国密应用及改造——政务云密码服务方案篇

国密应用及改造——政务云密码服务方案篇

发布时间：September 28, 2022

大家好！此前我们的「国密应用及改造」系列科普内容已经发布了4期，就这一热点话题，上海CA分别围绕政策、标准、测评、密评流程等维度进行了较为详细的科普， 今天我们将围绕政务云平台密码建设展开探讨。

政务云密码建设以服务省/市级政务云为核心，实现部门协同、一网办理，立足“顶层设计、汇聚共享、集约服务、增量创新”，依托政务云运营商平台的合规性建设，实现密码服务的统一运营、管理和应急响应能力。

作为上海市密码管理局指定的7家商用密码应用安全性评估支撑单位之一，上海CA从2018年开始参与金融和重要领域国产密码应用试点工作，先后参与完成宝山区、松江区、上海市档案局、上海市应急管理局等多家单位的密码安全性评估试点工作，参与上海市级、区级政务云密码服务平台建设，打造密码服务运营平台，形成云化密码服务能力，在密码产品和安全密码服务方面具有丰厚的咨询、建设和运营经验。

遵照法律法规相关要求，基于密码相关的政策、标准、密评要求及流程内容，结合上海CA在国密改造及咨询服务中的诸多成功经验，上海CA推出政务云密码服务方案并向大家分享，欢迎垂阅，若您有相关需求和疑问，欢迎致电 021-36393170咨询或探讨。

服务方案介绍

上海CA政务云密码服务通过上海CA密码云服务平台提供PaaS （Platform as a Service）模式的接入方式，支持多种载体和多种功能的灵活组合。系统提供纯后台 API 接口，开发者传入相关数据，返回验证结果，为各委办单位提供合法合规、安全可靠、便捷高效的安全密码服务。

上海CA密码云平台简介

上海CA密码云平台架构上分为设备层、平台层、系统层、服务层几个部分组成，并基于此向各委办局的业务系统提供相应密码服务，平台总体架构如下图所示：

上海CA云密码服务平台可以为客户提供SM2、SM3、SM4等各类基础算法能力、对称密钥及非对称密钥的全生命周期管理能力、各类证书的全生命周期管理能力、运维管理能力、用户管理能力、及密码服务能力。与此同时，上海CA可以通过该平台帮助用户建设和管理密码资源池，从而进一步满足用户各类密码服务需求。

通道安全建设方案

上 海市政务云要面向大量用户提供服务，承担着重要的业务职能且承受着巨大的并发访问压力。通过部署国密SSL 安全网关，可以将 SSL/TLS 繁重的数据加解密运算工作分离出来，使得 HTTPS 数据请求到达网关后进行快速卸载，应用服务器只需要处理HTTP明文数据，再加上SSL网关支持连接复用、数据压缩和高速缓存机制，整个数据中心系统效率能够得到数倍甚至十几倍的提升，同时也满足了相关安全要求。

除面向大量用户提供服务以外，还需面向各委办厅局业务系统提供数据交互服务（政务网业务），在该应用场景下，可采用国密SSL网关部署在委办厅局和政务云网络接入区，通过SSL网关为业务系统提供的安全代理功能和每秒数万笔业务的处理能力，可完全满足业务系统对吞吐率的要求，同时也符合GB/T 39786《信息安全技术 信息系统密码应用基本要求》针对网络和通信安全的密码应用需求。

平台服务框架

上海CA密码云服务平台整合密钥管理系统、云服务器密码机、软件密码模块等密码产品，通过通用密码中间件SDK或API接口，为政务云信息系统客户端（包括PC端、移动终端）、服务端提供定制化的时间戳、签名验签、安全认证网关、电子签章、可信密码等各类密码服务。同时平台管理员通过平台管理客户端，实现密码设备及服务的统一管理。

平台建设部署要依赖现有的网络、服务器、存储、安全设备等基础环境，尤其安全设备上，平台需单独划分为DMZ区、基础服务区、密钥管理区、数据库服务区、和密码核心区，同时充分利用现有防火墙、负载均衡、IPS、防病毒等相关安全产品对各区域进行逻辑隔离。

除上述政务云密码服务能力外，上海CA还可承担业务系统密码应用情况调研和前期规划评估、方案设计、辅助备案，以及改造实施过程中的软硬件部署配置、调试等工作，我们的商用密码安全服务团队还将在相应阶段根据项目实际情况为客户输出各种定制化解决方案。若您有相关需求或疑问，欢迎致电021-36393170咨询或探讨。