随着政企數字化轉型全面進入“雲”時代，雲已經成為了數字化轉型的基石和樞紐。面對着信息系統複雜多變的上雲需求，雲廠商提供了公有雲、私有雲以及混合雲等多種模式的雲服務，其中，公有雲因成本低、擴展性好等優點，成為諸多信息系統入雲的首選。

随着《密碼法》、GB/T 39786、《信息系統密碼應用測評要求》等政策相繼落地，公有雲上的信息系統面臨着“過密評”的需求。作為雲上系統的載體，公有雲平台應該為雲上系統提供安全合規的物理環境、合規的網絡鍊路、合規的運維方式以及合規且豐富的密碼應用。然而實際中，很多雲廠商所提供的公有雲服務在密碼應用方面并未滿足GB/T 39786的要求，甚至存在一些高風險項，不僅無法幫助雲上系統順利通過密評，甚至會成為密評道路上的阻礙。重點表現在以下兩個方面：

• 當業務系統訪問雲上服務器時，通信信道是網絡和通信安全的測評重點，若公有雲平台網絡邊界沒有提供合規的安全接入服務，則該條網絡鍊路的安全性難以保障。
• 雲平台未提供合規的密碼服務，無法保障業務系統在進行身份鑒别、數據機密性保障、完整性保障、不可否性保障等方面的安全需求。

公有雲上系統數據鍊路示意圖

為了解決以上問題，北京數字認證股份有限公司（簡稱：數字認證）提出一種新思路：借助密碼托管服務的方式保障雲上系統安全。通過在本地建設托管機房，并基于安全認證網關構建合規的網絡鍊路，一方面解決用戶訪問雲平台的鍊路安全問題，另一方面滿足雲上系統應用和數據安全層面的密碼應用需求。我們來看下基于密碼托管服務，如何實現鍊路安全和密碼服務安全的“一舉兩得”：

在網絡鍊路層面，通過在托管機房部署安全認證網關，将原先直連雲平台的鍊路轉至訪問托管機房的安全認證網關，之後再經由安全認證網關和雲平台之間的雙向SSL傳輸加密通道到達雲平台，這就有效保障了網絡通信實體的真實性、通信數據的完整性和重要數據的機密性。

在應用和數據安全層面，公有雲上業務系統通過托管機房SSL VPN網關構建的SSL加密傳輸通道，調用托管機房提供的身份鑒别、加解密、簽名驗簽、時間戳等合規密碼服務，滿足業務系統在應用和數據安全方面的密碼應用需求。

借助于密碼托管機房後的數據鍊路圖

由此可見，通過引入托管機房的安全網關和密碼服務，能有效緩解公有雲平台自身的安全風險，符合密評要求。目前，依托密碼托管服務建設方案，數字認證已經幫助醫藥等領域客戶成功通過密評測試。

當然，密碼應用與業務息息相關，放之四海皆準的密碼應用方案是不存在的，本文隻是提出一種保障公有雲上業務系統全鍊路安全的新思路，在項目中依然需要“對症下藥”，根據業務系統的實際情況進行具體規劃。

未來，雲端數據的安全保護必将成為政企數字化發展的頭等要務。數字認證将不斷與時俱進，為業務上雲提供更便捷、更貼合需求的密碼保障系統建設，護航雲時代業務安全落地。

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!