T-HBCCIA 0001-2024 政务云密码应用技术指南

备案号：湖北省商密协会团体标准GuidanceofcryptographicapplicationtecT/HBCCIA0001—2024 12规范性引用文件 3术语和定义 24缩略语 5政务云密码应用概述 5.1政务云业务架构 55.2政务云密码应用需求 6政务云密码应用架构 6.1总体架构 6.2云平台密码应用架构 6.3云租户密码应用架构 附录A（资料性附录）政务云典型业务架构设计说明 25附录B（资料性附录）政务云密码应用架构设计说明 27附录C（资料性附录）云平台密码应用方案范例 附录D（资料性附录）云租户应用系统密码应用方案范例 46附录E（资料性附录）云租户应用系统密码应用流程范例 参考文献 T/HBCCIA0001—2024本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由湖北省商用密码协会提出并归口。本文件起草单位：武汉云计算科技有限公司、湖北省密码管理局、武汉市密码管理局、武汉大学、华中科技大学、武汉信安珞珈科技有限公司、数字认证（武汉）有限责任公司、渔翁信息技术股份有限公司、湖北信安通科技有限责任公司、华为云计算技术有限公司、湖北东方网盾信息安全技术有限公司、武汉等保测评有限公司、武汉网络安全技术有限公司。本文件主要起草人：杨志刚、闵国华、钟收成、何德彪、徐鹏、陈辉、龚斌、胡进、夏鲁宁、彭聪、胡胜山、刘云、钟云婷、郭刚、夏波、魏玉科、王克俊、李荣、李禅、陈延。T/HBCCIA0001—2024政务云是政务信息系统的新形态，给政务信息系统的商用密码应用带来了诸多新的问题和挑战。2023年，国家密码管理局密码应用评估组对武汉云政务系统密码应用予以肯定，要求湖北基于武汉云政务系统密码应用实践经验，梳理、提炼、总结，编写用于指导政务云密码应用合规、正确、有效的规范性文件。本文件是在GB/T39786《信息安全技术信息系统密码应用基本要求》标准基础上，根据政务云的通用性密码应用需求，规范建立政务云密码应用的技术指导性文件。本文件旨在指导建立标准统一的政务云密码保障系统，支撑云平台、云租户应用系统合规、合理使用密码资源，满足商用密码应用安全性评估的相关要求。本文件从物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全等层面描述云平台及云租户的密码应用需求，从政务云业务架构的角度来设计政务云密码应用架构，包括云平台和云租户两侧业务架构中各组成部分的密码应用。本文件适用于政务云规划、建设、运行的各个阶段，为政务云云平台和云租户应用系统的规划设计、建设实施和运行维护过程中合规、正确、有效地应用密码技术，保障政务云信息系统安全提供指导。1T/HBCCIA0001—2024政务云密码应用技术指南本文件提出了政务云密码应用的技术指南，包括政务云密码应用需求、应用架构和应用规范。本文件适用于政务云规划、建设、运行的各个阶段，为政务云云平台和云租户应用系统的规划设计、建设实施和运行维护过程中合规、正确、有效地应用密码技术，保障政务云信息系统安全提供指导。2规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文件，凡是不注日期的引用文件，其最新版本（包括所有的修订单）适用于本文件。GB/T15843《信息技术安全技术实体鉴别》GB/T15852.1信息技术安全技术消息鉴别码第1部分：采用分组密码的机制GB/T20518信息安全技术公钥基础设施数字证书格式GB/T22239信息安全技术网络安全等级保护基本要求GB/T25056信息安全技术证书认证系统密码及其相关安全技术规范GB/T32905信息安全技术SM3密码杂凑算法GB/T32907信息安全技术SM4分组密码算法GB/T32918信息安全技术SM2椭圆曲线公钥密码算法GB/T35276信息安全技术SM2密码算法使用规范GB/T36322信息安全技术密码设备应用接口规范GB/T36968信息安全技术IPSecVPN技术规范GB/T37092信息安全技术密码模块安全要求GB/T38540信息安全技术安全电子签章密码技术规范GB/T38556信息安全技术动态口令密码应用技术规范GB/T38629信息安全技术签名验签服务器技术规范GB/T38636信息安全技术传输层密码协议(TLCP)GB/T39786信息安全技术信息系统密码应用基本要求GB/T43206信息安全技术信息系统密码应用测评要求GB/T43207信息安全技术信息系统密码应用设计指南GM/T0024SSLVPN技术规范GM/T0025SSLVPN网关产品规范GM/T0026安全认证网关产品规范GM/T0027智能密码钥匙技术规范GM/T0030服务器密码机技术规范GM/T0033时间戳接口规范GM/T0034基于SM2密码算法的证书认证系统密码及其相关安全技术规范GM/T0036采用非接触卡的门禁系统密码应用指南GM/T0110密钥管理互操作协议规范2T/HBCCIA0001—2024GM/Z4001密码术语T/HBCCIA0001-2023湖北省重要网络和信息系统密码应用技术指南3术语和定义下列术语和定义适用于本文件。3.1云基础设施cloudcomputinginfrastructure指支撑云服务和密码应用的硬、软件设备和系统的统称，通常由通用资源和密码资源组成。本文件中，特指政务云基础设施。3.2云平台cloudcomputingplatform指云服务商提供的云基础设施及其上的服务软件的集合，可提供云计算资源、支撑软件、信息安全等综合服务支撑。本文件中，特指政务云平台。3.3基础设施即服务infrastructureasaservice指云服务商提供的计算、存储、网络等资源服务，以及访问云基础设施的服务接口。简称IaaS。3.4平台即服务platformasaservice指云服务商提供的运行在云基础设施之上的软件开发和运行平台服务。简称PaaS。3.5软件即服务softwareasaservice指云服务商提供的运行在云基础设施之上的通用软件服务。简称SaaS。3.6安全即服务securityasaservice指云服务商提供的运行在云基础设施之上的安全应用服务，可视为一种特定类型的SaaS服务。简称SECaaS。3.7云租户cloudtenant指为使用云计算服务同云服务商建立业务关系的参与方。亦称“云服务客户”。本文件中，特指各级政府部门和行使政务职能的国有企事业单位。3.8云租户应用系统cloudtenantapplicationsystem指云租户的终端与云（服务）端互动的应用程序。云租户的终端操作可同步到云端，云租户应用系统产生的数据可保留在终端或云端。3.9密码技术cryptographictechnology3T/HBCCIA0001—2024指采用特定变换的方法对信息等进行加密保护、安全认证的技术，包括密码编码、实现、协议、安全防护、分析破译，以及密钥产生、分发、传送、使用、销毁等技术。3.1密码产品cryptographicproducts指采用密码技术进行加密保护、安全认证的产品，即承载密码技术、实现密码功能的实体。典型的密码产品包括密码机、密码芯片和密码模块。3.11密码服务cryptographicservice指基于密码专业技术、技能和设施，为他人提供集成、运营、监理等密码支持和保障的活动，即基于密码资源，实现密码功能，提供密码保障的行为。云密码服务是云计算技术和密码技术相结合的一种服务形态，以云资源服务的方式向云租户提供密码服务。3.12密码服务平台cryptographicserviceplatform指通过标准化密码接口为云租户应用系统提供密钥、密码运算、证书管理、身份认证、数据签验等密码服务的管理平台，具备密码资源统一管理、密码服务按需配置、密钥集中管理、设备统一管理等管理能力。亦称“密码服务管理平台”或“密码服务支撑平台”。3.13密码资源cryptographicresources指各类密码产品的逻辑统称，可实现数据加解密、数字签名、密钥管理等密码服务功能。3.14密码资源池cryptographicresourcepool指一组密码资源的集合，通过虚拟化技术和集中管理机制，实现密码资源的实时监控、合理分配和负载均衡。密码资源池可通过密码服务平台统一调用，向云租户应用系统提供密码资源服务。3.15敏感信息sensitiveinformation指涉及到个人隐私、商业机密、国家安全等方面的信息，如果被泄露或被非法获取或被篡改，可能会对个人、组织或国家造成严重的损失或影响。敏感信息的分类主要包括个人敏感信息、商业敏感信息、国家敏感信息等。本文件不涉及国家敏感信息。3.16堡垒机bastionhost指一种在多云环境下的统一安全运维接入服务。基于SaaS服务对云主机、云数据库等运维对象的运维权限以及运维接入通道进行安全控制，规避运维工作带来的高危端口、弱口令等风险。3.17云平台管理用户cloudplatformmanageusers指对云平台软硬件设备系统及云服务产品进行日常运维和运营的云平台厂商和云服务商的管理人员，主要包括云平台厂商运维人员、云服务商运维人员和运营人员等。3.18云租户管理员cloudtenantadministrator4T/HBCCIA0001—2024指由云租户设置的专职管理应用系统和云资源的相关人员。云租户管理员原则上只能管理自身单位的应用系统及租赁的云资源。3.19智能密码钥匙cryptographytoken指一种终端密码设备，具备密码运算、密钥管理功能，主要用于存储用户的私钥或数字证书，并完成数据加解密、数据完整性校验、数字签名、访问控制等功能。它通常采用USB接口形态,亦被称作“USBKey”。3.20密码资源分组cryptographyresourcesgroup指由两个或以上密码资源组成的逻辑分组。3.21云共生应用资源池cloudcomputing-basedsymbioticapplicationresourcepool指由第三方服务厂商托管在云平台的计算、存储、安全、密码等专用设备或虚拟化计算集群。3.22密码保障系统cryptographyprotectionsystem指采用密码技术、产品和服务集成建设的，对网络和信息系统提供加密保护和安全认证功能的系统。4缩略语SSL:SecureSocketLayer，安全套接层协议层VPN:VirtualPrivateNetwork，虚拟专用网络API:ApplicationProgrammingInterface，应用编程接口SDK:SoftwareDevelopmentKit，软件开发工具包VPC:VirtualPrivateCloud，虚拟私有（专属）云HMAC:Hash-basedMessageAuthenticationCode，哈希消息认证码IPSec:InternetProtocolSecurity，互联网安全协议IAM:IdentityandAccessManagement，身份识别与访问管理HSM:HardwareSecurityModule，硬件安全模块WAF:WebApplicationFirewall，Web应用防火墙SSH:SecureShell，安全外壳协议PIN:PersonalIdentificationNumber，个人身份识别码HTTPS:HypertextTransferProtocolSecure，超文本传输安全协议KMS:KeyManagementSystem，密钥管理系统NAT:NetworkAddressTranslation，网络地址转换OS:OperatingSystem，操作系统IMS:ImageManagementService，镜像服务ECS:ElasticComputeService，弹性计算服务，通常称作“云服务器”或“云主机”5T/HBCCIA0001—2024SWR:SoftWareRepositoryforContainer，容器镜像服务CA:CertificateAuthority，证书颁发机构CM:CertificateManagement，证书管理KGC:KeyGenerationCenter，密钥生成中心5政务云密码应用概述5.1政务云业务架构政务云通常由物理资源做底层支撑，基于云计算管理平台的云资源管理能力，依托云平台运维管理系统、运营管理系统，向政务云租户提供各类云服务。政务云典型业务架构通常包括政务云平台和政务云租户两个部分，由物理资源、云平台应用系统、政务云服务和云租户应用系统等组成。政务云典型业务架构设计说明详见附录A。5.2政务云密码应用需求5.2.1总体要求概述本文件中，政务云密码应用以云平台应用系统和云租户应用系统的密码需求为依据，遵循GB/T39786第三级密码应用基本要求，采用密码技术从物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全等层面，提出云平台和云租户应用系统的密码应用要求。关于“应”、“宜”、“可”的选取，可依据GB/T43206确定。注：1、本文件中提出的政务云（含云平台和云租户）密码应用要求以GB/T39786第三级密码2、云平台和云租户密码应用所需的管理制度、人员管理、建设运行、应急处置等管理密码算法要求政务云使用的密码算法应符合法律、法规的规定和密码相关国家标准、行业标准的有关要求，应遵循的相关标准规范包括但不限于本文件“2规范性引用文件”。密码产品要求政务云使用的密码产品应符合法律、法规的规定和密码相关国家标准、行业标准的有关要求，应遵循的相关标准规范包括但不限于本文件“2规范性引用文件”。遵循GB/T39786第三级密码应用基本要求的政务云平台，其使用的密码产品（包括密码机、密码模块等）应达到GB/T37092二级及以上安全要求。密码服务要求政务云使用的密码服务应符合法律、法规的规定和密码相关国家标准、行业标准的有关要求，应遵循的相关标准规范包括但不限于本文件“2规范性引用文件”。政务云如采用第三方电子认证服务的，应选择由经相关主管部门认定和取得国家密码管理部门同意使用密码的证明文件，依法取得电子认证服务资质的电子认证服务机构提供。6T/HBCCIA0001—2024政务云使用的电子签名、电子印章、电子证照等涉及的电子认证服务，应当由依法设立的电子政务电子认证服务机构提供。政务云如使用第三方云服务商提供的密码服务时，建设单位和使用单位应选择由已通过商用密码应用安全性评估的云平台和密码服务平台提供。第三方云服务商提供服务所涉及的云平台和密码服务平台的安全保护等级，应不低于其承载的保护对象的安全保护等级。5.2.2云平台密码应用需求需求概述本文件中，云平台密码应用应遵循GB/T39786第三级密码应用基本要求，采用的密码服务应符合法律法规的相关要求，需依法接受检测认证的，应经商用密码认证机构认证合格，部署的密码产品应达到GB/T37092二级及以上安全要求，从物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全四个层面采用密码技术保护，为云平台的运行安全和管理安全提供密码保障。物理和环境安全.1安全风险a)存在非法人员进入政务云平台所在物理机房等重要区域，对软硬件设备和数据进行直接破坏的风险；b)存在重要区域电子门禁进出记录和视频监控音像记录遭到篡改，导致非法人员进出重要区域不被正常记录的风险。.2密码应用需求a)采用密码技术对进入云数据中心的人员进行身份鉴别，保证云数据中心进入人员身份的真实性。b)采用密码技术保证电子门禁系统进出记录数据的存储完整性。c)采用密码技术保证视频监控音像记录数据的存储完整性。d)如果政务云部署涉及多个物理机房，所有物理机房均应进行保护。网络和通信安全.1安全风险a)云平台网络中互联网与政务网间、客户端与服务端间、VPN客户端与VPN网关间、政务云平台与灾备中心间、多个政务云平台之间等通信信道的传输过程，存在通信实体身份被仿冒，非法接入云平台的风险。b)云平台业务数据在各网络通信信道传输过程中存在被篡改的风险。c)云平台重要业务数据在各网络通信信道传输过程中存在被非法获取的风险。d)云平台网络边界访问控制信息存在被篡改，导致非法通信实体接入网络的风险。e)云平台网络存在非法设备从外部网络接入内部网络，或网络边界被破坏的风险。7T/HBCCIA0001—20.2密码应用需求a)采用密码技术对通信实体进行身份鉴别，保证通信实体身份的真实性。云平台涉及的通信实体包括云平台与外部网络连接的通信实体、云平台异地机房之间的通信实体等。b)采用密码技术保证通信过程中云平台业务数据的完整性。c)采用密码技术保证通信过程中云平台重要业务数据的机密性。d)采用密码技术保证云平台网络边界访问控制信息的完整性。e)采用密码技术保护云平台与外部网络之间、云平台异地机房之间等跨区域通信链路的传输机密性和完整性。注：如采用SSL协议来满足网络和通信安全层面客户端与服务器端的身份鉴别、通信数据完整性、通信过程中重要数据的机密性等要求，则认证模式分为两种情况：在客户端验证服认证；在客户端和服务端需要互相验证对方身份的场景下，采用双向SSL认证。设备和计算安全.1安全风险a)云平台设备存在被非法人员登录的风险。b)云平台设备的远程管理通道存在被非法使用，或传输的管理数据被非法获取或篡改的风险。c)云平台设备操作系统的系统权限访问控制信息、系统文件目录的访问控制信息、数据库中的数据访问控制信息、堡垒机等第三方运维系统中的权限访问控制信息等，存在被非法获取或篡改的风险。d)云平台设备的重要信息资源安全标记存在被篡改的风险。e)云平台设备的日志记录存在被篡改，以掩盖设备被非法操作的风险。f)云平台设备的重要可执行程序存在被篡改或来源不可信的风险。.2密码应用需求a)采用密码技术对登录云平台设备的用户进行身份鉴别，保证用户身份的真实性。如对远程管理云平台设备的云平台管理用户进行身份鉴别。b)远程管理云平台设备时，应采用密码技术建立安全的信息传输通道。c)采用密码技术保证云平台设备系统资源访问控制信息的完整性。云平台设备系统资源访问控制信息包括设备操作系统、系统文件目录、数据库数据、堡垒机等信息。d)采用密码技术保证云平台设备的重要信息资源安全标记的完整性。e)采用密码技术保证云平台设备日志记录的完整性。如对云平台管理用户的身份鉴别、设备操作等关键日志记录进行完整性保护。f)采用密码技术对云平台设备中重要可执行程序进行完整性保护，并对其来源进行真实性验证。应用和数据安全.1安全风险a)云平台应用系统（如运营管理系统、运维管理系统等）存在被非法人员登录的风险。8T/HBCCIA0001—2024b)云平台应用系统中能够决定系统应用访问控制措施的信息（如权限、标签等）存在被篡改，导致应用资源被非法获取的风险。c)云平台应用系统的重要信息资源安全标记存在被篡改的风险。d)云平台应用系统传输或存储的重要数据（如身份鉴别信息、镜像文件和快照文件中的敏感信息、云资源管理敏感信息等重要业务数据，以及重要审计数据、云平台管理员及租户的身份证号、手机号等敏感信息），存在被外部攻击者非法获取或篡改的风险；镜像文件、快照文件存在被篡改的风险。e)云平台内部的重要指令（如虚拟机监控器（VMM）在虚拟机迁移过程中的指令）存在被篡改或来源不可信的风险。f)云平台管理用户、云租户管理员对云平台及云资源的关键操作，存在被否认的风险。g)云平台应用系统的重要业务日志记录存在被非法篡改，导致非法操作被掩盖的风险。.2密码应用需求a)采用密码技术对登录云平台应用系统的用户进行身份鉴别，保证应用系统用户身份的真实性。如对登录运营管理系统、运维管理系统等云平台应用系统的用户进行身份鉴别。b)采用密码技术保证云平台应用系统的访问控制信息的完整性。如对云平台应用系统的权限、标签等访问控制信息进行完整性保护。c)采用密码技术保证云平台应用系统的重要信息资源安全标记的完整性。如对运营管理系统、运维管理系统等云平台应用系统中涉及的重要信息资源安全标记进行完整性保护。d)采用密码技术保证云平台应用系统的重要数据在传输过程中的机密性。e)采用密码技术保证云平台应用系统的重要数据在存储过程中的机密性。f)采用密码技术保证云平台应用系统的重要数据在传输过程中的完整性。g)采用密码技术保证云平台应用系统的重要数据在存储过程中的完整性。h)在可能涉及法律责任认定的应用中，采用密码技术提供数据原发证据和数据接收证据，实现数据原发行为的不可否认性和数据接收行为的不可否认性。如对运营管理系统、运维管理系统等云平台应用系统中的重要操作行为进行不可否认性保护。注：云平台重要数据包括身份鉴别信息、镜像文件和快照文件中的敏感信息、虚拟机迁移感信息、业务日志记录等重要业务数据，重要审计数据，以及云平台管理用户及云租户管理员5.2.3云租户密码应用需求需求概述本文件中，云租户密码应用应遵循GB/T39786第三级密码应用基本要求，使用云上合规的物理和环境安全9T/HBCCIA0001—2024网络和通信安全.1安全风险a)云租户网络中客户端与应用系统间、政务服务App与互联网政务服务门户间、VPN客户端与VPN网关间、各级政务服务平台间、政务服务数据共享平台与政务信息系统间等通信信道存在非法通信实体接入网络的风险。b)云租户业务数据在各网络通信信道传输过程中存在被篡改的风险。c)云租户重要业务数据在各网络通信信道传输过程中存在被非法获取的风险。d)云租户网络边界访问控制信息存在被篡改，导致非法通信实体接入网络的风险。e)云租户网络存在非法设备从外部网络接入内部网络，或网络边界被破坏的风险。.2密码应用需求a)采用密码技术对通信实体进行身份鉴别，保证通信实体身份的真实性。云租户涉及的通信实体包括云租户使用的云服务与网络边界外的通信实体、云租户应用系统访问云平台密码服务的通信实体等。b)采用密码技术保证通信过程中云租户业务数据的完整性。c)采用密码技术保证通信过程中云租户重要业务数据的机密性。d)采用密码技术保证云租户网络边界访问控制信息的完整性。设备和计算安全.1安全风险a)云租户设备存在被非法人员登录的风险。b)云租户设备的远程管理通道存在被非法使用，或传输的管理数据被非法获取或篡改的风险。c)云租户设备操作系统的系统权限访问控制信息、系统文件目录的访问控制信息、数据库中的数据访问控制信息、堡垒机等第三方运维系统中的权限访问控制信息等，存在被非法获取或篡改的风险。d)云租户设备的重要信息资源安全标记存在被篡改的风险。e)云租户设备的日志记录存在被窜改，以掩盖非法操作的风险。f)云租户设备中的重要可执行程序及政务服务App存在被篡改或来源不可信的风险。.2密码应用需求a)采用密码技术对登录云租户设备的用户进行身份鉴别，保证用户身份的真实性。如对远程管理云租户设备的云租户管理员进行身份鉴别。b)远程管理云租户设备时，采用密码技术建立安全的信息传输通道。c)采用密码技术保证云租户设备系统资源访问控制信息的完整性。云租户设备系统资源访问控制信息包括设备操作系统、系统文件目录、数据库数据、堡垒机等信息。d)采用密码技术保证云租户设备中的重要信息资源安全标记的完整性。e)采用密码技术保证云租户设备访问和操作日志记录的完整性。如对云租户管理员的身份鉴别、设备操作等关键日志记录进行完整性保护。f)采用密码技术对云租户设备中的重要可执行程序进行完整性保护，并对其来源进行真实性T/HBCCIA0001—2024验证。应用和数据安全.1安全风险a)云租户应用系统（如互联网政务服务门户、政务服务数据共享平台、业务办理系统等）存在被非法人员登录的风险。b)云租户应用系统中能够决定系统应用访问控制措施的信息（如权限、标签等）存在被篡改，导致应用资源被登录应用的其他用户获取的风险。c)云租户应用系统的重要信息资源安全标记存在被篡改的风险。d)云租户应用系统传输或存储的重要数据存在被外部攻击者非法获取或篡改的风险。e)云租户应用系统中涉及法律责任认定的行为，如业务办理审批行为等关键行为，数据发送者或接收者不承认发送或接受到数据，或者否认其所做的操作的风险。f)云租户应用系统的重要业务日志存在被篡改，导致非法操作被掩盖的风险。.2密码应用需求a)采用密码技术对登录云租户应用系统的用户进行身份鉴别，保证应用系统用户身份的真实b)采用密码技术保证云租户应用系统的访问控制信息的完整性。如对云租户应用系统的权限、标签等访问控制信息进行完整性保护。c)采用密码技术保证云租户应用系统的重要信息资源安全标记的完整性。d)采用密码技术保证云租户应用系统的重要数据在传输过程中的机密性。e)采用密码技术保证云租户应用系统的重要数据在存储过程中的机密性。f)采用密码技术保证云租户应用系统的重要数据在传输过程中的完整性。g)采用密码技术保证云租户应用系统的重要数据在存储过程中的完整性。h)在可能涉及法律责任认定的应用中，采用密码技术提供云租户应用系统中数据原发证据和数据接收证据，实现数据原发行为的不可否认性和数据接收行为的不可否认性。6政务云密码应用架构6.1总体架构6.1.1架构概述本文件按照“分区建设、安全隔离”的原则设计密码应用总体架构，网络规划涵盖互联网区、政务外网/专网区，密码资源采用云平台和云租户分开设计模式，以相对独立的方式分别实现云平台和云租户的密码应用需求。云租户密码应用需求有两种实现架构（密码平台服务架构和密码资源服务架构，见6.3节根据这两种架构分别设计政务云密码应用总体架构，见图6-1和图6-2。注：云平台应用系统和云租户应用系统调用密码资源和密码服务的规范流程，以及应用系机制，可参考T/HBCCIA0001-2023，本文件不T/HBCCIA0001—20246.1.2基于密码平台服务的政务云密码应用总体架构云数据中心云数据中心密码应用主要涉及采用密码技术保护的电子门禁系统和视频监控系统，实现政务云平台物理和环境安全层面的密码保护。云密码资源云密码资源由云平台密码资源和云应用密码资源两部分组成。云平台密码资源向云平台（包括云计算管理平台、运营/运营管理系统等）和云服务（IaaS、PaaS、SaaS、SECaaS）提供密码保护，支撑云平台自身密码需求的实现。云平台如果内置密码模块，云平台密码资源还可向密码模块提供底层密码运算能力。在这种架构下，通过部署密码服务平台，将云应用密码资源以虚拟化方式构建密码资源池，向云租户应用系统提供各类云密码服务。密码服务平台密码服务平台对密码资源池进行集中管理、调度，经统一密码服务管理模块处理，通过密码服务接入认证及统一调用接口，以租户隔离方式面向云租户应用系统提供云密码服务。云外密码支撑平台云外密码支撑平台主要指政务云以外为云平台或云租户应用系统提供密码服务的支撑系统的统称，如数字证书认证系统、密钥生成中心（KGC）等。面向互联网区和政务外网/专网区政务云租户提供电子认证服务的机构或单位，应当经国家密码管理部门认定，依法取得电子政务电子认证服务机构资质。图6-1基于密码平台服务的政务云密码应用总体架构图6.1.3基于密码资源服务的政务云密码应用总体架构云数据中心见节。T/HBCCIA0001—2024云密码资源和云密码服务云密码资源的组成和其中云平台密码资源的说明见节。在这种架构下，云应用密码资源直接生成各类密码服务，通过密码服务调用接口，以相互独立的方式供不同云租户应用系统调用。云外密码支撑平台。见节。图6-2基于密码资源服务的政务云密码应用总体架构图6.2云平台密码应用架构6.2.1架构设计架构概述政务云平台密码应用架构主要包括云数据中心、云基础设施、云平台密码模块、运营/运维管理系统等部分。政务云平台密码应用主要满足云平台自身的密码需求，由云数据中心中采用密码技术保护的电子门禁系统和视频监控系统提供身份鉴别、数据存储完整性等物理和环境安全层面的密码保障，由云平台密码资源或云平台密码模块向运营管理系统、运维管理系统等云平台应用系统，以及IaaS、PaaS、SaaS、SECaaS等云服务提供网络和通信安全、设备和计算安全、应用和数据安全三个层面的密码保障。云数据中心云数据中心密码应用主要实现物理访问实体的身份鉴别，涉及电子门禁记录数据及视频监控记录数据存储的完整性保护。云基础设施云平台云基础设施主要包括云平台通用资源和云平台密码资源（见附录A.2.1），其密码应用包括：a)云平台密码资源对运营管理系统、运维管理系统和云服务提供密码保护。T/HBCCIA0001—2024b)若云平台不含密码模块，则运营管理系统、运维管理系统、云服务等云平台应用从云基础设施中调用云平台密码资源的密码运算、数据加解密等密码功能，实现身份认证、传输加密、存储加密等密码应用能力。图6-3云平台密码应用架构云平台密码模块若云平台内置密码模块，则其密码应用包括：a)支持密钥管理、密码运算、证书签发等功能。b)支持商用密码算法密钥创建及生命周期管理。c)对接HSM和统一证书管理，提供数据加密、证书管理能力。d)对运营管理系统、运维管理系统和云服务提供密码保护。e)密码模块从云基础设施中调用云平台密码资源，生成密码运算、密钥管理以及证书签发等密码功能，向运营管理系统、运维管理系统、云服务等云平台应用提供身份认证、传输加密、存储加密等密码应用能力。云服务云服务的密码应用主要涉及IaaS、PaaS、SaaS、SECaaS等云服务的身份鉴别、存储加密、传输加密、完整性保护等，具体如下：a)对访问云服务及云服务控制台的云平台管理用户、云租户管理员进行身份鉴别。b)对文件/对象进行存储加密。c)对云服务的身份鉴别信息、重要业务信息、重要审计信息、个人敏感信息、重要业务日志、告警信息、虚拟机信息、容器镜像信息等重要业务数据进行存储加密。d)对网络边界云服务，如VPN，负载均衡，WAF，云堡垒机，弹性云服务器等涉及的传输通道进行传输加密。e)对IAM服务访问控制信息、操作日志等重要数据进行完整性保护。f)若云平台内置密码模块，则云服务调用云平台密码模块，实现身份认证、传输加密、存储加密等密码应用能力。g)若云平台不含密码模块，则云服务从云基础设施中调用云平台密码资源，实现身份认证、T/HBCCIA0001—2024传输加密、存储加密等密码应用能力。运营管理系统运营管理系统属于面向云平台管理用户的典型云平台应用系统，其密码应用主要涉及接入身份鉴别、完整性保护、证书管理等，具体如下：a)对访问云平台运营管理系统的云平台管理用户进行身份鉴别。b)对身份鉴别信息、云服务产品信息、营销信息、状态信息、云租户信息等重要数据进行完整性保护，防止重要数据被非法获取和恶意篡改。c)针对云平台管理用户外部接入管理链路，支持链路加密防护，实现外部链路HTTPS安全传输。d)对云平台管理用户登录服务控制台访问服务、OS等相关账号进行登录口令保护。e)若云平台内置密码模块，运营管理系统调用云平台密码模块，实现身份认证、外部链路加密、口令保护、完整性保护、存储加密、证书管理等密码应用能力。f)若云平台不含密码模块，运营管理系统从云基础设施中调用云平台密码资源，实现身份认证、外部链路加密、口令保护、完整性保护、存储加密、证书管理等密码应用能力。运维管理系统运维管理系统属于面向云平台管理用户和云租户管理员的典型云平台应用系统，其密码应用主要涉及接入身份鉴别、完整性保护、证书管理等，具体如下：a)对访问云平台运维管理系统的云平台管理用户、云租户管理员进行身份鉴别。b)对运维管理系统的访问控制策略、数据库访问控制信息进行完整性保护。c)对身份鉴别信息、云资源管理信息、操作日志、告警信息、运维文件（配置文件、云租户信息等）等重要数据进行完整性保护，防止重要数据被非法获取和恶意篡改。d)针对云平台管理用户、云租户管理员外部接入管理链路，支持链路加密防护，实现外部链路HTTPS安全传输。e)对云平台管理用户、云租户管理员等登录服务控制台访问服务、OS等相关账号进行登录口令保护。f)若云平台内置密码模块，运维管理系统调用云平台密码模块，实现身份认证、外部链路加密、口令保护、完整性保护、存储加密、证书管理等密码应用能力。g)若云平台不含密码模块，运维管理系统从云基础设施中调用云平台密码资源，实现身份认证、外部链路加密、口令保护、完整性保护、存储加密、证书管理等密码应用能力。6.2.2应用规范云数据中心.1电子门禁系统电子门禁系统应对重要物理区域（设备机房）出入人员的身份进行鉴别，保证进入重点物理区域人员身份的真实性，其密码应用应遵循以下规范：a)应部署经商用密码检测认证合格的的电子门禁系统产品。b)电子门禁系统应遵循GM/T0036，且具有商用密码产品认证证书。c)电子门禁系统应通过HMAC-SM3、基于SM4的MAC（参考GB/T15852.1）或数字签名等方式实T/HBCCIA0001—2024现重要区域门禁出入记录数据存储的完整性保护。注：根据网络安全相关要求，电子门禁记录数据.2视频监控系统视频监控系统密码应用应遵循以下规范：a)应部署经商用密码检测认证合格的视频监控系统产品。b)视频监控系统产品应通过HMAC-SM3、基于SM4的MAC（参考GB/T15852.1）或数字签名的方式实现重要区域视频监控数据存储的完整性保护。注：根据网络安全相关要求，视频监控记录数据云平台.1云基础设施云基础设施为云平台中各云服务、运营管理系统及运维管理系统等提供密码资源以及通用资源，在应用过程中，其密码应用应遵循以下规范：a)针对云基础设施中的云平台密码资源，涉及的密码产品应遵循相关密码标准和技术规范的要求，并经商用密码检测认证合格。b)针对云基础设施中的云平台通用资源，如需使用密码芯片或密码模块，密码芯片应遵循GM/T0008，密码模块应遵循GB/T37092二级及以上安全要求。密码芯片或密码模块应经商用密码检测认证合格。.2云平台密码模块云平台若内置密码模块，可为云服务、运营管理系统、运维管理系统等提供密码运算、密钥管理以及证书签发功能。在使用过程中，应遵循以下应用规范：a)密码运算：1)云平台密码模块应具备对称、非对称、杂凑等密码算法运算能力，以及身份鉴别、访问控制和远程安全管理能力，应确保各云服务及各子系统间密码运算模块间的安全隔2)云平台密码模块应遵循GB/T37092、GB/T35276、GB/T32905、GB/T32907、GB/T32918的相关要求，并通过相应等级的密码模块认证，且经商用密码检测认证合格。3)云平台密码模块如支持IPSec协议、SSL协议，应遵循GB/T36968、GB/T38636的相关要求，并经商用密码检测认证合格。b)密钥管理：1)云平台密码模块应提供密钥操作、密钥分配、KMS密钥托管与密钥生命周期等密钥管理功能。2)云平台密码模块应支持对称、非对称等多种密码算法的密钥及密钥对管理。3)云平台密码模块应支持密钥相关策略的管理功能。4)云平台密码模块应支持云服务或运营运维场景下的密钥数据权限隔离。5)云平台密码模块应支持限制可创建密钥的类型、可创建密钥的数量。6)云平台密码模块应建立密钥安全传输通道，安全通道若采用SSL/TLCP协议时，应符合GB/T38636的相关要求。7)若采用自定义密码协议，使用的密码技术应以国家标准或行业标准发布，并通过国家T/HBCCIA0001—2024密码管理部门审查鉴定，或取得国家密码管理部门同意使用的证明文件。c)证书签发：云平台密码模块若提供证书签发功能，应遵循GB/T25056的相关要求，采用符合GM/T0034要求的密码产品建设数字证书认证系统。1)证书及CRL格式应遵循GB/T20518的相关要求。2)云服务商若通过云平台密码模块的证书签发功能向云租户应用系统提供电子政务电子认证服务，应当经国家密码管理部门认定，依法取得电子政务电子认证服务机构资质。3)证书签发功能可支持为云服务、云平台管理用户、云平台应用系统等提供证书服务，包含且不限于支撑云服务及云平台应用系统的身份认证、云平台管理用户的USBKey身份认证、登录云平台设备的用户身份认证、云平台应用系统的SSL证书等。4)证书签发可支持安全隔离设计机制，实现云服务、云平台管理用户、云平台应用系统等之间的安全隔离。.3云服务IaaS、PaaS、SaaS、SECaaS等云服务在实现身份认证、传输加密、存储加密等密码应用时，应遵循如下应用规范：a)应采用密码技术对登录云服务的用户进行身份鉴别。b)云服务的传输加密应遵循GB/T38636的相关要求。c)应采用密码技术保证云服务的重要数据在传输过程中的机密性。d)应采用密码技术保证云服务的重要数据在存储过程中的机密性。e)宜采用密码技术保证云服务的重要数据在传输过程中的完整性。f)宜采用密码技术保证云服务的重要数据在存储过程中的完整性。g)若云服务的重要数据被非法篡改应及时告警。.4运营管理系统运营管理系统在实现身份认证、外部链路加密、口令保护、完整性保护、存储加密、证书管理等密码应用时，其应用规范如下：a)应采用密码技术对登录运营管理系统的云平台管理用户进行身份鉴别。如采用证书/USBKey、PIN码的双因子认证方式实现用户登录系统的身份鉴别。b)应采用密码技术保证运营管理系统的重要数据在存储过程中的机密性。c)应采用密码技术保证运营管理系统的重要数据在传输过程中的机密性。d)宜采用密码技术保证运营管理系统的重要数据在存储过程中的完整性。e)宜采用密码技术保证运营管理系统的重要数据在传输过程中的完整性。f)若运营管理系统的重要数据被非法篡改应及时告警。g)应采用密码技术实现云平台管理用户从外部接入运营管理链路的安全认证。h)应采用密码技术实现云平台管理用户登录运营管理系统账号口令的机密性和完整性保护。i)运营管理系统宜具备统一证书管理能力，对云服务使用的SSL证书等提供统一生成、分发、更新、导入、备份、吊销、到期提醒等功能。T/HBCCIA0001—2024注：运营管理系统的重要数据包括身份鉴别信息、云服务产品信息、营销信息、状态信.5运维管理系统运维管理系统在实现身份认证、外部链路加密、口令保护、完整性保护、存储加密、证书管理等密码应用时，其应用规范如下：a)应采用密码技术对登录运维管理系统的云平台管理用户、云租户管理员进行身份鉴别。如采用证书/USBKey、PIN码的双因子认证方式实现用户登录系统的身份鉴别。b)应采用密码技术保证运维管理系统的重要数据在存储过程中的机密性。c)应采用密码技术保证运维管理系统的重要数据在传输过程中的机密性。d)宜采用密码技术保证运维管理系统的重要数据在存储过程中的完整性。e)宜采用密码技术保证运维管理系统的重要数据在传输过程中的完整性。f)若运维管理系统的重要数据被非法篡改应及时告警。g)针对云平台管理用户、云租户管理员从外部接入运维管理链路时，应在云平台边界部署支持商密及满足对应安全等级密码模块的SSLVPN网关，配合端侧商密浏览器，实现外部链路传输加密。h)应采用密码技术实现云平台管理用户登录运维管理系统账号口令的机密性和完整性保护。i)运维管理系统应具备统一证书管理能力，对云资源使用的SSL证书等提供统一生成、分发、更新、导入、备份、吊销、到期提醒等功能。6.3云租户密码应用架构6.3.1架构设计架构概述根据政务云整体规划和密码应用成熟度水平，以法律法规和标准规范为指引，云租户密码应用可通过密码资源和密码平台两种服务架构实现，见图6-4和6-5。密码资源服务架构.1架构概述根据密码资源的建设情况，密码资源服务架构通常分为以下两种情况：a)在政务云平台统一建设的云密码资源，直接面向云租户应用系统提供密码服务。b)云租户自行购买的密码产品托管在政务云平台，供云租户自己的业务应用使用，形成密码资源用户专区。.2云密码服务这种架构下，通过云密码资源的各类密码服务调用接口，为云租户应用系统提供IPSec/SSLVPN、数字证书认证、数据加解密、签名验签、电子签章等密码服务。.3云租户应用系统不同云租户的应用系统程序、数据及调用的密码服务相互独立且互不可见。T/HBCCIA0001—2024密码平台服务架构.1密码服务平台密码服务平台通常由密码资源池、云密码服务、统一密码服务管理、密码服务认证及调用接口等部分组成。a)密码资源池1)资源注册、分组和调度：密码资源池通过密码资源管理模块对底层的云密码资源进行资源注册，根据业务需要以云租户业务应用为对象对其使用的密码资源进行分组，不同分组间密钥及其他敏感安全参数隔离。通过组合调度构成虚拟机集群，并通过统一的密码资源接口为业务系统提供密码服务。2)资源监控：密码服务平台的统一密码服务管理模块对密码资源池中的密码资源进行全局监控，包括密码资源监控、应用使用情况等。b)云密码服务云密码服务包含通用密码服务、典型密码服务、密钥管理。1)通用密码服务：为云租户应用系统提供的基础密码功能服务，包括数字证书服务、加解密服务、签名验签服务等。2)典型密码服务：基于通用密码服务能力，根据云租户应用系统场景需求将基础密码功能进行业务化封装，满足不同场景化密码需求的密码功能服务，包括电子签章、动态口令、时间戳、协同签名等密码服务。3)密钥管理：为通用密码服务和典型密码服务提供密钥全生命周期安全管理功能支撑，包括密钥的产生、分发、存储、使用、更新、轮转、归档、备份与恢复、销毁等环节，通过密码资源池对不同云租户密码应用中的密钥进行隔离。c)密码服务接入认证及统一调用接口1)通过密码服务接入认证模块，对接入密码服务平台的云租户应用系统进行认证。2)通过接入认证的云租户应用系统才能接入密码服务平台。3)通过密码服务统一调用接口，根据访问控制策略，对接入密码服务平台的云租户应用系统的访问数据权限进行严格控制，避免越权访问造成数据泄露。4)密码服务平台可根据租户层和应用层的不同需求设计灵活的权限管理机制和安全控制策略，精准分配相应的接入权限，确保接入权限的严格管理与安全控制，保证同一租户下的不同应用能够高效、合规地进行数据交互，提升协同工作的效率与安全性。d)统一密码服务管理1)面向密码服务平台各层服务提供密码管理能力支撑，通过密码管理端工具实现密码资源和服务的运维和运营，提供可视化密码资源运维监控与统计分析。2)面向多云环境下密码资源的共享和调用，密码服务平台可预留与其他云平台进行安全通信的交互接口。.2云租户应用系统不同云租户的应用系统程序和数据相互独立且互不可见。这种架构下，每个云租户应用系统调用密码服务平台提供的密码服务，实现身份鉴别、访问控制、数据安全防护等。T/HBCCIA0001—2024图6-4云租户密码资源服务架构图6-5云租户密码平台服务架构T/HBCCIA0001—20246.3.2应用规范概述云租户密码应用包含密码服务平台服务架构和密码资源服务两种架构，本文件主要对密码服务平台架构的服务规范进行描述，密码资源服务架构涉及的相关规范可参考本章节。密码资源池这种架构下,密码资源池中的密码产品通过服务接口，按需向云租户应用系统提供密码服务。为了对密码资源进行有效管理，密码资源池中需要对密码产品服务层的密码资源进行创建、销毁、配置和漂移等管理。a)接入的各种密码产品应经商用密码检测认证合格。b)接入通用密码服务层和典型密码服务层的密码产品应遵循的技术规范，参照节遵循的规范文件。云密码服务.1概述云密码服务通常包括密钥服务、通用密码服务和典型密码服务，其通用性服务规范如下：a)密钥服务为云租户应用系统提供密钥操作、密钥分配、KMS密钥托管与密钥生命周期管理等功能，实现密钥生成/停用/作废、密钥属性定义、密钥按需分配、签名私钥分片、密钥托管及密钥生命周期管理等功能服务。b)通用密码服务通过服务接口为上层(典型密码服务层和应用层)提供与密码资源无关的透明密码应用支撑。通用密码服务包括数字证书服务、数据加解密服务、签名验签服务等。c)典型密码服务根据云租户应用系统的应用场景需求进行业务化密码功能封装，提供多样化密码功能服务，满足不同的场景化密码需求。典型密码服务包含通道加密、电子签章、动态口令、时间戳、协同签名等服务，典型密码应用服务通过调用通用密码服务实现。d)通用密码服务和典型密码服务应支持云平台多租户部署，以服务租赁的方式为云租户提供服务。支持按云租户分配服务资源，按云租户应用系统进行服务配额管理，并支持按需弹性扩展。e)通用密码服务和典型密码服务应支持同时向多个云租户提供服务，采用安全隔离设计机制，有效保证不同租户单位间身份、服务等数据安全隔离。f)通用密码服务和典型密码服务应支持OAuth、OIDC、LDAP、Radius等标准协议下的接入认证，保障云租户应用系统接入时的身份真实性。g)云租户应用系统调用通用密码服务和典型密码服务时宜建立采用密码技术保护的安全通信信道，保障系统重要数据的传输安全。安全通信信道若采用SSL/TLCP协议、IPSec协议等密码协议，应符合GB/T38636、GB/T36968等密码国家标准、行业标准相关要求。h)实现通用密码服务和典型密码服务涉及的密码产品应遵循相关密码标准和技术规范的要求，并经商用密码检测认证合格。.2密钥服务密钥服务可提供基于多种商用密码算法的密钥管理服务，其服务规范如下：T/HBCCIA0001—2024a)支持密钥相关管理操作，包括密钥的生成、更新、备份、导入/导出、销毁等。b)支持密钥相关策略的管理功能。c)支持按租户间密钥数据权限隔离。d)支持按租户内应用间密钥数据权限隔离，并为租户内应用间密钥数据设计授权方式。e)支持限制可创建密钥的类型、可创建密钥的数量。f)密钥传输通信遵循GM/T0110的相关要求。g)密钥安全传输通道时，若采用SSL/TLCP协议，应符合GB/T38636的相关要求；若采用自定义密码协议，应经商用密码检测认证合格。.3通用密码服务通用密码服务通常包括数字证书服务、数据加解密服务、签名验签服务等，其服务规范如下：a)数字证书服务1)支持数字证书相关管理操作，包括证书的申请、下载、更新、重发、作废、查询、归档等。2)支持数字证书相关策略的管理功能。3)证书认证系统和相关的密钥管理系统建设应遵循GB/T25056的相关要求。4)数字证书以及CRL格式应遵循GB/T20518的相关要求。5)政务活动中电子公文、电子印章、电子证照等涉及的电子认证服务，应当由依法设立的电子政务电子认证服务机构提供。b)数据加解密服务1)提供数据加解密功能，为云租户应用系统提供重要数据在存储过程、传输过程中的机密性和完整性保护。2)针对云租户应用系统中的身份鉴别密钥、数据加密密钥，应使用经商用密码检测认证合格的密码产品对密钥的生成、存储、分发、使用、备份与恢复、归档、销毁等环节进行安全管理。3)针对云租户应用系统之间的通信数据加密，以及对云租户应用系统存储数据加密的密钥，应使用经商用密码检测认证合格的密码产品将密钥妥善保存。密钥还应进行严格的生命周期管理，定期进行更换。c)签名验签服务1)为云租户应用系统的操作行为不可否认性提供签名验签功能。2)为云租户应用系统访问用户的身份鉴别、操作行为的不可否认性提供证书解析与认证功能。3)为云租户应用系统密钥安全分发提供数字信封制作及验证功能。4)数字签名格式和使用要求应遵循GB/T37092、GB/T38629的相关要求。.4典型密码服务典型密码服务通常包括SSL/IPSecVPN服务、安全认证网关服务、电子签章服务、动态口令服务、时间戳服务、协同签名服务等，其服务规范如下：a)SSLVPN服务1)为云租户应用系统的业务访问通道提供客户端验证服务端的单向认证功能。2)为云租户管理员的远程运维通道提供客户端和服务端双向认证功能。T/HBCCIA0001—20243)为云租户应用系统的业务访问通道、远程运维通道提供重要数据在传输过程中的机密性和完整性保护功能。4)为云租户应用系统提供网络边界访问控制信息的完整性保护功能。5)涉及密码产品应遵循GB/T38636的相关要求。b)IPSecVPN服务1)为云租户应用系统的跨机房数据传输通道提供用户身份认证功能。2)为云租户应用系统的跨机房数据传输通道提供重要数据在传输过程中的机密性和完整性保护功能。3)为云租户应用系统提供网络边界访问控制信息的完整性保护功能。4)涉及密码产品应遵循GB/T36968的相关要求。c)安全认证网关服务1)为实现云租户应用系统访问用户在登录系统时的身份鉴别提供身份认证功能。2)为云租户应用系统业务访问通道提供重要数据在传输过程中的机密性和完整性保护功3)为云租户提供使用一次身份鉴别即可以访问多个应用系统的单点登录功能。4)涉及密码产品应遵循GM/T0026的相关要求。d)电子签章服务1)为云租户业务应用系统提供电子签章及验证功能，保证电子文档的来源真实性、数据完整性、签章行为的不可否认性等。2)涉及密码产品应遵循GB/T38540的相关要求。e)动态口令服务1)为实现云租户PC端及移动端应用系统访问的身份鉴别提供身份认证功能。2)涉及密码产品应遵循GB/T38556的相关要求。f)时间戳服务1)为云租户应用系统提供时间戳生成及校验功能，保证应用系统中业务操作时间、2)电子文件生成时间、电子签名的签署时间等时间的准确性和不可否认性。3)涉及密码产品应遵循GM/T0033的相关要求。g)协同签名服务1)为实现云租户移动端应用系统访问用户的身份鉴别提供身份认证功能。2)为云租户移动端应用系统提供重要数据在传输过程中的机密性、完整性保护功能。3)发起方和协作方可采用身份鉴别机制进行单向或双向鉴别。4)发起方和协作方可采用安全协议保护通信消息的机密性和完整性。5)在密钥对协同生成过程中，应对协作方进行身份鉴别并保护通信消息的完整性。6)涉及密码产品应遵循GB/T38646的相关要求。T/HBCCIA0001—2024云密码管理.1概述基于“标准统一、安全隔离、实时监控”的云密码管理机制，通过密码服务平台为云平台管理用户提供密码资源管理、密码服务监控等管理能力，保障云密码服务的稳定性、可靠性和可维护性。云密码管理具体要求如下：a)提供密码资源的管理能力，包括密码资源的纳管、运维、配置和监控，以及各云租户间密码资源的安全应用和安全隔离等。b)提供密码服务的监控能力，包括日志采集、状态监控及统计分析等。.2密码服务平台要求密码服务平台是实现云密码管理功能的核心管理平台，其自身的管理要求和安全要求如下：a)管理要求1)支持分权管理，不同权限的平台管理员按照既定策略进行管理操作。2)支持以日志形式对登录认证、系统配置、密钥管理等操作以及认证失败、非法访问等异常事件进行记录，并采用密码技术保证记录数据的完整性。3)支持对日志记录进行统计、查询、分析及生成审计报表。b)安全要求1)密码服务平台与云平台管理端之间、与云应用之间、与密码资源之间的通信应采用密码技术建立安全的信息传输通道。通道若采用SSL/TLCP协议应遵循GB/T38636的相关要求，若采用IPSec协议应遵循GB/T36968的相关要求。2)自定义密码协议应符合密码国家标准、行业标准的相关要求。3)应通过双因子认证方式来实现用户身份鉴别，且应至少有一种方式应采用动态口令机制、基于对称密码算法或密码杂凑算法的消息鉴别码（MAC）机制或基于公钥密码算法的数字签名机制等密码技术。身份鉴别机制应符合GB/T15843的相关要求。4)支持采用密码技术实现账户信息、配置信息、日志记录等平台重要数据在传输过程中的机密性和完整性保护，以及在存储过程中的完整性保护。.3密码资源管理要求密码资源管理功能要求如下：a)密码资源接入1)支持不同厂商的密码资源按照GB/T36322相关要求接入与移除。2)密码资源接入时应进行型号、可用性校验，并获取设备厂商、设备类型等相关基础信息进行维护。b)密码资源分组1)支持对密码资源分组进行新增、删除等管理。2)支持分组内密码资源的加入与移除（静态扩缩容）。3)支持不同分组间密钥及其它敏感安全参数的隔离。4)支持分组间密钥及其它敏感信息的同步，同步过程中应采用密码技术手段保证数据的机密性。c)密码资源调度T/HBCCIA0001—20241)支持密码资源动态调度（包括动态分配和扩缩容等），提高密码资源利用率。2)支持为接入业务系统划分独立使用的密码资源。d)密码资源监控1)支持对密码资源进行健康检测，发现资源异常时，能够停止对该资源的调度并采取处置措施。2)支持对密码资源进行全局使用监控，包括密码设备监控、密码应用监控等。.4密码服务监控要求密码服务监控功能要求如下：a)支持对通用密码服务与典型密码服务的日志进行统一采集、分析与管理。b)支持对通用密码服务与典型密码服务进行配置管理。c)支持对通用密码服务与典型密码服务状态进行监控与告警。d)支持扩展密码运行安全监测功能，或支持与云外相对独立的密码运行安全监测系统进行对接交互，基于密码资源、密码应用和密码服务的相关基础数据，做合规性、安全性分析处理，保障云平台和云租户应用系统的密码运行安全。T/HBCCIA0001—2024（资料性附录）政务云典型业务架构设计说明A.1架构概述政务云业务架构主要从政务云平台和政务云租户两个层面来设计。架构由物理资源（云数据中心、云基础设施、云共生应用资源池等）、云平台应用系统（云计算管理平台、运维管理系统、运营管理系统等）、政务云服务（IaaS、PaaS、SaaS、SECaas等）和云租户应用系统组成。图A.1政务云典型业务架构图A.2政务云平台A.2.1物理资源云数据中心包括电子门禁系统、视频监控系统、消防系统、动环监控系统等，为云基础设施、云共生应用资源池提供物理设施支撑。云基础设施主要包括计算设备、存储设备、网络设备、安全设备等，由云计算管理平台统一配置管理，分别向云服务（IaaS、PaaS、SaaS、SECaas）、云平台运营管理系统和云平台运维管理系统提供云资源支撑。云共生应用资源池相对独立于云平台而运行，用于部署云租户服务专区的云资源，以及合作厂商托管在云平台的各类软硬件设备。A.2.2云平台应用系统A.2.2.1云计算管理平台云计算管理平台用于管理计算、存储、网络、安全等各类物理资源，抽象成IaaS、PaaS、SaaS、SECaaS等各类云服务，并支撑云平台运维管理系统、运营管理系统对云服务的管理和调度。T/HBCCIA0001—2024A.2.2.2云平台运维管理系统云平台管理用户中的运维人员通过云平台运维管理系统，管理和维护各类云服务。主要功能包括监控管理、日志管理、告警管理、系统维护、灾备管理、多云管理等。A.2.2.3云平台运营管理系统云平台管理用户中的运营人员通过云平台运营管理系统，管理和维护各类云服务产品信息、营销信息、使用状态，以及各个云租户信息。主要功能包括服务目录管理、用户管理、组织管理、计量计费、资源编排、配置管理等。A.2.3政务云服务政务云服务包括但不限于IaaS、PaaS、SaaS、SECaaS，具体如下：政务云基础设施即服务(IaaS)主要包括计算服务（虚拟主机、裸金属、镜像、备份等）、存储服务（块存储、对象存储、文件存储等）、网络服务（VPC、VPN、负载均衡等）。政务云平台即服务(PaaS)主要包括AI（人工智能）、大数据、数据库、中间件、容器等软件开发和运行平台服务。政务云软件即服务(SaaS)主要包括云会议、云短信、云邮箱、云网盘、云桌面等通用软件服务。政务云安全即服务(SECaaS)主要包括主机安全、态势感知、防火墙、漏洞扫描等安全应用服务。A.3政务云租户政务云租户的典型应用系统包括但不限于以下类别：党政办公（协同办公、资金管理、人事管理等）、社会管理（城运中心、应急指挥、社会治理等）、行业监管（经济监测、路桥监测、环境监测等）、公共服务（办事大厅、智慧社区、企业服务等）。T/HBCCIA0001—2024（资料性附录）政务云密码应用架构设计说明B.1设计概述本文件中，政务云密码应用总体架构采用云平台密码应用和云租户密码应用分开设计的原则，支撑云平台和云租户两侧密码资源以相对独立的方式分开建设和部署。若政务云平台同时为云上应用提供密码支撑能力，政务云平台自身的密码资源池应和云上应用署。”B.2分开设计说明B.2.1建设需求首先，政务云云平台和云租户密码保障系统建设的责任主体不同：针对云平台自身密码应用的密码保障系统建设，其责任主体为云平台的运营者（如云服务商），针对云租户应用系统密码应用的密码保障系统建设，其责任主体为云租户（如政务部门）；其次，在政务云密码保障系统建设中，首先应考虑的是云平台自身的安全、合规性问题，其次才是面向云租户应用系统的密码服务能力，在建设顺序上存在先后。综上，云平台和云租户的密码保障系统建设很难统一完成，采用分开设计和建设在现阶段政务云密码实践中具有更好的实时性和灵活性。B.2.2应用需求政务云云平台和云租户的密码应用需求不同（见5.2节），按照云平台和云租户两侧的密码需求，合理、合规的分开建设密码资源，可实现云平台和云租户的安全隔离（包括密钥隔离、服务隔离、管理隔离、运营隔离等层面），有助于政务云服务商在云密码服务中快速准确的定位、分析和解决出现的安全问题，提高云密码服务的运维效率和安全水平。B.2.3运行需求面向政务云云平台和云租户的密码资源消耗不同，如采取统一建设密码资源的模式，可能造成云平台和云租户在调用密码资源时出现资源冲突，从而影响云平台和云租户应用系统的稳定运行；而分开建设模式在保障云平台相对稳定的密码资源需求的同时，也能单独保障云租户相对波动的密码资源需求，实现云平台和云租户两侧都具备密码持续应用能力。从云平台侧来看，政务云服务商可根据云平台和云租户两侧的密码资源需求分别进行优化升级，互不干涉、互不冲突；从云租户侧来看，由于云租户密码服务架构相对独立，即使政务云平台版本升级甚至更换云平台厂商，也不影响云租户密码服务架构快速规划至新版云平台的整体密码架构中。B.2.4优化建议此架构下密码资源分区建设和管理，可能造成一定的建设成本和管理成本的增加。针对此问题，可采用“共建共享”模式降低密码资源的初期建设和运营成本。T/HBCCIA0001—2024模式。参与各方投入各自优势资源（如云服务商投入运营资B.2.5两种云租户密码服务架构的说明B.2.5.1建设方式基于密码资源服务架构，采用相对独立的方式分开建设密码资源；基于密码平台服务架构，采用集约化方式建设统一的密码服务平台。两种架构的设计图见图B.1和图B.2。图B.1云租户密码资源服务架构图B.2云租户密码平台服务架构T/HBCCIA0001—2024B.2.5.2资源调用若采用密码资源服务架构，云租户应用系统直接调用各自分配的密码资源服务接口，使用密码保护功能，实现密码资源的独立管理和应用；若采用密码平台服务架构，云租户应用系统调用密码服务平台提供的标准统一的云密码服务接口，实现密码资源的统一管理和应用。注：如果涉及多个政务云之间调用密码资源，可参考本文件在单个政务云内部合规建设和B.2.5.3应用场景密码资源服务架构适用于云平台上云租户应用系统数量较少、密码服务功能及性能要求不高的情况，建设成本相对较低，但密码资源的弹性拓展能力和复用性较差，不便于统一标准化管理；密码平台服务架构适用于云平台上云租户应用系统数量较多、密码服务功能及性能要求较高且需要统一运维的情况，密码资源及密码功能可分阶段按需弹性建设，密码资源拓展性和复用性较好，便于统一标准化管理，但建设成本相对较高。T/HBCCIA0001—2024（资料性附录）云平台密码应用方案范例C.1背景遵循《中华人民共和国密码法》、GB/T39786等相关法律法规和标准规范，结合政务信息系统商用密码防护需求，WHXXXX公司在WH市政务云（以下简称“政务云”）应用商用密码技术，构建合规、安全的密码防护体系，提升WH市政务云云平台（以下简称“云平台”）自身安全防护能力，同时向云租户应用系统的密码应用提供云基础设施支撑。C.2系统概述C.2.1基本情况系统名称：WH市政务云云平台项目建设单位名称：WHXXXX公司项目建设单位地址：HB省WH市XXXX号密码管理行政部门：HB省密码管理局云平台已完成等保定级备案工作，等级为第三级，云平台的密码应用遵循GB/T39786第三级密码应用基本要求设计及建设。C.2.2计算平台现状C.2.2.1物理环境云平台采用机房租赁方式，部署在通信运营商ZGDX-XXX数据中心XXX机房，该数据中心已获得中国质量认证中心颁发的增强级（GB50174-2017A级）认证证书，日常安全管理责任由数据中心建设和运营方ZGDX公司负责。数据中心内设置有能源动力楼、数据中心楼、管理中心楼等相关设施，并配备专人24小时值守。外部人员进出实行提前报备、到访登记、全程陪同等制度，内部人员进出实行专用工作卡定期发放和更新制度。数据中心的重要区域均部署了电子门禁系统、视频监控系统、消防系统等，机房内部还部署了气体消防系统和动环监控系统。C.2.2.2网络环境云平台的网络架构采用分区、分平面原则，根据业务系统情况将网络划分政务外网区、互联网区、管理区以及安全交换区，网络拓扑见图C.1。按照政务云网络安全要求，政务外网区和互联网区物理隔离，两个区域需要数据交换时，通过网闸/防火墙组成的安全数据交换区来进行。云平台主要存在三