水利统一密码服务设计框架、第二级、第三级水利信息系统密码应用基本技术要求汇总表、密钥生存周期管理.docx

附录A（资料性）水利统一密码服务设计框架水利密码应用技术框架包含密码支撑服务和密码安全应用两部分，如图1所示。S码应用«»支值KIS图1水利统一密码服务设计框架密码支撑服务为信息系统应用密码提供支撑，包括密码资源和密码服务。密码资源是实现密码运算、密钥管理等功能的设备、系统、模块等，主要包括证书认证系统、密钥管理系统、云服务器/服务器密码机、签名验签服务器、SSLVPN/IPSecVPN安全网关、身份认证网关、电子签章系统、时间戳服务器等密码产品组成。遵循以下要求：a）针对密码资源可构建物理密码资源和虚拟密码资源共同组成的水利密码计算资源；b）密码资源的最大服务范围应控制在独立安全可控的网络区域内；c）密码资源应能够根据业务需求进行弹性扩充，并进行统一监控调度和分配,应具有协同处理和容错能力，避免单元设备故障或失效影响；d）密码资源内采用的密码产品应具备商用密码产品认证证书。密码服务以接口形式提供密码功能,供信息系统调用，以实现各信息系统密码应用需求。包括密码支撑平台和密钥管理服务、数据加解密服务、完整性验证服务、签名验签服务、数字证书服务、统一身份认证服务、电子签章服务、时间戳服务等各项服务。遵循以下要求。a）宜建设密码支撑平台对密码资源进行统一管理，并以服务接口的方式提供密码服务功能;b）信息系统对密码服务时效性、稳定性要求特别高时，可直接调用相应密码资源提供密码服务功能；c）应建立水利行业统一信任体系下的数字证书基础设施，实现水利数字证书统一签发、统一分发、统一管理等；d）宜构建统一的密钥安全管理和级联加解密服务。密码安全保障依托密码支撑服务为信息系统需提供基于密码的安全应用保障，围绕主要包括物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全等四个方面，实现信息系统的机密性、完整性、真实性、不可否认性保护。附录B（资料性）第二级、第三级水利信息系统密码应用基本技术要求汇总表技术指标第二级第三级主要应用范围或功能点技术要求物理和环境安全身份鉴别宜宜重要物理区域（中心机房、灾备机房、控制室等）出入人员电子门禁记录数据存储完整性宜宜重要物理区域门禁日志记录数据视频监控记录数据存储完整性宜宜重要物理区域视频音像记录数据网络和通信安全身份鉴别宜应信息系统与外界交互的通信信道两端（客户端/浏览器到信息系统服务端之间、VPN客户端到VPN服务端之间、信息系统与外部系统之间等）的通信实体通信过程重要数据机密性宜应通信信道中传输的重要数据通信数据完整性可宜通信信道中传输的数据网络边界访问控制信息完整性可宜防火墙、边界路由、VPN等网络边界设备的访问控制列表安全接入认证一可外部连接到内部的设备设备和计算安全身份鉴别宜应登录设备（通用设备、网络及安全设备、密码设备、堡垒机等）的管理员远程管理通道安全一应运维管理终端与设备之间的管理通道访问控制信息完整性可宜设备操作系统的系统权限访问控制信息、系统文件目录的访问控制信息、数据库中的数据访问控制信息、堡垒机的权限访问控制信息等重要信息资源安全标记完整性宜通用设备、网络及安全设备、密码设备、堡垒机等的重要信息资源安全标记日志完整性可宜通用设备、网络及安全设备、密码设备、堡垒机等的日志重要可执行程序完整性和来源真实性一宜通用设备、网络及安全设备、密码设备、堡垒机等的重要可执行程序应用和数据安全身份鉴别宜应登录或访问应用系统的用户访问控制信息完整性可宜应用系统中的访问控制信息重要信息资源安全标记完整性一宜应用系统中重要信息资源的安全标记重要数据机密性宜应应用系统中的身份鉴别信息、个人信息、日志信息、业务数据等重要数据重要数据完整性可宜应用系统中的身份鉴别信息、个人信息、日志信息、业务数据等重要数据不可否认性一宜应用系统中的关键操作附录C（资料性）密钥生存周期管理C.1概述密钥管理对于保证密钥全生存周期的安全性是至关重要的，可以保证密钥（除公钥外）不被非授权的访问、使用、泄露、篡改和替换，可以保证公钥不被非授权的篡改和替换。信息系统的应用和数据层面的密钥体系由业务系统根据密码应用需求在密码应用方案中明确，并在密码应用实施中落实。密钥管理包括密钥的产生、分发、存储、使用、更新、归档、撤销、备份、恢复和销毁等环节。以下给出各个环节的密钥管理建议供参考。C.2密钥产生密钥可以以随机产生、协商产生等不同的方式来产生。密钥在符合GB/T37092的密码产品中产生是十分必要的，产生的同时可在密码产品中记录密钥关联信息，包括密钥种类、长度、拥有者、使用起始时间、使用终止时间等。C.3密钥分发密钥分发是密钥从一个密码产品传递到另一个密码产品的过程，分发时要注意抗截取、篡改、假冒等攻击，保证密钥的机密性、完整性以及分发者、接收者身份的真实性等。C.4密钥存储密钥不以明文方式存储在密码产品外部是十分必要的，并采取严格的安全防护措施，防止密钥被非授权的访问或篡改。公钥是例外，可以以明文方式在密码产品外存储、传递和使用，但有必要采取安全防护措施，防止公钥被非授权篡改或替换。C.5密钥使用每个密钥一般只有单一的用途，明确用途并按用途正确使用是十分必要的。密钥使用环节需要注意的安全问题是：使用密钥前获得授权、使用公钥证书前对其进行有效性验证、采用安全措施防止密钥的泄露和替换等。另外，有必要为密钥设定更换周期，并采取有效措施保证密钥更换时的安全性。C.6密钥更新密钥更新发生在密钥超过使用期限、已泄露或存在泄露风险时，根据相应的更新策略进行更新。C.7密钥归档如果信息系统中有密钥归档需求，则根据实际安全需求采取有效的安全措施，保证归档密钥的安全性和正确性。需要注意的是，归档密钥只能用于解密该密钥加密的历史信息或验证该密钥签名的历史信息。如果执行密钥归档，则有必要生成审计信息，包括归档的密钥、归档的时间等。C.8密钥撤销密钥撤销一般针对公钥证书所对应的密钥。当证书到期后，密钥自然撤销。也可以按需进行密钥撤销，撤销后的密钥具备使用效力。C.9密钥备份对于需要备份的密钥，采用安全的备份机制对密钥进行备份是必要的，以确保备份密钥的机密性和完整性，这与密钥存储的要求是一致的。密钥备份行为是审计涉及的范围，有必要生成审计信息，包括备份的主体、备份的时间等。C.10密钥恢复可以支持用户密钥恢复和司法密钥恢复。密钥恢复行为是审计涉及的范围，有必要生成审计信息，包括恢复的主体、恢复的时间等。C.11密钥销毁密钥销毁要注意的是销毁过程的不可逆，即无法从销毁结果中恢复原密钥。