首 页
关于协会
协会简介
组织架构
协会章程
联系我们
指导单位
国家密码管理局
北京市密码管理局
协会活动
商密讲堂
技术论坛
技术沙龙
党建园地
新闻动态
协会新闻
行业动态
通知通告
会员之家
协会章程
入会方法
会员权利
收费标准
活动园地
会员专区
会员动态
新闻动态
产品名录
方案集锦
下载专区
培训材料
优秀投稿

电子政务密码应用解决方案

时间:2019-12-10

1. 概述

国家密码管理局在《关于做好公钥密码算法升级工作的函》中要去2011年7月1日以后建立并使用公钥密码的信息系统,应当使用SM2算法;以建设完成的系统,应尽快进行系统升级,使用SM2算法。对于数字证书的使用应符合《深圳市电子公共服务数字证书使用技术指南》要求。


中办、国办联合印发的关于《金融和重要领域密码应用与创新发展工作规划(2018-2022)》(厅字[2018]36号)中,在重点行业进行商用密码和产品使用做出规划性指导意见。


2. 需求分析

目前,CA中心只支持RSA国密通用密码算法,在此基础上建立的数字证书身份认证、加密传输等密码保护措施存在安全风险。需建立一套自主、可控并且安全的密钥基础支撑平台,以此展开对电子政务数据加密传输、无纸化办公、数据安全存储、电子回执、电子审批等各个密码应用环节,达到整体的机密性、完整性、可用性、可控性、不可否认性以及责任回溯。


3. 方案架构


3.1 技术架构

可采用自建CA方式,为整个体系应用提供国密数字证书来源,并部署密码安全产品为上层应用系统应用支撑,完成电子回执、电子审批,互联网申报和无纸化办公的全电子化方式的密码应用。


image.png

图 3 1 方案架构图


3.2 产品部署图

分为互联网区、DMZ区和核心业务区三个部分,其中CA中心部署在核心业务区中的安全区。互联网区客户端安装支持国密算法的浏览器,部分企业用户还需采用U-KEY方式经过互联网通道完成双向身份认证。DMZ区部署SSL应用安全网关和用户建立端到端的安全隧道。核心业务区部署CA中心,签名验签服务器和电子印章服务器并和业务系统完成业务接口对接。推荐密码产品采用双机部署方式保障业务的高可用和冗余,减少单点故障风险。


image.png

图 3 2 产品部署图


3.3 主要功能

数据安全传输。适配国密算法的浏览器,实现双向身份认证和基于国密算法建立SSL/TLS安全通道,保障数据交互的机密性和完整性。

可信国密数字证书应用。签名验签服务器验证数字证书的有效性和合法性,结合电子签章系统管理可视电子印章的使用,对敏感数据和电子单证存档,保障整体业务数据的公信力、不可否认性和鉴别。


3.4 主要技术指标

本方案主要达到以下技术指标:

建设基于SM2系列的数字证书应用支撑平台,全方位提升数据的加密传输、安全存储、可回溯以及业务单证的采信。


4. 方案特色

安全传输、服务高可靠。SSL应用安全网关具备硬件加速模块和负载均衡功能附以HTTP压缩 WEB高速缓存功能,提供高性能的应用支撑。方案采用双机HA部署方式,保障业务的冗余,避免单点故障,全面提升客户体验。

数据安全。在身份认证、数字签名、签名验证和电子签章的可视表现,解决了电子业务单证的完整性、公信力、不可否认性,并可对重要数据、电子业务单证进行加密存储,便于责任回溯。

自主、可控。本方案推荐采用自建CA基础密钥设施方式,可以根据自身业务需要合理进行调整。


经济、可行。一次性建设,再无其他证书方式逐年续费;本方案产品和方案设计参考国家相关规范文档,合规、可靠、易部署。


5. 适用领域

本方案主要适用工商局、人社厅(局)的互联网申报、电子回执、电子审批、办公系统单点登录以及办事窗口场景,同时适用于税务、网厅、国土、发改委等类似的电子政务场景。


6. 企业分工

       image.png


7. 应用案例

湖北省测绘地理信息局

湖南省工商局


北京信安世纪科技股份有限公司

联系人:邵素芬            康茹

 电  话:010-68025518-8118  010-68025518-8531