格尔政务云密码服务平台

为更好地支撑全市“一网通办”和“一网统管”,上海市大数据中心发起三朵电子政务云建设,实现全市政务信息化系统统筹建设、服务统一购买、数据充分共享,从体制机制上破解“系统小而散、互联互通难,数据共享难”等信息化瓶颈问题,为城市数字化转型提供有力支撑。

为更好地支撑全市“一网通办”和“一网统管”,上海市大数据中心发起三朵电子政务云建设,实现全市政务信息化系统统筹建设、服务统一购买、数据充分共享,从体制机制上破解“系统小而散、互联互通难,数据共享难”等信息化瓶颈问题,为城市数字化转型提供有力支撑。

一、实施背景

1、政策要求

习总书记在中国共产党第二十次全国代表大会中在“人民”与“发展”之后,“安全”是提及率第三高的关键词,诚如总书记在二十大报告中深刻阐释的,国家安全是民族复兴的根基,社会稳定是国家强盛的前提。安全与发展,可谓新时代“中国式现代化”新征程的一体两面。

随着《密码法》、《网络安全法》、《数据安全法》、《个人信息保护法》、《关键信息基础设施安全保护条例》等法律法规颁布,商用密码的使用层面、建设层面、检测层面、管理层面要求不断的完善。同时,等保2.0、GB/T 39786《信息安全技术信息系统密码应用基本要求》等标准法规针对商用密码的测评和评估规范都提出了相关要求。

2、技术驱动

为更好地支撑全市“一网通办”和“一网统管”,上海市大数据中心发起三朵电子政务云建设,实现全市政务信息化系统统筹建设、服务统一购买、数据充分共享,从体制机制上破解“系统小而散、互联互通难,数据共享难”等信息化瓶颈问题,为城市数字化转型提供有力支撑。

“一网通办”和“一网统管”建立在公共网络、公共数据的基础之上,“身份可信、信息可控、数据可用”的安全目标离不开上海政务云国产密码服务的支撑。该方案于2021年3月开始建设,2021年5月上线运行,实现了信创环境下国产密码应用服务与上海政务云紧耦合集成应用,以建立“一个密码服务平台、一种密码服务模式、一组密码接口标准、一套密码管理体系”为目标,实现了云密码资源的统一使用、运维、管理等,建设从云密码资源池、通用密码服务、功能性密码服务到业务性密码服务在内的密码服务平台,为政务云平台提供统一高效的密码支撑。

3、关键技术

(1)高效灵活的虚拟密码机集群化技术

针对政务云对密码服务的高动态及高差异化需求,面对以硬件形态为主的传统密码产品在部署、管理上难以适应云上业务系统密码应用的问题,设计并实现了高效灵活的虚拟密码机集群化技术。

(2)适用云计算场景的密码服务镜像技术

针对云环境中各单位密码资源相对独立的需求,解决传统密码技术在面对此类需求时投入成本高、改造难度大、实现效果差的难题,设计并实现了基于云计算场景的密码服务镜像技术。

(1)高效便捷的异构密码资源管理技术

针对云平台对密码资源和服务高效便捷管理的需求,考虑传统密码模式在迁移过程中需要考虑的诸多问题,设计并实现了高效便捷的异构密码资源管理技术。

二、实施目标

方案采用与云计算技术相适应的服务模式和技术架构,为云上各单位提供合规、高效、灵活、丰富的密码服务,具备如下特点:构建云密码服务平台,管理能力强;提供密码PAAS服务模式,服务能力高;采用高集约化服务模式,建设及运维成本低。方案针对电子政务云对密码服务高动态、高差异化、高独立性及高便捷性等需求,设计并实现了高效灵活的密码机虚拟集群化技术、基于云计算场景的密码服务镜像技术及高效便捷的异构密码资源管理技术。方案从服务模式、管理方式和技术应用三个层面,实现了云密码服务的高可用、高适配和高效率的创新。

三、建设内容

在云环境中采用资源服务模式面向云租户提供密码服务,在密码资源计算和服务能力方面与云管侧密码相对独立,在管理方面统一纳入云密码服务平台进行统一管理,同时云密码管理中心与云管中心对接,在网络资源、安全策略方面进行联动。密码服务根据租户申请,由密码服务平台通过服务接口实时向云管平台申请虚拟机并根据租户选择的密码服务类型装载密码应用服务镜像,实施完成后交付租户提供密码服务。

蓝色模块和右下侧的云密码机资源池,整体构成了逻辑上的云密码服务平台。左侧是管理,右侧是密码资源。密码资源自下而上由以下两部分组成:

1)云密码机资源池:云服务器密码机设备集群,每台物理密码机可通过虚拟化技术提供多个虚拟密码机,从而形成一个虚拟密码机的资源池,对云平台提供按需分配、动态扩展的虚拟密码机资源。

2)密码服务资源(云资源池中的蓝色模块所示):虚拟化的密码产品(服务),其密钥运算都依赖于下层所分配的虚拟密码机。左侧两个虚拟私有云(Virtual Private Cloud,VPC)框图表示租户1和租户2的专用密码服务;右侧框图里的VPC是共享密码服务。

左侧的两个管理模块,自下而上由以下两部分组成:

1)云密码管理中心:包括租户管理和平台管理。对于租户管理员,可以管理自己的虚拟密码机(密钥管理)、密码服务。对于平台管理员,有运维管理和运营管理两大部分,主要负责为云上租户提供的各类密码服务管理功能。对密码服务(虚拟机)的管理,通过调用上面云平台的服务管理接口实现,并与云平台在在网络资源、安全策略方面进行联动。

2)云管中心:提供虚拟机的管理接口供下面的密码服务管理调用,所有虚拟化的密码产品(服务),都以镜像的方式注册和存放在云管系统中,不同厂商的镜像可以看作“密码服务市场”提供的密码服务产品,租户可以按照自己需要进行选择。

四、实施效果

方案构建了一套科学、合规且适用于政务云环境和多业务场景下的国产密码服务基础设施,通过密码服务平台建设将国产密码服务转变为云平台内生的服务能力,为上海市电子政务系统打造了集约高效、自主可控的密码安全基座。自2021年5月上线运行以来,该方案已为上海市信创工程中82家实施主体提供密码资源与密码服务;截止目前,共为上海79家市级单位、3个行政区,近1200个应用系统提供密码服务;服务对象覆盖20多万公务员/公务员、事业单位人员以及500多万上海市民。方案于2021年11月通过验收,并通过等级保护测评与密码应用安全性评估。

1、方案效益

(1)适配信创环境的国产密码应用服务平台

该方案是全国首个基于电子政务云信创环境且已大规模应用的国产密码服务基础设施方案,该方案验证了国产软硬件和基于国产密码技术的密码服务在云环境中部署实施的合理性、可行性与先进性,在提升信息化密码支撑能力与云平台密码保障能力、推动新技术与密码创新应用方面发挥了重要作用、取得了显著成效。

(2)首家覆盖面较广的国产密码应用服务平台

自2021年5月上线运行以来,该方案已为上海市信创工程中82家实施主体提供密码资源与密码服务;截止目前,共为上海79家市级单位、3个行政区,近1200个应用系统提供密码服务;服务对象覆盖20多万公务员、事业单位人员以及500多万上海市民,2021年11月通过验收,并通过等级保护测评与密码应用安全性评估。

(3)推动上海市政务数字化转型新标杆做出贡献

该方案构建了上海市信创工程的密码安全基座,为统筹推进软硬件信创与密码国产化,确保上海市信创工程真正安全可靠提供基础支撑。创新提出了云内生密码服务模式,并基于该模式建成了上海市政务云PaaS层密码服务,有力推动上海市政务信息化方案密码应用常态长效,切实提升电子政务安全可控水平。

(4)降低信创工程密码建设费用和时间周期

上海市政务云密码应用服务平台与三大云厂商同步规划、同步建设、同步验收,采用“一中心,两平台,两区域”的架构,每朵云内设有统一的管理中心,同步建设云管平台和密码服务平台,分别管理政务外网和互联网两个区域的云资源和密码资源,实现了“多云并行,多域共管”。该方案将建设周期压缩到2个月,为上海市直属委办局和各应用单位提供了三大基础设施、六类通用密码服务和四项核心密码服务应用,累计为上海市信创工程节约上亿元建设费用,根据上海市数字化建设方案密码应用常态化发展趋势,每年可为政府节约41%的密码应用建设经费。

THEEND

最新评论

更多
暂无评论