随着全球大数据、云计算、互联网、物联网等信息技术的发展,商用密码产品日趋普及,密码应用也不断深入和拓展。然而,保障加密策略的安全,需要对数据加密进行细致的策略规划。
12月18日,2021商用密码应用创新高端研讨会举行,以密码“融入新时代、赋能新发展”为主题,集中呈现我国商用密码理论、技术、产品、服务、应用等最新成果,共同探索未来密码产业发展。腾讯安全云鼎实验室高级研究员谢灿出席大会商用密码应用创新高端研讨会分论坛,并作了《腾讯云商密技术研究与产业融合实践》的主题分享。
围绕数据安全合规要求及性能之间的矛盾,谢灿分析了当前企业数据安全管理面临的三大核心挑战,以及腾讯云在应对数据防护安全合规问题时的最佳实践。
当下,数据成为一种核心生产要素,工业、政务等数字化加速,让传统行业找到了新的发展引擎,但与此同时,数据安全问题也提上日程。尤其在一些涉及国计民生和基础信息资源的重要信息系统、重要工业控制系统、面向社会服务的政务信息系统等领域,数据安全问题尤为重要。
在传统商用密码加密方案下,企业和机构通常面临几大痛点,一个是开发门槛高、实施周期长;二是很难平衡数据安全和业务性能之间的关系;三是缺乏专业的密码人才,导致开发、管理和运维都捉襟见肘。
针对实际运用过程中的需求与痛点,腾讯云鼎实验室结合多年数据安全治理实践和技术能力积累,推出一站式商用密码合规解决方案,助力金融等关键行业低成本、高效地实现应用系统密码合规。
在具体方案设计中,从底层、中层、上层进行了清晰的层次划分,底层硬件以高可用、高性能的硬件密码资源池服务为底,中层驱动提供认证密码服务、终端密码服务、网络与通信安全服务、数据存储安全服务、管理配置安全服务、合规密码方案咨询服务,上层应用接口依托高效集约的密码中台为支撑,提供完整的云产品生态集成以及随取随用的数据安全服务及加密API/SDK服务。打通商密密码服务产业链上下游环节,构建了一个可应用于金融、智慧应用、城市码等场景的一体化安全服务能力支撑平台。
相较于传统商用密码方案,该方案有几大特点:
一、密码即服务。提供免应用改造数据库加密,高性能场景支持,对数据库性能影响极小;统一接入API/SDK,降低开发成本;
二、融合架构。基于合规密码服务中台构建原生合规应用架构,支撑“互联网+产业”业务
三、降本增效。方案上,统一管控,动态延展,提高密码基础设施资源利用率,减少维护成本;合规上,结合密码生态、业务生态,最小化业务改造及合规成本。
四、生态保障。覆盖密评机构、密码整改机构、创新密码产品、腾讯应用生态、软件、安全集成开发商生态;
尤其值得一提的是腾讯专有云凭借腾讯安全一站式商用密码合规解决方案高分通过商用密码应用安全性评估。在面临合规成本高、安全能力不齐、业内缺少成熟的改造经验以及各类兼容要求等挑战的情况下,腾讯专有云平台仅3个月即完成改造,并以云平台业内最高分85.84分通过密评。
目前,腾讯商用密码合规解决方案已经应用在专有云TCE、财付通、企业微信、健康码、WeCity、协同办公等多个行业领域,“密码即服务”的方式,获得众多行业客户和权威机构认可。