关于对政务云密码支撑方案及应用方案设计的学习及思考

1.文章编写背景

写这篇文章的主要目的是记录和梳理我从事密码应用安全测评师工作以来学到的东西，同时也想分享给有需要的人，我们一起学习一起讨论，共同进步，如有错误和问题欢迎大家指出！

2.对于编写密码方案的思考

为什么要编写密码方案呢？主要有以下几点原因：

1.密码方案是信息系统密码部署和建设的重要依据，信息系统在规划阶段其实就应该考虑到密码的应用，提高系统的抵抗力。

2.是对信息系统开展密评工作的重要依据，系统要开展密评工作的时候，密评机构可以根据编制好的密码方案快速了解系统的业务功能、资产、网络以及密码应用等情况。同时，我们可以看到GB-T39786的建设运行层面中，有一项指标是——制定密码应用方案，如果系统没有制定密码应用方案，或者方案未通过专家的评审，此项在高风险判定指引里是个高风险项。

3.39786中各项指标是有应、宜、可的密码应用要求的，“应”是必须要做的，“宜”是建议要做，“可”的指标可根据自身需求决定是否进行密码应用。“宜”的指标如果你不想做，需要在密码应用方案中详细阐述不适用的原因，因此密码方案也是咱们判断“宜”是否适用的重要依据。

为什么我不说密码应用方案而是一直在说密码方案？

对于一个普通的信息系统而言——比如一个OA系统，它是密码应用的需求方，它实现的主要是密码的应用；而对于一个密码服务平台，它其实更多的是密码应用的供给方，主要提供密码的支撑功能。

对于OA，我们写的密码方案严格来说是密码应用方案，而对于一个云平台、密码服务平台我们写的方案严格来说是密码解决方案、密码支撑方案。好比密码服务平台我只负责提供武器d药，而你OA系统如何使用，如何打仗我是不关注的。密码解决方案、密码支撑方案、密码应用方案是根据责任主体的不同而设计的，因此编制的时候我们要区分。

3.政务云密码支撑方案及应用方案的设计 3.1主要参考的标准规范、文档

GM/T0094-2020公钥密码应用技术体系框架

政务云密码支撑方案及应用方案设计要点

云服务密码技术白皮书2019（北京商用密码行业协会发布）

3.2GM/T0094公钥密码应用技术体系框架学习

要想设计好政务云密码支撑方案及应用方案，我们需要对GM0094有个大概的了解，这个标准规范中把密码应用技术体系框架分为了：

 1.简单概述一下这个图：公钥密码应用技术体系框架包括密码设备服务层、通用密码应用支撑层、典型密码应用支撑层、基础设施安全支撑平台，四部分有机结合组成公钥密码应用技术体系。

需要注意的一点是，非云计算环境下我们可以看到：密码设备服务层是通过密码设备向上层提供支撑的，基础设施安全支撑平台通过密码设备管理对密码设备进行管理；而云计算环境下：密码设备服务层是通过密码资源池向上层提供支撑的，基础设施安全支撑平台通过密码资源管理对密码资源池进行管理。

2.怎么理解框架的四大部分？

密码设备服务层：由密码模块组成，比如密码机、密码卡、签名验签服务器等设备或密码软件，通过密码设备服务接口向上层提供最基本的密码运算服务、密钥管理、设备管理；同时我们可以从框架上看到那个箭头，它还要面向基础设施安全支撑平台，接收该平台的密码设备管理（比如密码设备的配置、发放等管理）。

云计算环境下，由密码设备和密码资源池组成，物理密码设备此时虚拟化成为虚拟密码设备，按需分配给租户使用。此时面向基础设施安全支撑平台，它接受的是密码资源管理器对密码设备服务层的密码资源管理（如创建、销毁、配置、漂移、镜像等）。

通用密码服务支撑层：负责完成与密码设备的安全连接，实现具体的密码功能。提供通用密码应用支撑接口，此时上层密码应用支撑的请求将会转化为具体的 *** 作请求，通过接口调用密码设备实现具体的密码运算和密钥 *** 作。在这一层上，要实现具体的密码功能向上层提供。同时它直接面对基础设施安全支撑平台的提供的管理服务，例如证书认证系统，接受证书的管理。

这里我们可以抽象的把通用密码应用支撑看做是中间件，可以单独实现，也可以在保证密钥安全的前提下，采用虚拟化的方式实现。

典型密码服务支撑层：和通用密码服务支撑层基本一致，也是需要通过调用通用密码应用支撑接口实现，大部分上层应用都需要使用的密码功能服务，比如加解密功能、身份鉴别、电子签章等，我们可以做个典型密码功能服务支撑起来，举个形象的例子：就比如我们每个人都需要吃饭，这里可看做是个典型。典型服务要做到把大米蒸熟，做个典型服务，提供给大家。它也要面对基础设施安全支撑平台，接受密钥管理、时间戳管理等。

同理，我们也可以吧典型密码应用支撑层看做是中间件，可以单独实现，也可以在保证密钥安全的前提下，采用虚拟化的方式实现。

基础设施安全支撑平台：由证书认证系统、属性管理系统、时间戳系统、密码设备管理和密码资源管理器等组成，主要作用是为应用技术体系提供相应的基础管理服务。

云计算环境下，密码设施安全支撑平台中的密码资源管理对密码资源进行统一管理，包括对密码资源的隔离，协同，整合和调配等。

3.体系框架逻辑图

 我们可以看到，逻辑图里涉及实现的密码功能技术、接口是很多的，如果不对这些密码技术和接口进行统一规范，会造成许多问题。具体的接口、技术规范我这里不在阐述，大家有兴趣可以根据0094里提到的标准规范，再去搜索学习。

4.依据GM/T0094形成云密码支撑方式的思考

学习完公钥密码应用技术体系框架，我们难免有个疑问——在实际应用中，我们要给需求方提供一个什么样的云密码支撑方式？

对于一个应用系统来说，公钥密码应用技术体系框架可以抽象化，把通用密码服务支撑和典型密码服务支撑看做中间件，形成：密码设备支撑中间件，中间件提供密码功能给应用系统使用，同时中间件面对着密码基础设施，密码基础设施提供相应的管理服务。

 依据《政务云密码支撑方案及涉及要点》、《云密码服务技术白皮书2019》等资料，可以参考设计以下三种密码支撑方式：

1.租密码机模式，例如云上有多个应用，每一组应用我们都可以租一个密码机，密码机上放中间件，向应用提供密码功能服务。

 

2.租密码服务器模式，密码设备在底层支撑，而我们的中间件放在独立服务器中，通过调用密码舍形成具有密码功能的服务器（例如身份鉴别服务器、签名验签服务器、加解密服务器等）向上层应用提供密码功能服务。

3.租密码服务模式，服务器，密码机都不出租，直接提供密码服务功能，相当于提供了一个密码支撑平台。

 云密码技术服务白皮书中提出了CRaaS、CFaaS、CBaaS的概念，可以结合我上面提到的三类模式学习。

其实类似云计算的lass（硬件服务）、paas（平台服务）、saas（软件服务），云密码支撑方式也是参考这个概念，采用何种方式还是看租户的具体需求是啥，有些租户需要你提供原材料，有些租户希望你提供菜谱，有些租户希望你能直接给他们做好菜。

5.依据《政务云密码支撑方案及涉及要点》设计密码应用方案

 上面三大部分内容学习完，我们已经对为什么要写密码应用方案，公钥密码应用技术体系框架的组成、密码应用支撑方式等知识有了一个大概的了解。此时我们可以参考《政务云密码支撑方案及涉及要点》的第二部分内容，设计我们云密码应用方案。通过上面的学习，我们对里面的一些概念理解起来就好很多了。

第一章节主要是政务云密码应用的总体设计，这块没什么好说的，需要注意的是1.3总体框架设计，可以参考附录提出来的框架模型，设计政务云密码应用的总体框架。总体框架的设计应当全面，需涵盖云平台及业务密码应用，终端密码应用、网络与边界密码应用、云管理密码应用、密码基础支撑和密码服务等。同时，密码应用不但要关注云上应用的安全，还关注云平台自身的安全。

 第二章节主要是政务云密码应用的详细设计，《政务云密码支撑方案及涉及要点》里面已经说得很详细了，我们可以结合上面的密码应用模型理解文中的内容，这里我就不再具体阐述了。

第三章节是政务云密码应用总体部署，主要是结合第二章的详细设计内容，要输出密码应用总体部署图，对部署图的密码产品进行简要描述。

第四章是管理体系设计，涉及到管理机构、人员、制度、系统建设的管理设计。

第五章是运维体系设计，对运维维护、人员保障、安全保密等内容设计

第六章是实施计划，工程组织，进度安排、经费概算等内容设计

总的来看其实第一、第二、第三章节的内容是有难度的，四五六章节其实都很好写。

结语

以上内容均是我个人学习及思考的心得，有些概念可能也只是在我目前的眼光和工作经验上理解的，还是需要以咱们的标准为主。不对之处欢迎指出，大家互相学习进步！