新版《商用密碼管理?xiàng)l例》已于7月1日正式施行，并持續(xù)受到社會各界的廣泛關(guān)注，而商用密碼如何在云環(huán)境下有效的應(yīng)用，是推廣商用密碼過程中繞不開的話題。

一方面，云計(jì)算已經(jīng)成為數(shù)字化轉(zhuǎn)型的重要基礎(chǔ)設(shè)施，政務(wù)、運(yùn)營商、金融、醫(yī)療、教育等各行業(yè)的業(yè)務(wù)應(yīng)用上云成為趨勢，未來一定是商用密碼應(yīng)用的主要場景;同時，數(shù)據(jù)泄露、越權(quán)訪問等核心云安全風(fēng)險，商用密碼是經(jīng)濟(jì)又有效的解決手段。

然而，在實(shí)際進(jìn)行云上商用密碼能力建設(shè)的過程中，用戶將面臨部署兼容性、安全責(zé)任劃分、安全能力協(xié)同等諸多問題，因此，在建設(shè)前做好充分的規(guī)劃尤為重要。

隨著云上密碼建設(shè)需求的逐漸旺盛，業(yè)界已涌現(xiàn)出多種云上密碼技術(shù)方案，同時結(jié)合密碼運(yùn)算的安全性考慮，基于密碼資源池提供服務(wù)化密碼能力已成為行業(yè)內(nèi)的主流選擇。但同樣是密碼資源池，也會因具體技術(shù)實(shí)現(xiàn)不同有細(xì)微差別，目前常見的幾種技術(shù)路線包括：

1、基于專用產(chǎn)品的硬件資源池

密碼服務(wù)能力的底層資源由專用密碼硬件設(shè)備提供，云租戶通過服務(wù)管理平臺僅使用其服務(wù)，具體配置、運(yùn)維由平臺管理員統(tǒng)一處理。這種技術(shù)路線的結(jié)構(gòu)簡單，但涉及的密碼硬件種類將隨租戶開通的服務(wù)種類而增加，同時各租戶間沒有有效的數(shù)據(jù)隔離，即用傳統(tǒng)的防護(hù)思路來應(yīng)對云環(huán)境，隨著云計(jì)算規(guī)模的擴(kuò)大，短板劣勢將愈發(fā)明顯。

2、基于云服務(wù)器密碼機(jī)的密碼資源池

密碼服務(wù)能力的底層資源由云服務(wù)器密碼機(jī)提供，通過將各類密碼服務(wù)部署在虛擬密碼機(jī)VSM中，將VSM分配至指定租戶。相比于基于硬件的密碼資源池，這種技術(shù)路線實(shí)現(xiàn)了對專用密碼硬件的數(shù)量控制，同時租戶對密碼服務(wù)也具備更多的管理運(yùn)維功能，比較符合云計(jì)算虛擬化、彈性的建設(shè)思路。

然而，需要注意的是，當(dāng)前云服務(wù)器密碼機(jī)的虛擬化資源分配還無法達(dá)到通用服務(wù)器虛擬化那樣靈活，同時云上業(yè)務(wù)普遍偏小，這將導(dǎo)致分配給云租戶的密碼資源長期處于低負(fù)載的狀態(tài)，結(jié)合當(dāng)前密碼資源池較高的建設(shè)成本，容易導(dǎo)致此種技術(shù)路線失去性價比。

3、基于“通用算力+密碼算力”結(jié)合的密碼資源池

針對以云服務(wù)器密碼機(jī)為主的密碼資源池所面臨的問題，安恒信息提出“通用算力+密碼算力”相結(jié)合的技術(shù)路線，即云租戶使用的密碼服務(wù)由承載密碼應(yīng)用功能的通用虛擬機(jī)ECS和承載密碼運(yùn)算功能的虛擬密碼機(jī)VSM組成，同一租戶的多項(xiàng)密碼服務(wù)可共用一臺虛擬密碼機(jī)VSM的算力，實(shí)現(xiàn)資源最大化利用，這樣既保證了租戶間的權(quán)限隔離及密碼運(yùn)算的安全性，同時也能夠提升虛擬密碼機(jī)VSM的利用率，有效控制密碼資源池的建設(shè)成本。當(dāng)密碼運(yùn)算性能不足時可平滑增加分配給租戶的VSM數(shù)量，滿足業(yè)務(wù)增長對算力提升的需求。

云安全是長期持續(xù)、體系化建設(shè)的過程，其中既包括以“檢測-防護(hù)-審計(jì)”為主的傳統(tǒng)網(wǎng)絡(luò)安全能力，也包括新興的數(shù)據(jù)安全、商用密碼能力建設(shè)。同時在新修訂的《商用密碼管理?xiàng)l例》中也提到：“商用密碼應(yīng)用安全性評估、關(guān)鍵信息基礎(chǔ)設(shè)施安全檢測評估、網(wǎng)絡(luò)安全等級測評應(yīng)當(dāng)加強(qiáng)銜接，避免重復(fù)評估、測評”。這也意味著云安全建設(shè)應(yīng)從整體出發(fā)，對所涉及的安全能力要進(jìn)行一體化考慮，才能使各類安全能力發(fā)揮出最大的效果。

安恒信息作為持續(xù)耕耘云安全領(lǐng)域的安全廠商，深知云安全一體化建設(shè)的重要性。因此，安恒信息以安恒云-天池云安全管理平臺為核心，為上云用戶提供一站式包括等保安全、數(shù)據(jù)安全、商用密碼在內(nèi)的多類安全能力，從建設(shè)到管理，從合規(guī)到實(shí)戰(zhàn)，多維度滿足用戶的云安全需求，幫助用戶真正實(shí)現(xiàn)體系化的云安全建設(shè)。

對于云上密碼能力建設(shè)，除了需要包含的能力種類與功能外，更應(yīng)由表及里、溯本求源，系統(tǒng)性的思考整體云安全體系與商用密碼能力的關(guān)系，同時注重整體技術(shù)路線的選擇，這樣才能本固枝榮，保障最終的商用密碼應(yīng)用效果。

（免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請進(jìn)一步核實(shí)，并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負(fù)任何法律責(zé)任。
任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實(shí)內(nèi)容時，應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 ）