數字認證：云上業(yè)務怎么過密評

在上篇《云時代的密碼保障系統(tǒng)建設（上）| 云上安全，云平臺首當其沖》中，我們探討了云上底座，也就是云平臺如何采取正確的密碼措施通過密評大考。然而，“籃子”安全了，并不意味著“雞蛋”就可以躺平。對于云上應用系統(tǒng)來說，其密碼保障系統(tǒng)的建設既要依托于云平臺，更要立足于自身業(yè)務，“對癥診療”。

從云上應用的特性出發(fā)

因部署在云平臺上，云上應用的密碼保障系統(tǒng)建設與云平臺不無關系。

根據國家密評標準GB/T 39786，信息系統(tǒng)的密碼應用需要從物理層、網絡層、設備層、應用層這四個層面，滿足國家測評要求。對于云上應用系統(tǒng)而言，其與傳統(tǒng)應用系統(tǒng)的一大區(qū)別，就在于后者在建設密碼保障系統(tǒng)時，“四大層“都需自行規(guī)劃和建設。而云上應用系統(tǒng)所涉及的物理機房、網絡基礎設施、計算環(huán)境，均由云平臺負責規(guī)劃、建設和運行。在實際測評時，物理層和設備層指標可直接作為”不適用項“免于測評，分數均攤至其他層面，網絡層指標則依賴于云平臺的測評結果進行打分，應用層各項指標的安全、合規(guī)是云上系統(tǒng)測評的重點。

也就是說，有了云平臺“托底”，云上應用的密碼保障系統(tǒng)建設，則更多聚焦在應用和數據層，也就是云上業(yè)務所涉及的用戶身份、重要數據和關鍵操作的安全和合規(guī)性問題。

云上應用系統(tǒng)密碼建設方案

有云平臺助力分擔，云上應用的密碼保障系統(tǒng)建設是否更簡單了呢？

其實不然！當信息系統(tǒng)遷移到云平臺之后，傳統(tǒng)的密碼設備無法直接上云。同時，云計算資源共享、按需分配、動態(tài)擴展等特性，對密碼的服務方式、接入能力、密鑰管理都提出了新的挑戰(zhàn)和更高要求。傳統(tǒng)以密碼設備和軟件為核心的解決方案，顯然難以滿足云時代的密碼應用需求，需要一種新的密碼服務模式來保障云上應用安全、合規(guī)。

遵循國家“三同步一評估”的密碼建設總思路，北京數字認證股份有限公司（簡稱“數字認證”）面向云上應用系統(tǒng)，推出依托于密碼云服務平臺的云上應用密碼保障系統(tǒng)建設方案。根據GB/T39786要求：

云上應用的下三層（物理與環(huán)境安全、網絡與通信安全、設備與計算安全）依托于云平臺的云基礎服務設施。對于應用和數據層安全，應從云上應用業(yè)務本身出發(fā)，對各條業(yè)務流的關鍵數據、安全風險進行分析，提出相應的密碼應用需求，之后調用密碼云服務平臺提供的身份鑒別、簽名驗簽、數據加解密等各類服務，實現用戶身份認證、重要數據機密性、完整性和業(yè)務抗抵賴性，確保云上業(yè)務安全、合規(guī)。

數字認證作為國家密評標準GB/T39786的牽頭制定者，不但對密碼保障系統(tǒng)的設計、建設及測評有著深入理解，還具有豐富的密碼建設實踐經驗，可以為政務、金融、醫(yī)療等多個領域提供隨需應變的密碼保障系統(tǒng)建設方案，確保密碼應用安全、合規(guī)。

某云上應用系統(tǒng)密碼建設實踐

某省TZ系統(tǒng)是部署在電子政務外網云平臺上的業(yè)務系統(tǒng)，主要面向TZ成員和干部提供學習宣傳、聯誼交友、社會服務、建言資政等服務，不管是外部用戶還是內部用戶，都可通過瀏覽器訪問登錄業(yè)務系統(tǒng)，外部用戶還可通過移動APP進行訪問。

前期，在數字認證基于密碼云服務平臺的助力下，TZ系統(tǒng)所在的政務云平臺已完成密碼應用保障系統(tǒng)建設，并順利通過密評。這次，為了確保云上應用也能順利過關，數字認證在經過業(yè)務風險調研和需求分析后，采取以下密碼措施：

通過為用戶配備數字證書，并調用密碼云服務平臺提供的數字簽名服務來確保用戶登錄系統(tǒng)時身份的安全、可信；同時，針對口令、手機號、身份信息、權限信息等重要數據，通過數字信封技術以及密碼云服務平臺所提供的身份鑒別、協同簽名、數據加解密等服務，來確保數據傳輸和存儲安全，以及內容審核等關鍵操作的不可否認性。

TZ系統(tǒng)密碼保障系統(tǒng)的建設從系統(tǒng)自身業(yè)務出發(fā)，利用政務云平臺密碼保障系統(tǒng)建設成果，改變傳統(tǒng)密碼應用略顯“臃腫”的特點，實現了密碼保障系統(tǒng)的“瘦身”，最終取得事半功倍的效果。

隨著云計算愈發(fā)普及，密碼上云的價值將更為凸顯。如果把云上密碼建設看作一項工程，要想順利通過驗收，絕不是在最后關頭亡羊補牢，而是從一開始就要統(tǒng)籌考慮，“嚴防死守”。數字認證將不斷與時俱進，為業(yè)務上云提供更便捷、更貼合需求的密碼保障系統(tǒng)建設，護航云時代業(yè)務安全落地。

【數字認證】

領先的網絡信任與數字安全服務提供商（股票代碼：300579），電子認證/電子簽名/電子合同領域的市場領導者，應用覆蓋政務、衛(wèi)生、金融、大型企業(yè)、電信、航空、公路交通等多個行業(yè)，為近千萬企業(yè)用戶和數億個人用戶提供具有法律效力的無紙化交付服務。

關鍵詞：