政务云密码资源池建设方案
背景
在政务云规划及相关政策的影响下,我国电子政务得到快速发展,但由于有些地方和部门对密码应用缺乏足够认识,建设的政务云平台存在数据明文传输及重要敏感信息明文存储,缺乏必要的安全认证手段等安全问题,容易导致数据泄露风险,严重威胁着国家政务信息安全。
现状分析
- 业务访问统一访问一套密码服务平台,业务量大,平台会是瓶颈;
- 密码资源无法按租户分配资源、租户无法实现独占独享自己资源。
建设思路
一个平台、多个中心
- 满足多中心、多租户、多应用的云密码资源池建设要求
- 采用一个平台,多个数据中心节点的建设方案,确保资源可统一管理、统一调度分配、统一监控,同时保证密码资源使用的独立性,避免因耦合性高影响业务正常运行
一套体系、提升政务密码应用便利性
采用统一的建设方案,基于一个平台,建设一套政务信息系统密码应用管理体系,确保所有政务信息系统密码应用的一致性,提高政务信息系统密码应用的规范性与便利性
投入小、扩容性强
- 统一建设云密码资源池基础平台
- 密码服务按需分配,降低整体投入
- 采用可支持按需分配密码资源、租户独享密码资源、扩容应用无感知的建设方案,提供密码资源池总体的扩容能力
应用框架
统一性
密码资源、密码服务资源统一管理、统一调度、统一监控、统一服务标准规范。
便利性
- 降低业务系统对接难度;
- 便于异构不同厂家硬件密码设备;
- 扩容方便快捷。
低耦合性
不同单位提供独立密码资源和密码服务资源,独占独享,相互耦合性低。
部署示意图
部署方式灵活多样
- 支持“一个中心、一套平台”部署方案;
- 支持“一个中心、多节点”的部署方案。
服务资源虚拟化
- 所有密码服务资源支持容器化部署。
管理简单、扩容性强
统一管理入口,便于管理、资源分配,具备平台与租户双用户管理体系。
方案价值
集约式建设
遵循“一个平台、多个中心、一套密码应用安全体系”的原则集约式建设密码资源池,满足政务系统密评需求,并提供快速过密评的能力。
按需购买服务
市各委办局单位按需向市政府办公室申请密码资源,市政府办公室根据实际密码资源使用情况向电信购买服务。
一站式服务
按信息系统商用密码应用安全性评估的要求或各政企单位的要求提供“一站式”的密码服务,包括密码专家咨询服务、专家技术方案编写服务、商用密码测评服务等一站式服务。
背景
在政务云规划及相关政策的影响下,我国电子政务得到快速发展,但由于有些地方和部门对密码应用缺乏足够认识,建设的政务云平台存在数据明文传输及重要敏感信息明文存储,缺乏必要的安全认证手段等安全问题,容易导致数据泄露风险,严重威胁着国家政务信息安全。
行业痛点
解决方案
01 多数据中心密码资源池建设方案
1.建设统一的密码资源池
由云服务器密码机支持的虚拟密码服务器构建统一的密码资源池,统一为政务云信息系统提供基础的密码运算支撑。
2.建设统一的密码服务
基于底层密码资源,为信息系统提供统一的密码接口服务,包括身份鉴别、数据加解密、签名验签、完整性计算等。
3.建设统一的密码服务管理平台
集中管理密码资源,提供包括密码设备管理、密钥管理、证书管理、应用授权管理、密码插件管理等综合管理功能,支持为各部门独立分配密码资源和无感扩容,同时支持密码设备和密码服务应用情况的实时监控预警。
02 多数据中心密码资源池建设方案
1.建设多数据中心密码资源池
建设各云节点的密码应用服务支撑系统与密码机资源池,实现中心密码资源独享、可控、扩展性强、耦合性低。
2.建设云密码管理与服务平台
基于云密码管理与服务平台实现多中心、多租户、多应用的密码资源统一管理、调度与监控。
方案价值
政务云密码应用一体化建设能力
满足政务信息系统国密改造需求
支撑政务信息系统全方位安全防护
风险分析
方案概述
01 政务云密码资源池建设
建设统一的密码资源池
由云服务器密码机支持的虚拟密码服务器构建统一的密码资源池,统一为政务云信息系统提供基础的密码运算支撑。
建设统一的密码服务
基于底层密码资源,为政务云信息系统提供统一的密码接口服务,包括身份鉴别、数据加解密、签名验签、完整性计算等。
建设统一的密码服务管理平台
集中管理密码资源,提供包括密码设备管理、密钥管理、证书管理、应用授权管理、密码插件管理等综合管理功能,支持为各部门独立分配密码资源和无感扩容,同时支持密码设备和密码服务应用情况的实时监控预警。
02 多数据中心密码资源池建设
建设多数据中心密码资源池
建设各云节点的密码应用服务支撑系统与密码机资源池,实现中心密码资源独享、可控、扩展性强、耦合性低。
建设云密码管理与服务平台
基于云密码管理与服务平台实现多中心、多租户、多应用的密码资源的统一管理、调度与监控。