僅90余天，藉助騰訊安全雲鼎實驗室的商用密碼合規解決方案，騰訊專有云企業版Tencent Cloud Enterprise（Tencent TCE）於2021年11月高分透過第三方密評機構的密碼應用安全性評估（3級標準）。

本次測評由國家密碼局授權的權威評估機構——深圳市網安電腦保安檢測技術有限公司，依據國標GB/T 39786-2021《資訊保安技術資訊系統密碼應用基本要求》等要求對騰訊專有云平臺進行綜合測評。測評範圍包括密碼技術應用、金鑰管理和安全管理制度等多個維度，最終結果滿足標準的第3級要求。

敲黑板，劃重點：

騰訊專有云TCE雲平臺是面向金融及大企業等關鍵行業客戶的基礎雲平臺。本次TCE雲平臺順利透過了商用密碼應用安全性評估，並獲得了3級密評的85.84分高分，有效化解行業客戶對於業務上雲過程中的密碼安全應用合規壓力，並以領先的資料安全能力支撐客戶雲上應用系統的整體安全，讓客戶可專注於雲上應用，成就業務價值。

開展密碼測評對客戶的價值？

專有云是一類源自騰訊公有云技術棧的私有云產品，其主要面對的是中、大規模的行業雲（團體雲）及大型企業私有云應用場景。縱向看，雲端計算下的商密應用場景分為雲租戶、雲平臺兩方面；橫向看，專有云解決方案中往往整合了各類密碼產品和軟體。在複雜的產品應用場景及方案中快速構建合規的國密應用方案框架，對保障重點行業客戶的雲平臺安全與合規具有重大意義。

TCE專有云平臺面臨的挑戰？

TCE由租戶端、運營端、TCS容器底座以及大量雲服務產品，以及網路、安全裝置、伺服器等元件組成，涉及運營、運維、大量雲服務產品，以及網路、伺服器等元件，雲平臺的商密改造難度不是單個產品和單個服務的數量乘積，而是需要從全域性架構統一規劃，構建資料全鏈路的機密性和完整性保護方案。

密評主要考察密碼應用方案中以下關鍵合規要點：

一、關鍵點是否採用密碼技術進行保護：關鍵資料加密儲存、完整性保護、重要角色強身份認證登入、HTTPS加密通道、資料交換加密、系統管理配置資訊加密（帳號口令等）。

二、密碼演算法/技術是否滿足防護要求：所採用的演算法是否經過論證，是否符合國密局、行業監管的要求，演算法應用是否得當（如：摘要演算法當加密演算法、採用RSA1024以下位數演算法）。

三、密碼裝置及服務是否具備資質：密碼產品、密碼服務、金鑰管理是否採用了具有商用密碼產品認證產品，包括加解密運算裝置、Ukey等（比如：3級密評中，密碼運算需要交由至少2級密碼模組進行）。

騰訊安全雲鼎實驗室

如何解決這些問題？

結合TCE的實際使用場景，透過TCE的安全中介軟體進行安全合規能力的統一封裝，透過雲平臺密碼服務元件進行異構密碼產品的適配，保證密碼運算嚴格執行在密碼產品中，並對上提供多樣密碼能力，包括認證密碼服務、終端密碼服務、網路與通訊安全服務、資料儲存安全服務、管理配置安全服務等商密安全服務能力。騰訊雲鼎試驗室的商用密碼合規解決方案完美地解決了3級密碼應用要求的合規性、多廠商加密機相容性，並且未來具備對接多廠商密碼應用平臺的能力。

（騰訊安全雲鼎實驗室-商密創新體系)

相較於傳統商用密碼方案，該方案有幾大特點：

一、密碼即服務。提供免應用改造資料庫加密，高效能場景支援，對資料庫效能影響極小；統一接入API/SDK，降低開發成本。

二、融合架構。基於合規密碼服務中臺構建原生合規應用架構，支撐“網際網路+產業”業務。

三、降本增效。方案上，統一管控，動態延展，提高密碼基礎設施資源利用率，減少維護成本；合規上，結合密碼生態、業務生態，最小化業務改造及合規成本。

四、生態保障。覆蓋密評機構、密碼整改機構、創新密碼產品、騰訊應用生態、軟體、安全整合開發商生態。

商用密碼合規解決方案帶來的價值：

首先，合規業務價值，保障雲平臺資料安全保護能力上的行業領先性和競爭力；

其次，實現密碼架構方案標準化及異構密碼產品適配，靈活性高，為雲平臺打造安全、可擴充套件、可落地的合規密碼服務方案；

同時，大幅降低了系統建設、升級、運維、安全合規的風險和成本。

目前，騰訊商用密碼合規解決方案已經在騰訊專有云TCE、財付通、企業微信、健康碼、WeCity、協同辦公等多樣化業務應用場景形成最佳實踐。

（掃碼申請產品購買或試用）