《政务“一朵云”安全管理体系规范 第2部分：密码应用技术要求（报批稿）》编制说明.pdf

DB32/TXXXX—XXXX

《政务“一朵云”安全管理体系规范第2部

分：政务云密码应用技术要求》（送审稿）

一、目的意义

1.产业发展现状

近年来，党和国家高度重视密码技术在网络安全工作中的应

用。2020年实施的《中华人民共和国密码法》指出，需使用商

用密码保护相关关键信息基础设施。《商用密码应用安全性评估

管理办法》《国家政务信息化项目建设管理办法》《江苏省省级

政务信息化项目建设管理办法》等相关文件也强调了信息系统密

码应用的必要性。

当前，在国家大力引导和各界的共同推动下，我国政务云行

业发展迅猛，在助力政务建设、打破信息孤岛、实现数据共享共

治方面效果显著。政务云运用云计算技术，统筹使用政府已有的

机房、计算、存储、网络、安全、应用支撑、信息数据等资源，

发挥云计算虚拟化、高可靠性、高通用性、高可扩展性以及快速、

按需、弹性服务的特征，运行了很多关系国计民生的业务系统，

存储、流转大量敏感数据和个人隐私信息。保障政务云平台安全

对我国政治、经济、生产和生活等各方面至关重要，密码技术作

为保障云安全的重要技术，将密码能力变成云中的一种资源服

1

DB32/TXXXX—XXXX

务，在云服务体系中具有十分重要的地位和作用。

2021年3月9日，国家标准GB/T39786-2021《信息安全技

术信息系统密码应用基本要求》发布，指导商用密码应用与安

全性评估工作，对于规范和引导信息系统合规、正确、有效应用

密码，切实维护国家网络与信息安全具有重要意义。该标准从物

理和环境安全、网络和通信安全、设备和计算安全、应用和数据

安全等四个方面提出了密码应用技术要求，以及管理制度、人员

管理、建设运行、应急处置等密码应用管理要求。

2023年10月31日，江苏省人民政府办公厅发布了《江苏

省政务“一朵云”建设总体方案》，计划到2027年底，集约共享、

融合创新、智能敏捷、安全可控、高效服务的全省政务“一朵云”

体系全面建成。达成云资源规模满足需求、云技术应用先进成熟、

云服务种类丰富多样、云安全体系自主可控、云使用效能显著提

高的目标。

2024年4月15日，中国密码学会发布了《政务领域政务服

务平台密码应用与安全性评估实施指南》《政务领域政务云密码

应用与安全性评估实施指南》，文件依据国家密码政策要求和标

准规范制定，促进政务领域政务服务平台场景中商用密码的合

规、正确、有效应用，同时可用于指导各级政务服务平台相关系

统建设单位和使用单位以及商用密码应用安全性评估机构规范

开展商用密码应用和安全性评估工作。

2.必要性

政务云作为大数据背景下电子政务集约化发展的支撑，在提

2

DB32/TXXXX—XXXX

高效率、降低成本、资源共享、互联互通、业务协同等方面具有

先天优势，与此同时，云上应用系统和海量数据的安全问题相伴

而生、日益突出。密码作为保障网络安全的核心技术和基础支撑，

在身份识别、安全隔离、信息加密、完整性保护和抗抵赖性等方

面发挥着不可替代的重要作用。运用密码技术，推进密码技术和

云计算技术的融合发展，是建设安全可信政务云平台的必由之

路。

政务云安全隐患主要分为两个层面：一是系统的安全，包括

云主机安全、中间件安全、操作系统安全、网络安全、应用安全

等；二是数据的安全，在政务云数据聚集化的趋势下，集中后的

数据如何安全地存储、传输和使用也是个挑战。政务云平台密码

应用设计构建以商用密码为核心的云安全保障体系，通过构建底

层基础设施统一密码服务平台提供大规模密钥管理能力，集中对

硬件密码资源统一调度分配，对外提供通用与典型密码应用，实

现按需扩展、灵活配置。研究以商用密码作为核心技术基础支撑，

提升政务云平台网络安全保障能力，最终实现商用密码在政府关

键重要领域的全面落地，是迫切需要的。

3.可行性