ZStack Cloud 云平臺密評合規(guī)解決方案已經(jīng)在武漢市洪山區(qū)政務云成功落地,為政務云平臺上的業(yè)務系統(tǒng)提供統(tǒng)一的國產(chǎn)密碼服務,保障政務數(shù)據(jù)和公民信息存儲、傳輸和使用的安全,幫助政府節(jié)約財政投入數(shù)千萬元。
近日,云軸科技ZStack 重磅發(fā)布云平臺密評合規(guī)解決方案,旨在幫助客戶快速搭建符合商用密碼應用安全性評估(簡稱”密評“)要求的云平臺。這是業(yè)內(nèi)率先在IaaS層云平臺上實現(xiàn)密評合規(guī)模塊,通過建立以商用密碼為核心的云安全保障體系,充分滿足政府、運營商、企業(yè)用戶在密評場景的云平臺合規(guī)要求。
安全性挑戰(zhàn)推動“密評”上升到戰(zhàn)略高度
密評指在采用商用密碼技術(shù)、產(chǎn)品和服務集成建設(shè)的網(wǎng)絡和信息系統(tǒng)中,對其密碼應用的合規(guī)性、正確性和有效性等進行評估。
近年來,隨著各行業(yè)信息技術(shù)的發(fā)展,互聯(lián)網(wǎng)技術(shù)、云計算大數(shù)據(jù)技術(shù)、物聯(lián)網(wǎng)技術(shù)等逐步應用到重要信息系統(tǒng),在給系統(tǒng)帶來便利的同時也帶來了安全性挑戰(zhàn),為了增強系統(tǒng)的安全性,防止重要信息泄露,密碼技術(shù)及其應用成為重中之重。但在發(fā)展過程中,出現(xiàn)了商業(yè)密碼應用不廣泛、不規(guī)范、不安全的問題。
為提供科學的網(wǎng)絡和信息系統(tǒng)安全評價方法、逐步規(guī)范商用密碼的使用和管理,國家頒布實施了一系列法律法規(guī),對密碼應用安全性評估提出要求。例如《中華人民共和國密碼法》第二十七條提到:法律、行政法規(guī)和國家有關(guān)規(guī)定要求使用商用密碼進行保護的關(guān)鍵信息基礎(chǔ)設(shè)施,其運營者應當使用商用密碼進行保護,自行或者委托商用密碼檢測機構(gòu)開展商用密碼應用安全性評估。商用密碼應用安全性評估應當與關(guān)鍵信息基礎(chǔ)設(shè)施安全檢測評估、網(wǎng)絡安全等級測評制度相銜接,避免重復評估、測評。
ZStack Cloud密評合規(guī)解決方案,率先在IaaS層實現(xiàn)密評合規(guī)
密評的測評對象是整個信息系統(tǒng),從這個角度來看,ZStack Cloud云平臺部署在客戶側(cè)的形式是一套軟件。因此,對于密評測評,云平臺僅需要負責其中一部分,如應用數(shù)據(jù)安全。
ZStack Cloud密評合規(guī)解決方案是通過產(chǎn)品化的模塊對接國家密碼管理局檢測認證的硬件密碼機,以密碼機資源池為單位,提供統(tǒng)一的證書登錄和數(shù)據(jù)保護功能,滿足密評場景下的云平臺合規(guī)要求。其中,證書登錄功能基于SM2算法實現(xiàn),開啟該功能后,需使用UKey進行登錄認證,確保身份的真實性;數(shù)據(jù)保護功能基于SM3、HMAC- SM3和SM4算法實現(xiàn),開啟該功能后,可對日志、口令、鏡像等重要數(shù)據(jù)進行加密保護,保障數(shù)據(jù)的機密性和完整性。
圖1:密評合規(guī)架構(gòu)圖
ZStack Cloud密評合規(guī)解決方案具備以下三類密評能力:
1、身份認證:支持口令+硬件 UKey 雙因素認證;
2、數(shù)據(jù)傳輸:無縫兼容安全網(wǎng)關(guān),支持通過國密瀏覽器 HTTPS 安全訪問云平臺;
3、數(shù)據(jù)保護:對云平臺重要數(shù)據(jù)進行完整性和機密性保護。云平臺重要數(shù)據(jù)包括身份認證信息、平臺配置信息、平臺日志記錄、平臺管理鏡像、平臺業(yè)務鏡像、平臺業(yè)務快照。
云平臺密評合規(guī)解決方案,除了需要使用ZStack Cloud密評合規(guī)增值模塊,還需要集成配套的第三方軟硬件:
1、應用安全網(wǎng)關(guān)(硬件):為進出云平臺的管理面流量,使用國密協(xié)議,在傳輸過程中提供機密性、完整性的保護;
2、簽名服務器(硬件):提供簽名、加密能力。ZStack Cloud云平臺調(diào)用簽名服務器接口,對云平臺內(nèi)的重要數(shù)據(jù)進行加密、簽名;
3、國密瀏覽器(軟件):配合應用安全網(wǎng)關(guān)(硬件)使用。國密瀏覽器與普通瀏覽器的一個主要區(qū)別是通過了國密算法的支持,訪問云平臺的管控面流量,通過應用安全網(wǎng)關(guān)進行傳輸過程的機密性、完整性保護,對應則需要使用國密瀏覽器對訪問流量進行解密、校驗等處理;
4、UKey+數(shù)字證書(硬件):作用類似于銀行U盾,主要配合云平臺口令,對云平臺的用戶提供雙因子“身份鑒別”。
多場景適用,為客戶構(gòu)建符合密評要求的云
ZStack Cloud云平臺密評解決方案主要適用的場景有關(guān)鍵信息基礎(chǔ)設(shè)施、網(wǎng)絡安全保護第三級以上的系統(tǒng)、國家政務信息系統(tǒng)等方面使用的IaaS云平臺,具體包括:
1、基礎(chǔ)信息網(wǎng)絡所運行的云:電信網(wǎng)、廣播電視網(wǎng)、互聯(lián)網(wǎng);
2、重要信息系統(tǒng)所在的云:能源、教育、公安、測繪地理信息、社保、交通、衛(wèi)生計生、金融等涉及國計民生和基礎(chǔ)信息資源的重要信息系統(tǒng);
3、重要工業(yè)控制系統(tǒng)所在的云:核設(shè)施、航空航天、先進制造、石油石化、油氣管網(wǎng)、電力系統(tǒng)、交通運輸、水利樞紐、城市設(shè)施等重要工業(yè)控制系統(tǒng)
4、面向社會服務的政務信息系統(tǒng)所在的云:黨政機關(guān)和使用財政性資金的事業(yè)單位和團體組織使用的面向社會服務的信息系統(tǒng)。
通過采用ZStack Cloud云平臺密評合規(guī)解決方案,可以為政府、運營商、企業(yè)用戶帶來以下三方面的價值:
1、基于ZStack Cloud 產(chǎn)品化密評改造手段,避免項目制的定制化開發(fā),高效構(gòu)建符合密評要求的云;
2、基于ZStack Cloud產(chǎn)品化密評服務,降低用戶合規(guī)門檻,低成本實現(xiàn)密評合規(guī)能力;
3、基于ZStack Cloud構(gòu)建的云,積極響應國家政策及相關(guān)法律法規(guī),為政企用戶提供有效的安全防護。
結(jié)語
“沒有強大的網(wǎng)絡安全產(chǎn)業(yè),國家網(wǎng)絡安全就缺乏支撐;沒有強大的網(wǎng)絡安全企業(yè),就形成不了強大的網(wǎng)絡安全產(chǎn)業(yè)”。推動信創(chuàng)產(chǎn)業(yè)的發(fā)展、保障國家信息網(wǎng)絡安全,離不開商用密碼技術(shù)的蓬勃發(fā)展,更離不開密評測評的有力保障。未來,云軸科技ZStack仍將發(fā)揮自己產(chǎn)品化的優(yōu)勢,提出更多密評合規(guī)的解決方案,充分滿足各行業(yè)用戶在密評場景的云平臺合規(guī)要求,為保障國家網(wǎng)絡信息安全添磚加瓦!
(免責聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性,但不保證有關(guān)資料的準確性及可靠性,讀者在使用前請進一步核實,并對任何自主決定的行為負責。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏,概不負任何法律責任。
任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時,應及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明,并提供身份證明、權(quán)屬證明及詳細侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關(guān)文章源頭核實,溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 )