商用密码应用解决方案编写指南

随着互联网的兴起，基于数字证书的PKI技术得到大力发展，经过技术不断的发展和创新，我国商用密码产业蓬勃发展。随着一系列密码算法标准、密码算法协议等行业标准的制定和发布，我国商用密码标准体系逐渐成型。

密评是国家相关法律法规等明确要求的，在数观天下团队之前推出的“三方共谋商密生态”系列中我们了解到，大部分甲方公司内部已经根据不同业务进行系统梳理，且陆续在开展各项密评工作。但据目前市场而言，大部分密码应用方案是无法完全符合甲方要求的，那么该如何有效编写？

数观天下团队分别以甲方、集成商、三方角度进行分析，从项目、角色、标准、技术框架等方向提供相应建议，以下内容仅代表数观天下团队分析，如有不同意见可与我们共同商榷探讨。

一、项目建议

在开展密码应用建设与安全性评估工作时，需要根据项目所处阶段，采用针对性策略。

1、售前交流阶段

对处于售前交流阶段，应根据国家密码局的要求，在上报审批前，完成密码应用方案的编写、专家审核等工作，项目预算不仅要包含密码应用建设经费，还要包括密码应用安全性评估经费，还要考虑后续的商密改造费用。

2、已经中标正在建设阶段

对处于正在建设阶段，如果需要采购密码安全产品，建议采用项目变更进行处理，应优先安排密码应用安全性评估的经费，对部分重要业务应用系统进行商密处理时要综合考虑加解密过程对应用系统性能所产生的影响。

3、已经验收正在运维阶段

对处于验证且正在运维阶段，要充分与建设单位沟通，明确商密应用和安全性评估的政策要求，促使建设单位尽可能另外立项，同时根据商用密码安全性评估的要求，同步建设应用系统商密改造方案，明确项目改造实施工作量。

二、商用密码应用中不同的角色

在商用密码整体应用中，分为密码厂商、集成商、网络与信息系统责任单位、测评机构和测评人员、密码管理部门五大角色，我们认为其中集成商的技术水平和能力直接决定商用密码应用的效果。

以下为密码集成商的三种角色：

1、密码应用方案的撰写者

商用密码保障系统应随着项目同步规划、同步建设、同步运行，并定期开展商用密码安全性评估，其中密码应用建设方案是前提条件。

商用密码应用方案应包括密码应用解决方案、密码实施方案、密码应急处置方案三个部分组成。

2、密码产品的实施者

在系统实施过程中，实施者要根据商用密码应用方案的要求，完成设备的采购、部署、联调、测试、上线等工作。尤其是涉及不同密码设备厂家的产品，及时协调厂商进行适配。

3、商密安全性评估的配合者

在开展商密安全性评估过程中，应配合测评单位进行安全性评估，提供网络架构图和实施文档，评估商密测评对整个项目带来的风险。

三、 密码应用解决方案-科普类

【此篇幅建议从科普知识、政策方面、技术标准入手】 

1、密评改造中的密码是什么？

    这里人们通常以为就是每天接触的计算机或手机开机“密码”、电子邮箱登录“密码”、银行卡支付“密码”等。生活中的这些“密码”实际上属于口令，是一种基于密码技术的简单认证手段，是最常见的密码。

    真正意义上的密码是指采用特定变换的方法对信息等进行加密保护、安全认证的技术、产品和服务。

加密保护：就是将明文变换成密文，再进行传输和存储。

身份认证：验证一个信息、一个身份、一个行为是否真实。

2、从密码政策方面指出为什么要密改，可从以下几方面入手

《网络安全等级保护条例》

第四十七条【非涉密网络密码保护】非涉密网络应当按照国家密码管理法律法规和标准的要求，使用密码技术、产品和服务。第三级以上网络应当采用密码保护，并使用国家密码管理部门认可的密码技术、产品和服务。

《商用密码应用安全性评估管理办法（试行）》--2017年国家密码管理局发布施行

第三条涉及国家安全和社会公共利益的重要领域网络和信息系统的建设、使用、管理单位（责任单位），应当健全密码保障体系，实施商用密码应用安全性评估。

重要领域网络和信息系统包括：基础信息网络、涉及国计民生和基础信息资源的重要信息系统、重要工业控制系统、面向社会服务的政务信息系统、以及关键信息基础设施、网络安全等级保护第三级及以上信息系统。

《商用密码管理条例（修订草案征求意见稿）》公开征求意见的通知--国家密码管理局

第五十八条非涉密的关键信息基础设施、网络安全等级保护第三级以上网络、国家政务信息系统等网络与信息系统的运营者，违反本条例第三十八条、第三十九条规定，未按照要求使用商用密码，或者未按照要求开展商用密码应用安全性评估的，由密码管理部门责令改正，给予警告；拒不改正或者有其他严重情节的，处十万元以上一百万元以下罚款，对直接负责的主管人员处一万元以上十万元以下罚款。

《金融和重要领域密码应用与创新发展工作规划（2018-2022年）通知》36号文

总体目标：指2022年实现国产密码在金融和重要领域的全面应用。

应用范围：电子政务密码应用。积极推荐检察、公安、海关、税务、市场监管等系统政务密码的应用。

应用场景：电子印章、电子文件、电子证照、电子凭证网上报销等。

《政务信息系统密码应用和安全性评估工作指南（2020版本）》

1. 根据《国家政务信息化项目建设管理办法》第十五条要求“项目建设单位应当落实国家密码管理有关法律法规和标准规范的要求，同步规划、同步建设、同步运行密码保障系统并定期进行评估”，即政务信息系统中的密码保障系统应做到“三同步一评估”。

2. 政务信息系统采用电子认证服务的，项目建设单位需选择具有电子政务电子认证服务资质的机构。

3. 在政务信息系统规划阶段，项目建设单位分析系统现状，对系统面临的安全风险和风险控制需求进行分析，明确密码应用需求，根据系统的网络安全保护等级，依据《基本要求》等相关标准，编制政务信息系统密码应用方案。密码应用方案通过密评是项目立项的必要条件。

四、密码应用解决方案-需求类

    此处只列举部分政务行业需求分析，其他行业需根据项目情况编写。

1、政务服务统一身份认证业务需求

2、政务服务电子印章业务需求

3、移动证书和传统USBKEY证书双模式应用需求

4、电子标书的安全保障需求

5、窗口工作人员及办事人员身份可信需求

6、数据传输加密、防篡改需求

五、密码应用解决方案-技术类

【此篇幅建议从技术标准入手，主要是以下几个方面】

根据GB/T39786-2021《信息安全技术 信息系统密码应用基本要求》

适用范围：指导、规范和评估信息系统密码应用的规划、建设、运行及测评。

技术层面：物理和环境安全、网络和通信安全、设备与计算安全、应用和数据安全。

技术要求：管理制度、人员管理、建设运行、应急处置。

改造标准：密码改造参照一到四级的密码等级要求需做升级改造服务。

密码应用标准技术要求

密码应用主要产品：

1. USBKey：提供签名验签、杂凑等密码运算服务，同时提供一定的存储空间，用于存放数字证书或电子印章等用户数据。USBKey又细分为身份鉴别Key和电子印章Key。
2. 移动端密码模块（二级）：提供签名验签、加密解密、杂凑等密码运算服务，同时提供一定的存储空间，用于存放数字证书。
3. 浏览器密码模块（二级）：提供签名验签、加密解密、杂凑等密码运算服务，实现信息的完整性、真实性和不可否认性保护，同时提供一定的存储空间，用于存放数字证书。
4. SSLVPN安全网关：用于在网络上建立安全的信息传输通道，通过对数据包的加密和数据包目标地址的转换实现远程访问，进行加密通信。
5. IPSecVPN：提供通信前通信双方身份鉴别、通信数据传输机密性、完整性保护等功能，对设备在通信前进行双向身份鉴别。
6. 安全认证网关：提供用户管理、身份鉴别、单点登录、传输加密、访问控制和安全审计等服务。
7. 安全门禁系统：满足国标要求，使用SM4算法进行密钥分散，实现门禁卡的“一卡一密”，并基于SM4算法对人员身份进行鉴别鉴别。
8. 服务器密码机：为应用系统提供数据加解密、签名验签、杂凑等密码运算服务，同时提供安全、完善的密钥管理功能。
9. 证书认证系统：为设备/用户的身份鉴别提供真实性、身份验证、签名验签等信任服务。
10. 签名验签服务器：提供基于PKI体系和数字证书的数字签名、验证签名等运算功能。
11. 时间戳服务器：用于应用系统用户证明某些数据的产生时间，支撑公钥基础设施的“不可否认”服务。
12. 电子签章系统：提供电子公章的签章、验章服务，实现电子公文流转，部门协同办公。

六、密码应用解决方案-典型应用框架

1.火电厂电力监控系统的密码应用研究

在火电厂电力监控系统中，采用密码技术实现远程安全加密通信、身份认证、访问控制等安全措施，提供身份鉴别、数据源认证、数据加密、数据完整性等多种安全功能，有效抵抗窃取网络信息、篡改网络数据、网络重放攻击等，确保火电电力生产数据存储和传输的机密性和完整性、控制指令的数据源有效性等，实现了火电厂电力监控系统网络信息系统的真实性、完整性和机密性三大安全目标。

火电厂电力监控系统密码技术应用框架

密码资源层：为火电厂电力监控系统提供基础性的密码算法资源，包括底层的分组算法、公钥算法、杂凑算法、随机数生成算法等以及上层算法软件、算法IP核、算法芯片等对底层基础算法的封装且基础算法采用国家商用密码算法。

密码支撑层：提供发电领域密码应用的基础密码模块／设备，包括基于安全芯片、采集设备、现场测量设备、密码卡／机等各类业务密码设备。

密码服务层：为火电厂电力监控系统提供密码应用接口服务，包括为应用系统提供数据的机密性保护功能的对称密码服务；为应用系统提供身份认证、数据完整性保护功能的公钥密码服务。

应用系统层：调用密码服务层提供的密码应用程序接口，实现所需的数据加解密、数字签名验证等功能。电力监控系统：包括分散控制系统DCS、厂级监控系统SIS等。

密码基础管理设施：作为火电厂电力监控系统中相对独立和基础的组件，为密码资源层、密码支撑层、密码服务层和应用系统层提供密钥管理。

火电厂电力监控系统密码产品部署示意图

2.通用密码应用研究

数观天下团队通过深入研究行业用户场景，结合GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》、《商用密码应用与安全性评估》及各大知名厂商解决方案进行综合分析，分别从密码政策、密码产品、密码管理、基本要求、密码防护架构、密码应用场景和密码态势感知平台这七个方面构建出一套密码安全防护体系，从顶层设计的高度解读了商用密码防护方式不是单一的，而是一个完整的生态链。板块内容详解如下：

商用密码防护体系

    密码防护体系主要根据GB/T39786-2021《信息安全技术 信息系统密码应用基本要求》进行整理，主要分为密码模块、物理和环境、网络和通信、设备和计算、应用和数据五大层次防护。

密码模块主要要求需采用符合相关标准要求的密码模块或通过国家密码管理部门核准的硬件密码产品实现密码运算和密钥管理。

物理和环境防护主要有电子门禁系统出入记录、视频监控音频的记录、身份鉴别等。

网络和通信防护主要对通信过程中的敏感字段加密、网络边界访问控制、身份鉴别、安全准入认证为主。

设备和计算防护主要为安全审计、远程管理、身份鉴别访问控制信息等。

应用和数据防护主要有数据传输加密、数据存储加密、安全审计、身份鉴别、访问控制等。

3.智慧城市防护体系

智慧城市是一个复杂巨系统，包含了物联感知、数据汇聚与共享、政务协同、惠民服务、城市公共设施管理、城市监管与科学决策等方方面面的应用，其安全保障需求也更加复杂。

智慧城市综合运用物联网、云计算和大数据等新技术，全面整合城市信息化资源，围绕智慧城市建设的全方位、多层次、多维度安全保障需求，主要从“统”“保”“服”“管”支撑智慧城市的密码应用保障工作。

智慧城市密码应用体系框架

应用框架基于商用密码的数据全生命周期的安全，保障智慧城市中关键信息基础设施的安全，从感、传、知（城市大脑的云平台、大数据）、用（各类智慧业务应用、各类用户）四个层次形成一体化的密码技术保障体系。利用基于密码技术的身份认证、访问控制、授权管理、数据加解密、可信计算、密态计算、密文检索、数据脱敏、数据分级分类、数据标签等技术措施，构建数据从产生、采集、存储、传输、分析、应用、安全交换共享、数据隐私保护等安全为一体的智慧城市密码应用安全技术体系，解决隐私无法保护、数据源不真实、身份仿冒、可用不可见、数据无法追踪溯源、身份不统一等风险下的身份识别、使用处理权出让下的数据保护、数据安全共享交换、数据滥用等问题，满足智慧城市下的数据基础资源防护、组织和共享防护、计算和分析防护、应用和服务防护等安全需求。

4.视频监控密码应用体系

5G、边缘计算等新一代信息通信技术极大地赋能视频监控业务场景，促进视频监控更加广泛、深入、智能地服务应用。以密码为核心构建5G边缘计算视频监控的安全体系，就是要将安全以基因化形式注入5G边缘计算视频监控场景中，有效保障开放网络环境中的业务安全问题，确保视频监控业务应用的安全可持续发展，为5G+视频安全乃至5G+垂直行业安全提供密码应用及安全范例，推动5G产业的安全发展。基于5G边缘计算的视频监控密码应用框架。

基于5G边缘计算的视频监控密码应用框架

密码应用框架以密码基础、密码设备、密码服务为支撑，在视频监控终端、边缘计算平台、云平台实施密码安全防护，有力保障5G视频监控在智能城市、安防监控、消费监控、视频AI等领域的安全应用。

密码支撑涵盖密码基础、密码设备、密码服务三个方面。

密码基础指的是国家密码管理机构批准核实的密码算法、密码协议、密码接口，即基于国产商用密码的算法、协议及接口。

密码设备为部署在终端、边缘、云端的密码产品，包括密码芯片、IP核、密码模块、（云）密码机、（云）密码卡、密码中间件等。

密码服务指的是密码运算、密钥管理、证书管理、统一信任等安全服务。终端密码应用指的是为摄像头、IoT监控设备等提供的设备身份认证、端视频安全、监控安全接入、设备权限管控等密码能力。

边缘计算密码应用包括节点安全、网络安全、数据安全、应用安全、安全管理编排等方面的密码应用。云平台密码应用包括边云密码协同、统一密码态势、视频业务安全等方面的密码应用。

5.政务云密码应用架构

政务云平台汇集和处理大量的政府公共敏感数据、个人隐私等重要数据，存在被泄露或被盗用的风险。数据从采集、预处理、传输、存储、分析、共享到销毁全生命周期的各个环节都存在着安全风险，应对重要数据进行机密性、完整性保护，防止被非法查看、恶意篡改等。政务云密码应用技术架构，由政务云租户终端密码应用、政务云管道、政务云平台密码应用、云平台运维管理和密码监管等五部分组成。

政务云密码应用技术架构

政务云租户终端密码应用指互联网租户终端和政务外网租户终端，负责为政务云用户提供各类业务应用操作功能；

政务云管道指政务云租户终端与政务云平台之间的安全传输管道，承载租户终端用户到云平台间业务数据的传输保护；

政务云平台密码应用指政务云平台上承载实现的各类密码应用服务，包括接入区边界密码应用、政务外网业务区密码应用和互联网业务区密码应用，通过密码设备集群和密码服务资源池为云平台自身和各云租户单位业务应用提供各类密码服务资源；

密码监管指在密码主管部门设立密码监管平台，负责对政务云平台使用的密码设备进行密码监管与安全审计；

安全运维管理是指通过云服务提供商、政务云管理单位和云租户三方角色划分与协同工作，保障政务云整体安全防护能力。

6.移动终端密码应用架构

移动智能终端在高安全、大额度的交易应用需求中，必须采用数字签名、加密等措施，保护交易的安全性。一般性应用中，最低应该采用密码模块（提供数字签名、加密等功能）方式，目前密码模块遵循的主要标准是《密码模块技术要求》和《密码模块检测要求》。

移动智能终端密码应用框架

移动终端密码解决方案-手机盾产品由运行在开放操作系统（Android）中的客户端SDK与运行在可信执行环境（TEE）中的可信应用（TA）、安全芯片（SE）中Applet和后台系统组成。

七、分享密码改造过程中的几点建议

  1、熟悉国产密码升级改造的要求；

    合规性原则、交付敏捷性原则、适用性原则、扩展性原则、高可靠/高安全性原则、统一设计原则、先进性原则。

2、熟悉待改造的系统技术细节；

目前已通过国密局认可的算法体系大致分为三大类，即对称算法、非对称算法、摘要算法，每种算法都有其优缺点，因此在实际应用场景中一般采用这些算法的组合形式来实现身份认证、数据性、完整性和不可否认性等安全需求。

3、解决密码产品、集成产品系统性能问题；

目前部分系统较为复杂，商密改造困难较大，对系统性能影响较大，因此，建议对已建系统的商密改造需要多注意系统兼容性问题。

4、熟悉密码改造的实施流程。

    主要目标是根据密码应用实施方案，完成密码升级改造的实施工作。