DB32T-政務云密碼應用技術要求編制說明

PAGEPAGE2《政務云密碼應用技術要求》地方標準編制說明一、工作簡況（一）任務來源1.任務來源2023年7月10日，由江蘇省電子信息產(chǎn)品質量監(jiān)督檢驗研究院（江蘇省信息安全測評中心）申請地方標準的立項，根據(jù)江蘇省市場監(jiān)督管理局下達的2023年度擬立項地方標準項目的公示，批準《政務云平臺商用密碼應用技術規(guī)范》地方標準的制定。2.起草單位、協(xié)作單位起草單位：江蘇省電子信息產(chǎn)品質量監(jiān)督檢驗研究院（江蘇省信息安全測評中心）協(xié)作單位：江蘇省國家密碼管理局、江蘇省大數(shù)據(jù)管理中心、江蘇省商用密碼產(chǎn)業(yè)協(xié)會、中電科網(wǎng)絡安全科技股份有限公司、中國電信股份有限公司江蘇分公司、江蘇省國信數(shù)字科技有限公司、江蘇航天七零六信息科技有限公司、江蘇意源科技有限公司、無錫航天江南數(shù)據(jù)系統(tǒng)科技有限公司、乾訊信息技術（無錫）有限公司、江蘇先安科技有限公司、江蘇信創(chuàng)密碼技術有限公司、華為技術有限公司、南京三未信安信息技術有限公司。

3.主要起草人(以表格形式將內容明確)姓名性別工作單位任務分工張騰標男江蘇省電子信息產(chǎn)品質量監(jiān)督檢驗研究院（江蘇省信息安全測評中心）標準編寫吳蘭女江蘇省電子信息產(chǎn)品質量監(jiān)督檢驗研究院（江蘇省信息安全測評中心）標準編寫任明聰男江蘇省電子信息產(chǎn)品質量監(jiān)督檢驗研究院（江蘇省信息安全測評中心）標準編寫徐雁飛女江蘇省電子信息產(chǎn)品質量監(jiān)督檢驗研究院（江蘇省信息安全測評中心）標準編寫李國琴女江蘇省電子信息產(chǎn)品質量監(jiān)督檢驗研究院（江蘇省信息安全測評中心）標準編寫盧秋如女江蘇省電子信息產(chǎn)品質量監(jiān)督檢驗研究院（江蘇省信息安全測評中心）標準編寫王琦女江蘇省國家密碼管理局標準編寫韓磊男江蘇省國家密碼管理局標準編寫黃敏男江蘇省大數(shù)據(jù)管理中心標準編寫劉堯男江蘇省大數(shù)據(jù)管理中心標準編寫謝吉華男江蘇省商用密碼產(chǎn)業(yè)協(xié)會標準編寫宋飛男中電科網(wǎng)絡安全科技股份有限公司標準編寫張健男中電科網(wǎng)絡安全科技股份有限公司標準編寫廖成軍男中電科網(wǎng)絡安全科技股份有限公司標準編寫趙輝男中國電信股份有限公司江蘇分公司標準編寫何丹女江蘇省國信數(shù)字科技有限公司標準編寫印哲然男江蘇航天七零六信息科技有限公司標準編寫蔣日友男江蘇意源科技有限公司標準編寫金鈞華男江蘇意源科技有限公司標準編寫朱兆國男無錫航天江南數(shù)據(jù)系統(tǒng)科技有限公司標準編寫蘇丹女無錫航天江南數(shù)據(jù)系統(tǒng)科技有限公司標準編寫強克華男乾訊信息技術（無錫）有限公司標準編寫王彬男乾訊信息技術（無錫）有限公司標準編寫莊昱垚男江蘇先安科技有限公司標準編寫趙統(tǒng)一男江蘇先安科技有限公司標準編寫張翀男江蘇信創(chuàng)密碼技術有限公司標準編寫朱靜女江蘇信創(chuàng)密碼技術有限公司標準編寫陳初男華為技術有限公司標準編寫唐一銘男南京三未信安信息技術有限公司標準編寫（二）制定標準的必要性和意義近年來，黨和國家高度重視密碼技術在網(wǎng)絡安全工作中的重要作用，先后發(fā)布《中華人民共和國密碼法》等多項法律法規(guī)以及相關政策，推進信息系統(tǒng)密碼應用升級改造工作的開展?！渡逃妹艽a應用安全性評估管理辦法》《國家政務信息化項目建設管理辦法》《江蘇省政務信息化項目建設網(wǎng)絡安全管理規(guī)定》《江蘇省省級政務信息化項目建設管理辦法》等相關文件均指出信息系統(tǒng)密碼應用的必要性和急迫性，強調信息系統(tǒng)密碼應用要同步規(guī)劃、同步建設、同步運行、定期評估。當前，在國家大力引導和產(chǎn)業(yè)各界的共同推動下，我國政務云行業(yè)發(fā)展迅猛，在助力政務建設、打破信息孤島、實現(xiàn)數(shù)據(jù)共享共治方面效果顯著。政務云運用云計算技術，統(tǒng)籌使用政府已有的機房、計算、存儲、網(wǎng)絡、安全、應用支撐、信息數(shù)據(jù)等資源，發(fā)揮云計算虛擬化、高可靠性、高通用性、高可擴展性以及快速、按需、彈性服務等特征，運行了很多關系國計民生的業(yè)務系統(tǒng)，存儲、流轉的很多數(shù)據(jù)較敏感或涉及個人隱私信息。在我省，“政務上云”成為政府治理和服務模式創(chuàng)新的新載體，一站式受理服務系統(tǒng)的使用，提升了政府的服務效率，推動了政府職能的轉變，也方便了群眾。保障政務云平臺安全對我國政治、經(jīng)濟、生產(chǎn)和生活等各方面至關重要，密碼技術作為保障云安全的重要技術，將密碼能力變成云中的一種資源服務，在云服務體系中具有十分重要的地位和作用。根據(jù)GB/T39786-2021要求，信息系統(tǒng)需從物理和環(huán)境安全、網(wǎng)絡和通信安全、設備和計算安全、應用和數(shù)據(jù)安全四個層面提出密碼應用技術要求，以保障信息系統(tǒng)的實體身份真實性、重要數(shù)據(jù)的機密性和完整性、操作行為的不可否認性。本標準著眼于政務云環(huán)境下的密碼技術應用，為做好政務云商用密碼技術的應用提供了一定程度的參考。（三）主要起草過程1、主要工作（1）對信息系統(tǒng)密碼應用和政務云相關標準材料進行收集，對政務云商用密碼應用支撐技術進行調研。（2）根據(jù)政務云環(huán)境、政務云業(yè)務應用和租戶的特征，綜合設計政務云安全密碼保障體系，構建政務云商用密碼應用技術要求的總體架構。（3）從政務云總體架構、密碼應用建設要求進行分析，形成密碼資源池的管理要求和技術要求。（4）組織專家對規(guī)范進行論證與修訂，并形成征求意見稿，對商用密碼從業(yè)企業(yè)、政府用戶、主管部門進行意見征集。2、起草過程江蘇省電子信息產(chǎn)品質量監(jiān)督檢驗研究院（江蘇省信息安全測評中心）和江蘇省國家密碼管理局、江蘇省大數(shù)據(jù)管理中心、江蘇省商用密碼產(chǎn)業(yè)協(xié)會、中電科網(wǎng)絡安全科技股份有限公司、中國電信股份有限公司江蘇分公司、江蘇省國信數(shù)字科技有限公司、江蘇航天七零六信息科技有限公司、江蘇意源科技有限公司、無錫航天江南數(shù)據(jù)系統(tǒng)科技有限公司、乾訊信息技術（無錫）有限公司、江蘇先安科技有限公司、江蘇信創(chuàng)密碼技術有限公司、華為技術有限公司、南京三未信安信息技術有限公司聯(lián)合攻關，研究政務云密碼應用的技術要求，主要從總體架構、建設要求、密碼資源池等方面提出了政務云密碼應用技術實現(xiàn)的總體架構，對各組成部分的建設內容明確了總體要求和通用要求，并對密碼資源池可提供的功能、管理和性能提出技術指標要求。規(guī)范中政務云商用密碼應用支撐總體架構符合GB/T39786中對信息系統(tǒng)提出的密碼應用基本要求，綜合《江蘇省政務“一朵云”建設總體方案》中全省政務“一朵云”總體架構的要求，實現(xiàn)建設要求可落地、可實施。（四）制定標準的原則和依據(jù)，與現(xiàn)行法律、法規(guī)、標準的關系2023年11月14日，江蘇省人民政府辦公廳印發(fā)《江蘇省政務“一朵云”建設總體方案》，該標準明確了政務云建設的職責分工、接入管理、運行管理安全管理等要求，規(guī)范江蘇省政務云的建設技術要求。2023年9月6日全國網(wǎng)絡安全標準化技術委員會發(fā)布GB/T43207-2023《信息安全技術信息系統(tǒng)密碼應用設計指南》，對信息系統(tǒng)密碼應用框架和應用方案設計原則、過程進行明確。2024年4月15日，中國密碼學會密評聯(lián)委會組織編制發(fā)布了政務領域政務服務平臺、政務云兩個典型場景密碼應用與安全性評估實施指南，實施指南為相關單位開展密評工作提供了參考。這些標準制定計劃主要側重政務云業(yè)務建設或通用信息系統(tǒng)的密碼應用技術要求，本標準參考GB/T39786《信息安全技術信息系統(tǒng)密碼應用基本要求》和GB/T43207《信息安全技術信息系統(tǒng)密碼應用設計指南》，從總體架構、建設要求和密碼資源池等方面對政務云的商用密碼技術應用進行規(guī)范，為政務云在規(guī)劃、建設、運行階段開展商用密碼技術建設和應用提供參考。（五）主要條款的說明規(guī)范分為八個部分：范圍、規(guī)范性引用文件、術語和定義、縮略語、總體架構、建設要求、密碼資源池和附錄。第一部分：范圍，規(guī)定了標準文件的適用范圍。第二部分：規(guī)范性引用文件，規(guī)定了標準文件內容引用的規(guī)范性文件。第三部分：術語和定義，規(guī)定了標準文件中使用的政務云商用密碼應用及相關標準術語和定義。第四部分：縮略語，規(guī)定了標準文件中使用的政務云商用密碼應用及相關標準縮略語。第五部分：總體架構，規(guī)定了政務云密碼技術應用的總體構成和各部分要求，包括了密碼基礎設施、密碼資源池、密碼應用。第六部分：建設要求，規(guī)定了政務云商用密碼應用支撐技術建設的總體要求和通用要求，其中通用要求從物理和環(huán)境安全、網(wǎng)絡和通信安全、設備和計算安全、應用和數(shù)據(jù)安全以及密鑰管理幾個技術層面提出了建設要求。第七部分：密碼資源池，規(guī)定了政務云中密碼資源池部分的具體功能要求以及管理要求。第八部分：附錄A、B、C分別規(guī)定了政務云主要保護對象及密碼安全需求、典型密碼服務協(xié)議和算法技術要求、對稱和非對稱密鑰全生命周期管理的要求。（六）重大意見分歧的處理依據(jù)和結果通過5輪內部標準編制研討會共面向22家單位，征集有效意見98條，采納了65條意見。2024年3月29日，江蘇省國家密碼管理局組織專家在南京召開了《政務云平臺商用密碼應用技術規(guī)范》地方標準評審會。與會專家反饋修訂意見32條，已根據(jù)建議完成相應修訂。江蘇省軟件和信息技術服務標準化技術委員會秘書處于2024年5月16日發(fā)布《政務云密碼應用技術要求》征求意見稿，面向社會廣泛征集意見，截止本文完稿日已收到2家單位反饋的修訂意見6條，采納其中3條。重大意見分歧和處理情況如下：1、標準立項申報名稱為《政務云平臺商用密碼應用技術規(guī)范》，目前江蘇省政務云實際密碼應用需求多集中在技術應用部分，與標準名稱結合不夠緊密。現(xiàn)已將標準名稱調整為《政務云密碼應用技術要求》。2、政務云密碼應用總體架構圖內容較為簡單，與密碼應用要求結合不緊密?，F(xiàn)已結合GB/T31167《信息安全技術云計算服務安全指南》、《江蘇省政務“一朵云”建設總體方案》等要求，結合江蘇省各級政務云技術特點對架構圖進行調整。3、密碼資源池中密碼服務類型較為單一?，F(xiàn)已根據(jù)GB/T43207《信息安全技術信息系統(tǒng)密碼應用設計指南》以及《商用密碼應用與安全性評估》中的要求進行補充。4、標準中對于密鑰管理的介紹內容較少，密鑰類型單一。現(xiàn)已