政务领域政务服务平台密码应用与安全性评估实施指南.pdf
《政务领域政务服务平台密码应用与安全性评估实施指南.pdf》由会员分享,可在线阅读,更多相关《政务领域政务服务平台密码应用与安全性评估实施指南.pdf(41页珍藏版)》请在咨信网上搜索。
1、 政务领域政务服务平台政务领域政务服务平台 密码应用与安全性评估实施指南密码应用与安全性评估实施指南 中国密码学会密评联委会中国密码学会密评联委会 二二二四年二四年四四月月 目目 录录 前 言.I 1 场景概述.1 1.1 场景相关政策要求.1 1.2 典型场景介绍.2 1.2.1 场景代表性.2 1.2.2 政务服务平台场景介绍.3 1.3 技术标准和指导性文件.6 2 密码应用需求.7 2.1 风险分析和安全需求.7 2.1.1 物理和环境安全.7 2.1.2 网络和通信安全.7 2.1.3 设备和计算安全.8 2.1.4 应用和数据安全.9 2.1.5 安全管理.10 2.1.6 主要保
2、护对象.10 2.2 场景对密码应用的特殊要求.14 3 密码应用实施指南.14 3.1 典型场景业务的密码应用设计.14 3.1.1 物理和环境安全.15 3.1.2 网络和通信安全.16 3.1.3 设备和计算安全.16 3.1.4 应用和数据安全.16 3.1.5 密钥管理安全.17 3.1.6 安全管理.19 3.1.7 密码应用工作流程示例.20 3.2 密码产品/服务选择和部署.22 3.3 与 GB/T 39786 对照情况说明.24 3.4 注意事项.27 4 密码应用安全性评估实施指南.27 4.1 主要测评指标的选择和确定.27 4.2 主要测评内容.29 4.2.1 现场
3、测评方法.29 4.2.2 测评实施.30 4.3 主要测评结果.36 4.4 注意事项.37 I 前前 言言 为贯彻落实中华人民共和国密码法 商用密码管理条例等法律法规,促进政务领域政务服务平台场景中商用密码的合规、正确、有效应用,依据国家密码政策要求和标准规范,制定本指南。本指南可用于指导各级政务服务平台相关系统建设单位和使用单位以及商用密码应用安全性评估机构规范开展商用密码应用和安全性评估工作,也可供集成单位参考。本指南主要依据 GB/T 39786-2021信息安全技术 信息系统密码应用基本要求等密码应用与安全性评估标准规范编制。本指南中任何与当前或后续发布的密码国家标准和行业标准不一
4、致之处,以相关密码国家标准和行业标准为准。必要时本指南将根据最新的管理要求与相关技术标准进行更新。本指南分为四章。第一章主要梳理政务服务平台典型应用场景;第二章主要对政务服务平台相关风险、密码应用需求、保护对象进行梳理;第三章主要对政务服务平台进行密码应用设计;第四章主要对政务服务平台密码应用安全性评估工作进行梳理。本指南针对网络安全等级保护第三级信息系统密码应用要求进行设计,三级以下及四级信息系统可根据 GB/T 39786 结合系统实际进行相应调整。相关密码应用措施和技术路线不限于固定方式,政务服务平台相关建设单位和使用单位可根据自身已有密码应用基础,结合实际进行密码应用改造,以满足相关密
5、码管理要求。本指南主要起草单位:国家信息中心、中电科网络安全科技股份有限公司、格尔软件股份有限公司、长春吉大正元信息技术股份有限公司、中国科学院信息工程研究所、国家信息技术安全研究中心、智巡密码(上海)检测技术有限公司、西安得安信息技术有限公司、北京信安世纪科技股份有限公司、同智伟业软件股份有限公司、国家密码管理局商用密码检测中心、四川省大数据中心、海南省大数据管理局、福建省密码管理局、安徽省大数据中心。本标准主要起草人:魏连、王笑强、杨绍亮、杜小建、李元龙、南旭东、郭宏杰、郭亓元、王姮力、秦小龙、王小勇、李丹、阎亚龙、马原、魏东宾、牟杰、朱典、冯世宇、徐辉、陈天宇、吴冬宇、刘军荣、王珂、朱立
6、通、王永起、唐鸣、宋晓勇、王泉景。政务领域政务服务平台密码应用与安全性评估实施指南 1 1 场景概述场景概述 1.1 场景相关政策要求场景相关政策要求 商用密码应用安全性评估管理办法(国家密码管理局令第 3 号)要求,重要网络与信息系统建设阶段,其运营者应当按照通过商用密码应用安全性评估的商用密码应用方案组织实施,落实商用密码安全防护措施,建设商用密码保障系统。重要网络与信息系统运行前,其运营者应当自行或者委托商用密码检测机构开展商用密码应用安全性评估。网络与信息系统未通过商用密码应用安全性评估的,运营者应当进行改造,改造期间不得投入运行。重要网络与信息系统建成运行后,其运营者应当自行或者委托
7、商用密码检测机构每年至少开展一次商用密码应用安全性评估,确保商用密码保障系统正确有效运行。未通过商用密码应用安全性评估的,运营者应当进行改造,并在改造期间采取必要措施保证网络与信息系统运行安全。国务院关于加快推进“互联网+政务服务”工作的指导意见(国发201655 号)要求,加强网络和信息安全保护。按照国家信息安全等级保护制度要求,加强各级政府网站信息安全建设,健全“互联网+政务服务”安全保障体系。明确政务服务各平台、各系统的安全责任,开展等级保护定级备案、等级测评等工作,建立各方协同配合的信息安全防范、监测、通报、响应和处置机制。加强对电子证照、统一身份认证、网上支付等重要系统和关键环节的安
8、全监控。提高各平台、各系统的安全防护能力,查补安全漏洞,做好容灾备份。建立健全保密审查制度,加大对涉及国家秘密、商业秘密、个人隐私等重要数据的保护力度,提升信息安全支撑保障水平和风险防范能力。国务院办公厅关于印发“互联网+政务服务”技术体系建设指南的通知(国办函2016108 号)要求,遵循国家信息安全等级保护相关规范以及国家保密管理和密码管理的有关要求,建立健全“互联网+政务服务”安全保障体系。整体考虑、顶层规划“互联网+政务服务”安全保障体系的建设,按照信息系统安全等级保护要求构建数据存储环境、应用系统环境、运行管理机制,确保政务数据安全和公民个人数据合法应用。安全保障体系要与“互联网+政
9、务服务”应用系统同步建设,对所建安全保障体系要进行重点保护、实施动态调整。加大对平台中各类公共信息、个人隐私等重要数据的保障力度,加强平台中各类公共信息、个人隐私等重要数据的安全防护,建立数据安全规范。在系统后台对每类数据的安全属性进行必要的定义和设置,详细规定数据的开放范围和开放力度,并严格执行相应的权限管理。国务院关于加快推进全国一体化在线政务服务平台建设的指导意见(国办函201827 号)要求,加强政务大数据安全管理,制定平台数据安全管理办政务领域政务服务平台密码应用与安全性评估实施指南 2 法,加强对涉及国家利益、公共安全、商业秘密、个人隐私等重要信息的保护和管理。应用符合国家要求的密
10、码技术产品加强身份认证和数据保护,优先采用安全可靠软硬件产品、系统和服务,以应用促进技术创新,带动产业发展,确保安全可控。应用基于商用密码的数字签名等技术,依托国家政务服务平台建设权威、规范、可信的国家统一电子印章系统。国家政务信息化项目建设管理办法(国办发201957 号)要求,政务信息化项目建设单位,应同步规划、同步建设、同步运行密码保障系统并定期进行评估。项目备案文件应当包括项目名称、建设单位、审批部门、绩效目标及绩效指标、投资额度、运行维护经费、经费渠道、信息资源目录、信息共享开放、应用系统、等级保护或者分级保护备案情况、密码应用方案和密码应用安全性评密码应用方案和密码应用安全性评估报
11、告估报告等内容,其中改建、扩建项目还需提交前期项目第三方后评价报告。国家政务信息化项目建成后半年内,项目建设单位应当按照国家有关规定申请审批部门组织验收,提交验收申请报告时应当一并附上项目建设总结、财务报告、审计报告、安全风险评估报告、密码应用安全性评估报告密码应用安全性评估报告等材料。对于不符合密码应用和网络安全要求,或者存在重大安全隐患的政务信息系统,不安排运行维护经费,项目建设单位不得新建、改建、扩建政务信息系统。各部门应当严格遵守有关保密等法律法规规定,构建全方位、多层次、一致性的防护体系,按要求采用密码技术密码技术,并定期开展密码应用安全性评估并定期开展密码应用安全性评估,确保政务信
12、息系统运行安全和政务信息资源共享交换的数据安全。国务院关于加强数字政府建设的指导意见(国发202214 号)要求,加强关键信息基础设施安全保护和网络安全等级保护,建立健全网络安全、保密监测预警和密码应用安全性评估的机制,定期开展网络安全、保密和密码应用检查,提升数字政府领域关键信息基础设施保护水平。全国一体化政务大数据体系建设指南的通知(国办函2022102 号)要求,形成制度规范、技术防护和运行管理三位一体的全国一体化政务大数据安全保障体系。1.2 典型场景介绍 1.2.1 场景代表性场景代表性 政务服务平台是建设“数字政府”的重要组成,是政府机关面向办事群众提供政务服务的重要环节。截至目前
13、,各省(区、市)人民政府、国务院有关部门普遍建成网上政务服务平台,已经形成了覆盖全国的整体联动、部门协同、省级统筹、一网办理的“互联网+政务服务”技术和服务体系,实现政务服务的标准化、精准化、便捷化、平台化、协同化,政务服务流程显著优化,服务形式更加多元,服务渠道更为畅通,群众办事满意度显著提升。在基于大数据技术的政务数据全面共享背景下,各级政务服务平台的数据安全体系并未有效打通,数据安全边界消失,公民个人隐私数据、企业商业秘密数政务领域政务服务平台密码应用与安全性评估实施指南 3 据等重要数据泄露的威胁日益加剧,需要利用密码技术建立统一的数据安全支撑体系,保障政务服务数据在流转和使用时得到有
14、效的管控。1.2.2 政务服务平台政务服务平台场景介绍场景介绍 政务服务平台是各级政务服务实施机构运用互联网、大数据、云计算等技术手段,整合各类政务服务事项和业务办理等信息,通过网上大厅、办事窗口、移动客户端、自助终端等多种形式,结合第三方平台,为自然人和法人提供一站式办理的政务服务的网上服务平台。政务服务平台体系由国家级平台、省级平台、地市级平台三个层级组成,各层级之间通过政务服务数据共享平台进行资源目录注册、信息共享、业务协同、监督考核、统计分析等,实现政务服务事项就近能办、同城通办、异地可办。政务服务平台层级体系如图 1 所示。图图 1 政务服务平台层级体系图政务服务平台层级体系图 政务
15、服务平台主要由互联网政务服务门户、政务服务管理平台、业务办理系统和政务服务数据共享平台四部分构成。平台各组成部分之间需实现数据互联互通,各组成部分之间的业务流、信息流如图 2 所示。图图 2 政务服务平台系统组成图政务服务平台系统组成图 政务领域政务服务平台密码应用与安全性评估实施指南 4 互联网政务服务门户统一展示、发布政务服务信息,接受自然人、法人的政务服务申请信息,经与政务服务数据共享平台进行数据验证、比对和完善后,发送至政务服务管理平台进行处理,将相关受理、办理和结果信息反馈申请人。政务服务管理平台把来自互联网政务服务门户的申请信息推送至政务服务数据共享平台,同步告知业务办理系统;政务
16、服务管理平台从政务服务数据共享平台获取并向互联网政务服务门户推送过程和结果信息,考核部门办理情况。业务办理系统在政务服务数据共享平台取得申请信息和相关信息后进行业务办理,将办理过程和结果信息推送至政务服务数据共享平台,同步告知政务服务管理平台。政务服务数据共享平台汇聚政务服务事项、电子证照等数据,以及来自互联网政务服务门户的信息、政务服务管理平台受理信息、业务办理系统办理过程和结果,实现与人口、法人等基础信息资源库的共享利用。政务服务平台技术架构由基础设施层、数据资源层、应用支撑层、业务应用层、用户及服务层五个层次组成,政务服务平台技术架构如图 3 所示。自然人法人实体大厅PC电脑移动终端自助
17、服务终端呼叫热线互联网政务服务门户互联网政务服务门户用户注册事项发布事项办理用户互动办事查询服务评价政务服务事项管理政务服务运行管理电子监察管理电子证照管理统建业务办理系统统建业务办理系统政务服务管理平台政务服务管理平台业务办理系统业务办理系统CA和电子印章工作流引擎电子表单消息服务支付平台物流平台用户管理及认证政务服务数据共享平台政务服务数据共享平台(政务信息资源共享目录与数据交换政务信息资源共享目录与数据交换)人口库法人库地理空间库政务服务事项库电子证照库投资项目库办事过程信息库监管信息共享库电子政务网络互联网计算及存储设施信息安全设施用户及用户及服务层服务层业务业务应用层应用层应用应用支
18、撑层支撑层数据数据资源层资源层基础基础设施层设施层安全与运维保障体系安全与运维保障体系标准规范与管理制度标准规范与管理制度 图图 3 政务服务平台技术架构图政务服务平台技术架构图 政务服务业务办理全过程依托政务服务数据共享平台支撑,业务数据在互联网政务服务门户、政务服务管理平台、业务办理系统之间流转,政务服务平台具体全过程业务流程示意图如图 4 所示。政务领域政务服务平台密码应用与安全性评估实施指南 5 用户空间信息维护基本信息电子证照自备材料第三方报告目录分类模糊查找场景导航智能推荐政务服务事项定位办事指南常见问题办事攻略服务标识政务服务事项查询网上预约取消预约政务服务网上预约手工填报政务服
19、务网上申报申请表用户空间数据引用用户空间数据引用场景导航提交申请本地上传手机拍摄材料补正在线交付物流快递政务服务过程管理办结告知网上评价发布办事攻略办理反馈查询建议投诉咨询互动咨询取号服务引导预审与受理报件补正通知预审受理协同审批绿色通道多证合一一照一码多评合一多过联事联合验收.投资项目并联审批收费制证录入审批结果签收办结送达现场评价咨询电信在线反馈服务热线互动反馈政务服务数据共享平台申请表附件材料受理信息过程信息审批结果电子证照统建业务办理系统部门业务管理系统业务办理系统过程信息审批结果电子证照申请表附件材料受理信息政务服务管理平台业务办理系统互联网政务服务门户自然人/法人图图 4 政务服务
20、平台业务流程图政务服务平台业务流程图 用户注册登录、用户空间信息维护、政务服务事项定位和查询,以及政务服务的网上预约、申请、过程管理、办理反馈和互动咨询功能在互联网政务服务门户实现;服务引导、政务服务事项受理、协同审批、事项办结和互动反馈功能在政务服务管理平台实现。业务办理系统对申请表、附件材料、受理信息的抓取,对过程信息、审批结果和电子证照的发送通过政务服务数据共享平台完成。政务服务平台典型场景业务流程如表 1 所示。表表 1 政务服务平台典型场景业务流程政务服务平台典型场景业务流程 序号序号 业务名称业务名称 业务流程描述业务流程描述 1 信息发布 政务部门通过互联网政务服务门户,统一展示
21、、发布政务服务信息。2 前台业务受理 自然人、法人通过政务服务门户提交政务服务申请信息。3 政务数据共享交换 政务部门通过政务服务数据共享平台开展跨部门政务数政务领域政务服务平台密码应用与安全性评估实施指南 6 据、政务服务事项办理信息的共享交换。4 后台业务办理 政务人员通过后台业务办理系统进行业务办理审批、电子证照制作发放。1.3 技术标准技术标准和指导性文件和指导性文件 本文件参考的技术标准和指导性文件如下:GB/T 20518-2018信息安全技术 公钥基础设施 数字证书格式规范 GB/T 25056-2018信息安全技术 证书认证系统密码及其相关安全技术规范 GB/T 32905-2
22、016信息安全技术 SM3 密码杂凑算法 GB/T 32907-2016信息安全技术 SM4 分组密码算法 GB/T 33560-2017信息安全技术 密码应用标识规范 GB/T 35276-2017信息安全技术 SM2 密码算法使用规范 GB/T 35291-2017信息安全技术 智能密码钥匙应用接口规范 GB/T 36322-2018信息安全技术 密码设备应用接口规范 GB/T 36968-2018信息安全技术 IPSec VPN 技术规范 GB/T 37033-2018信息安全技术 射频识别系统密码应用技术要求 GB/T 37092-2018信息安全技术 密码模块安全要求 GB/T 38
23、540-2020信息安全技术 安全电子签章密码技术规范 GB/T 38556-2020信息安全技术 动态口令密码应用技术规范 GB/T 38629-2020信息安全技术 签名验签服务器技术规范 GB/T 38636-2020信息安全技术 传输层密码协议(TLCP)GB/T 39786-2021信息安全技术 信息系统密码应用基本要求 GM/T 0018-2012密码设备应用接口规范 GM/T 0024-2014SSL VPN 技术规范 GM/T 0025-2014SSL VPN 网关产品规范 GM/T 0026-2014安全认证网关产品规范 GM/T 0027-2014智能密码钥匙技术规范 GM
24、/T 0030-2014服务器密码机技术规范 GM/T 0036-2014采用非接触卡的门禁系统密码应用技术指南 GM/T 0050-2016密码设备管理 设备管理技术规范 GM/T 0051-2016密码设备管理 对称密钥管理技术规范 GM/T 0104-2021云服务器密码机技术规范 GM/T 0115-2021信息系统密码应用测评要求 GM/T 0116-2021信息系统密码应用测评过程指南 GM/Y 5001-2019密码标准应用指南 GM/Y 5002-2018云计算身份鉴别服务密码标准体系 GM/Z 4001-2013密码术语 政务领域政务服务平台密码应用与安全性评估实施指南 7
25、GW 0013-2017 政务云安全要求 GW 0202-2014 国家电子政务外网安全接入平台技术规范 GW 0206-2014 接入政务外网的局域网安全技术规范 信息系统密码应用高风险判定指引 商用密码应用安全性评估量化评估规则 商用密码安全性评估 FAQ 2 密码应用需求密码应用需求 2.1 风险分析和安全需求风险分析和安全需求 2.1.1 物理和环境安全物理和环境安全(一一)风险分析风险分析(1)存在非法人员进入政务服务平台所在物理机房等重要物理环境,对软硬件设备和数据进行直接破坏的风险。(2)存在政务服务平台所在物理机房等重要物理环境电子门禁进出记录和视频音像监控记录遭到篡改,非法人
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 政务 领域 服务 平台 密码 应用 安全性 评估 实施 指南
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【宇***】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【宇***】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。