隨著全球大資料、雲端計算、網際網路、物聯網等資訊科技的發展,商用密碼產品日趨普及,密碼應用也不斷深入和擴充。然而,保障加密策略的安全,需要對資料加密進行細緻的策略規劃。
12月18日,2021商用密碼應用創新高階研討會舉行,以密碼“融入新時代、賦能新發展”為主題,集中呈現我國商用密碼理論、技術、產品、服務、應用等最新成果,共同探索未來密碼產業發展。騰訊安全雲鼎實驗室高階研究員謝燦出席大會商用密碼應用創新高階研討會分論壇,並作了《騰訊雲商密技術研究與產業融合實踐》的主題分享。
圍繞資料安全合規要求及效能之間的矛盾,謝燦分析了當前企業資料安全管理面臨的三大核心挑戰,以及騰訊雲在應對資料防護安全合規問題時的最佳實踐。
當下,資料成為一種核心生產要素,工業、政務等數字化加速,讓傳統行業找到了新的發展引擎,但與此同時,資料安全問題也提上日程。尤其在一些涉及國計民生和基礎資訊資源的重要資訊系統、重要工業控制系統、面向社會服務的政務資訊系統等領域,資料安全問題尤為重要。
在傳統商用密碼加密方案下,企業和機構通常面臨幾大痛點,一個是開發門檻高、實施週期長;二是很難平衡資料安全和業務效能之間的關係;三是缺乏專業的密碼人才,導致開發、管理和運維都捉襟見肘。
針對實際運用過程中的需求與痛點,騰訊雲鼎實驗室結合多年資料安全治理實踐和技術能力積累,推出一站式商用密碼合規解決方案,助力金融等關鍵行業低成本、高效地實現應用系統密碼合規。
在具體方案設計中,從底層、中層、上層進行了清晰的層次劃分,底層硬體以高可用、高效能的硬體密碼資源池服務為底,中層驅動提供認證密碼服務、終端密碼服務、網路與通訊安全服務、資料儲存安全服務、管理配置安全服務、合規密碼方案諮詢服務,上層應用介面依託高效集約的密碼中臺為支撐,提供完整的雲產品生態整合以及隨取隨用的資料安全服務及加密API/SDK服務。打通商密密碼服務產業鏈上下游環節,構建了一個可應用於金融、智慧應用、城市碼等場景的一體化安全服務能力支撐平臺。
相較於傳統商用密碼方案,該方案有幾大特點:
一、密碼即服務。提供免應用改造資料庫加密,高效能場景支援,對資料庫效能影響極小;統一接入API/SDK,降低開發成本;
二、融合架構。基於合規密碼服務中臺構建原生合規應用架構,支撐“網際網路+產業”業務
三、降本增效。方案上,統一管控,動態延展,提高密碼基礎設施資源利用率,減少維護成本;合規上,結合密碼生態、業務生態,最小化業務改造及合規成本。
四、生態保障。覆蓋密評機構、密碼整改機構、創新密碼產品、騰訊應用生態、軟體、安全整合開發商生態;
尤其值得一提的是騰訊專有云憑藉騰訊安全一站式商用密碼合規解決方案高分透過商用密碼應用安全性評估。在面臨合規成本高、安全能力不齊、業內缺少成熟的改造經驗以及各類相容要求等挑戰的情況下,騰訊專有云平臺僅3個月即完成改造,並以雲平臺業內最高分85.84分透過密評。
目前,騰訊商用密碼合規解決方案已經應用在專有云TCE、財付通、、企業微信、健康碼、WeCity、協同辦公等多個行業領域,“密碼即服務”的方式,獲得眾多行業客戶和權威機構認可。