IaaS層實現(xiàn)密評合規(guī)!ZStack 重磅發(fā)布云平臺密評合規(guī)解決方案!

  • 人閱讀
  • 2022-05-10 11:16:07

  • 來源:砍柴網(wǎng)

  • 相關(guān)關(guān)鍵詞

1652150129264559.jpg

  ZStack Cloud 云平臺密評合規(guī)解決方案已經(jīng)在武漢市洪山區(qū)政務(wù)云成功落地,為政務(wù)云平臺上的業(yè)務(wù)系統(tǒng)提供統(tǒng)一的國產(chǎn)密碼服務(wù),保障政務(wù)數(shù)據(jù)和公民信息存儲、傳輸和使用的安全,幫助政府節(jié)約財政投入數(shù)千萬元。

  近日,云軸科技ZStack 重磅發(fā)布云平臺密評合規(guī)解決方案,旨在幫助客戶快速搭建符合商用密碼應(yīng)用安全性評估(簡稱”密評“)要求的云平臺。這是業(yè)內(nèi)率先在IaaS層云平臺上實現(xiàn)密評合規(guī)模塊,通過建立以商用密碼為核心的云安全保障體系,充分滿足政府、運營商、企業(yè)用戶在密評場景的云平臺合規(guī)要求。

安全性挑戰(zhàn)推動“密評”上升到戰(zhàn)略高度

  密評指在采用商用密碼技術(shù)、產(chǎn)品和服務(wù)集成建設(shè)的網(wǎng)絡(luò)和信息系統(tǒng)中,對其密碼應(yīng)用的合規(guī)性、正確性和有效性等進(jìn)行評估。

  近年來,隨著各行業(yè)信息技術(shù)的發(fā)展,互聯(lián)網(wǎng)技術(shù)、云計算大數(shù)據(jù)技術(shù)、物聯(lián)網(wǎng)技術(shù)等逐步應(yīng)用到重要信息系統(tǒng),在給系統(tǒng)帶來便利的同時也帶來了安全性挑戰(zhàn),為了增強(qiáng)系統(tǒng)的安全性,防止重要信息泄露,密碼技術(shù)及其應(yīng)用成為重中之重。但在發(fā)展過程中,出現(xiàn)了商業(yè)密碼應(yīng)用不廣泛、不規(guī)范、不安全的問題。

  為提供科學(xué)的網(wǎng)絡(luò)和信息系統(tǒng)安全評價方法、逐步規(guī)范商用密碼的使用和管理,國家頒布實施了一系列法律法規(guī),對密碼應(yīng)用安全性評估提出要求。例如《中華人民共和國密碼法》第二十七條提到:法律、行政法規(guī)和國家有關(guān)規(guī)定要求使用商用密碼進(jìn)行保護(hù)的關(guān)鍵信息基礎(chǔ)設(shè)施,其運營者應(yīng)當(dāng)使用商用密碼進(jìn)行保護(hù),自行或者委托商用密碼檢測機(jī)構(gòu)開展商用密碼應(yīng)用安全性評估。商用密碼應(yīng)用安全性評估應(yīng)當(dāng)與關(guān)鍵信息基礎(chǔ)設(shè)施安全檢測評估、網(wǎng)絡(luò)安全等級測評制度相銜接,避免重復(fù)評估、測評。

ZStack Cloud密評合規(guī)解決方案,率先在IaaS層實現(xiàn)密評合規(guī)

  密評的測評對象是整個信息系統(tǒng),從這個角度來看,ZStack Cloud云平臺部署在客戶側(cè)的形式是一套軟件。因此,對于密評測評,云平臺僅需要負(fù)責(zé)其中一部分,如應(yīng)用數(shù)據(jù)安全。

  ZStack Cloud密評合規(guī)解決方案是通過產(chǎn)品化的模塊對接國家密碼管理局檢測認(rèn)證的硬件密碼機(jī),以密碼機(jī)資源池為單位,提供統(tǒng)一的證書登錄和數(shù)據(jù)保護(hù)功能,滿足密評場景下的云平臺合規(guī)要求。其中,證書登錄功能基于SM2算法實現(xiàn),開啟該功能后,需使用UKey進(jìn)行登錄認(rèn)證,確保身份的真實性;數(shù)據(jù)保護(hù)功能基于SM3、HMAC- SM3和SM4算法實現(xiàn),開啟該功能后,可對日志、口令、鏡像等重要數(shù)據(jù)進(jìn)行加密保護(hù),保障數(shù)據(jù)的機(jī)密性和完整性。

1652150184664109.jpg

圖1:密評合規(guī)架構(gòu)圖

  ZStack Cloud密評合規(guī)解決方案具備以下三類密評能力:

  1、身份認(rèn)證:支持口令+硬件 UKey 雙因素認(rèn)證;

  2、數(shù)據(jù)傳輸:無縫兼容安全網(wǎng)關(guān),支持通過國密瀏覽器 HTTPS 安全訪問云平臺;

  3、數(shù)據(jù)保護(hù):對云平臺重要數(shù)據(jù)進(jìn)行完整性和機(jī)密性保護(hù)。云平臺重要數(shù)據(jù)包括身份認(rèn)證信息、平臺配置信息、平臺日志記錄、平臺管理鏡像、平臺業(yè)務(wù)鏡像、平臺業(yè)務(wù)快照。

  云平臺密評合規(guī)解決方案,除了需要使用ZStack Cloud密評合規(guī)增值模塊,還需要集成配套的第三方軟硬件:

  1、應(yīng)用安全網(wǎng)關(guān)(硬件):為進(jìn)出云平臺的管理面流量,使用國密協(xié)議,在傳輸過程中提供機(jī)密性、完整性的保護(hù);

  2、簽名服務(wù)器(硬件):提供簽名、加密能力。ZStack Cloud云平臺調(diào)用簽名服務(wù)器接口,對云平臺內(nèi)的重要數(shù)據(jù)進(jìn)行加密、簽名;

  3、國密瀏覽器(軟件):配合應(yīng)用安全網(wǎng)關(guān)(硬件)使用。國密瀏覽器與普通瀏覽器的一個主要區(qū)別是通過了國密算法的支持,訪問云平臺的管控面流量,通過應(yīng)用安全網(wǎng)關(guān)進(jìn)行傳輸過程的機(jī)密性、完整性保護(hù),對應(yīng)則需要使用國密瀏覽器對訪問流量進(jìn)行解密、校驗等處理;

  4、UKey+數(shù)字證書(硬件):作用類似于銀行U盾,主要配合云平臺口令,對云平臺的用戶提供雙因子“身份鑒別”。

  多場景適用,為客戶構(gòu)建符合密評要求的云

  ZStack Cloud云平臺密評解決方案主要適用的場景有關(guān)鍵信息基礎(chǔ)設(shè)施、網(wǎng)絡(luò)安全保護(hù)第三級以上的系統(tǒng)、國家政務(wù)信息系統(tǒng)等方面使用的IaaS云平臺,具體包括:

  1、基礎(chǔ)信息網(wǎng)絡(luò)所運行的云:電信網(wǎng)、廣播電視網(wǎng)、互聯(lián)網(wǎng);

  2、重要信息系統(tǒng)所在的云:能源、教育、公安、測繪地理信息、社保、交通、衛(wèi)生計生、金融等涉及國計民生和基礎(chǔ)信息資源的重要信息系統(tǒng);

  3、重要工業(yè)控制系統(tǒng)所在的云:核設(shè)施、航空航天、先進(jìn)制造、石油石化、油氣管網(wǎng)、電力系統(tǒng)、交通運輸、水利樞紐、城市設(shè)施等重要工業(yè)控制系統(tǒng)

  4、面向社會服務(wù)的政務(wù)信息系統(tǒng)所在的云:黨政機(jī)關(guān)和使用財政性資金的事業(yè)單位和團(tuán)體組織使用的面向社會服務(wù)的信息系統(tǒng)。

  通過采用ZStack Cloud云平臺密評合規(guī)解決方案,可以為政府、運營商、企業(yè)用戶帶來以下三方面的價值:

  1、基于ZStack Cloud 產(chǎn)品化密評改造手段,避免項目制的定制化開發(fā),高效構(gòu)建符合密評要求的云;

  2、基于ZStack Cloud產(chǎn)品化密評服務(wù),降低用戶合規(guī)門檻,低成本實現(xiàn)密評合規(guī)能力;

  3、基于ZStack Cloud構(gòu)建的云,積極響應(yīng)國家政策及相關(guān)法律法規(guī),為政企用戶提供有效的安全防護(hù)。

  結(jié)語

  “沒有強(qiáng)大的網(wǎng)絡(luò)安全產(chǎn)業(yè),國家網(wǎng)絡(luò)安全就缺乏支撐;沒有強(qiáng)大的網(wǎng)絡(luò)安全企業(yè),就形成不了強(qiáng)大的網(wǎng)絡(luò)安全產(chǎn)業(yè)”。推動信創(chuàng)產(chǎn)業(yè)的發(fā)展、保障國家信息網(wǎng)絡(luò)安全,離不開商用密碼技術(shù)的蓬勃發(fā)展,更離不開密評測評的有力保障。未來,云軸科技ZStack仍將發(fā)揮自己產(chǎn)品化的優(yōu)勢,提出更多密評合規(guī)的解決方案,充分滿足各行業(yè)用戶在密評場景的云平臺合規(guī)要求,為保障國家網(wǎng)絡(luò)信息安全添磚加瓦!

(免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請進(jìn)一步核實,并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏,概不負(fù)任何法律責(zé)任。
任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時,應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關(guān)文章源頭核實,溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 )