云上系统与传统物理部署系统在密评合规方面面临不同挑战:云平台底层密码基础设施由云服务商提供,云上应用则涉及运营者自身的密码应用改造,需要明确区分云平台层和用户应用层的评估责任。密评要求对云平台和云上应用分别或组合进行评估,并可复用云平台已通过的密评结论。
云服务商负责保障云平台自身的密码应用合规性,包括云平台密码算法、密钥管理体系、密码产品资质等;云上应用的运营者负责自建应用层面的密评合规改造,包括应用身份鉴别、数据加密存储、传输加密等。若云平台已通过密评,云上应用可适当复用相关测评结论,但应用层的密码合规仍需独立评估。
云上系统应优先选择已通过国密认证的云密码产品和服务来构建密码保障体系,减少自研开发工作量。在密码产品选型方面,建议选择提供国密算法支持且具备国家密码管理局认证资质的云密码产品,如云加密服务、密钥管理服务、国密SSL证书服务等,以降低合规风险和改造成本。当前,腾讯云等主流云服务商已推出覆盖密码应用全场景的合规产品体系,可帮助用户在云上高效实现密评合规。