“没有网络安全就没有国家安全”,商用密码技术作为实现网络和数据安全的核心技术,在网络安全保护体系中发挥着重要的基础支撑作用。随着云计算的应用普及,越来越多的信息系统迁移到云上,对云平台密码应用安全提出了新的挑战,而云平台通过密码应用安全性评估已成为云上系统符合密评相关要求的必备条件。
近日,湖北省级政务云省楚天云云平台,依据国标GB/T 39786-2021《信息安全技术信息系统密码应用基本要求》,由湖北省密码管理局授权的评估机构(湖北星野)从密码技术应用、密钥管理及密码应用管理体系等多个维度进行综合测评,针对省楚天云云平台密码应用的合规性、正确性、有效性进行了全面的量化评估,并通过流量抓包、数据加解密分析等技术手段进行验证,最终结果为满足标准中第3级要求,成为湖北省首个通过密码应用安全性评估的云平台。
商用密码应用安全性评估,是指在采用商用密码技术、产品和服务集成建设的网络和信息系统中,对其密码应用的合规性、正确性和有效性进行评估。应用系统要通过商用密码应用安全性评估,首先要进行密码应用方案设计,方案通过专业评审后还要进行大量的密码建设和改造工作,然后由具备资格的第三方密评机构开展评估。密码改造工作不是多个设备简单堆砌或组合过程,而是要涉及应用的身份认证、数据传输、数据存储等多个层面的密码开发与设备对接。相较于常规应用系统,云平台涉及的底层技术复杂、组件及节点众多,改造难度和复杂更是成倍增加,需要投入大量专业人员和专用设备,从底层架构彻底进行开发改造。为此,省楚天云成立密码应用工作专班,联合服务商优势资源和尖端经验,经过半年多的持续研究和建设攻坚,依托Fit、True等系列产品打造出自主可控密码云平台,最终在物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全、管理制度、人员管理、建设运营、运行处置等8个方面全面满足国家标准。省楚天云以优异得分率先通过云平台密评认证,不仅标志着省楚天云云平台自身安全性再一次进化,充分符合国家密码相关法律和标准,同时也意味着密码保障能力得到密码管理部门权威认证,可为广大云上政务系统密评合规提供有力支撑,有效解决政务客户对于业务上云过程中的密码安全应用合规压力,对保障政务云上系统密码应用安全及合规具有重大意义。
