高分透過!TCE高分透過密碼應用安全性評估(3級)

騰訊安全發表於2022-01-18

僅90余天,藉助騰訊安全雲鼎實驗室的商用密碼合規解決方案,騰訊專有云企業版Tencent Cloud Enterprise(Tencent TCE)於2021年11月高分透過第三方密評機構的密碼應用安全性評估(3級標準)。


本次測評由國家密碼局授權的權威評估機構——深圳市網安電腦保安檢測技術有限公司,依據國標GB/T 39786-2021《資訊保安技術資訊系統密碼應用基本要求》等要求對騰訊專有云平臺進行綜合測評。測評範圍包括密碼技術應用、金鑰管理和安全管理制度等多個維度,最終結果滿足標準的第3級要求。


敲黑板,劃重點:


騰訊專有云TCE雲平臺是面向金融及大企業等關鍵行業客戶的基礎雲平臺。本次TCE雲平臺順利透過了商用密碼應用安全性評估,並獲得了3級密評的85.84分高分,有效化解行業客戶對於業務上雲過程中的密碼安全應用合規壓力,並以領先的資料安全能力支撐客戶雲上應用系統的整體安全,讓客戶可專注於雲上應用,成就業務價值。


開展密碼測評對客戶的價值?


專有云是一類源自騰訊公有云技術棧的私有云產品,其主要面對的是中、大規模的行業雲(團體雲)及大型企業私有云應用場景。縱向看,雲端計算下的商密應用場景分為雲租戶、雲平臺兩方面;橫向看,專有云解決方案中往往整合了各類密碼產品和軟體。在複雜的產品應用場景及方案中快速構建合規的國密應用方案框架,對保障重點行業客戶的雲平臺安全與合規具有重大意義。


TCE專有云平臺面臨的挑戰?


TCE由租戶端、運營端、TCS容器底座以及大量雲服務產品,以及網路、安全裝置、伺服器等元件組成,涉及運營、運維、大量雲服務產品,以及網路、伺服器等元件,雲平臺的商密改造難度不是單個產品和單個服務的數量乘積,而是需要從全域性架構統一規劃,構建資料全鏈路的機密性和完整性保護方案。


密評主要考察密碼應用方案中以下關鍵合規要點:


一、關鍵點是否採用密碼技術進行保護:關鍵資料加密儲存、完整性保護、重要角色強身份認證登入、HTTPS加密通道、資料交換加密、系統管理配置資訊加密(帳號口令等)。


二、密碼演算法/技術是否滿足防護要求:所採用的演算法是否經過論證,是否符合國密局、行業監管的要求,演算法應用是否得當(如:摘要演算法當加密演算法、採用RSA1024以下位數演算法)。


三、密碼裝置及服務是否具備資質:密碼產品、密碼服務、金鑰管理是否採用了具有商用密碼產品認證產品,包括加解密運算裝置、Ukey等(比如:3級密評中,密碼運算需要交由至少2級密碼模組進行)。


騰訊安全雲鼎實驗室

如何解決這些問題?


結合TCE的實際使用場景,透過TCE的安全中介軟體進行安全合規能力的統一封裝,透過雲平臺密碼服務元件進行異構密碼產品的適配,保證密碼運算嚴格執行在密碼產品中,並對上提供多樣密碼能力,包括認證密碼服務、終端密碼服務、網路與通訊安全服務、資料儲存安全服務、管理配置安全服務等商密安全服務能力。騰訊雲鼎試驗室的商用密碼合規解決方案完美地解決了3級密碼應用要求的合規性、多廠商加密機相容性,並且未來具備對接多廠商密碼應用平臺的能力。


圖片

(騰訊安全雲鼎實驗室-商密創新體系)


相較於傳統商用密碼方案,該方案有幾大特點:


一、密碼即服務。提供免應用改造資料庫加密,高效能場景支援,對資料庫效能影響極小;統一接入API/SDK,降低開發成本。


二、融合架構。基於合規密碼服務中臺構建原生合規應用架構,支撐“網際網路+產業”業務。


三、降本增效。方案上,統一管控,動態延展,提高密碼基礎設施資源利用率,減少維護成本;合規上,結合密碼生態、業務生態,最小化業務改造及合規成本。


四、生態保障。覆蓋密評機構、密碼整改機構、創新密碼產品、騰訊應用生態、軟體、安全整合開發商生態。


商用密碼合規解決方案帶來的價值:


首先,合規業務價值,保障雲平臺資料安全保護能力上的行業領先性和競爭力;


其次,實現密碼架構方案標準化及異構密碼產品適配,靈活性高,為雲平臺打造安全、可擴充套件、可落地的合規密碼服務方案;


同時,大幅降低了系統建設、升級、運維、安全合規的風險和成本。


目前,騰訊商用密碼合規解決方案已經在騰訊專有云TCE、財付通、企業微信、健康碼、WeCity、協同辦公等多樣化業務應用場景形成最佳實踐。


圖片

(掃碼申請產品購買或試用)


相關文章