文档介绍：该【云平台密评安全合规系统 】是由【1781111****】上传分享，文档一共【7】页，该文档可以免费在线阅读，需要了解更多关于【云平台密评安全合规系统 】的内容，可以使用淘豆网的站内搜索功能，选择自己适合的文档，以下文字是截取该文章内的部分文字，如需要获得完整电子版，请下载此文档到您的设备，方便您编辑和打印。:..设计目标云平台的密码应用方案设计对标等级保护三级信息系统的物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全、密钥管理、安全管理六个方面的密码应用要求进行设计。物理和环境安全主要实现云所在机房等重要区域的物理防护,密码应用要求涉及重要区域的物理访问控制,以及电子门禁系统进出记录和视频监控音像记录的存储完整性。网络和通信安全主要实现云与经由外部网络连接的实体进行网络通信时的安全防护,密码应用要求主要涉及通信过程中实体身份真实性、数据机密性和数据完整性,以及网络边界访问控制和设备接入控制。设备和计算安全主要实现云中各类设备和计算环境的安全防护,密码应用要求主要涉及对登录设备用户的身份鉴别、远程管理通道的建立、重要可执行程序来源的真实性,以及系统资源访问控制信息、设备的重要信息资源敏感安全标记、重要可执行程充完整性、日志记录的完整性。应用和数据安全主要实现云中应用及其数据的安全防护,密码应用主要涉及应用的用户身份鉴别、访问控制,以及应用相关重要数据的存储安全、传输安全和相关行为的不可否认性。从管理制度、人员管理、建设运行和应急处置四个方面给出密码应用管理措施。密钥管理主要实现云的密钥全生命周期的安全性。:..,基于国密算法和具有国密资质的密码产品实现政企客户信息系统重要数据的国密级安全保护,满足客户业务场景中的实际需求。密码应用方案参考了政企客户、密码应用、信息安全相关标准规范,为云平台提供密码应用的技术支撑,并参照等级保护的要求进行安全管理,云平台密码应用技术框架如下图所示:)密钥体系平台密钥体系如下图所示::..密钥管理服务(KMS)DataKey分发给云DataKey数据密钥产品或租户应用(DataKey){DataKey}cmk用户主密钥KMS数据库存储{CMK}domainkey(CMK)密钥加密密钥KMS区域主密钥(DomainKey)硬件加密机本地主密钥内部存储(LMK)设备主密钥管理类密钥)管理密钥:用于保护其它密钥和敏感信息的安全,包括对其它密钥的管理、备份、恢复以及管理员身份认证等。(2)用户密钥或密钥加密密钥:密钥加密密钥(用户主密钥CMK):是定期更换的对称密钥,服务器密码机采用密钥加密密钥在预分配或导入导出密钥的情况下,对会话密钥进行保护。(3)会话密钥:用于对业务数据进行加解密。2)密钥管理安全在密钥的安全管理方面中,云平台采用的实施方式包括:(1)密钥生成(2)密钥存储(3)密钥分发(4)密钥导入与导出(5)密钥使用(6)密钥备份与恢复(7)密钥归档(8)密钥销毁:..物理和环境安全有关物理环境安全的技术建设要求通过客户机房进行实现,本方案中不进行描述。-2014《SSLVPN技术规范》的SSLVPN设备,对用户接入设备和远程运维设备进行身份鉴别,并保证数据传输通信通道上传输的数据和访问控制信息的机密性和完整性。,网络边界部署的SSLVPN保证远程管理通道中用户和网络边界之间通信安全。专有云网络边界内的信息传输通道被认为是安全的。,该层面重点问题是重要数据存储和传输的机密性及完整性。:..管理制度根据《基本要求》中安全管理制度方面的要求,制定与实际系统相适应的密码安全管理制度和操作规范,内容至少包含密码设计、建设、运维、人员、设备、密钥等个方面,并同步在单位现有的制度发布流程中补充密码相关管理制度发布流程,待新制定的密码安全管理制度和操作规范内部评审通过后,按照密码相关管理制度发布流程予以发布并遵照执行。密码安全管理制度和操作规范发布后,每年年底,在单位内部组织专家和密码相关人员对密码安全管理制度和操作规范在使用过程中的合理性和适用性进行论证和审定,对存在不足或需要改进的安全管理制度进行修订。《基本要求》中安全管理人员方面的要求,对实际系统现有的人员管理制度进行补充和完善。一是设置内部密码专题培训机制,每6个月组织一次,由内部人员或聘请外部专家担任培训讲师,内容涉及密码相关法律法规和标准规范、:..使相关人员了解密码相关的法律和法规,掌握密码基本原理,并遵照执行;二是在实际系统完成密码应用改造后,安排项目建设单位、相关密码设备厂商对本系统部署使用的所有密码产品进行操作培训,确保相关人员能够正确配置使用实际系统中部署的密码产品;三是结合实际系统情况,分别设立密钥管理员、安全审计员、密码操作员等岗位,明确各岗位职责,每个岗位均由人担任;四是在现有的安全管理制度中,补充密码相关人员考核、奖惩、保密、调离制度,每年对密钥管理人员、安全审计人员、密码操作人员组织一次考核,对考核成绩优异的予以表扬和奖励,考核成绩不合格者,进行批评教育;密钥管理人员、安全审计人员、密码操作人员与单位订保密协议,承担保密义务,相关人员若要调离岗位时,按照制定的人员调离制度承担相应的保密义务。,委托密评机构对本方案进行评估,评估通过后,将实际系统密码应用改造方案向密码管理部门备案,并同步对实际系统进行密码应用改造,选用通过检测认证合格的云服务器密码机、SSLVPN、安全浏览器、安全门禁系统等商用密码产品,合规、正确、有效的建设密码保障系统。依据评估通过的密码应用方案改造完成后,委托密评机构对实际系统进行密评,密评通过后上线运行,上线运行后,每年对实际系统进行一次密码应用安全性评估,并根据评估意见进行整改。当实际系统在运行过程中发现重大密码应用安全隐患时,将停止系统运行,制定整改方案,按照整改方案对系统进行整改和密码应用安全性评估,评估通过后重新上线运行。《基本要求》中安全管理应急方面的要求,对实际系统现有的应急管理制度进行完善,补充制定密码相关应急处置预案,并做好应急资源准备,明确密码安全事件处理流程及其它管理措施。:..密评咨询商用密码应用安全性评估(简称:密评)是国家网络安全和密码相关法律法规提出的明确要求,是法定责任和义务。商用密码应用安全性评估工作,更好发挥密码在保障网络和信息系统安全中的核心支撑作用,不仅对规范密码应用具有重大意义,同时对维护网络和信息系统密码安全,切实保障网络安全,有效应对各类网络安全风险,也具有不可替代的重要作用。根据国家密码相关法律法规、标准要求,结合客户系统现场,提供密评合规咨询服务,帮助客户同步规划、建设、运行信息系统的密码保障系统,并最终通过密码应用安全性评估。服务内容:差距分析?密码应用方案设计?建设整改?密评测评