《信创与密码应用论坛(北京)-刘志乐《密码乘云,助力政府数字转型》(24页).pdf》由会员分享,可在线阅读,更多相关《信创与密码应用论坛(北京)-刘志乐《密码乘云,助力政府数字转型》(24页).pdf(24页珍藏版)》请在三个皮匠报告上搜索。
1、密码乘云,助力政府数字转型Cloud computing combined with password helps government digital transformation刘志乐Tony Liu首席安全官、高级副总裁Chief Safety Officer、Senior Vice PresidentCONTENTS目 录01.背景需求数字政府重磅政策落地,数字经济大潮下政府先行密码体系是网络安全环境的基础02.解决方案云上密码建设满足业务系统的数据安全,确保政务、企业、民生信息化建设的全方位、多层次、多维度的信息安全03.应用案例通过某市政务云、某省信创云应用案例展示云上密码建设对数
2、字化转型的实践效益2022 WEST L AKE CYBERSECURIT YCONFERENCE01背景需求数字政府重磅政策落地,数字经济大潮下政府先行密码体系是网络安全环境的基础国家要求:2022年06月23日日国办发布国务院关于加强数字政府建设的指导意见 时间节点:2025、2035两个重要时间节点,2025年数字政府体系框架基本形成,2035年数字政府基本建成。数字政府自身重点建设任务:“管、办”两方面齐发力。重视数据要素赋能,基础设施建设及安全保障成为重中之重。强化政务云平台支撑能力,统筹整合现有政务云资源,构建全国 一体化政务云平台体系;加强重点共性应用支撑能力,包括身份认证、电子
3、证照共享、数字档案、财政电子票据、非税收电子化等。将考核结果作为领导干部考核重要参考,组织、机制等方面的约束、考核体现了政策的重要性,相关措施有望成为建设的重要动力。01.数字政府重磅政策落地,数字经济大潮下政府先行云计算移动/互联业务隐私保护大数据n 数据即“价值”,数据即“未来”;n“大”数据,“有量”“有价值”;n 业务上云后的安全担忧;n 移动互联下的安全风险;n 隐私保护是法律、道德底线;n“开放”与“安全”的新命题;n“先进”与“风险”并存;n 安全的“老传统”与“新思想”。数据安全是数字化改革的基石01.数字化改革下安全的新思考社会公民企业部门亟需开放有价值数据,促进数字经济、数
4、字社会发展担心个人信息安全不敢开放不知如何开放担心商业秘密泄露01.数据共享开放下对数据安全的担忧中国的核心领域长期以来都是沿用3DES、SHA-1、RSA等国际通用的密码算法体系及相关标准,上述三种国际通行的密码算法体系均为美国机构提出,其中SHA-1是由美国国家安全局(NSA)设计,最为著名的RSA密码算法,则由三位麻省理工学院教授提出。但通用的国际密码算法频繁被爆出漏洞。01.国际算法 数据安全隐患国家要求:2019年12月30 日国办发布国家政务信息化项目建设管理办法要求:“同步规划、同步建设、同步运行密码保障系统并定期进行密码应用安全性评估”(三同步一评估)对于不符合密码应用和网络安
5、全要求,或者存在重大安全隐患的政务信息系统,不安排运行维护经费,项目建设单位不得新建、改建、扩建政务信息系统。公安部要求:2020年9月22日,公安部印发贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见要求:第三级及以上网络在规划、建设和运行阶段充分考虑符合要求的密码产品及服务,并在网络安全等保测评中同步开展商用密码应用安全性评估工作(三级系统要用密码过密评)01.密码应用国家标准发布国家密码管理局要求:2020年8月20日发布的商用密码管理条例(修订草案征求意见稿)要求:非涉密的关键信息基础设施、网络安全等级保护第三级以上网络、国家政务信息系统等网络与信息系统,其运营者应
6、当使用商用密码进行保护,同步规划、同步建设、同步运行商用密码保障系统,自行或委托商用密码检测机构开展商用密码应用安全性评估。国家密码管理局要求:第二章第十条 关键信息基础设施、网络安全等级保护第三级及以上信息系统,每年至少评估一次。01.密码应用国家标准发布88.6116.2899.51127.38151.64239.41.24%-14.42%28.01%19.05%57.88%18.21%23.67%33.14%-0.2-0.100.10.20.30.40.50.60.705003003504004505002012年2013年2014年2015年
7、2016年2017年2018年2019年2020年产业规模(单位:亿元)增长率受网络安全法和“十三五”国家信息化规划等政策法规驱动,商用密码产业规模大幅度上升受密码法实施影响,商用密码产业规模进一步上升01.当前密码产业背景 随着云计算产业的蓬勃发展,许多重要业务系统迁入云平台中,使得云计算的安全保障越来越重要。因此,应当营造安全可靠的云环境,切实保障专有云平台中各类业务系统的数据安全,确保政务、企业、民生信息化建设的全方位、多层次、多维度的信息安全,满足密码应用安全性评估要求。随着云计算、物联网、大数据、移动互联网的发展,缺乏数据有效保护手段,存在大量数据明文传输、明文存储现象密码设备种类、
8、厂家、用途及分布多样化;设备通信协议、系统架构、应用协议等多样化缺乏统一管理平台,在多密码设备的情况下,难以对系统调用的密码服务进行统一管控;缺乏安全运营机制,难以形成安全事件处置闭环业务系统种类繁多,单独进行密码建设容易形成资源浪费、统一管理困难;改造难度大,需要系统开发商集成国密接口01.业务上云 数据安全不容忽视统 统一基础,建设统一的密码基础支撑平台通过密码基础支撑实现网络可信互联、安全互通,为用户及各类智慧业务应用提供统一密码管理、密码监管、身份认证等密码基础支撑服务。保密码应用保障,为密码应用提供安全技术保障保障基于商用密码的数据全生命周期的安全,保障关键信息基础设施的安全,从感、
9、传、知、用四个层次形成一体化的密码技术保障体系。服利用密码应用支撑平台,提供统一的密码服务面向云端、物端、移动端提供跨域身份信任服务、电子印章服务、安全数据共享交换和安全移动办公等密码服务。管做好密码使用管理、监管和应用安全评估工作对城市态势提供有利的安全支撑、密码服务保障,加强对网络空间安全的密码监管、应用安全性评估和测评工作。01.云密码建设目标02解决方案云上密码建设满足业务系统的数据安全确保政务、企业、民生信息化建设的全方位、多层次、多维度的信息安全通过国产密码算法与密码技术,实现重要数据在传输、存储等场景中的安全防护数据安全防护根据密码应用国家标准要求,建设物理、网络、设备、应用四位
10、一体的密码保障体系国密体系建设具备密码能力整合、服务轻量化、管理统一的优势,可一站式满足用户多样化的密码应用需求,云上业务实现密码应用的最优选择。密码服务平台方案针对于国密改造难度大的问题,提供多种轻量化改造的解决方案,无需业务系统二次改造轻量化改造模式02.云上密码建设最优选是什么?产品定位密码服务平台,面向专有云平台云上系统提供集中化、虚拟化、透明化的密码服务产品核心能力面向各租户的信息系统提供多种密码服务,以服务调用的形式,满足密评要求各租户能够自由调度其下信息系统所使用的密码资源,实现密码资源的统一调度与管理各类密码服务与密码资源的监测预警02.密码服务平台架构设计 密码服务平台由密码
11、资源层、密码支撑层、密码服务层、密码管理后台组成,其中三层密码服务构成从低到高的层级关系,低层可为上层提供密码能力支撑。02.密码服务平台架构说明线上提供各类密码资源的申请服务各租户根据被测信息系统所需要的密码资源情况,在线上申请所需的密码服务,并实现密码应用改造,即可满足密评要求。传输加密服务:为多类型的终端提供传输加密服务,包括需集成改造的字段级传输加密、通过网络配置修改的流量拦截式加密;存储加密服务:提供不同颗粒度的存储加密服务,包括需集成改造的字段级存储加密、通过安装加解密软件的表级别存储加密。密码服务业务系统2业务系统1API网关API网关负载均衡密钥管理服务身份认证服务传输加密服务
12、存储加密服务完整性校验服务时间戳服务负载均衡密码支撑层密码资源层安全通道服务数字签名服务02.密码服务调用机构权限管理用户权限管理状态信息监测资源分配-机构资源分配-应用告警信息监测对不同租户支持不同的权限分配根据权限级别的设置,租户能够实现本单位密码管理员设立、密码资源调度、资源监测的功能密码管理员的设置在指定租户下,支持设立密码管理员。通过手机号、邮箱的信息填写,支持异常情况的报警机制密码资源的状态监测支持查看密码基础设施的负载情况,支持连接数、CPU、内存、磁盘等资源的组合或单独报表展现对不同机构实现密码资源的分配根据各机构的业务需要,实现某项密码资源的按需分配对不同应用实现密码资源的分
13、配根据所申请的密码资源,租户可对其应用进行密码资源的按需分配告警服务与告警日志支持查看密码基础设施的负载情况、使用情况02.密码资源管理 密码服务平台的支持弹性扩容的特点,能够满足功能不断扩展以及系统容量和用户数量不断增长的要求,使系统不会因将来内容和功能上的扩充而导致数据安全需求无法满足的情况。“集约化”理念 密码服务平台的建设,能够体现“集约化”的理念,减少了各单位为满足密码应用安全性评估的需要而重复投资密码基础设施,避免了安全系统的重复建设,节省密码应用领域的建设成本,节省支出。轻量化改造模式 密码服务平台提供多类型的密码服务,包括无需信息系统集成改造的透明传输加密、透明存储加密等,能够
14、应对政务云平台上多样化的信息系统,满足不同应用在密评上的需求,减少系统二次改造的成本。弹性可扩容02.优势特点03应用案例通过某市政务云、某省信创云应用案例展示云上密码建设对数字化转型的实践效益 考虑到平台接入的信息系统的网络架构、用户场景等情况的不一致性,调用的各类密码服务也会存在一定区别。以B/S架构系统为例,通过密钥管理服务、传输加密服务(透明)、存储加密服务(透明)、身份认证服务、完整性校验服务的调用,应用可以实现登录系统用户的统一身份认证、数据传输与存储的机密性、完整性保护。根据信息系统的情况,支持不同服务的勾选:l 传输加密服务:透明传输加密服务(B/S架构)、需改造的传输加密服务
15、l 存储加密服务:透明存储加密服务(表级别)、需改造的字段级存储加密服务03.典型场景云上政务系统接入l 结合浪潮政务云架构,搭建密码资源池l 各类密码服务需能确保多类型业务系统的密评需求l 一期建设的资源池体量能够满足两个系统的密评需求l 通过打造密评样板间,促使多个云上系统来调用密码服务项目背景核心诉求 根据GB/T39786-2021信息安全技术信息系统密码应用基本要求,某市工业和信息化局需要在浪潮政务云搭建密码资源池,组建各类密码服务,为云上系统提供合规的密码服务。一期规模密码服务平台建设清单序号产品名称单位备注1密码服务平台套管理后台2统一密钥管理平台套软件3软件密码模块套软件(应用
16、系统集成)4密钥管理系统套软件5协同签名系统套软件6传输透明加密系统套软件7数据库加密软件套软件(安装在数据库中)8透明传输加密专属服务器台硬件(密码基础设施)9云服务器密码机台硬件(密码基础设施)10SSL VPN安全网关台硬件(密码基础设施)11USBKey个硬件(密码基础设施)运维管理人员身份鉴别13签名验签服务器台硬件(密码基础设施)14时间戳服务器台硬件(密码基础设施)项目成果 目前密码服务平台已在浪潮云部署密码资源池,并通过两个系统(B/S架构、C/S架构)打造密评样板间。03.用户案例某市工信局政务云 服务内容项目背景 H省大数据局“信创云”,是全省统一规划的政务国产化云平台,基
17、于真正的国产化平台,有效保障信息安全,避免了国外芯片预留后门的问题。信创云建成后,将逐步承接各厅局政务系统的迁移,并提供整体的网络安全、密码应用安全防护措施。应用密码技术建立虚拟化安全机制,保障虚拟化安全;应用密码技术建立用户资源隔离机制,防止非授权访问;建立数据加密存储和传输机制,保障关键业务数据安全。信创系列国密产品加强国产密码应用敏感数据安全存储业务数据加密传输业务接入身份认证客户端无需安装插件应用“零改造”对接终端用户无感知操作项目成果本项目涉及大量旧有系统迁移改造,传统密码应用解决方案需要大量定制开发,我司多款密码产品不但可兼容适配信创云部署环境,且仅涉及少量改造或无需用户改造应用,
18、更加适合多租户环境,且部署管理方便,获得用户的高度认可。信创通过自主可控产品研发、自主可控算法替代,建立自主可控安全可靠的网络安全能力体系,其中以政务云平台的国产化覆盖最具代表性。H省、HZ市信创云密码建设项目满足信创及国密的双重建设要求,为全国各地信创云密码建设打响知名度。03.用户案例-某省信创云实践成果 密码服务平台目前已经在H市数据资源管理局、S市大数据发展管理局、K市工业和信息化管理局、Y省地矿测绘院等多个单位得到应用和实践。通过平台建设,打造行业标杆项目,各省市的大数据资源管理局提供借鉴与推广意义,强化密码在保障敏感数据等方面的支撑作用,助力政府数据产业快速安全发展。实践效益 实现密码资源的统一管理:利用平台化手段实现密码能力的整合、复用,提供各类密码服务,实现密码资源按需分配、弹性扩容。减少密码基础设施重复投资:建设标准统一、集约化的共性安全支撑平台,减少基础设施重复投资,避免安全系统重复建设。降低开发、运营和运维成本:实现密码业务的融合协同、应用的快速开发部署、安全的整体防护、资源的统一调配与管理,极大的降低了开发、运营和运维成本。保障信息系统运行安全:通过统筹设计云上系统的密码安全体系,尽可能消除政务云平台政务信息系统的安全隐患,保障政务数据运行质量和安全。03.密码服务上云成功实践与效益