公司新闻
云时代的密码保障系统建设(下)| 云上应用:依托云平台,聚焦业务安全-太阳成集团tyc539
从云上应用的特性出发
因部署在云平台上,云上应用的密码保障系统建设与云平台不无关系。
根据国家密评标准gb/t 39786,信息系统的密码应用需要从物理层、网络层、设备层、应用层这四个层面,满足国家测评要求。对于云上应用系统而言,其与传统应用系统的一大区别,就在于后者在建设密码保障系统时,“四大层“都需自行规划和建设。而云上应用系统所涉及的物理机房、网络基础设施、计算环境,均由云平台负责规划、建设和运行。在实际测评时,物理层和设备层指标可直接作为”不适用项“免于测评,分数均摊至其他层面,网络层指标则依赖于云平台的测评结果进行打分,应用层各项指标的安全、合规是云上系统测评的重点。
云上应用系统密码建设方案
云上应用的下三层(物理与环境安全、网络与通信安全、设备与计算安全)依托于云平台的云基础服务设施。对于应用和数据层安全,应从云上应用业务本身出发,对各条业务流的关键数据、安全风险进行分析,提出相应的密码应用需求,之后调用密码云服务平台提供的身份鉴别、签名验签、数据加解密等各类服务,实现用户身份认证、重要数据机密性、完整性和业务抗抵赖性,确保云上业务安全、合规。
►►►
某云上应用系统密码建设实践
某省tz系统是部署在电子政务外网云平台上的业务系统,主要面向tz成员和干部提供学习宣传、联谊交友、社会服务、建言资政等服务,不管是外部用户还是内部用户,都可通过浏览器访问登录业务系统,外部用户还可通过移动app进行访问。
前期,在数字认证基于密码云服务平台的助力下,tz系统所在的政务云平台已完成密码应用保障系统建设,并顺利通过密评。这次,为了确保云上应用也能顺利过关,数字认证在经过业务风险调研和需求分析后,采取以下密码措施:
-
通过为用户配备数字证书,并调用密码云服务平台提供的数字签名服务来确保用户登录系统时身份的安全、可信;同时,针对口令、手机号、身份信息、权限信息等重要数据,通过数字信封技术以及密码云服务平台所提供的身份鉴别、协同签名、数据加解密等服务,来确保数据传输和存储安全,以及内容审核等关键操作的不可否认性。
tz系统密码保障系统的建设从系统自身业务出发,利用政务云平台密码保障系统建设成果,改变传统密码应用略显“臃肿”的特点,实现了密码保障系统的“瘦身”,最终取得事半功倍的效果。