摘 要:按照《政务云安全要求》(GW 0013-2017)、《政务领域政务云密码应用与安全性评估实施指南》(2024版)等行业标准和技术规范的建设要求,信创政务云平台自身密码资源池与云上租户业务系统密码资源池应分开部署,明确服务界面、安全界面的责任分工。本案例着重从信创政务云平台自身密码资源池部署与云上租户业务系统密码资源池部署两大层面,阐述网御星云在信创政务云密评密改领域的建设实践工作。

关键词:信创政务云 信息技术应用创新 密评密改建设 密码应用安全建设

前言

当前,信创政务云(以下简称“信创云”)已成为政务云领域建设的主要方向,旨在实现政务业务跨部门安全协同办理、政务数据安全开放共享和数据资源安全高效利用。

《政务云安全要求》(GW 0013-2017)明确规定:政务云自建的统一密钥管理系统,应确保不同云服务客户间(使用政务云的各级政务部门,如各委办局单位)的密钥隔离,政务云平台所使用的密钥和云服务客户密钥不得在同一系统中进行管理,政务云平台的服务管理人员和密钥管理人员不得兼任。

《政务领域政务云密码应用与安全性评估实施指南》(2024版)明确提出:针对政务云平台所处不同机房或跨不可控区域的情况,应分别部署密码资源池(物理设备);若政务云平台同时为云上应用提供密码支撑能力,政务云平台自身的密码资源池应与云上租户业务应用的密码资源池分开部署。

建设内容

本项目建设内容主要包括信创云平台自身密码资源池构建和云上租户业务系统密码资源池构建两大部分。如下图:

信创云密评密改建设内容示意图
打开网易新闻 查看精彩图片
信创云密评密改建设内容示意图

特别说明的是,在密码应用层中,信创云平台自身和云上业务系统通过对接各自独立的密码资源池服务接口,按需提供密码服务和密码运算能力。

部署实践

首先,为满足信创云环境下国产密码技术应用的合规性、安全性和有效性需求,需要在信创云政务外网区、互联网区分别构建相应的密码资源池,以便为两大安全区域的云管理平台、云上租户业务系统独立提供密码服务支撑。如下图:

信创云密评密改建设部署示意图
打开网易新闻 查看精彩图片
信创云密评密改建设部署示意图

其次,为实现云平台自身密码资源池与云上租户业务应用密码资源池的分隔部署,需要在信创云互联网区的云管理平台、云上租户业务系统分别构建密码资源池,将云平台自身所需密码服务与云上租户业务系统所需密码服务相互分离,明确安全界面、服务界面的责任分工。

其中,信创云互联网区云平台自身所需密码服务由独立的服务器密码机、签名验签服务器、VPN安全网关等设备设施构建的密码资源池提供;而云上各委办局业务系统所需密码服务由密码服务管理平台、云服务器密码机、签名验签服务器、VPN安全网关、SDP安全网关和密钥管理系统等设备设施构建的密码资源池提供。

信创云政务外网区云平台自身及其云上业务系统所需密码资源池构建方式同上,其应用部署模式亦然。

最后,考虑到信创云政务外网区、互联网区密码资源池均需要通过密码服务管理平台纳管和调度,可利用网御密码服务管理平台特有的“管服分离”设计架构,只需在政务外网区部署密码服务管理平台,并在互联网区部署密码服务子节点系统即可满足实际需求。这种部署方案不仅有效降低了实施交付难度,节省项目建设成本,更为构建一体化密码安全运营中心奠定坚实基础。

结语

面对当前复杂的网络空间安全形势,网御星云始终致力于为各级政务部门、企事业单位提供创新型密评密改保障体系建设工作,助力用户全面提升商用密码应用安全保障能力,协同推进重要网络和信息系统商用密码体系构建,积极为国家商用密码事业的高质量发展贡献绵薄之力。