數字化發展至今,“上云”幾乎成了企事業單位尋求業務創新的共同目標。誠然,云所帶來的好處顯而易見。低成本、高彈性、快速敏捷、易集成……然而,隨著越來越多業務系統遷至云端,云上安全也正在成為護航數字化發展的“主戰場”。云端用戶身份鑒別、非授權訪問、數據傳輸和存儲安全、以及關鍵操作的抗抵賴等,都需要強而有力的密碼技術來作為基礎安全支撐。
然而,目前云端業務普遍呈現出密碼應用較為薄弱的特點,在身份認證、網絡層間安全通道的構建、敏感數據傳輸安全等風險地帶,未采用密碼措施、采用高風險算法、密鑰管理不合規等密碼應用不規范、密碼應用不成體系等問題屢見不鮮,給云平臺及云上系統帶來了不小的安全隱患。
隨著國家《密碼法》、《GB/T 39786-2021 信息安全技術 信息系統密碼應用基本要求》(以下簡稱“GB/T 39786”)、《信息系統密碼應用測評要求》等政策相繼落地,關鍵信息基礎設施、等保三級及以上信息系統必須“過密評”,成為業內心照不宣的一道應試題。GB/T 39786明確對云平臺/信息系統的物理層、網絡層、設備層、應用層分別提出了要求和考核指標,因此,建設一套安全、合規、有效的云上密碼保障系統,不但是云上業務安全發展的剛需,也是順利通過密評的“王道”。
01“籃子”和“雞蛋”
在密碼保障系統建設之前,我們需要明確,云上密碼保障系統建立主要分為兩個層次:
1 云平臺密碼保障系統:針對云平臺自身密碼應用的密碼保障系統建設,該部分建設的責任主體為云平臺的運營者。
2云上應用密碼保障系統:針對云上應用系統密碼應用的密碼保障系統建設,該部分建設的責任主體為云上應用的運營者。
就好比“籃子”和“雞蛋”的關系,如果云平臺這個“籃子”自身安全不保,那部署在云平臺上的業務系統就更無安全可言。原則上說,只有云平臺通過商用密碼應用測評后,云上應用系統才能通過商用密碼應用測評。因此,要保障云上業務安全,云平臺的密碼保障系統建設首當其沖,也是我們今天討論的重點。
02 先打破一個“誤區”
在討論如何建設云平臺密碼保障系統之前,我們先打破一個“誤區”。
很多廠商認為,“云平臺密碼應用,就是為云上系統提供密碼服務”。在這樣的思想誤導下,很多廠商密碼應用方案的側重點在于面向租戶提供密碼服務的能力,而忽略了云平臺自身的合規性建設,這就違背了密碼保障系統建設的初衷。
事實上,云平臺系統的密碼應用分為兩個層面:一是云平臺系統為滿足自身安全需求所采用的密碼技術,二是云平臺為云上應用提供的密碼支撐能力。因此,在云平臺密碼保障系統建設中,首先應考慮的是云平臺自身的安全、合規性問題,其次才是面向云上系統的密碼供給能力。舍本逐末的做法不僅難以保障業務安全,在實際評估中也很難通過密評。
03 數字認證云平臺密碼保障系統建設之道
遵循國家政策“三同步一評估”的指導思想,云平臺的密碼保障系統建設同樣按照“明確范圍與保護對象、分析密碼應用需求、制定密碼應用方案”的三步方法論開展。
首先,通過梳理重要數據信息流向和承載實體(物理安全邊界、計算環境),明確范圍和保護對象。
云平臺的訪問對象包括云租戶、云平臺管理員、遠程運維人員3類,其業務操作類型為業務訪問、虛擬資源管理和調度、設備運維,由此可以梳理出云平臺的業務信息流包括3條:租戶通過互聯網訪問云資源區、云平臺管理員訪問云管平臺、遠程運維人員訪問安全管理區進行設備運維。這其中涉及的重要數據,包括鑒別數據(如口令)、快照、鏡像數據、日志審計數據、關鍵配置數據等。
其次,通過重要數據信息流向節點,從機密性、完整性、真實性、不可否認性四個方面,分析各個環節存在的安全風險及密碼應用需求。以作為云平臺重要數據的鏡像文件保護為例,其安全需求到底是機密性還是完整性,或者二者兼有,業界說法不一。數字認證認為,鏡像文件數據的分級分類是由云上應用系統的具體業務所決定的,并非鏡像文件的全部內容都是敏感信息,無需全部進行機密性保護。因此,鏡像文件只有完整性需求,機密性需求應歸結到云上應用系統的安全方案中去做。這點也在實踐中得到了權威測評機構的認可。
最后,方案制定。
基于多年服務于各個領域的密碼應用經驗,北京數字認證股份有限公司(簡稱“數字認證”)面向云平臺密碼保障系統建設需求,推出基于密碼云服務平臺的密碼保障系統建設方案。該方案根據GB/T 39786的基本要求,針對云平臺大文件加密等特性需求,在云平臺自身合規性和對云上系統提供的密碼服務等方面進行了重點設計,為云平臺的云管平臺以及云平臺下三層(物理與環境安全、網絡與通信安全、設備與計算安全)提供安全、合規的密碼能力支撐,為云上應用系統提供敏捷、高效的密碼服務,保障云平臺用戶身份真實性,以及數據的機密性、完整性和不可否認性。
融合云架構特點及密碼服務能力的全面化,云平臺密碼保障系統建設方案通過將密碼資源和密碼服務虛擬化,構建CRaaS、CFaaS、CBaaS三層架構,提供統一的、標準的、規范的全場景密碼服務,涵蓋身份認證、電子簽名、數據加解密、時間戳服務等,并配套門禁系統、SSL VPN安全網關、安全認證網關等密碼產品,全面支撐云平臺在物理和環境層、網絡和通信層、設備和計算層、應用和數據層的密碼應用需求。
依托于“安全合規、敏捷高效、廣泛兼容、功能完備”的密碼服務能力,數字認證已面向多家部級單位、省級大數據局等的私有云平臺、政務云平臺提供以密碼為核心的云平臺安全保障系統建設,保障云平臺業務開展的安全性、合法性、合規性。
案例
某政務云平臺密碼保障系統建設
某省政務云平臺,主要為各市級單位用戶提供標準化、規范化、統一化的政務云服務,承載著多個政務部門以及政府門戶網站等政務應用系統。為順利推進政務云平臺密碼應用升級改造,數字認證在前期調研密碼應用需求的基礎上,通過在互聯網接入區、公共網絡接入區、安全管理區配置合規的網關設備,采用密碼技術建立安全的數據傳輸通道,實現各鏈路通信實體的身份鑒別,同時保障了數據在通訊過程中的機密性、完整性;在政務公共網云資源區部署密碼云服務平臺,云管平臺調用密碼云服務平臺的加解密服務、簽名服務等實現了用戶鑒別數據的傳輸和存儲機密性保護以及鏡像數據、日志審計數據和關鍵配置數據的存儲完整性保護;結合部署在政務互聯網云資源區的密碼云服務平臺,面向政務互聯網、政務公共網的云上應用系統提供多種密碼服務。
數字認證云平臺密碼保障系統的建設,保障了該省政務云平臺自身的合規性,實現了云平臺密碼資源管理的全面觸達,密碼服務應用的全面覆蓋。
數字化時代,云安全已成為企事業單位乘“云”破浪的剛需標配。“未雨綢繆而勿臨淵掘井”,建設一套安全有效的密碼保障系統,是滿足國家密評要求的必需之舉,也是企事業單位行穩致遠的基礎支撐。數字認證將不斷完善解決方案,助力客戶打造安全、可信、高效的云上環境,更好地迎接數字化挑戰和變革。
【數字認證】
領先的網絡信任與數字安全服務提供商,電子認證/電子簽名/電子合同領域的市場領導者,應用覆蓋政務、衛生、金融、大型企業、電信、航空、公路交通等多個行業,為近千萬企業用戶和數億個人用戶提供具有法律效力的無紙化交付服務。
