返回大厅
格尔软件 政务云密码服务平台
投票数量:236 票
助力海报
信创产品介绍
技术创新优势
应用场景
荣誉及资质
方案构建了一套科学、合规且适用于政务云环境和多业务场景下的国产密码服务基础设施,通过密码服务平台建设将国产密码服务转变为云平台内生的服务能力,为上海市电子政务系统打造了集约高效、自主可控的密码安全基座。自2021年5月上线运行以来,该方案已为上海市信创工程中82家实施主体提供密码资源与密码服务;截止目前,共为上海79家市级单位、3个行政区,近1200个应用系统提供密码服务;服务对象覆盖20多万公务员/公务员、事业单位人员以及500多万上海市民。 方案于2021年11月通过验收,并通过等级保护测评与密码应用安全性评估。
方案采用与云计算技术相适应的服务模式和技术架构,为云上各单位提供合规、高效、灵活、丰富的密码服务,具备如下特点:构建云密码服务平台,管理能力强;提供密码PAAS服务模式,服务能力高;采用高集约化服务模式,建设及运维成本低。方案针对电子政务云对密码服务高动态、高差异化、高独立性及高便捷性等需求,设计并实现了高效灵活的密码机虚拟集群化技术、基于云计算场景的密码服务镜像技术及高效便捷的异构密码资源管理技术。方案从服务模式、管理方式和技术应用三个层面,实现了云密码服务的高可用、高适配和高效率的创新。
(1)高效灵活的虚拟密码机集群化技术
针对政务云对密码服务的高动态及高差异化需求,面对以硬件形态为主的传统密码产品在部署、管理上难以适应云上业务系统密码应用的问题,设计并实现了高效灵活的虚拟密码机集群化技术。
(2)适用云计算场景的密码服务镜像技术
针对云环境中各单位密码资源相对独立的需求,解决传统密码技术在面对此类需求时投入成本高、改造难度大、实现效果差的难题,设计并实现了基于云计算场景的密码服务镜像技术。
(3)高效便捷的异构密码资源管理技术
针对云平台对密码资源和服务高效便捷管理的需求,考虑传统密码模式在迁移过程中需要考虑的诸多问题,设计并实现了高效便捷的异构密码资源管理技术。
高可用的集约化云密码服务模式
高集约化的云融合密码服务模式,实现密码服务与云平台资源深度融合。除了必要的密码硬件外,其他都使用云平台本身的资源。密码服务全部以云平台的“按需使用”方式提供,实现了云环境下整体资源投入的最小化。
突破传统密码模式在云上只能提供服务类(“调用-应答”型)密码服务的限制。通过将通讯类密码设备虚拟化,融入租户VPC环境中,将传统密码产品提供的功能都带入到云中实现,为业务应用提供全方位支撑。提供专用模式/共享模式。方案中提供了专用模式/共享模式密码服务,即可以为租户提供专用密码服务(运行在租户VPC内,租户独占密码服务资源),也可以为租户提供共享服务(运行在提供共享服务的专用VPC内)。
(2)高适配的云密码服务良好生态
全面适配信创云环境,本方案设计了一套信创环境下集异构云密码机、异构云平台和异构密码应用服务为一体的机制,平台还支持对多个资源区网络的密码资源进行纳管,支持多租户,并支持设备绑定租户使用。
实现多元化的密码服务生态,平台的底层密码机服务采用了标准的国密规范,实现遵循规范的异构云服务器密码机同时在平台中使用。提供统一接口,让传统的密码应用服务软件可透明接入,简化应用系统的对接难度,使密码服务平台能够以构建云密码生态为目标,持续接入和扩展新的密码服务类型。
(3)高效率的云密码服务体系架构
通过密码微服务架构,构建平台级密码服务能力。方案实现密码服务能力与基础密码设备的解耦,能够面向多租户使用场景并满足容器云/非云环境的业务应用系统密码服务应用需求。不同类型的密码服务以容器/镜像的方式向租户提供,实现密码服务平台集中管理动态调度密码服务。
(1)首个信创云内生的国产密码应用技术架构
国内目前主要有密码资源池技术路线、密码服务总线技术路线和云密码服务平台技术路线,本方案选择了基于云原生的云密码服务平台技术路线。特点是基于“分层解耦”的设计思想,将密码服务软件和密码运算模块作为不同的密码资源进行管理,使密码与云平台深度融合,成为除计算资源、存储资源、网络资源以外的第四类资源,实现了云内生的密码服务保障能力,在不影响业务运行情况下的动态扩展能力,可为云租户提供安全合规、集约高效、简单易用的密码资源与密码服务。
(2)政务云下密码管理权责明确边界清晰
密码管理“权责明确,边界清晰”,云平台密码管理体系的所有管理职责均落在平台自身的密码运营单位,租户侧密码服务管理和密钥管理职责由租户单位专职管理员负责。采用一中心多区域管理模式,密码管理边界清晰,以云密码管理平台为中心,同时管理互联网资源区和政务外网资源区的密码服务,实现了密码服务与业务需求根据网络结构的不同进行无缝衔接。
(3)实现密码监管全面感知密码应用态势
“以密码服务为目标,以密码监督为抓手”,对接商用密码监管系统,通过密码及应用的信息采集、汇总、台账、上报、合规监测等手段,上海市密码管理部门和租户单位可以实现全面感知密码应用态势,实时掌握密码服务状态和应用态势。
多维度、实时、动态密码数据监管。通过一组密码接口标准采集全线产品和各类厂商密码产品的日志数据,对用户在各类密码系统中的行为进行审计监管。对接商用密码监管系统,提供全面监管密码应用态势,识别密码使用风险行为并进行告警。
(4)集约化部署运营模式降低密码应用门槛
密码服务“集约化,易应用”在PaaS层提供了多种类型的密码服务,同时支持SaaS化密码应用,在不同层面实现密码服务资源和密码计算资源动态分配,达成“全生态密码服务”目标。降低密码使用门槛,简化应用集成难度,“起点高、有保障,规范指导、少走弯路”。通过密码服务基座,持续加载符合密码服务接入规范的密码创新应用,云密码资源池支持异构云密码机接入,构建开放式云密码服务生态。
更好地支撑全市“一网通办”和“一网统管”,上海市大数据中心发起三朵电子政务云建设,实现全市政务信息化系统统筹建设、服务统一购买、数据充分共享,从体制机制上破解“系统小而散、互联互通难,数据共享难”等信息化瓶颈问题,为城市数字化转型提供有力支撑。
“一网通办”和“一网统管”建立在公共网络、公共数据的基础之上,“身份可信、信息可控、数据可用”的安全目标离不开上海政务云国产密码服务的支撑。该方案于2021年3月开始建设,2021年5月上线运行,实现了信创环境下国产密码应用服务与上海政务云紧耦合集成应用,以建立“一个密码服务平台、一种密码服务模式、一组密码接口标准、一套密码管理体系”为目标,实现了云密码资源的统一使用、运维、管理等,建设从云密码资源池、通用密码服务、功能性密码服务到业务性密码服务在内的密码服务平台,为政务云平台提供统一高效的密码支撑。
类型 序号 名称
商用密码应用安全性评估报告 1 评估报告
2 备案回执
联合申报书 1 联合申报书
获奖证书 1 中国网络安全与信息产业“金智奖”2018年度企业奖
2 党政JY科技进步三等奖
3 2020年度商密产业优秀解决方案
4 中国标准创新贡献三等奖
5 2020年度商密产业十强优秀企业
6 2021年度上海市网络与信息安全服务推荐单位
7 2021年度上海网信办网络安全技术支撑单位
标准 1 信息安全技术 公钥基础设施 数字证书格式
2 信息安全技术 证书认证系统密码及相关安全技术规范
3 基于数字证书的身份鉴别接口规范
4 信息安全技术 传输层密码协议(TLCP)
5 公钥密码应用技术体系框架规范
6 基于SM2算法的证书申请语法规范
7 云服务器密码机技术规范
软件产品证书 1 格尔特权账号管理软件V1.0
2 格尔密码服务平台软件V1.0
3 格尔服务器密码机软件V1.0
4 格尔数字证书认证软件V6.6.0
5 格尔安全认证网关软件V6.0
商密产品认证证书 1 格尔密码服务平台(密码模块)
2 格尔服务器密码机
3 安全认证网关
4 IPSec VPN网关
5 格尔服务器密码机
6 SZT0901数字证书认证系统
软件著作权 1 格尔特权账号管理软件V1.0
2 格尔密码服务平台软件V1.0
3 格尔服务器密码机软件V1.0
4 格尔云服务器密码机软件V1.0
5 格尔大数据平台密钥管理软件V1.0
6 格尔信创指挥平台软件V1.0
7 格尔商密应用监管软件V1.0
8 格尔零信任API代理软件V7.0
9 可信边界安全网关软件V4.0
专利著作权 1 一种提高VPN服务端并发处理性能的方法
2 一种多服务器架构下的认证和密钥协商方法
3 一种基于软件数字证书安全的权限发布获取控制方法
4 一种基于软件数字证书和时间戳的WebService安全认证访问控制方法
5 一种基于随机关联码的用户多认证凭证关联方法
长按海报可保存至本地
提供云计算服务
