陳翠云，呂 由，趙 祎，陳 盼

（公安部第一研究所，北京 100048）

商用密碼應用安全性評估制度是國家信息安全領域的基本國策，由國家密碼管理局牽頭，經(jīng)過數(shù)年的探索和實踐，已形成一系列政策和標準體系，并于近幾年在全國范圍內(nèi)全面開展實施。與此同時，隨著云計算技術的不斷發(fā)展，云平臺已成為信息系統(tǒng)數(shù)字化轉(zhuǎn)型的關鍵基礎設施之一，并得到了廣泛應用。

但由于云平臺自身的特殊性，在其密碼應用測評過程中，會面臨密碼服務需求不清晰、測評點難以確定、涉及虛擬機遷移安全測評等特殊疑難問題，而商用密碼應用安全性評估現(xiàn)有標準體系和指導文件主要還是針對于傳統(tǒng)單一的信息系統(tǒng)，對于云平臺的密碼應用測評，尚處在研究和探索階段，缺乏具有針對性的指導意見。需參考GB/T 39786-2021《信息安全技術信息系統(tǒng)密碼應用基本要求》等現(xiàn)有標準，并針對其測評過程中可能存在的疑難問題，如云密碼服務需求、云密碼服務應用測評點、云密碼服務應用測評注意事項等進行深入研究和探討。

1 云平臺密碼保障建設

如圖1 所示，云平臺和云上應用運營者不同，需界定兩者的責任和范圍。在云上密碼保障系統(tǒng)建設之前，需明確劃分為2 個層次：

圖1 云平臺和云上應用責任和范圍Fig.1 Responsibilities and scope of cloud platforms and applications on the cloud

（1）云平臺密碼保障系統(tǒng)：針對云平臺自身密碼應用的密碼保障系統(tǒng)的建設，該部分建設的責任主體為云平臺的運營者。

（2）云上應用密碼保障系統(tǒng)：針對云上應用系統(tǒng)密碼應用的密碼保障系統(tǒng)的建設，該部分建設的責任主體為云上應用的運營者。

其次，在云平臺密碼保障系統(tǒng)建設過程中，最重要的一點就是要梳理重要數(shù)據(jù)信息的流向和承載實體，明確其范圍和保護對象，如圖2 所示。

圖2 重要數(shù)據(jù)信息流向和承載實體Fig.2 Important data information flow and bearing entity

2 云密碼服務需求分析

云計算場景密碼應用需求主要包括以下5 個方面：密碼資源池需求、統(tǒng)一密碼服務需求、密鑰隔離安全需求、身份鑒別需求、本地數(shù)據(jù)安全需求。

2.1 密碼資源池需求

云平臺為租戶提供加解密、簽名驗簽等云密碼服務，實際中不可能為每個租戶配置單獨的物理密碼產(chǎn)品。當業(yè)務擴展時通常需要添加或者升級新密碼設備，安全擴容是需考慮的重要因素，尤其應用頻繁變化時，依靠增加密碼設備的傳統(tǒng)擴展方案難度較大，無法做到按需彈性擴展。因此，云平臺需要池化的密碼資源，為租戶提供虛擬的密碼服務[1]。

2.2 統(tǒng)一密碼服務需求

云租戶業(yè)務應用種類繁多，用戶量大，關鍵數(shù)據(jù)復雜多樣，安全機制不一致，為密碼應用和管理帶來難度。需對云平臺上所有業(yè)務應用提供統(tǒng)一的、多租戶的密碼服務能力，對各類密碼服務接口、服務訂購、應用調(diào)用、平臺運行等進行統(tǒng)一管理，提供多租戶管理、密碼資源管理等。

2.3 密鑰隔離安全需求

云技術采用了虛化技術，融合了軟硬件資源，主機和網(wǎng)絡邊界相對于傳統(tǒng)系統(tǒng)變得模糊，風險不但來自南北流量，還來自東西流量，云上應用安全風險也隨之增加，需對其提供密鑰安全管理功能，包括密鑰存儲、更新、遷移等，尤其云平臺和云租戶之間、云租戶與云租戶之間的密鑰需做安全隔離[2]。

2.4 身份鑒別需求

由于云計算泛在接入的特點，云平臺用戶終端數(shù)量巨大，形態(tài)多樣，不同安全級別的數(shù)據(jù)和服務充斥于云環(huán)境中，為保證云環(huán)境中數(shù)據(jù)安全性，云端服務應對訪問者身份進行鑒別，防止非授權訪問。

2.5 數(shù)據(jù)安全需求

云計算提供海量數(shù)據(jù)存儲與訪問，數(shù)據(jù)落地后在物理環(huán)境中的保護十分重要。需建立數(shù)據(jù)加密存儲和傳輸機制，保障數(shù)據(jù)存儲和傳輸安全。數(shù)據(jù)加密方案有塊存儲加密、對象存儲加密、數(shù)據(jù)庫加密、磁盤加密、文件加密等。

3 云密碼服務應用測評點

3.1 網(wǎng)絡和通信層面測評

網(wǎng)絡和通信層面，在用戶和云平臺之間通信鏈路部署SSL VPN，實現(xiàn)基于密碼技術的身份鑒別、數(shù)據(jù)傳輸機密性和完整性保護；在云平臺機房和災備機房之間部署IPSec VPN，保證通信數(shù)據(jù)的機密性和完整性。測評點設置如圖3 所示。

圖3 云平臺網(wǎng)絡和通信層面商用密碼應用測評點Fig.3 Commercial password application evaluation sites at cloud platform network and communication level

測評需提供的支撐證明包括但不限于不同網(wǎng)絡通道的網(wǎng)絡抓包文件（協(xié)議分析）、VPN 網(wǎng)關配置截圖（算法和配置）、數(shù)字證書、產(chǎn)品商密認證證書等。

3.2 設備和計算層面測評

設備和計算層面，在遠程運維通道部署SSL VPN，保證運維用戶身份鑒別、數(shù)據(jù)傳輸機密性和完整性；部署國密堡壘機對設備進行統(tǒng)一運維；本地運維用戶通過UKEY 身份鑒別后登錄設備，保證其身份真實性。測評點設置如圖4 所示。

圖4 云平臺設備和計算層面商用密碼應用測評點Fig.4 Commercial password application evaluation sites at the cloud platform device and computing level

測評需提供的支撐證明包括但不限于遠程管理通道的網(wǎng)絡抓包文件（協(xié)議分析）、堡壘機產(chǎn)品身份鑒別（算法和配置）、數(shù)字證書、產(chǎn)品商密認證證書等。

3.3 應用和數(shù)據(jù)層面測評

應用和數(shù)據(jù)層面，對PC 終端管理員用戶采用UKEY+數(shù)字證書的方式實現(xiàn)身份鑒別，包括云平臺管理員和租戶的云計算資源管理員，測評點設置如圖5 所示。

圖5 云平臺應用和數(shù)據(jù)安全層面商用密碼應用測評點Fig.5 Cloud platform application and data security level commercial password application evaluation site

對于移動終端用戶，采用手機盾協(xié)同簽名的方式進行身份鑒別。協(xié)同簽名依托于密鑰分割技術，將密鑰分割為客戶端密鑰分量與服務端密鑰分量2部分，二者各自獨立分開存儲，確保密鑰安全。簽名時，服務端和客戶端分別計算各自的簽名結(jié)果，服務端將中間結(jié)果傳送給客戶端，由客戶端完成數(shù)字簽名的合成，即服務端和客戶端協(xié)同進行簽名操作。測評點設置如圖6 所示。

圖6 云平臺應用和數(shù)據(jù)安全層面商用密碼應用測評點Fig.6 Cloud platform application and data security level commercial password application evaluation points

應用層面的數(shù)據(jù)安全防護，首先需要識別應用和數(shù)據(jù)層面中的關鍵業(yè)務和重要數(shù)據(jù)，包括管理員用戶身份鑒別信息、平臺鏡像文件、租戶快照文件、租鏡像文件等敏感信息等，由租戶應用系統(tǒng)調(diào)用密碼資源對數(shù)據(jù)進行存儲機密性和完整性保護。測評點設置如圖7 所示。

圖7 云租戶應用和數(shù)據(jù)安全層面重要數(shù)據(jù)存儲安全的商用密碼技術Fig.7 Cloud tenant applications and data security commercial cryptography for key data storage security

測評需要提供的支撐證明包括但不限于身份鑒別的實現(xiàn)過程證明、數(shù)據(jù)安全保護的實現(xiàn)證明（傳輸文件、數(shù)據(jù)庫等）、國密算法工具機密性/完整性保護計算結(jié)果驗證截圖、數(shù)字證書、產(chǎn)品商密認證證書等。

3.4 云密碼服務密鑰管理測評

密鑰管理也是密碼技應用的重要內(nèi)容，密鑰的安全性是決定密碼系統(tǒng)安全性的關鍵因素，無論是密產(chǎn)品還是密碼應用過程中必須管理和保護好密鑰。根據(jù)云服務商資源類型不同，云計算服務模式可分為基礎設施即服務（laaS）、平臺即服務（PaaS）、軟件即服務（SaaS）3 類，針對這3 類云服務模式給出了各種場景下密碼技術需求和密鑰管理需求[3]，如表1 所示。

表1 云服務不同模式下密碼技術及密鑰管理需求對照Tab.1 Comparison of cryptographic technology and key management requirements in different modes of cloud services

云計算環(huán)境下，云平臺及云租戶信息系統(tǒng)的密鑰體系應根據(jù)密碼應用需求在密碼方案中明確并實施落實。密評需針對密鑰全生命周期管理進行考核。

云平臺自身重要環(huán)節(jié)的密鑰管理建議參考：

（1）加密密鑰應在專門的密鑰生成系統(tǒng)中生成，密鑰數(shù)據(jù)必須密文存儲且與云平臺其他數(shù)據(jù)存儲分離，關鍵密鑰數(shù)據(jù)還應存儲在安全介質(zhì)中；

（2）應采用密鑰隔離手段，確保云平臺使用的密鑰和用戶使用的密鑰不在同一密鑰管理系統(tǒng)進行管理；

（3）對于云平臺提供的密鑰管理服務，應采用嚴格的鑒別機制，確保只有具備該服務權限的用戶才能對其密鑰管理系統(tǒng)進行配置；

（4）應確保用戶在云平臺中使用密鑰時，處于獨立安全環(huán)境中或用戶租用的密鑰管理系統(tǒng)中。

4 云密碼服務密評注意事項

4.1 應用和數(shù)據(jù)層面測評對象確定

云平臺訪問對象包括云租戶、云平臺管理員、遠程運維人員3 類，其業(yè)務操作類型為業(yè)務訪問、虛擬資源管理和調(diào)度、設備運維，由此可梳理出3 條云平臺業(yè)務信息流：租戶通過網(wǎng)絡訪問云資源區(qū)、云平臺管理員訪問云管平臺、遠程運維人員訪問安全管理區(qū)進行設備運維。涉及的重要數(shù)據(jù)包括鑒別數(shù)據(jù)、快照、鏡像數(shù)據(jù)、日志審計數(shù)據(jù)、關鍵配置數(shù)據(jù)等，根據(jù)重要數(shù)據(jù)信息流向，從機密性、完整性、真實性、不可否認性4 個方面，對以上各個環(huán)節(jié)進行分析確定應用和數(shù)據(jù)層面的測評對象。

4.2 密評支撐中完全評估和部分評估

云平臺為云上應用提供了GB/T 39786-2021 中的物理和環(huán)境安全、網(wǎng)絡和通信安全、設備和計算安全，甚至于應用和數(shù)據(jù)安全等層面在內(nèi)的密碼支撐。因此云上應用部分的測評結(jié)論需依賴于云平臺的測評結(jié)果，如圖8 所示。

圖8 云平臺與云上應用評估Fig.8 Cloud platform and cloud application evaluation

云上應用密評時，應重點關注應用本身在各個安全層面的密碼應用情況。對于被完全評估和被部分評估的支撐能力及測評結(jié)論需根據(jù)實際情況決定，具體情況可參考《商用密碼應用安全性評估FAQ（第二版）》。

4.3 云平臺的密評責任和范圍

云平臺系統(tǒng)密碼應用較為復雜，一般分為2 個層面，一是云平臺系統(tǒng)為滿足自身安全所采用的密碼技術；二是云租戶通過調(diào)用云平臺提供的密碼服務為自身業(yè)務應用提供密碼保障。因此，對云上應用進行密評時，原則上需完成2 部分測評工作：

（1）對云平臺自身密碼應用的測評，該部分測評責任主體為云平臺運營者。

（2）對云上應用系統(tǒng)密碼應用的測評，該部分測評責任主體為云上應用運營者。

同時，原則上：

（1）云平臺通過密評后，云上應用系統(tǒng)才能通過密評；

（2）云平臺的安全級別應不低于云上應用系統(tǒng)。

4.4 虛擬機遷移安全測評

云資源管理應用虛擬機遷移保護，主要涉及到虛擬機資源在跨物理機遷移時，需保證虛擬資源遷移時的機密性和完整性，所以在宿主機內(nèi)部需配置硬件或者軟件密碼模塊，協(xié)助云平臺完成虛擬資源的安全遷移。測評時需考慮虛擬資源跨物理節(jié)點遷移時的機密性和完整性保護。

4.5 云平臺密評合規(guī)和實戰(zhàn)需綜合權衡

根據(jù)綜合性合規(guī)要求，需對密碼算法、密碼技術、密碼產(chǎn)品、密碼服務的合規(guī)性、有效性和正確性進行考核，但在實戰(zhàn)層面，在考慮安全的同時，也要確保系統(tǒng)的易用性和穩(wěn)定性。比如云租戶公眾用戶層面，建議采用兼容傳輸加密。在通過定制PC 客戶端APP 實現(xiàn)國密SSL 加密通道的同時，兼容瀏覽器、第三方客戶端的國際算法SSL 加密通道，實現(xiàn)“國密”與“國際”雙標支持。

5 結(jié)語

隨著云技術不斷發(fā)展，云計算應用落地進程加快，加速了數(shù)據(jù)的流通、匯聚、處理和挖掘，提升了生產(chǎn)效率，同時，云安全態(tài)勢日益嚴峻，急需升級安全解決方案，以應對云環(huán)境安全威脅挑戰(zhàn)。本文對云密碼服務保障系統(tǒng)建設和測評進行了研究，分析了云密碼服務的應用需求，設計了云密碼服務應用測評點，著重描述了云服務密鑰管理測評要求，最后提出了云密碼服務密評注意事項，為云平臺運營者、云租戶開展商用密碼應用和安全性評估提供參考和借鑒，助力商用密碼技術在云計算場景的應用推廣，保障云計算安全。