标准规范下载简介

DB15／T 2198-2021 大数据应用 云密码应用规范.*df

DB15／T 2198-2021 大数据应用 云密码应用规范.*df简介：

<*>DB15/T 2198-2021《大数据应用 云密码应用规范》是一个标准文件，全称为“大数据应用领域云密码应用技术规范”。这个规范主要关注在大数据应用环境中云密码的安全使用和管理，为大数据系统的安全性提供指导。它详细规定了云密码的设计、实施、验证和管理的最佳实践，包括密码策略、加密算法、身份验证机制、访问控制等方面的要求。该标准旨在确保在大数据处理过程中，密码的使用符合最新的安全标准，防止数据泄露和非法访问，保护用户隐私和企业数据资产。

DB15／T 2198-2021 大数据应用 云密码应用规范.*df部分内容预览：

<*>下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件， 仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本 文件。 GB/T7408数据元和交换格式信息交换日期和时间表示法 GB/T31167 信息安全技术云计算服务安全指南 GM/T0029 签名验签服务器技术规范 GM/T0054 信息系统密码应用基本要求 GM/T0062 密码产品随机数检测要求 <*>GB/T 31167 GM/T0029 签名验签服务器技术规范 GM/T0054信息系统密码应用基本要求 GM/T 0062 密码产品随机数检测要求 3术语和定义 下列术语和定义适用于本文件。 3.1 云密码c*oudcry*togra*hic 一种将云计算技术与身份认证、授权访问、传输加密、存储加密等密码技术深度融合，实现密码服 标准信息 务云化的密码功能呈现模式。 3.2 云密码服务c*oudcry*togra*hic*er*ice 按照云计算技术架构的要求整合密码产品、密码使用策略、密码服务接口和服务流程，将密码系统 设计、部署、运维、管理、计费等组合成一种服务，来解决用户的密码应用需求 3.3 云密码应用c*oudcry*togra*hica***icatio* 通过使用云密码服务，实现密码功能的应用。 <*>虚拟化*irtua*izatio* <*>DB15/T2198—2021 一种资源管理技术，将计算机的各种实体资源（CPU、内存、磁盘空间、网络适配器等），予以抽 象、转换后呈现出来并可供分割、组合为一个或多个电脑配置环境。 3.5 数据退役dataretire 数据生命周期中的一个阶段，将被归档、转移、丢弃、销毁以及对存储介质的销毁处理后不再被使 用。 <*>12198202 一种资源管理技术NB／T 20422-2017标准下载，将计算机的各种实体资源（CPU、内存、磁盘空间、网络适配器等），予以 转换后呈现出来并可供分割、组合为一个或多个电脑配置环境。 <*>用户终端、网络与接入、云平台、云安全管理等角度，为云平台及云租户应用系统的安全可靠运行提 全面高效的密码应用服务，保证云平台及上云系统符合国家法律法规、政策文件、标准规范的要求 足合规性、完整性和安全性要求。 云密码应用框架如图1所示，框架图分为上下两部分： 上部分为云密码应用层，分为终端密码应用、网络与接入安全密码应用、云平台密码应用。 其中终端密码应用包含传统PC端、物联网终端、移动终端、安全浏览器、智能密码钥匙等中 涉及密码相关的应用；网络与接入安全密码应用包含了可信接入、访问控制、身份认证、 IPSecVPN网关、SSLVPN网关等网络通信与接入的密码相关应用；云平台密码应用包括云管理 平台与云应用平台，云应用平台涉及服务层与平台层，服务层申包含了云上托管业务密码应 用与云上数据，平台层中包含了资源、系统、存储等安全。以上终端密码应用、网络与接入 安全密码应用、云平台密码应用在使用密码服务时，均可通过调用密码资源池对外接口，为 身份认证、访问控制、授权管理、数据安全等信息安全功能提供基础和统一的密码支撑； 下部分为密码资源池，基于云密码资源、密码基础设施，对外开放密码服务即接口，为云平 台及云租户提供统一的密码服务， <*>DB15/T2198202 <*>图1云密码应用总体架构 <*>为确保云密码应用基础环境的安全 务在云端的建设应符合GB/T31167的要求 <*>4. 2.2 密码算法<*>云密码应用中凡涉及对称算法、非对称算法、杂凑算法时，需采用满足国家密码主管部门批准的算 法。 <*>根据不同的安全需求，云密码资源池需提供多种不同安全等级的密钥隔离机制。针对高安全等级场 景，能够支持基于硬件虚拟化技术实现的密 个虚拟业务单元独享安全密码服务。 <*>4. 2. 4 访问控制<*>为保证云密码资源池提供的密码服务中接入应用的安全性，需结合多种认证模式，基于角色、服务、 身份对云密码服务进行访问授权控制。对于不同的业务服务模式，采取最合适的访问控制机制，同时 借助访问控制机制，为云中密码服务的审计提供有效的技术支撑。 <*>4. 2. 5 云密码测评<*>云密码应用在规划阶段、建设阶段和运行阶段，需根据《商用密码应用安全性评估管理办法（试行）》 等相关要求，按照GM/T0054执行，从物理和环境安全、网络和通信安全、设备和计算安全、应用和数 据安全四个层面采用密码技术措施，建立安全的密钥管理方案，采取有效的安全管理措施。云密码应用 通过云密码测评是项目验收的必要条件，云密码测评合规性参考表见附录A。 <*>DB15/T 2198202 <*>构建云密码资源池，对外提供统一的密码服务是当前实现密码云化的一种有效方式。云密码资源池 将虚拟化技术和云管理技术应用在密码设备集群，把密码设备集群组织成“密码设备云”，形成集成化 的云密码服务资源池。 云密码资源池为云中数据提供全生命周期的安全服务，需通过硬件虚拟化技术，为多个应用系统提 共高速、可靠、可扩展的密钥管理服务、随机数服务、签名与验签服务、身份认证服务和加解密服务 有效地提高密码资源的利用率。同时，云密码服务自身应能确保可伸缩、动态、高效的运行，具备抗攻 击能力。 <*>云密码资源池架构如图2所示，从上至下分为云密码管理平台、云密码服务、云计算密码资源和基 础设施。其中服务层包含云密码资源池的基础设施和虚拟化出的各类密码服务，包括加解密服务、身份 验证服务、签名验签服务、时间戳服务等，并通过统一的接口对外提供服务；云密码应用层是指通过云 密码服务提供的密码服务接口的使用对象，包括安全浏览器、安全网关、移动云安全服务平台等。基础 设施为云密码服务提供基础的物理密码运算资源。 <*>图2密码资源池架构图 <*>云密码管理平台是云密码服务的支撑与运维平台。其中管理层的密钥管理与认证管理为云密码服务 提供密钥与证书的管理服务支撑；管理层的密码服务监管负责云密码服务的运维保障，包括监控云密码 设备、云机密算密码资源、密码应用及其运行状况，同时结合云平台的运维、安全等要求，对密码服务 资源池数据进行统一存储、备份和恢复。 <*>5.4. 1 统一身份认证服务<*>充一身份认证服务需基于密码资源池基础设施，对外提供统一身份认证活动。统一身份认证服务 身份认证模块和权限管理模块，分别用于对用户或站点身份的管理和权限管理控制，同时对外提 <*>DB15/T2198202 <*>用户注册、令牌获取以及身份验证的接口。首次使用身份认证服务需通过指定注册接口进行身份注册， 后续使用注册的授权信息（账号密码、数字签名等）登陆服务获取访问认证令牌，携令牌访问、请求其 他数据、资源时由统一身份认证服务确认认证该令牌的有效性。 <*>5.4.2秘钥管理服务<*>管理服务需基于密码资源池基础设施，对外提供密钥相关的支持活动，如密钥托管服务、密钥 和存储服务、密钥安全访问服务、基于托管密钥的简单加解密服务等，并能够提供统一对外服 <*>随机数服务需基于密码资源池基础设施，对外提供随机数服务，并能够提供统一对外服务接 数的产生需采用由国家密码管理局批准使用的方式，生成随机数的密码产品应符合GM/T0062的 <*>5.4.4签名验签服务<*>签名验签服务需基于密码货 对外提供签名验签服务，并能够提供统 务接口。密码资源池中签名验签服 0029的要求 <*>加解密服务需基于密码资源池中密码机等设备，对外提供数据的加解密服务。加解算法需涵盖 码主管部门批准的算法以及常用国际标准算法。加解密服务应对外提供统一加解密接口。 <*>（如国家授时中心），或者使用国家权威 时间部门认可的硬件和方法获得的时间提供时间戳服务，时间格式要求应符合GB/T7408的格式要求， 并能够提供统一对外时间戳服务接口。 <*>云计算密码资源包括云计算密码设备池和密码设备的管理工具、基于密码基础支撑提供的密码 云平台及云租户提供独立的密码资源。云计算密码设备基于硬件加密平台，采用虚拟化技术在硬 上同时运行多个虚拟化密码机。在提供密码设备基本功能的基础上，支持虚拟化部署。云密码设 合国家密码管理部门的相关标准要求及通过检测审批， <*>云密码基础设施由密码物理设备建设的密码硬件资源池，包括密码机集群、密码机管理软件 签服务器、时间戳服务器、安全存储服务器、安全存储服务器等其它密码基础设施。 <*>码服务通过接口对外提供统一身份认证服务、密钥管理服务、随机数服务、签名验签服务、加 、时间戳服务。为了使云密码服务在具备通用性的同时保证提供服务的安全性，云密码服务接 足下述规范要求。接口的类型及使用格式见附录B。 <*>DB15/T 21982021 <*>6. 2. 2数据格式<*>求参数格式和相应数据格式为ISON，编码为：U <*>6.2.3请求URL结构<*>云密码应用合规性参考表见表A.1 <*>DB15/T2198202 <*>表A.1云密码应用合规性参考表 <*>DB15/T 2198202 <*>表A.1云密码应用合规性参考表（续） <*>DB15/T 2198202 <*>表B.2密钥申请接口说明（续） <*>B. 2.2 密钥注销接口<*>密钥注销接口说明见表B.3。 <*>表B.3密钥注销接口说明 <*>DB61／T 1103-2017 防雷工程图纸编制技术规范DB15/T21982021 <*>表B.6解密接口说明（续） <*>B.2.6随机数获取接口<*>随机数获取接口说明见表B.7 <*>表B.7随机数获取接口说明 <*>DB15/T2198202 <*>DB34／T 918-2019标准下载表B.12身份认证接口说明（续） <*>DB15/T 2198202