在上篇《云時(shí)代的密碼保障系統(tǒng)建設(shè)(上)| 云上安全,云平臺(tái)首當(dāng)其沖》中,我們探討了云上底座,也就是云平臺(tái)如何采取正確的密碼措施通過密評(píng)大考。然而,“籃子”安全了,并不意味著“雞蛋”就可以躺平。對(duì)于云上應(yīng)用系統(tǒng)來說,其密碼保障系統(tǒng)的建設(shè)既要依托于云平臺(tái),更要立足于自身業(yè)務(wù),“對(duì)癥診療”。
從云上應(yīng)用的特性出發(fā)
因部署在云平臺(tái)上,云上應(yīng)用的密碼保障系統(tǒng)建設(shè)與云平臺(tái)不無關(guān)系。
根據(jù)國家密評(píng)標(biāo)準(zhǔn)GB/T 39786,信息系統(tǒng)的密碼應(yīng)用需要從物理層、網(wǎng)絡(luò)層、設(shè)備層、應(yīng)用層這四個(gè)層面,滿足國家測(cè)評(píng)要求。對(duì)于云上應(yīng)用系統(tǒng)而言,其與傳統(tǒng)應(yīng)用系統(tǒng)的一大區(qū)別,就在于后者在建設(shè)密碼保障系統(tǒng)時(shí),“四大層“都需自行規(guī)劃和建設(shè)。而云上應(yīng)用系統(tǒng)所涉及的物理機(jī)房、網(wǎng)絡(luò)基礎(chǔ)設(shè)施、計(jì)算環(huán)境,均由云平臺(tái)負(fù)責(zé)規(guī)劃、建設(shè)和運(yùn)行。在實(shí)際測(cè)評(píng)時(shí),物理層和設(shè)備層指標(biāo)可直接作為”不適用項(xiàng)“免于測(cè)評(píng),分?jǐn)?shù)均攤至其他層面,網(wǎng)絡(luò)層指標(biāo)則依賴于云平臺(tái)的測(cè)評(píng)結(jié)果進(jìn)行打分,應(yīng)用層各項(xiàng)指標(biāo)的安全、合規(guī)是云上系統(tǒng)測(cè)評(píng)的重點(diǎn)。
也就是說,有了云平臺(tái)“托底”,云上應(yīng)用的密碼保障系統(tǒng)建設(shè),則更多聚焦在應(yīng)用和數(shù)據(jù)層,也就是云上業(yè)務(wù)所涉及的用戶身份、重要數(shù)據(jù)和關(guān)鍵操作的安全和合規(guī)性問題。
云上應(yīng)用系統(tǒng)密碼建設(shè)方案
有云平臺(tái)助力分擔(dān),云上應(yīng)用的密碼保障系統(tǒng)建設(shè)是否更簡單了呢?
其實(shí)不然!當(dāng)信息系統(tǒng)遷移到云平臺(tái)之后,傳統(tǒng)的密碼設(shè)備無法直接上云。同時(shí),云計(jì)算資源共享、按需分配、動(dòng)態(tài)擴(kuò)展等特性,對(duì)密碼的服務(wù)方式、接入能力、密鑰管理都提出了新的挑戰(zhàn)和更高要求。傳統(tǒng)以密碼設(shè)備和軟件為核心的解決方案,顯然難以滿足云時(shí)代的密碼應(yīng)用需求,需要一種新的密碼服務(wù)模式來保障云上應(yīng)用安全、合規(guī)。
遵循國家“三同步一評(píng)估”的密碼建設(shè)總思路,北京數(shù)字認(rèn)證股份有限公司(簡稱“數(shù)字認(rèn)證”)面向云上應(yīng)用系統(tǒng),推出依托于密碼云服務(wù)平臺(tái)的云上應(yīng)用密碼保障系統(tǒng)建設(shè)方案。根據(jù)GB/T39786要求:
云上應(yīng)用的下三層(物理與環(huán)境安全、網(wǎng)絡(luò)與通信安全、設(shè)備與計(jì)算安全)依托于云平臺(tái)的云基礎(chǔ)服務(wù)設(shè)施。對(duì)于應(yīng)用和數(shù)據(jù)層安全,應(yīng)從云上應(yīng)用業(yè)務(wù)本身出發(fā),對(duì)各條業(yè)務(wù)流的關(guān)鍵數(shù)據(jù)、安全風(fēng)險(xiǎn)進(jìn)行分析,提出相應(yīng)的密碼應(yīng)用需求,之后調(diào)用密碼云服務(wù)平臺(tái)提供的身份鑒別、簽名驗(yàn)簽、數(shù)據(jù)加解密等各類服務(wù),實(shí)現(xiàn)用戶身份認(rèn)證、重要數(shù)據(jù)機(jī)密性、完整性和業(yè)務(wù)抗抵賴性,確保云上業(yè)務(wù)安全、合規(guī)。
數(shù)字認(rèn)證作為國家密評(píng)標(biāo)準(zhǔn)GB/T39786的牽頭制定者,不但對(duì)密碼保障系統(tǒng)的設(shè)計(jì)、建設(shè)及測(cè)評(píng)有著深入理解,還具有豐富的密碼建設(shè)實(shí)踐經(jīng)驗(yàn),可以為政務(wù)、金融、醫(yī)療等多個(gè)領(lǐng)域提供隨需應(yīng)變的密碼保障系統(tǒng)建設(shè)方案,確保密碼應(yīng)用安全、合規(guī)。
某云上應(yīng)用系統(tǒng)密碼建設(shè)實(shí)踐
某省TZ系統(tǒng)是部署在電子政務(wù)外網(wǎng)云平臺(tái)上的業(yè)務(wù)系統(tǒng),主要面向TZ成員和干部提供學(xué)習(xí)宣傳、聯(lián)誼交友、社會(huì)服務(wù)、建言資政等服務(wù),不管是外部用戶還是內(nèi)部用戶,都可通過瀏覽器訪問登錄業(yè)務(wù)系統(tǒng),外部用戶還可通過移動(dòng)APP進(jìn)行訪問。
前期,在數(shù)字認(rèn)證基于密碼云服務(wù)平臺(tái)的助力下,TZ系統(tǒng)所在的政務(wù)云平臺(tái)已完成密碼應(yīng)用保障系統(tǒng)建設(shè),并順利通過密評(píng)。這次,為了確保云上應(yīng)用也能順利過關(guān),數(shù)字認(rèn)證在經(jīng)過業(yè)務(wù)風(fēng)險(xiǎn)調(diào)研和需求分析后,采取以下密碼措施:
通過為用戶配備數(shù)字證書,并調(diào)用密碼云服務(wù)平臺(tái)提供的數(shù)字簽名服務(wù)來確保用戶登錄系統(tǒng)時(shí)身份的安全、可信;同時(shí),針對(duì)口令、手機(jī)號(hào)、身份信息、權(quán)限信息等重要數(shù)據(jù),通過數(shù)字信封技術(shù)以及密碼云服務(wù)平臺(tái)所提供的身份鑒別、協(xié)同簽名、數(shù)據(jù)加解密等服務(wù),來確保數(shù)據(jù)傳輸和存儲(chǔ)安全,以及內(nèi)容審核等關(guān)鍵操作的不可否認(rèn)性。
TZ系統(tǒng)密碼保障系統(tǒng)的建設(shè)從系統(tǒng)自身業(yè)務(wù)出發(fā),利用政務(wù)云平臺(tái)密碼保障系統(tǒng)建設(shè)成果,改變傳統(tǒng)密碼應(yīng)用略顯“臃腫”的特點(diǎn),實(shí)現(xiàn)了密碼保障系統(tǒng)的“瘦身”,最終取得事半功倍的效果。
隨著云計(jì)算愈發(fā)普及,密碼上云的價(jià)值將更為凸顯。如果把云上密碼建設(shè)看作一項(xiàng)工程,要想順利通過驗(yàn)收,絕不是在最后關(guān)頭亡羊補(bǔ)牢,而是從一開始就要統(tǒng)籌考慮,“嚴(yán)防死守”。數(shù)字認(rèn)證將不斷與時(shí)俱進(jìn),為業(yè)務(wù)上云提供更便捷、更貼合需求的密碼保障系統(tǒng)建設(shè),護(hù)航云時(shí)代業(yè)務(wù)安全落地。
【數(shù)字認(rèn)證】
領(lǐng)先的網(wǎng)絡(luò)信任與數(shù)字安全服務(wù)提供商(股票代碼:300579),電子認(rèn)證/電子簽名/電子合同領(lǐng)域的市場領(lǐng)導(dǎo)者,應(yīng)用覆蓋政務(wù)、衛(wèi)生、金融、大型企業(yè)、電信、航空、公路交通等多個(gè)行業(yè),為近千萬企業(yè)用戶和數(shù)億個(gè)人用戶提供具有法律效力的無紙化交付服務(wù)。
關(guān)鍵詞:
營業(yè)執(zhí)照公示信息