台密码应用与安全性评估实施指南 5 用户空间信息维护基本信息电子证照自备材料第三方报告目录分类模糊查找场景导航智能推荐政务服务事项定位办事指南常见问题办事攻略服务标识政务服务事项查询网上预约取消预约政务服务网上预约手工填报政务服务网上申报申请表用户空间数据引用用户空间数据引用场景导航提交申请本地上传手机拍摄材料补正在线交付物流快递政务服务过程管理办结告知网上评价发布办事攻略办理反馈查询建议投诉咨询互动咨询取号服务引导预审与受理报件补正通知预审受理协同审批绿色通道多证合一一照一码多评合一多过联事联合验收.投资项目并联审批收费制证录入审批结果签收办结送达现场评价咨询电信在线反馈服务热线互动反馈政务服务数据共享平台申请表附件材料受理信息过程信息审批结果电子证照统建业务办理系统部门业务管理系统业务办理系统过程信息审批结果电子证照申请表附件材料受理信息政务服务管理平台业务办理系统互联网政务服务门户自然人/法人图图 4 政务服务平台业务流程图政务服务平台业务流程图 用户注册登录、用户空间信息维护、政务服务事项定位和查询，以及政务服务的网上预约、申请、过程管理、办理反馈和互动咨询功能在互联网政务服务门户实现；服务引导、政务服务事项受理、协同审批、事项办结和互动反馈功能在政务服务管理平台实现。业务办理系统对申请表、附件材料、受理信息的抓取，对过程信息、审批结果和电子证照的发送通过政务服务数据共享平台完成。政务服务平台典型场景业务流程如表 1 所示。表表 1 政务服务平台典型场景业务流程政务服务平台典型场景业务流程 序号序号 业务名称业务名称 业务流程描述业务流程描述 1 信息发布 政务部门通过互联网政务服务门户，统一展示、发布政务服务信息。2 前台业务受理 自然人、法人通过政务服务门户提交政务服务申请信息。3 政务数据共享交换 政务部门通过政务服务数据共享平台开展跨部门政务数政务领域政务服务平台密码应用与安全性评估实施指南 6 据、政务服务事项办理信息的共享交换。4 后台业务办理 政务人员通过后台业务办理系统进行业务办理审批、电子证照制作发放。1.3 技术标准技术标准和指导性文件和指导性文件 本文件参考的技术标准和指导性文件如下：GB/T 20518-2018信息安全技术 公钥基础设施 数字证书格式规范 GB/T 25056-2018信息安全技术 证书认证系统密码及其相关安全技术规范 GB/T 32905-2016信息安全技术 SM3 密码杂凑算法 GB/T 32907-2016信息安全技术 SM4 分组密码算法 GB/T 33560-2017信息安全技术 密码应用标识规范 GB/T 35276-2017信息安全技术 SM2 密码算法使用规范 GB/T 35291-2017信息安全技术 智能密码钥匙应用接口规范 GB/T 36322-2018信息安全技术 密码设备应用接口规范 GB/T 36968-2018信息安全技术 IPSec VPN 技术规范 GB/T 37033-2018信息安全技术 射频识别系统密码应用技术要求 GB/T 37092-2018信息安全技术 密码模块安全要求 GB/T 38540-2020信息安全技术 安全电子签章密码技术规范 GB/T 38556-2020信息安全技术 动态口令密码应用技术规范 GB/T 38629-2020信息安全技术 签名验签服务器技术规范 GB/T 38636-2020信息安全技术 传输层密码协议（TLCP）GB/T 39786-2021信息安全技术 信息系统密码应用基本要求 GM/T 0018-2012密码设备应用接口规范 GM/T 0024-2014SSL VPN 技术规范 GM/T 0025-2014SSL VPN 网关产品规范 GM/T 0026-2014安全认证网关产品规范 GM/T 0027-2014智能密码钥匙技术规范 GM/T 0030-2014服务器密码机技术规范 GM/T 0036-2014采用非接触卡的门禁系统密码应用技术指南 GM/T 0050-2016密码设备管理 设备管理技术规范 GM/T 0051-2016密码设备管理 对称密钥管理技术规范 GM/T 0104-2021云服务器密码机技术规范 GM/T 0115-2021信息系统密码应用测评要求 GM/T 0116-2021信息系统密码应用测评过程指南 GM/Y 5001-2019密码标准应用指南 GM/Y 5002-2018云计算身份鉴别服务密码标准体系 GM/Z 4001-2013密码术语 政务领域政务服务平台密码应用与安全性评估实施指南 7 GW 0013-2017 政务云安全要求 GW 0202-2014 国家电子政务外网安全接入平台技术规范 GW 0206-2014 接入政务外网的局域网安全技术规范 信息系统密码应用高风险判定指引 商用密码应用安全性评估量化评估规则 商用密码安全性评估 FAQ 2 密码应用需求密码应用需求 2.1 风险分析和安全需求风险分析和安全需求 2.1.1 物理和环境安全物理和环境安全(一一)风险分析风险分析(1)存在非法人员进入政务服务平台所在物理机房等重要物理环境，对软硬件设备和数据进行直接破坏的风险。(2)存在政务服务平台所在物理机房等重要物理环境电子门禁进出记录和视频音像监控记录遭到篡改，非法人员进出情况被掩盖的风险。(二二)密码应用需求密码应用需求(1)部署符合 GM/T 0036 等标准的电子门禁系统，采用基于对称密码算法或密码杂凑算法的消息鉴别码（MAC）机制、基于公钥密码算法的数字签名机制等密码技术，对进入政务服务平台所在物理机房等重要物理区域人员进行身份鉴别。(2)采用基于对称密码算法或密码杂凑算法的消息鉴别码（MAC）机制、基于公钥密码算法的数字签名机制等密码技术，对政务服务平台所在物理区域的视频监控音像记录数据及电子门禁系统进出记录等数据进行存储完整性保护。2.1.2 网络和通信安全网络和通信安全(一一)风险分析风险分析(1)浏览器与业务系统、政务服务 App 与互联网政务服务门户、VPN 客户端与 VPN 网关、各级政务服务平台之间、政务服务数据共享平台与政务信息系统等通信信道存在非法通信实体接入网络的风险。(2)数据在各网络通信信道传输过程中存在被篡改的风险。(3)重要数据在各网络通信信道传输过程中存在被非授权截取的风险。(4)网络边界的 VPN 中的访问控制列表、防火墙的访问控制列表、边界路由的访问控制列表等进行网络边界访问控制的信息存在被篡改，导致非法通信实体接入网络的风险。(5)非法设备从外部接入内部网络，或网络边界被破坏的风险。(二二)密码应用需求密码应用需求(1)采用动态口令机制、基于对称密码算法或密码杂凑算法的消息鉴别码政务领域政务服务平台密码应用与安全性评估实施指南 8（MAC）机制、基于公钥密码算法的数字签名机制等密码技术对浏览器与业务系统、政务服务 App 与互联网政务服务门户、VPN 客户端与 SSL VPN、各级政务服务平台之间、政务服务数据共享平台与政务信息系统等通信信道中的通信实体进行身份鉴别，保证通信实体身份的真实性。(2)采用基于对称密码算法或密码杂凑算法的消息鉴别码（MAC）机制、基于公钥密码算法的数字签名机制等密码技术对申请人通过 PC 端登录到互联网、申请人通过移动端登录到互联网、办公人员通过 PC 端登录到政务外网、办公人员通过移动端登录到政务外网、运维管理通道及互联网与政务外网之间等通信通道通信过程中的数据进行完整性保护。(3)采用密码技术的加解密功能对申请人通过 PC 端登录到互联网、申请人通过移动端登录到互联网、办公人员通过 PC 端登录到政务外网、办公人员通过移动端登录到政务外网、运维管理通道及互联网与政务外网之间等通信通道通信过程中的重要数据进行机密性保护。(4)采用基于对称密码算法或密码杂凑算法的消息鉴别码（MAC）机制、基于公钥密码算法的数字签名机制等密码技术对网络边界的 VPN 中的访问控制列表、防火墙的访问控制列表、边界路由的访问控制列表等网络边界访问控制信息进行完整性保护。(5)采用动态口令机制、基于对称密码算法或密码杂凑算法的消息鉴别码（MAC）机制、基于公钥密码算法的数字签名机制等密码技术对从外部连接到内部网络的设备进行接入认证。“安全接入认证”指标在 GB/T 39786 中针对网络安全等级保护第三级信息系统要求为“可”，建设单位和使用单位可结合实际情况自行决定是否纳入标准符合性测评范围。2.1.3 设备和计算安全设备和计算安全(一一)风险分析风险分析(1)政务服务平台通用设备、网络及安全设备、密码设备、各类虚拟设备等设备、数据库管理系统存在被非法人员登录的风险。(2)远程管理政务服务平台中各类物理及虚拟设备时，存在搭建的远程管理通道被非法使用，或传输的管理数据被非授权获取和篡改的风险。(3)设备操作系统的系统权限访问控制信息、系统文件目录的访问控制信息、数据库中的数据访问控制信息、堡垒机等第三方运维系统中的权限访问控制信息等被篡改，导致设备资源被登录设备的其他用户获取的风险。(4)通用设备、网络及安全设备、密码设备、各类虚拟设备等设备中的重要信息资源安全标记存在被篡改的风险。(5)通用设备、网络及安全设备、密码设备、各类虚拟设备等设备中的日志记录存在被窜改，以掩盖非法操作的风险。政务领域政务服务平台密码应用与安全性评估实施指南 9(6)通用设备、网络及安全设备、密码设备、各类虚拟设备等设备中的重要可执行程序及政务服务 App 存在被篡改或来源不可信的风险。(二二)密码应用需求密码应用需求(1)采用动态口令机制、基于对称密码算法或密码杂凑算法的消息鉴别码（MAC）机制、基于公钥密码算法的数字签名机制等密码技术对设备运维管理人员等登录设备的用户进行身份鉴别，保护登录设备用户的身份真实性。(2)采用密码技术建立安全的信息传输通道，实现对远程管理人员的身份鉴别，以及传输数据的机密性和完整性保护。(3)采用基于对称密码算法或密码杂凑算法的消息鉴别码（MAC）机制、基于公钥密码算法的数字签名机制等密码技术，对设备操作系统的系统权限访问控制信息、系统文件目录的访问控制信息、数据库中的数据访问控制信息、堡垒机等第三方运维系统中的权限访问控制信息等进行完整性保护。(4)采用基于对称密码算法或密码杂凑算法的消息鉴别码（MAC）机制、基于公钥密码算法的数字签名机制等密码技术对通用设备、网络及安全设备、密码设备、各类虚拟设备等设备中的重要信息资源安全标记进行完整性保护（根据密码应用方案决定是否纳入）。(5)采用基于对称密码算法或密码杂凑算法的消息鉴别码（MAC）机制、基于公钥密码算法的数字签名机制等密码技术对通用设备、网络及安全设备、密码设备、各类虚拟设备等设备中的日志记录进行完整性保护。(6)采用基于对称密码算法或密码杂凑算法的消息鉴别码（MAC）机制、基于公钥密码算法的数字签名机制等密码技术对通用设备、网络及安全设备、密码设备、各类虚拟设备等设备中的重要可执行程序及政务服务 App 进行完整性保护并实现其来源的真实性保护。2.1.4 应用和数据安全应用和数据安全(一一)风险分析风险分析(1)互联网政务服务门户、政务服务数据共享平台、业务办理系统等业务系统存在被非法人员登录的风险。(2)应用系统的权限、标签等能够决定系统应用访问控制的措施等信息存在被篡改，导致应用资源被登录应用的其他用户获取的风险。(3)政务服务平台的重要信息资源安全标记存在被篡改的风险。(4)政务服务平台中传输或存储的重要数据被外部攻击者非法获取或篡改的风险。(5)自然人、法人的政务事项申请行为、政务人员的业务办理审批行为等关键行为中，数据发送者或接收者不承认发送或接受到数据，或者否认其所做的操作的风险。(6)政务服务平台的重要业务日志存在被篡改，导致非法操作被掩盖的风险。政务领域政务服务平台密码应用与安全性评估实施指南 10(7)互联网政务服务门户统一展示、发布的政务服务信息及业务办理入口等发布内容存在被篡改的风险。(二二)密码应用需求密码应用需求(1)采用动态口令机制、基于对称密码算法或密码杂凑算法的消息鉴别码（MAC）机制、基于公钥密码算法的数字签名机制等密码技术，在自然人、法人登录互联网政务服务门户时、政务人员登录业务办理系统时、政务人员登录政务服务数据共享平台时、系统管理员登录应用系统时对登录用户进行身份鉴别。(2)采用基于对称密码算法或密码杂凑算法的消息鉴别码（MAC）机制、基 于公钥密码算法的数字签名机制等密码技术，对应用系统的权限、标签等能够决定系统应用访问控制的措施等信息进行完整性保护。(3)采用基于对称密码算法或密码杂凑算法的消息鉴别码（MAC）机制、基于公钥密码算法的数字签名机制等密码技术，对信息系统应用的重要信息资源安全标记做完整性保护（根据密码应用方案决定是否纳入）。(4)采用密码技术的加解密功能，对政务服务平台中的鉴别数据、重要业务数据、重要审计数据、个人敏感信息等重要数据进行传输和存储过程中的机密性保护。(5)采用基于公钥密码算法的数字签名机制等密码技术，对自然人、法人的政务事项申请行为、政务人员的业务办理审批行为等关键行为进行签名，实现数据原发行为和数据接收行为的不可否认性。(6)采用基于对称密码算法或密码杂凑算法的消息鉴别码（MAC）机制、基于公钥密码算法的数字签名机制等密码技术，对政务服务平台的重要业务日志做完整性保护。(7)采用基于对称密码算法或密码杂凑算法的消息鉴别码（MAC）机制、基于公钥密码算法的数字签名机制等密码技术对信息系统应用中的鉴别数据、重要业务数据、重要审计数据、个人敏感信息等重要数据进行传输和存储过程中的完整性保护；对互联网政务服务门户统一展示、发布的政务服务信息及业务办理入口等发布内容进行完整性保护。2.1.5 安全管理安全管理(一一)风险分析风险分析 政务服务平台密钥管理规则、安全管理制度、管理流程不健全，执行不到位，职责不明确等，存在密码未进行合规、正确、有效使用的风险。(二二)密码应用需求密码应用需求 制定密码应用方案，并委托密评机构或组织专家对密码应用方案进行评估，评估通过后，建设密码保障系统，制定密码相关的管理制度；系统改造完成后，委托密评机构对系统进行密码应用安全性评估。2.1.6 主要保护对象主要保护对象 政务领域政务服务平台密码应用与安全性评估实施指南 11 政务服务平台主要保护对象如表 2 所示。表表 2 政务服务平台主要保护对象政务服务平台主要保护对象 序号序号 相关相关业务业务 保护保护对象对象 保护对象描述保护对象描述 安全需求安全需求 1 业务受 理/数据共 享/业务办理 身份鉴别信息 1)自然人、法人登录互联网政务服务门户的口令。2)政务人员登录业务办理系统的口令。3)政务人员登录政务服务数据共享平台的口令。4)系统管理员登录应用系统的口令。5)管理人员登录堡垒机、应用/数据库服务器等设备的口令。6)如果涉及动态口令、短信验证码等身份鉴别方式，还应注意对相关一次性口令的传输机密性保护，防止中间人攻击。真实性 传输机密性 存储机密性 传输完整性 存储完整性 不可否认性 信息系统应用中的重要数据 1)重要业务数据 2)重要审计数据 3)个人敏感信息 真实性 传输机密性 存储机密性 传输完整性 存储完整性 不可否认性 日志 记录 1)通用设备、网络及安全设备、密码设备、各类虚拟设备等设备中的日志记录。2)政务服务平台的重要业务日志。真实性 传输机密性 存储机密性 传输完整性 存储完整性 不可否认性 访问控制信息 1)网络边界的 VPN 中的访问控制列表、防火墙的访问控制列表、边界路由的访问控制列表等进行网络边界访问控制等信息。2)设备操作系统的系统权限访问控制信息、系统文件目录的访问控制 真实性 传输机密性 存储机密性 传输完整性 存储完整性 不可否认性 政务领域政务服务平台密码应用与安全性评估实施指南 12 信息、数据库中的数据访问控制信息、堡垒机等第三方运维系统中的权限访问控制信息等。3)应用系统的权限、标签 等能够决定系统应用访问控制的措施等信息。互联网政务服务门户内容 互联网政务服务门户统一展示、发布的政务服务信息及业务办理入口。真实性 传输机密性 存储机密性 传输完整性 存储完整性 不可否认性 重要信息资源安全标记 1)通用设备、网络及安全设备、密码设备、各类虚拟设备等设备中的重要信息资源安全标记。2)政务服务平台中的重要信息资源安全标记。真实性 传输机密性 存储机密性 传输完整性 存储完整性 不可否认性 重要可执行程序 通用设备、网络及安全设备、密码设备、各类虚拟设备等设备中的重要可执行程序。真实性 传输机密性 存储机密性 传输完整性 存储完整性 不可否认性 视频监控音像记录 政务服务平台所在物理机房等重要物理区域的视频监控音像记录。真实性 传输机密性 存储机密性 传输完整性 存储完整性 不可否认性 电子门禁系统进出记录 政务服务平台所在物理机房等重要物理区域的电子门禁系统的进出记录。真实性 传输机密性 存储机密性 传输完整性 存储完整性 不可否认性 政务领域政务服务平台密码应用与安全性评估实施指南 13 进入重要物理区域的人员的身份鉴别 进入政务服务平台所在物理机房等重要物理区域人员的身份鉴别。真实性 传输机密性 存储机密性 传输完整性 存储完整性 不可否认性 通信双方的身份鉴别 1)浏览器与业务系统通信信道的身份鉴别。2)政务服务 App 与互联网政务服务门户通信信道的身份鉴别。3)VPN 客户端与 SSL VPN 通信信道的身份鉴别。4)各级政务服务平台之间通信信道的身份鉴别。5)政务服务数据共享平台与政务信息系统通信信道的身份鉴别。真实性 传输机密性 存储机密性 传输完整性 存储完整性 不可否认性 网络设备接入时的身份鉴别 从外部连接到内部网络的设备接入认证时的身份鉴别。真实性 传输机密性 存储机密性 传输完整性 存储完整性 不可否认性 登录操作系统和数据库系统的用户身份鉴别 管理人员登录通用设备、网络及安全设备、密码设备、各类虚拟设备等设备、数据库管理系统的身份鉴别。真实性 传输机密性 存储机密性 传输完整性 存储完整性 不可否认性 政务领域政务服务平台密码应用与安全性评估实施指南 14 重 要可 执行 程序 来源 1)通用设备、网络及安全设备、密码设备、各类虚拟设备等设备中的重要可执行程序来源。2)政务服务 App 来源。真实性 传输机密性 存储机密性 传输完整性 存储完整性 不可否认性 应用系统的用户的身份鉴别 1)自然人、法人登录互联网政务服务门户的身份鉴别。2)政务人员登录业务办理系统的鉴别。3)政务人员登录政务服务数据共享平台的身份鉴别。4)系统管理员登录应用系统的身份鉴别。真实性 传输机密性 存储机密性 传输完整性 存储完整性 不可否认性 数据原发行为、数据接收行为 1)自然人、法人的政务事项申请行为。2)政务人员的业务办理审批行为。真实性 传输机密性 存储机密性 传输完整性 存储完整性 不可否认性 2.2 场景对密码应用的特殊要求场景对密码应用的特殊要求 政务服务平台中的互联网政务服务门户（前台业务受理），面向数量庞大的自然人、法人用户，全部使用合规的商用密码技术解决用户身份鉴别、传输机密性、完整性存在资源消耗大、用户体验无法保障的实际困难。政务服务平台可能存在跨越不同的物理机房以及跨越不可控区域的情况，需保证密码设备调用的安全性。政务服务平台涉及业务办理系统众多，业务交叉点繁杂，密码应用改造周期长、改造范围广，且政务服务是政府机关面向办事群众提供政务服务的重要环节，业务不可中断，若出现上下级密码应用建设不同步的情况，可能存在数据无法读取或使用，政务服务无法保障的问题。3 密码应用实施指南密码应用实施指南 3.1 典型场景业务的密码应用设计典型场景业务的密码应用设计 政务领域政务服务平台密码应用与安全性评估实施指南 15 政务服务平台整体密码应用设计框架如图 5 所示：密码基础设施密钥管理基础设施政务外网电子认证基础设施移动终端安全密码模块（二级）云服务器密码密码设备与系统SSL VPN/IPsec VPN安全电子签章系统密码服务密钥管理签名/验签加/解密摘要运算通用密码服务证书服务 基础密码服务密码管理制度与标准体系政务服务平台互联网政务服务门户政务服务管理平台政务服务数据共享平台业务办理系统密码服务接口通用密码中间件密码服务API密码监管密码服务支撑密码服务数据安全服务文件加密数据库加密信任服务身份认证授权管理电子印章时间戳存证溯源移动接入移动安全服务协同签名资产管理状态运行监测告警/预警管理可视化呈现数据采集数据处理数据分析数字信封完整性保护接入认证网络安全服务访问控制信道保护签名验签服务器安全认证网关智能密码钥匙 图图 5 政务服务平台政务服务平台密码应用设计密码应用设计图图 依托密钥管理、电子认证基础设施，结合各类密码设备与系统等密码产品，为政务服务平台提供基础及通用密码服务，满足政务服务平台密码应用需求。对接各类密码产品实现密码资产、运行状态、密码应用情况等监测能力，满足政务外网密码监管需求，形成政务外网一体化密码应用监管能力，输出至国务院办公厅、国家密码管理局等主管部门。3.1.1 物理和环境安全物理和环境安全 在政务服务平台物理机房等重要物理区域部署符合 GB/T 37033 标准、GM/T 0036 等标准的电子门禁系统，对进入物理区域人员身份进行鉴别。部署视频加密系统或使用符合相关国家、行业标准要求的服务器密码机、签名验签服务器，对视频监控系统视频记录进行完整性保护。电子门禁系统自身实现或使用符合相关国家、行业标准要求的服务器密码机、签名验签服务器，对电子门禁进出记录进行完整性保护。政务领域政务服务平台密码应用与安全性评估实施指南 16 3.1.2 网络和通信安全网络和通信安全 在政务服务平台的网络边界建议部署符合 GM/T 0024、GM/T 0025 标准的SSL VPN 网关，在客户端部署 VPN 客户端及符合 GM/T 0027 标准的智能密码钥匙或符合 GB/T 38556 标准的动态令牌，通过 VPN 对客户端进行身份鉴别，实现政务人员和运维管理人员的跨网接入认证、传输信道加密和完整性保护。在政务服务数据共享平台、业务办理系统服务端部署服务器证书，可在客户端部署国密浏览器，使用合规的 SSL 协议，实现 客户端对应用系统的身份鉴别（或双向身份鉴别）、传输信道机密性和完整性保护。若采用基于商用密码的数字证书，密钥的安全性应由签名验签服务器、服务器密码机、网关、密码卡等合规的密码产品保证。在互联网政务服务门户服务端部署服务器证书，使用合规的 SSL 协议，实现自然人/法人 PC 端、移动端对应用系统的身份鉴别、传输信道加密和完整性保护。在各级政务服务平台网络边界部署符合 GB/T 36968 标准的 IPsec VPN，实现政务服务数据共享平台之间通信信道的身份 鉴别、传输加密和完整性保护。可在政务服务平台中部署符合密码相关国家、行业标准要求的服务器密码机或签名验签服务器，对网络边界的 VPN 中的访问控制列表、防火墙的访问控制列表、边界路由的访问控制列表等网络边界访问控制信息进行完整性保护。3.1.3 设备和计算安全设备和计算安全 目前应用服务器、数据库服务器、数据库管理系统等通用设备的身份鉴别采用密码技术实现难度较大，可部署符