前言

密码作为国家重要战略资源，是保障网络与信息安全的核心技术和基础支撑，被广泛应用于金融、税务、社保、公积金、交通、能源、电子政务等国民经济关键领域。

为充分发挥商用密码在住房公积金缴存职工个人隐私信息、业务资金安全中的重要保障作用，结合国家对商用密码创新与应用工作的具体要求，某住房公积金管理中心积极有序开展商用密码应用安全建设工作。

建设目标

为有效贯彻落实《中华人民共和国密码法》《商用密码管理条例》等法律法规要求，参照《国家政务信息化项目建设管理办法》《政务信息系统密码应用与安全性评估工作指南》等相关规范，对住房公积金管理中心综合业务系统开展密码应用安全性评估整改建设，以满足国家商用密码合规要求，提升系统整体安全性。

系统概述

1.  业务架构梳理

住房公积金管理中心综合业务系统是一套集业务管理与会计核算管理于一体的专业化系统，覆盖住房公积金归集、提取、贷款等核心业务，以及资金管理和核算等关键环节，应用于辖区内所有住房公积金业务承办部门。

1.1  网络架构情况

综合业务系统所在网络划分为互联网接入区、外网业务区、数据交换区、内网业务区和安全管理区，各区域通过防火墙、网闸、核心交换机等配置安全策略，实现区域间的访问控制、安全隔离和数据交换。

1.2  系统用户情况

根据使用单位及其使用场景，综合业务系统用户情况见下表：

表1 系统用户情况表

1.3  业务流程情况

根据业务访问主体和使用场景的不同，构建了三类安全通信通道：内部办公人员通过内网访问的通信通道，运维管理人员通过内网访问的通信通道，以及社会公众用户、外部单位工作人员通过互联网或专网访问的公众服务通道，支持PC端、移动APP、微信公众号和支付宝等多种接入方式。

2.  关键数据分析

综合业务系统涵盖住房公积金业务相关的结构化和非结构化业务数据。其关键数据类型如下表：

表2 系统关键数据类型表

设计方案

1.  方案技术框架

依据GB/T 39786、GB/T 43207要求，本方案密码应用技术框架见下图：

图1 综合业务系统密码应用技术框架图

2.  计算平台密码应用方案

2.1  物理和环境安全

物理和环境安全层面从属于物理机房建设范畴，故暂不纳入方案论述内容。

2.2  网络和通信安全

针对内部办公人员、外部单位工作人员，通过为其配发符合GM/T 0016、GM/T 0028要求的智能密码钥匙（内置SM2数字证书），在PC端安装VPN客户端，部署符合GM/T 0023、GM/T 0025、GM/T 0028要求的VPN安全网关，实现基于密码技术的身份鉴别及通信双方网络通道的机密性、完整性保护。

对于社会公众用户，通过在系统服务端配置SSL证书，使用高安全算法采用HTTPS协议加密访问业务系统，实现通信过程中重要数据传输的机密性和完整性保护。

2.3  设备和计算安全

通过为运维管理人员配发符合GM/T 0016、GM/T 0028要求的智能密码钥匙（内置SM2数字证书），在PC端安装VPN客户端，部署符合GM/T 0023、GM/T 0025、GM/T 0028要求的VPN安全网关。首先双因素登录VPN安全网关，再登录运维堡垒机，实现PC端登录用户身份鉴别及远程管理通道安全保护。

运维管理人员登录运维堡垒机后，须启用安全认证功能的运维协议（如高安全算法SSH协议）才能访问被运维设备和系统。

针对服务器系统、数据库系统、运维堡垒机、密码设备等产生的日志信息均通过日志审计系统统一收集和存储，由日志审计系统调用符合GM/T 0028、GM/T 0030要求的密码服务接口，通过HMAC-SM3算法实现日志记录信息的完整性保护。

3.  密码支撑平台方案

根据GB/T 39786、GB/T 43207要求，本方案密码支撑平台采用对称及非对称密钥体系的商用密码算法，如SM2、SM3、SM4加密算法等。

密码支撑平台涉及的数据加解密、完整性保护、随机数生成、数据签名验签、安全通信传输等密码服务均由合规密码设施实现，统一部署在数据中心机房，其维护管理工作由用户单位专门运维部门负责。

密码支撑平台以VPN安全网关、服务器密码机、签名验签服务器、时间戳服务器等密码设施为基础支撑，对外提供合规密码服务接口，系统通过调用相应密码服务接口，实现密码技术、密码算法、密码运算的合规、高效、安全使用。

密码支撑平台涉及密钥均由随机数发生器生成，密钥的运算和存储均由加密芯片提供安全支撑，密码设备采用三级密钥保护机制，确保密钥管理安全。

4.  业务系统密码应用方案

4.1  身份鉴别

针对内部办公人员、外部单位工作人员，通过为其配发符合GM/T 0027、GM/T 0028要求的智能密码钥匙（内置SM2数字证书），部署符合GM/T 0028、GM/T 0029要求的签名验签服务器，基于数字签名验签机制通过SM2、SM3算法实现登录用户的身份鉴别，防止非授权人员登录。

对于通过个人网厅、政务移动端、微信公众号、支付宝城市服务接入访问的社会公众用户，由综合业务系统与统一身份认证平台进行对接，作为权威第三方身份认证服务，实现对公众用户的身份真实性验证。

4.2  访问控制信息完整性保护

通过调用符合GM/T 0028、GM/T 0030要求的密码服务接口，采用HMAC-SM3算法对综合业务系统访问权限控制列表进行完整性保护，将HMAC-SM3值存储到数据库中，在读取使用访问控制信息列表时进行HMAC-SM3值的完整性校验，防止访问控制资源信息被非授权用户篡改。

4.3  重要信息资源安全标记完整性

本项目所涉及的系统资源及其相关数据，均未启用安全标记，此项作为不适用项处理。

4.4  重要数据传输机密性和完整性

通过为内部办公人员、外部单位工作人员配发符合GM/T 0027、GM/T 0028要求的智能密码钥匙（内置SM2数字证书），在PC端安装VPN客户端，部署符合GM/T 0023、GM/T 0025、GM/T 0028要求的VPN安全网关，基于GM TLS安全协议使用ECC_SM4_SM3加密算法套件建立安全的通信信道，实现重要数据通信传输的机密性和完整性保护。

对于社会公众用户，在系统服务端配置SSL证书，采用高安全算法通过HTTPS协议加密访问业务系统，实现B/S模式下访问过程中重要数据传输的机密性和完整性保护。

4.5  重要数据存储机密性和完整性

综合业务系统通过调用符合GM/T 0028、GM/T 0030要求的密码服务接口，采用SM4算法实现重要数据存储机密性保护，采用HMAC-SM3实现重要数据存储的完整性保护，防止敏感数据被非法窃取和篡改。

4.6  不可否认性

部署符合GM/T0028、GM/T0031、GM/T0033要求的电子签章和时间戳系统，通过调用电子签章、时间戳服务接口，采用密码技术提供数据原发证据和数据接收证据，实现数据原发行为和数据接收行为的不可否认性。

////////////////////

密码是保障网络空间安全秩序的国之利器，是维护国家安全的重要战略资源。公积金管理中心综合业务系统作为关系国计民生的重要业务系统，对其实施商用密码应用安全建设既是国家相关法律法规提出的明确要求，也是网络安全运营者的法定责任和义务。

网御星云始终将业务创新作为核心驱动力，积极探索密码技术在各行业业务领域的融合应用。未来，网御星云将持续构建高质量商用密码安全方案服务能力，为千行百业数字化转型升级筑牢密码安全底座。

··· 小贴士 ···

文中涉及的技术标准文件如下：

GM/T 0016-2012《智能密码钥匙密码应用接口规范》

GM/T 0023-2014《IPSec VPN 网关产品规范》

GM/T 0024-2014《SSL VPN技术规范》

GM/T 0025-2014《SSL VPN 网关产品规范》

GM/T 0027-2014《智能密码钥匙技术规范》

GM/T 0028-2014《密码模块安全技术要求》

GM/T 0029-2014《签名验签服务器技术规范》

GM/T 0030-2014《服务器密码机技术规范》

GM/T 0031-2014《安全电子签章密码技术规范》

GM/T 0033-2014《时间戳接口规范》

GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》

GB/T 43207-2023《信息安全技术 信息系统密码应用设计指南》