某省“互联网+政务服务”商用密码安全研究

本文是安全管理论文，本文主要探讨了甘肃省政务信息系统的商用密码安全保障能力，目前，甘肃省商用密码在政务信息系统等重要领域已得到应用推进，对保护关键信息基础设施安全发挥着重要作用，但总体上商用密码还处于初级发展阶段，密码应用社会基础还很薄弱。对甘肃省“互联网+政务服务”系统进行安全定级，并结合商用密码使用管理相关要求，探讨了甘肃省如何有效推进商用密码对“互联网+政务服务”的安全保障能力，对完善政府信息安全系统提出参考建议，包括：推进甘肃省“互联网+政务服务”商用密码应用的技术保障、建立甘肃省“互联网+政务服务”密码管理制度保障体系、建立长效风险控制和安全监管机制、做好商用密码应用的政策资金和培训保障。

第一章绪论

目前甘肃省“互联网+政务服务”系统在一定程度上采用了商用密码技术进行防护，增强了信息系统的安全性，但从整体来看，甘肃省密码应用仍处在起步阶段，目前还有一些实际困难和问题，尤其是相关建设管理单位存在密码应用缺乏体系规划，安全意识薄弱的问题。随着“互联网+政务服务”系统的基础作用越来越明显，政务信息系统的安全防护也越来越重要，必须以商用密码作为基础支撑和核心能力，构建体系化的安全防护架构②。特别是甘肃位于经济欠发达的西部地区，研究发现，“互联网+政务服务”对所在区域的经济带动作用明显，经测算，数字政务指数与GDP呈正相关性③，做好“互联网+政务服务”安全保障系统的建设，对推动甘肃省“互联网+政务服务”系统建设、促进甘肃省经济发展、推动西部地区经济建设等方面具有重要意义。商用密码应用涉及的领域非常广泛，管理和使用密码进行防护的主体较多。

第二章甘肃省“互联网+政务服务”商用密码安全保障的相关理论

2.1相关概念

商用密码在我国信息安全管理系统应用中的具体技术应用主要包括商用密码的技术和相关产品的综合应用。从其功能上看，应用于信息安全系统的技术和商用密码的技术主要包括安全加密保护技术和安全认证密码技术：从其内容上看，主要的内容包括商用密码的算法、密钥的管理和商用密码的协议，商用密码的协议种类较多，如使用身份密码认证的协议、密钥的协商管理协议、电子移动支付协议等等。从中深入分析研究了甘肃省“互联网+政务服务”信息安全管理系统使用存在的不足和其面临的风险，提出了有针对性的改进对策，更好的发挥了商用密码的安全保障作用，进而推进甘肃省政务信息系统的整体建设。

2.2理论基础

信息系统的实施运行、使用管理单位和维护人员虽然可以根据系统的特殊安全和保护措施需求对一些安全保护措施进行适当增强，但是不允许随意增加或减少降低安全保护措施级别。因此确定政务信息安全系统的保护等级，对使用商用密码保障信息系统的建设工作具有明确的指导作用。为确认和保障在线行政事项办理中用户的身份认证和政务数据的安全，甘肃省政务服务系统采购了支持国密算法的SSLVPN、SSL网关、无线网关设备，利用数字证书为基于安全可靠的政务网络信任体系平台提供以数字证书形式为主的身份认证服务，并对签名数据验证其签名真实性和有效性进行验证。为保障政务系统中的数据安全，在用户计算机中部署智能密码钥匙和相关安全软件，实现登录计算机的双因子身份鉴别和本地关键数据存储的安全；在综合管理服务、审计服务器和数据库服务中部署加密卡

第三章甘肃省“互联网+政务服务”商用密码安全保障现状.....19

3.1甘肃省“互联网+政务服务”的主要功能..................................19

3.2甘肃省“互联网+政务服务”商用密码安全保障概况.................23

第四章甘肃省“互联网+政务服务”商用密码安全保障存在的问题和原因分析..........31

4.1甘肃省“互联网+政务服务”安全保障存在的主要问题.................31

4.2甘肃省“互联网+政务服务”安全保障存在问题的原因分析........36

4.3甘肃省“互联网+政务服务”安全保障面临的主要风险分析........38

第五章国内外经验借鉴...................................................................41

5.1美国...............................................................................41

5.2欧盟...............................................................................42

5.3广东...............................................................................43

第六章甘肃省“互联网+政务服务”商用密码安全保障的优化对策

6.1推进甘肃省“互联网+政务服务”商用密码应用的技术保障

面对近年来政府信息泄露事件的频发，我们必须清醒的认识到，在相当长的一段时间内，甘肃省“互联网+政务服务”还存在着一系列严峻挑战，信息安全风险切实威胁着政务信息系统的稳定发展，并危及到国家安全、经济秩序、社会治安和损害公共利益。为有效保障甘肃省政府信息安全，必须充分认识到目前政务信息系统商用密码安全保障存在的突出问题，针对问题采取对应措施，加强商用密码应用，为甘肃省“互联网+政务服务”系统提供可靠保障。前文分析探讨了目前甘肃省“互联网+政务服务”商用密码安全保障存在的问题、原因和风险，本章节根据甘肃省“互联网+政务服务”系统密码应用的实际情况，参照信息安全等级要求，从“技术保障”和“管理保障”两个层面，探讨甘肃省“互联网+政务服务”商用密码安全保障的优化策略。

6.2建立甘肃省“互联网+政务服务”商用密码管理制度保障体系

“互联网+政务服务”商用密码安全性评估是对“互联网+政务服务”系统密码应用的合规性、正确性、有效性进行评估，在当前网络安全态势下，商用密码应用安全性评估可以为建立健全甘肃省“互联网+政务服务”安全体系提供可靠的监管保障，是“互联网+政务服务”密码安全的必然要求，是甘肃省“互联网+政务服务”建设管理部门和商用密码主管部门必须履行的责任。“互联网+政务服务”商用密码应用安全性评估的目标是促进“互联网+政务服务”建设管理单位履行密码安全责任，建立和完善密码保障系统，提升密码安全防护能力。甘肃省密码管理部门应严格按照《信息系统密码应用基本要求》《信息系统密码测评要求》及《商用密码应用安全性评估测评过程指南（试行）》《商用密码应用安全性评估测评作业指导书（试行）》等指导性文件，组织编制甘肃省“互联网+政务服务”商用密码应用安全性评估管理相关制度，明确甘肃省政务系统的商用密码应用安全性评估工作的管理要求，一是提出密码管理部门、政务网建设单位、测评机构在安全性评估中的角色和责任，二是明确评估程序、评估方法和监督管理的具体执行办法，建立以“明确责任、全程评估、强化监管”为原则的“互联网+政务服务”商用密码应用安全性评估体系。

第七章结束语

本文只是针对于甘肃省“互联网+政务服务”系统的安全防护进行研究，从商用密码在“互联网+政务服务”系统建设过程中的安全应用标准和要求问题入手进行实例分析，确定其政务信息系统安全保障等级，并与商用密码信息安全管理的要求相结合和对应，甘肃省“互联网+政务服务”信息系统通过应用大数据、云计算等技术，面向社会提供了公开透明的便捷式政务服务。笔者希望通过本文的研究能够促进各政务信息系统建设单位对商用密码在“互联网+政务服务”这种新兴信息化领域中应用的深入思考，为甘肃省“互联网+政务服务”系统的商用密码应用提供发展思路和方向，充分发挥商用密码应用对信息系统的安全保障作用，为今后甘肃省“互联网+政务服务”商用密码安全体系的研究提出有益参考。
参考文献（略）