包1密码应用服务部分技术要求.docx

包1:密码应用服务部分★1.技术要求：根据《中华人民共和国网络安全法》、《中华人民共和国密码法》等相关密码政策、规范要求和成都市全民健康信息平台业务系统的部署方式和实现业务功能，在满足总体性、完备性、经济性原则的基础上，满足系统基于GB/T39786-2021《信息安全技术信息系统密码应用基本要求》第三级密码应用需求为成都市全民健康信息平台提供密码应用的规划与服务，实现正确、合规、有效的密码应用，包括但不限于密码服务平台、国密VPN安全综合网关服务、密码服务、堡垒机/日志审计改造服务等同时，依据GB/T39786-2021《信息安全技术信息系统密码应用基本要求》及行业标准、测评规范，对密码支撑服务平台的资源利用进行规划，并对成都市全民健康信息平台密码应用进行设计，从终端密码应用、设备和计算、应用和数据、规范和制度等方面进行密码应用规划和设计，为成都市全民健康信息平台的安全稳定运行提供高效的密码支撑，满足成都市全民健康信息平台的安全需求1.1. 密码应用技术框架本项目所购买的密码服务包括但不限于密码服务平台、国密VPN安全综合网关服务、密码服务、堡垒机/日志审计改造服务等组成成都市全民健康信息平台密码应用改造和密码基础设施设计从用户接入认证层面，到服务端密码应用支撑层面进行统一规划设计，其逻辑架构如下图所示。

接入用户远程运堆人员 医疗机构 对标医院 系垃管理员/医疗机构管理员终用户 Sa操作员 前置机 （KEY+证书+国密浏览器）簪^^^"国密VPNfiiM 嬲"方式：：：国密SsI协议^*三^∙∙国密SSL 接口传输开W∙t •■业务应用成都市全民健康信息平台."TiIa归集.成都健康服务总门户.基于5G的远程医疗服务."互联网+健康医疗"服务体系、医疗卫生行业琼合注首信息体系、卫生信息标准动而服务 *I证书认证 加解密 答名卷签崎 啸*国密SSLVPNi宙钥首理眼务!三⅛t⅛三；三fβ^THMAC 国密httpsI I ISM3服务 接入期I I I■■IlI I II Il I■■ IHIlIlIl ' •• [IlIl•1Il ■■ H密码眼务平台国密VpN综合安全网关由钥管理系统云11需S密 堡:黎Z日^⅛ffl成都市全民健康信息平台业务系统部署在成都市政务云，不同用户接入的网络环境不同，针对这一情况，根据数据的采集方式采用不同的通道加密方式采用接口传输形式进行数据采集的用户环境，使用国密SSL协议对传输过程进行加密；采用库表链路形式进行数据采集的用户环境，使用国密VPN和国密SSL协议对传输通道及传输过程进行加密。

其过程中涉及的数字签名验签服务、国密https接入服务、密钥管理服务、HMAC-SM3服务、国密SSLVPN服务等，由密码服务平台、国密VPN综合安全网关、密钥管理系统、云服务密码机等提供1.2. 物理和环境安全物理和环境安全设置电子门禁系统及视频监控系统，要求采用密码技术实现访问机房人员的"身份鉴别"以及"电子门禁记录数据存储完整性”“视频监控记录数据存储完整性”，目前信息系统部署在成都市政务云上，机房部署有视频监控系统和电子门禁系统，满足密码安全性评估三级的要求,机房环境的密码应用改造由政务云服务提供方负责改造，本项目不做改造1.3. 网络和通信安全在网络和通信安全层面，要求采用密码技术实现通信实体的身份鉴别、访问控制信息的完整性保护和数据传输的机密性与完整性保护，成都市全民健康信息平台作为云上租户,通信和网络层面的密码应用主要针对应用系统的传输协议和远程运维通道，通过在网络边界处部署符合密码相关国家、行业标准要求的通道加密网关和加密协议，建立安全的信息传输通道，保护传输过程中数据的机密性和完整性，同时可以实现在通信前通信双方的身份鉴别和对网络边界的访问控制信息进行完整性保护安全网关内部的访问控制信息，通过使用SM2/3算法和数字签名技术进行保护，保证访问控制信息的完整性。

采用密码技术对从外部连接到内部网络的设备进行接入认证，确保接入的设备身份真实性1.4. 设备和计算安全针对成都市全民健康信息平台，根据设备和计算安全需求分析及设计边界分析，使用堡垒机对服务器进行集中运维管理，同时在管理通道上部署符合GM/T0024-2014《SSLVPN技术规范》的安全网关，使用符合GM/T0027-2014《智能密码钥匙技术规范》的智能密码钥匙，建立安全的信息传输通道，实现身份鉴别、数据传输的机密性、完整性保护部署符合GM/T0029-2014《签名验签服务器技术规范》的签名验签服务，堡垒机通过调用签名验签服务对堡垒机里的访问控制规则进行签名保护当运维规则进行变更时，能重新调用签名验签服务对访问控制规则进行签名保护堡垒机通过调用签名验签服务定时对访问控制的完整性进行验证通过日志审计系统，接收所有设备发送的日志信息日志审计系统通过调用签名验签服务器密码算法，对接收到的所有日志记录进行签名，将日志记录和签名结果存储到服务器在查询日志时，对日志记录进行验签名，防止日志信息被非法篡改可执行程序开发商在程序开发完成后，使用专用工具通过连接签名验签服务器对程序安装包进行签名，签名完成后生成新的安装包。

在服务器中安装应用程序时，通过专用工具对安装包进行签名验证，确保软件来源的真实性，验证通过后开始安装1. 5.应用和数据安全采用密码技术，当用户访问成都市全民健康信息平台时,通过数字证书技术对登录的用户进行身份标识和鉴别，实现身份鉴别信息的防截获、防假冒和防重用，保证应用系统用户身份的真实性和安全性部署符合GM/T0029-2014《签名验签服务器技术规范》的签名验签服务，提供应用层面的数据安全保护服务应用系统通过调用签名验签服务对访问控制信息进行签名，保证访问控制信息的完整性应用系统通过密码技术和签名验签服务对需要传输的重要数据进行加密和签名，保证传输过程中关键信息的机密性和完整性应用系统通过密码技术和签名验签服务对需要存储的重要数据进行加密和签名，保证存储过程中关键信息的机密性和完整性（注：数据库查询加解密的吞吐率至少需达到每秒T级别）为数据发送方和数据接收方分别签发基于密码技术的数字身份，发送方发送数据时使用密码技术对数据进行签名,接收方收到数据后对数据进行签名验证，实现数据发送行为的不可否认性接收方生成响应信息，并使用密码技术对响应信息进行签名，数据发送方收到响应信息并进行签名验证,实现接收行为的不可否认性。

1.6. 密钥管理成都市全民健康信息平台的安全运营依赖于密钥管理的各个环节，密钥管理包括密钥的生成、备份、恢复、保存、使用及销毁等，其中任何一个环节遭到破坏都将严重危及平台的安全，甚至摧毁整个认证体系，所以密钥的安全管理是保证平台安全运营的重要条件与前提条件在不用的场景下需要用不同的类型的密钥类型产生分发存储使用更新∣∣∣r∙撤销备份恢复销毁由智能密码钥匙内置硬件芯片产生，所有私钥不出设备密钥由智能密码钥匙生成，不涉及密钥分发.智能密码要室内存储通过输入正确的PIN码调用智能密码钥匙中的密钥由智能密码钥匙内置硬件芯片产生并更新密钥，更新后原密钥失效不涉及密钥归档用户数字证书到期后，密钥自然撤销管理员也可以主动对用户数字证书进行注销操作，注销后用户密钥撤销不涉及密钥备份不涉及密钥恢复通过智能密码钥匙管理工具删除用户密钥对应的容器和应用，即可销毁用户密钥用户签名公钥由智能密码钥匙内置硬件芯片产生，所有私钥不出设Γ⅛密胡由智能密码钥匙生成，不涉及密钥分发智能密码钥匙内以证书形式存储以证书形式使用由智能密码钥匙内置硬件芯片产生并更新密钥，更新后原密钥失效以证书形式归用户数字证书到期后，密胡自然撤销。

管理员也可以主动对用户数字证书进行注销操作，注销后用户密胡撤以证书形式备份以证书形式恢复通过智能密码钥匙管理工具删除用户密钥对应的容器和应用，即可销毁用户密钥管理员也可以在CA系统里进行注销签名服务器内部生成签名私钥不进行分发签名服务器内"1：存储签名服务器内部使用O签名服务器内部更新，更新后原密钥失效不涉及密钥归P1I到期后密钥自然撤销管理员也可以主动进行注销操作，注销后密胡撤销.利用签名服务器内部密码卡的备份机制进行备份利用签名服务器内部密码卡的恢复机制进行恢复在签名服务器删除后销毁密钥应用系签名服务器内部生成以证书形式分发以证书形式存储以证书形式使用签名服务器内部更新#以证书形到期后密钥自然撤销管理员也可以主动进行注销操以证书形式备份以证书形式恢复O在签名服务器删除后销毁密钥类型产生分发存储使用更新∣∣∣r∙撤销备份恢复销毁更新后原证I5失效式归档•作，注销后密伺撤销可由签名服务器内部生成，也可由外部方式导入加密密钥存储在签名服务器内部，不进行分发.签名服务器内部存储签名服务器内部使用.签名服务器内部更新，更新后原密钥失效，不涉及密钥归档通过签名服务器密钥管理功能撤销指定加密密钥。

利用签名服务器内部密码卡的备份机制进行备份利用签名服务器内部密码卡的恢复机制进行恢复在签名服务器删除后销毁密钥可由签名服务器内部生成，也可由外部方式导入不涉及密钥分发签名服务器内部存储签名服务器内部使用签名服务器内部更新，更新后原密钥失效不涉及密钥归档.通过签名服务器密钥管理功能撤俏指定密例利用签名服务器内部密码卡的备扮机制进行备份.利用签名服务器内部密码卡的恢复机制进行恢复.在签名服务器删除后销毁密钥1.7. 密码应用部署1. 7.L部署说明本项目需供应商提供密码服务平台（签名验签服务、国密https接入服务、加解密服务、HMAC-SM3服务）、智能密码钥匙、国密浏览器、国密VPN综合安全网关服务等1.7.2.密码服务清单序号服务模块服务内容1密码服务平台1、统一密码服务调度系统：主要实现应用鉴别、计算单元虚拟化、计算资源自适应、负载均衡、密钥安全分发、密钥同步等功能，同时能提供缓存能力2、加解密服务：可以实现数据的传输或存储机密性保护，业务系统根据实际需求，自主调用该服务实现数据基于国密算法的加解密过程3,签名验签服务：基于数字签名技术，可以实现人员身份真实性验证、数据完整性保护及操作行为不可否认性功能，业务系统根据实际业务需求，自主调用该服务实现签名验签的过程。

4、HMAC-SM3服务：可以实现数据的传输或存储完整性保护，业务系统根据实际需求，自主调用该服务基于国密算法HAMC-SM3对数据计算校验值后进行保存，读取数据时进行校验值验证达到防止数据被篡改的效果序号服务模块服务内容5,用于解决用户身份鉴别的需求，保证用户身份的真实性证书解析与认证服务支持基于SM2的数字证书解析，支持多CA多证书链模式，支持对接OCSP认证服务器和CRL列表导入，实现用户证书的和离线认证6、支持基于数字证书的高强度身份认证服务，用于通过证书验证后实现应用系统的单点登录功能；包括统一身份管理、统一身份认证、统一身份授权、统一审计等功能7、采用基于国密算法的SSL协议，基于应用层S。