身份认证与授权管理系统国产密码算法升级实施方案

--2---7-财政身份认证与授权治理系统国产密码算法升级实施方案一、前言〔一〕文档说明本文档的目的是依据《财政部信息网络中心关于财政身份认证系统国产密码算法升级核心软硬件产品和效劳预算〔财信〔2023〕29号《四川省财政厅关于开展市州财政身份认证与授权治理系统国产密码算法升级方〔川财网信办〔2023〕2号《四川省财政身份认证与授权治理系统国产密码算法升级实施方案》，结合我县财政身份认证与授权治理系统〔以下简称为“身份认证〕实际状况，制定本方案，为工程实施供给参考和依据。〔二〕编写目的为保证我县财政身份认证系统国产密码算法升级工程顺当实施，让工程组成员了解和把握本工程实施内容及实施标准，特编写本方案。〔三〕工程相关方项 目 建 设 方：县财政局办公室集 成 商：托付市财政局全权负责身份认证系统厂商：托付市财政局全权负责二、工程概述〔一〕工程背景2023〔以下简称身份认证系统财政部外网分别建设了一套身份认证系统，该系统承受国际通用密码算法。财政身份认证系统作为财政业务系统安全的重要保障手段，在财政系统得到广泛应用，截至目前，全国财政业务专网身份认证系统发证超过133万张，外网身份认证系统发证超过6万张，证书用户数已超过70万人，掩盖全国各级财政部门、预算单位、代理银行等部门。通过财政身份认证系统的建设以及证书的签发和应用，不仅保证了各业务系统中用户的强身份鉴别，同时对业务系统关键、敏感操作供给抗抵赖功能，并对重要的数据进展了加密及完整性保护，有效提高了应用的安全水平。20232码算法升级工作的函》的通知，要求已配备使用商用密码的部委组织落实本单位身份认证系统支持国产密码算法升级工作。身份认证系统作为财政的重要安全根底设施，其安全性关系到国家资金安全，国产密码算法升级对提升财政系统网络安全具有实际意义。另外，现有财政身份认证系统根底环境已运行超过5-8年，局部设备也已开头渐渐消灭问题，运行维护本钱逐年增加，需要进展更。为满足国家相关政策要求以及财政业务安全的实际需要，部中心启动了对现有身份认证系统国产密码算法升级改造工作。我县财政局依据省财政厅和市财政局的整体规划，开展了财政身份认证系统的建设工作,截至目前，我县财政发证量近155张，全县26个乡镇完成了身份认证系统的建设工作，接入的应用系统主要包括大平台、OT系统、债务监控平台、国库库款系统等。我县预备于2023年启动了省本级身份认证系统国产密码算法升级改造工作，目前正在稳步推进实施。〔二〕升级目标本次财政身份认证系统升级主要目标是：将财政身份认证系统、USBKEY等升级到支持国产密码算法的软硬件产品，到达国家主管部门要求。通过升级，进一步优化设备配置和性能，提高系统的强健性，强化治理力气，提升系统整体的安全性、稳定性。同时，为财政业务应用系统推广国产密码算法奠定根底。〔三〕升级原则国产化原则国密算法升级在实现身份认证系统密码算法国产化的同时，效劳器、操作系统、数据库等根底软硬件环境也要同步使用国产化产品。牢靠性原则为保证财政业务系统的安全稳定运行，建身份认证系统实行关键部件冗余、集群策略等多种措施，确保系统运行更加稳定牢靠。连续性原则升级后的身份认证系统沿用原有网络和安全体系构造，用户无需转变使用习惯，现有应用无需改动，可连续使用身份认证系统相关功能，建身份认证系统在一段时间内确保兼容本省以下财政部门原有的身份认证系统。扩展性原则升级后的身份认证系统不仅要求满足现阶段的业务需求，而且能够满足将来业务的增长需求。随着业务系统规模扩大，网络、效劳器、存储等系统根底环境能灵敏扩展。〔四〕升级内容我县财政身份认证系统国产密码算法升级工作，整体遵循市财政局规定原则，严格依据市财政局要求执行。统一部署兼容国际通用算法和国密算法的应用安全组件，把原身份认证系统中的用户数据、密钥数据等数据平滑迁移到升级后的系统中，使得升级后的系统既可以治理原有的国际通用算法的证书又可以支持发放国密算法的证书，对于证书用户整体升级工作透亮，已经发放的数字证书不需要重发放，至2023年业务应用全面升级支持国产密码算法。〔五〕升级要求国家政策要求财政身份认证系统作为财政信息网的重要安全根底设施，须准时对其进展改造、升级，承受安全、牢靠、受控的国产密码算法确保财政应用信息资源安全。安全性设计要求本次升级需要承受符合国家密码局认证过的产品和设备，并在财政部进展了相关的测试验证，各个系统的部署也需要符合国家密码治理局相关设计要求。整体建设需遵循已通过国家密码治理局审核的财政身份认证系统国产密码算法升级建设方案。机房物理环境要求机房物理环境需遵循GM／T0034—2023《基于SM2密主机安全性要求操作系统本次升级所用操作系统需具备自主可控高安全的特性；应适用于等级保护或分级保护系统以及政府关键部门的信安装业务效劳器的操作系统时，对于操作系统自带的软件包和效劳承受最小化安装原则，只安装和运行操作系统的根本软件包。最小安装原则为单一目的效劳器或者桌面设备供给根本需要，并可在这样的安装中最大化性能和安全性。设置业务效劳器操作系统的用户时，需要为日常使用创建一个非root帐户，来降低操作风险。root帐户是用来安装root账户登录可完全把握系统，务必只有在执行系统维护或治理时使用rootroot账户登录。病毒防治本工程涉及的设备需安装防病毒系统，对涉及的不同应用类型的设备都需要安装病毒防护系统，实现全面的病毒防护。我省财政业务专网均统一部署亚信防病毒系统，本工程中须严格使用。财政相关标准和标准工程建设需要遵循财政部相关的建设标准和标准。工程实施前需向市财政局完成实施方案报审工作，工程实施完毕需将工程验收报告同市财政局进展报备。升级实施过程需严格依据部机关具体的标准和标准及相关指导文件进展。三、升级实施打算我县级财政身份认证系统国产密码算法升级实施工作打算于市身份认证系统国产密码算法升级实施工作工程初验后正式分批开展，我县财政身份认证系统国产密码算法升级实施工作任务打算时间表如下：任务名称古蔺县财政局方案上报省厅产品选购工程实施工程初验工程试运行工程终验备案部署应用系统使用国密算法际通用算法

完成时间202311日~202331日202351日2023530日202361日202381日~20231031日2023121日2023121日20231231日四、升级建设方案〔一〕现有拓扑构造我县财政业务专网现有身份认证系统拓扑构造如以以下图所示：-6---7-财政专网四川省区县级业务专网应 LRA系统区县版用 用户属性治理系统UMS区县版 路由器效劳区交换机我县财政局拓扑构造图〔二〕升级扩容内容部署证书综合治理系统区县版客户端，并与地市证书整合治理系统对接，证书的全部业务操作均在证书综合治理系统中进展，可实现对证书发放各环节进展统一治理。USBKEY需要同时支持双算法、32位高速USBKEY在USBKEY中发放两套算法证书，在使用过程中自动适配使用哪类证书。之前已经发出的USBKEY，在证书到期后USBKEY。〔三〕升级后拓扑构造我县财政业务专网升级后身份认证系统拓扑构造如下图所示：财政专网二类区县财政业务专网应 证书综合治理系统县级版用户属性治理系统 UMS县级版用 〔购〕 路由器效劳区交换机注：红色字体代表增系统升级后县财政局拓扑构造图PC效劳器上部署证书综合治理系统区县版和用UMS区县版，用户授权治理和证书签发治理工作。地市名称：四川省区县级地市名称：四川省区县级序号设备名称品牌型号和主要配置数量单位备注1证书综合治理系统区县版用户属性治理系统授权许可FCMS2.11套供给证书全生命周期治理2JITUMS6.01套供给用户属性信息统一治理效劳3USBKEYKEY假设干套KEY假设干套4集成实施1项Haikey3000