有关构建政务信息系统密码应用管理体系的建议*
2021-01-25焦迪
焦 迪
(国家信息中心,北京100045)
0 引 言
密码是国家重要战略资源,是保障网络与信息安全的核心技术和基础支撑。密码工作是党和国家的一项特殊重要工作,直接关系国家政治安全、经济安全、国防安全和信息安全。习近平主席指出:“安全是发展的前提,发展是安全的保障,安全和发展要同步推进。”而密码将在数据加密、身份鉴别、访问控制、取证溯源等方面发挥着难以替代的重要作用[1]。随着国际公开密码算法大量普及和应用,密码应用已经发生了很大变化,密码已经从过去被认为主要是认证、加密,到现在渗透进了信息化建设的方方面面,各国也意识到了密码技术和应用的重要性,开始加强在密码方面的管理。我国出台了《中华人民共和国密码法》等一系列法律法规政策文件,从国家层面不断推动密码应用发展,然而各政务信息系统运维单位在实际工作开展中,依然对密码应用的管理职责界定不清,影响到工作进展。为此我们进行了深入研究,也基于密码技术框架和当前各政务部门职能设置,提出了一套密码应用管理体系建设思路。
1 密码应用的政策要求
面对国家网络安全的新形势,我国已在多部法律法规中明确规定了密码应用的要求,从基础性法律、相关性法律、产品要求、服务要求、项目建设要求等多方面,形成了一套全面的密码政策体系。
密码法建立了密码领域综合性、基础性法律。密码法贯彻落实总体国家安全观,是国家安全法律体系的重要组成部分,也是一部针对密码的技术性、专业性的法律。该法律明确了密码分类管理的原则,规定了商用密码标准化制度、检测认证制度、市场准入制度、使用要求、监管要求等,以及违反相关规定时所付的法律责任。《中华人民共和国密码法》的出台提升了密码工作法制化保障水平。
《中华人民共和国网络安全法》《关键信息基础设施安全保护条例(征求意见稿)》等奠定了密码在网络和关键信息基础设施中的核心地位。《中华人民共和国网络安全法》对网络运营者在密码应用方面的责任做出了明确要求,网络运行安全中提到,国家实施网络可信身份战略,支持研究开发安全、方便的电子身份认证技术,推动不同电子身份认证之间的互认。安全可信的网络产品和服务,都是以密码为基因构建的。网络信息安全中提到,网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。而保护数据的完整性、机密性、真实性,都是以密码为核心技术实现的。而《网络安全等级保护条例(征求意见稿)》是体现了密码要求在网络安全等级保护工作中的重要作用,明确了在网络安全等级保护中密码管理的主要思路和手段,强调了网络安全等级保护第三级及以上系统使用密码进行保护的义务。《关键信息基础设施安全保护条例(征求意见稿)》提出了关键信息基础设施中的密码使用和管理,应当遵守密码法律法规,明确了密码管理部门的相关职责,体现了密码管理在国家关键基础设施保护中的重要地位和作用,为密码管理工作提供了依据和有力支撑。
《商用密码管理条例》提出了对密码产品的管理要求。条例是我国较早期发布的密码领域的管理办法,明确规定了国家对商用密码产品的研发、生产、销售和使用的专控管理要求。目前条例正在根据密码法精神进行修订,主要体现国家“放管服”改革要求,更加强化密码应用要求,进一步促进密码应用行业发展。突出对关键信息基础设施和网络安全等级保护第三级及以上信息系统的密码应用监管,明确实施商用密码应用安全性评估和安全审查制度。
《电子认证服务密码管理办法》明确了电子认证服务机构对密码使用的管理要求。规定了采用密码技术为社会公众提供第三方电子认证服务的系统应当使用商用密码,明确了申请电子认证服务使用密码应当具备的基本条件和程序,以及电子认证服务系统的运行和技术改造等要求。同时,要求电子认证服务机构应当配合通过国家密码管理局组织的安全性审查[2]。
《国家政务信息化项目建设管理办法》规定了政务信息化项目建设过程中密码要求。最近发布的《国家政务信息化项目建设管理办法》(国办发〔2019〕57号),在对国家政务信息系统的规划、审批、建设、共享和监管方面明确规定了多项密码应用有关要求,从项目建设角度细化了国家对密码应用的要求。要求政务信息化项目建设单位,按照三同步原则建设密码保障系统并定期进行评估,向发改委备案密码应用方案和密码应用安全性评估报告,项目密码应用安全性评估报告作为项目验收的必要内容,国务院有关部门对密码应用情况实施监督管理。并明确提出,不符合密码应用等情况的政务信息系统,不安排运行维护经费[3]。可以说,《国家政务信息化项目建设管理办法》对密码应用在政务信息系统建设中的具体落实打入了强心剂。
密码工作,关乎国家安全和人民群众的切身利益,属于技术性很强的政治工作,是加强党的领导、贯彻落实网络强国战略的重要技术支撑。我国在密码相关的法律法规、政策体系制定方面不断探索和完善,明确了密码主管部门和网络建设运维单位及相关单位的密码职责,有效推动密码产业在我国的快速发展。
2 政务密码应用架构
2.1 密码技术体系
在国家密码管理局2010年发布的《公钥密码基础设施应用技术体系框架规范》中,将公钥密码基础设施应用技术体系框架分为密码设备服务层、通用密码服务层、典型密码服务层。密码设备负责提供密码运算服务,证书认证系统、属性证书系统、时间戳系统、密钥管理系统等基础设施提供证书管理、时间戳管理和密钥管理等基础服务,并以标准接口形式为应用系统提供统一的身份鉴别、单点登录、数据加解密、数字签名及验证等密码服务[4]。
对于商用密码体系,经过我国产学研各界联合研究设计,初步提出了商用密码应用技术架构,主要包括资源、支撑、服务、应用四个层次,以及提供管理服务的密码管理基础设施。
(1)密码资源层。提供底层的密码算法及封装密码算法的算法软件等。
(2)密码支撑层。提供密码资源调用,包括密码模块、密码卡、密码机等密码产品。
(3)密码服务层。提供密码应用的接口,为上次应用提供数据机密性保护等对称密码服务以及身份认证、数据完整性保护等公钥密码服务。
(4)密码应用层。调用密码服务层提供的密码应用程序接口,实现数据加解密、签名验签等功能。如电子邮件、电子印章等系统。
最后,密码管理基础设施相对独立,上述四层提供密钥管理、设备管理、信任管理、运维管理等服务。
2.2 电子政务密码体系架构
根据我国标准化的密码技术体系设计,结合商用密码在政务信息系统中的应用场景,并考虑政务部门相关职能职责设置,可将政务应用中密码应用技术体系分为三层,分别为密钥管理和电子认证基础设施、密码产品(密码中间件)、密码应用,辅之以密码标准规范和运行安全管理,框架如图1所示。
图1 政务密码体系架构
(1)密钥管理和电子认证基础设施,属于最底层,应当符合国家有关管理规定予以重点保障,其中密钥管理包括两个部分,一是电子认证基础设施密钥管理;二是密码应用的密钥管理,可根据政务部门职能的分工分别进行建设和管理。
(2)密码产品(密码中间件),属于中间层,包括密码机、VPN网关、身份认证系统等密码产品、密码服务产品以及密码服务接口,通过密码产品+密码服务接口,或者密码服务产品+密码服务接口为上层应用提供与底层密码算法、密码协议、密码设备无关的密码服务支撑,在中间层应统筹规划,整合资源,建立统一管理调度的密码服务体系。
(3)密码应用,属于最上层,是政务信息系统对下层密码服务的调用和应用,实现密码对应用和数据的完整性、真实性、机密性的保护,包括政务邮箱、移动办公应用等。
2.3 电子政务典型密码应用
随着政务信息整合共享工作的开展,数据安全保护对密码的场景化需求越来越多,要求越来越高。政务领域密码典型应用场景包括身份鉴别、数据加解密、数字签名与验签、电子印章、数据完整性保护等[5]。在实际工作开展过程中,既可以通过统一的密码支撑服务接口对外提供密码应用服务,也可以直接部署相应的密码应用产品来实现。结合政务信息化的需求,将密码为应用提供的支撑服务分为安全认证类接口、加密保护类接口、密码应用产品三大类,具体如表1所示。
表1 电子政务密码应用支撑服务类型
3 构建政务密码应用管理体系的建议
随着各政务部门开始建设密码设施并开展密码应用,密码应用分工不清的问题日益凸显,严重阻碍了工作的有序开展。密码是从顶层贯穿到底层的全流程工作,需要信息化建设的各个部门参与进来,尤其是业务应用责任部门严重缺位,并未参与密码需求分析和设计,导致密码设计并未与实际的业务应用和数据深度结合,密码设施无法真正发挥支撑实效,此外,密码管理部门大多并未建立,对于密码的全流程管理也存在较大疏忽。因此,要真正推动密码政务信息系统中的落地使用,亟需理清各部门参与密码工作时的职责边界,明确分工,才能有利于后续工作顺利开展。我们按照国家有关要求、密码体系架构以及电子政务领域典型密码应用,围绕业务应用部门、安全管理部门、电子认证服务方、密码管理部门四个角色,研究形成包含需求分析、设施建设、电子认证、密码管理的密码应用管理体系。
3.1 业务应用部门负责提出密码应用需求
业务应用部门负责政务应用系统设计和建设,在设计业务系统的同时,应当遵循三同步原则,按照GM/T 0054-2018《信息系统密码应用基本要求》标准内容,根据不同等级信息系统的要求,从应用和数据安全保护层面提出密码应用的需求。应用安全方面通过分析应用系统及其访问用户的类别,按照重要程度进行分级分类,对应用系统的访问控制和用户身份认证方式、业务访问列表完整性保护、日志记录完整性保护等方面提出密码应用需求。数据安全方面通过梳理分析业务系统所涵盖数据资产范围,包括业务数据、用户数据、配置数据等,并对数据的重要程度进行分析和分级,识别敏感数据,对数据在采集、存储、传输等环节的机密性、完整性、行为不可否认性等要求提出密码需求。并将需求整理后提交给密码体系设计及建设部门[6]。
3.2 安全管理部门负责整体设计并建设密码体系
根据业务部门提出的密码应用需求,结合物理环境、网络和通信、设备和计算等环节的密码应用需求,按照GM/T 0054-2018《信息系统密码应用基本要求》,制定整体密码应用方案,并对照落实形成密码建设和管理方案,如果业务系统部署在云平台上,还应当制定专门的云平台密码应用方案。将密码应用方案报送密码主管单位和本单位密码应用监督部门备案审核。审核通过后按照方案进行部署实施,通过采购符合国家要求的密码产品,建设密钥管理基础设施和密码应用支撑平台,以统一的密码服务接口实现与应用系统的对接,满足业务应用和数据以及集成环境对于密码的需求。同时,在物理环境方面应当实现对重要区域人员身份真实性的保护、对门禁记录等敏感信息完整性的保护,在网络和通信方面应当实现对通信双方身份认证、通信数据完整性和机密性保护、边界控制信息完整性保护、设备管理通道保护等,在设备与计算方面应当实现基于密码的身份鉴别、鉴别信息的远程加密保护、访问类别的完整性保护等[6]。
3.3 电子认证服务方负责提供数字证书服务
《中华人民共和国电子签名法》和《电子政务电子认证服务管理办法》对电子认证的工作内容和服务边界有明确要求。按照相关规定,政务部门应当选择具有电子政务电子认证服务资质的机构提供服务,电子认证服务机构属于第三方认证机构,服务内容主要是数字证书生命周期管理、与电子政务系统的数字证书应用集成支持服务等。电子认证是基于密码技术的数字证书服务,电子认证不等于密码管理,更不等于密码应用。通常情况下,为保证权威性,电子认证服务机构作为第三方,不参与密码应用。因此,在政务部门开展密码应用工作过程中,应选择符合要求的电子认证服务,按照密码应用方案和需求,为政务信息系统各环节的身份鉴别提供各类电子认证技术支撑,电子认证服务机构应当独立于业务应用部门、安全管理部门、密码管理部门等机构。
3.4 密码管理部门负责统筹密码管理和监督工作
按照密码法的要求,应设置专门的密码管理部门,统筹管理本单位的密码工作,由单位一把手领导直接负责,并建立相应的密码管理领导小组和工作组,负责本单位日常密码管理和监督工作。密码管理部门根据工作需要会同有关部门制定密码应用管理办法、工作指南等,建立密码应用的安全监测预警、安全风险评估、信息安全通报、重大事项会商和应急处置等协作机制,确保密码应用管理的协同联动和有序高效。负责制定本单位政务密码应用管理制度和标准规范,并采取有效措施推进贯彻落实。同时,密码应用监督部门负责监督检查密码应用各项工作开展的合规性和规章制度落实的有效性。组织制定密码应用工作开展情况的监督和审查管理办法,以及评价体系,按照国家有关法律法规和标准规范严格审核密钥设施、密码产品和密码应用建设方案、系统建设、策略配置等,并定期开展密码应用检查和审查工作,对密码应用工作开展情况进行评估,对密码应用不合规和制度落实不到位的情况给予通报,并采取相应处置措施。此外,密码管理部门要对接行业和国家密码管理主管部门,落实国家关于密码工作的部署和要求,接受上级密码管理部门的监督和检查。
4 结 语
密码是各个国家在网络与信息安全保障方面的重要战略部署和核心技术,历来受到高度重视。我国从法律、政策、标准等多个方面对密码和密码应用提出了明确的要求,不断推进密码技术和密码应用走向新的发展阶段,夯实网络与信息安全保障的基石。政务密码应用在工作开展过程中存在大量问题,关于管理职能分工的问题亟需首先解决。随着政务信息整合共享工作的开展和数字化政府的建设,数据安全保障需求将愈加旺盛,政务领域的密码应用将会面临井喷式增长,在这种形势下,理顺密码管理部门关系,建立规范管理机制,有利于政务密码应用的有序开展。本文结合当前政府部门的职能分工情况,以及密码体系和政策要求,提出一套分工明确、互相衔接的密码管理体系,为政务部门开展密码应用工作提供参考。