ICS CCS 江 35.080 L 07 DB36 西 省 地 方 标 准 DB36/T 1585—2022 基于政务云平台密码服务技术规范 Technical specification for cryptographic service based on the government cloud platform 2022 - 05 - 30 发布 江西省市场监督管理局 2022 - 12 - 01 实施 发 布 DB36/T 1585—2022 目 次 前 言 ............................................................................ II 引 言 ........................................................................... III 1 范围 .............................................................................. 1 2 规范性引用文件 .................................................................... 1 3 术语和定义 ........................................................................ 1 4 缩略语 ............................................................................ 3 5 密码服务系统 ...................................................................... 3 6 系统功能分区 ...................................................................... 6 7 服务内容 .......................................................................... 8 8 服务管理规范 ...................................................................... 9 9 服务应用规范 ..................................................................... 11 附录 A（规范性附录） 密码服务系统接口 ............................................... 13 I DB36/T 1585—2022 前 言 本文件按照GB/T 1.1—2020《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规定起 草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。 本文件由江西省发展和改革委员会提出并归口。 本文件起草单位：江西省信息中心。 本文件起草人：杜军龙、曹成立、温小雨、龙映辉、何黎明、周剑涛、袁小乐、姜林海、刘曙、潘 志安、刘芳芳、张彤、胡章敏、占晓华、熊玲珍、许正义、陈海俊。 II DB36/T 1585—2022 引 言 为规范和统一全省政务云平台密码服务系统的体系建设，依据《关于印发江西省政务信息化项目建 设管理办法的通知》（赣府厅字〔2020〕68号）、《关于规范省级网络和信息系统商用密码应用与安全 性评估工作的通知》（赣国密局字〔2020〕12号）、《信息安全技术 信息系统密码应用基本要求》（GB/T 39786）等要求，特制定本规范。 III DB36/T 1585—2022 基于政务云平台密码服务技术规范 1 范围 本文件规定了基于政务云平台密码服务总体技术架构，政务云平台密码服务系统资源池和密码服务 接口的技术要求。 本文件适用于指导政务云平台密码服务系统建设和政务云平台中云租户的用户终端、网络接入、应 用系统、应用数据对密码服务的应用。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文 件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 GB/T 37033 信息安全技术 射频识别系统密码应用技术要求 GB/T 39786 信息安全技术 信息系统密码应用基本要求 GM/T 0036 采用非接触卡的门禁系统密码应用技术指南 GM/T 0062 密码产品随机数检测要求 3 术语和定义 GB/T 39786界定的以及下列术语和定义适用于本文件。 3.1 密码 cryptogram 对不涉及国家秘密内容的信息进行加密保护或者安全认证所使用的技术和产品。 3.2 电子政务外网 E-government extranet 电子政务重要基础设施，服务于各级党委、人大、政府、政协、纪委监委、法院和检察院等政务部 门，满足其社会管理、公共服务、经济调节和市场监管等方面需要的政务公用网络。电子政务外网支持 跨地区、跨部门的业务应用、信息共享和业务协同，以及不需在政务内网上运行的业务。电子政务外网 与互联网逻辑隔离。 3.3 政务云 government cloud 用于承载各级政务部门开展公共服务、社会管理等电子政务业务信息系统和数据，及政务门户网站 的云计算基础设施，可根据不同业务和需求提供基础设施即服务（IaaS）、平台即服务（PaaS）、软件 即服务（SaaS）。 1 DB36/T 1585—2022 3.4 政务信息系统 government information system 由政务部门建设、运行或使用的，用于直接支持政务部门工作或履行其职能的各类信息系统。 [来源:GB/T 40692—2021，定义4] 3.5 密码服务系统 cryptographic service system 将云计算技术与身份认证、授权访问、传输加密、存储加密等密码技术深度融合，实现对外提供密 码服务的应用系统。 3.6 虚拟化 virtualization 一种资源管理技术，将计算机的各种实体资源（处理器、内存、磁盘空间、网络适配器等），予以 抽象、转换后呈现出来并可供分割、组合为一个或多个电脑配置环境。 3.7 密钥 key 控制密码算法运算的关键信息或参数。 [来源:GB/T 39786—2021，定义3.6] 3.8 密钥管理 key management 根据安全策略，对密钥的产生、分发、存储、使用、更新、归档、撤销、备份、恢复和销毁等密钥 全生命周期的管理。 [来源:GB/T 39786—2021，定义3.7] 3.9 租户 tenant 对一个物理和虚拟资源进行共享访问的一个或多个云服务用户。 3.10 资源池化 resource pooling 将云服务提供者的物理或虚拟资源集成起来服务于一个或多个云服务客户的方式。 3.11 保护密钥 protection key 2 DB36/T 1585—2022 非对称密钥，用于对分发的密钥进行加密保护。 4 缩略语 下列缩略语适用于本文件。 TCP：传输控制协议 (Transmission Control Protocol) IP：互联网协议(Internet Protocol) SSL：安全套接字协议（Secure Sockets Layer） IPSEC:互联网安全协议（Internet Protocol Security） 5 密码服务系统 5.1 总体架构 密码服务系统包含密码应用层、中间件层、管理服务层、密码资源层，依托密码安全技术，利用云 计算技术，为云平台承载的政务信息系统提供密码应用服务。密码服务系统总体架构如图1所示。 密 码 应 用 层 中 间 件 层 管 理 服 务 层 密 码 资 源 层 终端密码应用 网络与传输密 码应用 业务密码应用 设备密码应用 跨平台密码中间件 密码服务 密码管理 密码资源 基础设施 图1 密码服务系统总体架构 5.2 系统层级 5.2.1 密码应用层 密码应用层是密码服务应用范围的统称，密码应用层包括终端密码应用、网络与传输密码应用、业 务密码应用和设备密码应用四个方面。 a) 终端密码应用：实现终端用户身份鉴别、终端数据传输和存储安全等； b) 网络与传输密码应用：实现对应用系统与外部实体之间网络通信的安全防护，例如通信双方身 份鉴别、传输安全防护等，确保网络可信接入和安全访问控制； c) 业务密码应用：实现云平台承载的政务信息系统的身份鉴别、访问控制、数据安全、数据收发 行为不可否认性防护； 3 DB36/T 1585—2022 d) 设备密码应用：通过身份鉴别、权限控制、数据传输保护、操作行为不可否认等技术实现运维 管理安全。 5.2.2 中间件层 中间件层提供跨平台密码应用，基于底层密码服务，封装各类通用密码服务接口，制定相应的规范， 满足业务应用调用密码服务需求；中间件应支持多种操作系统运行环境。 5.2.3 管理服务层 对云平台承载的政务信息系统提供密码服务，对密码资源层提供密码管理。 5.2.4 密码资源层 密码资源基于密码软硬件设施，主要为密码服务系统提供密钥资源；基础设施由密码软硬件设备构 成，为密码资源提供密码应用所需的算力支撑和物理安全保护服务。 5.3 建设要求 5.3.1 总体要求 总体要求如下： a) 密码服务系统在规划阶段、建设阶段和运行阶段，需根据《商用密码应用安全性评估管理办法 （试行）》等相关要求，按照 GB/T 39786 执行，从物理和环境安全、网络和通信安全、设备 和计算安全、应用和数据安全四个层面采用密码技术措施，建立安全管理制度，采取有效的安 全管理措施； b) 密码服务系统建设完成后，投入运行前应进行密码应用安全性评估，并达到 GB/T 39786 第三 级密码应用要求； c) 政务信息系统建设完成后，建设单位委托国家密码管理部门认定的商用密码应用安全性评估机 构对系统开展商用密码应用安全性评估。系统通过商用密码应用安全性评估是项目验收的必要 条件； d) 网络安全等级保护第三级及以上的信息系统、关键信息基础设施、政务信息系统，以及密码相 关法律法规和国家有关规定提出明确要求的其他网络和信息系统每年至少开展商用密码应用 安全性评估一次。 5.3.2 通用要求 密码服务系统建设应符合