仅90余天,借助腾讯安全云鼎实验室的商用密码合规解决方案,腾讯专有云企业版Tencent Cloud Enterprise(Tencent TCE)于2021年11月高分通过第三方密评机构的密码应用安全性评估(3级标准)。
本次测评由国家密码局授权的权威评估机构——深圳市网安计算机安全检测技术有限公司,依据国标GB/T 39786-2021《信息安全技术信息系统密码应用基本要求》等要求对腾讯专有云平台进行综合测评。测评范围包括密码技术应用、密钥管理和安全管理制度等多个维度,最终结果满足标准的第3级要求。
敲黑板,划重点:
腾讯专有云TCE云平台是面向金融及大企业等关键行业客户的基础云平台。本次TCE云平台顺利通过了商用密码应用安全性评估,并获得了3级密评的85.84分高分,有效化解行业客户对于业务上云过程中的密码安全应用合规压力,并以领先的数据安全能力支撑客户云上应用系统的整体安全,让客户可专注于云上应用,成就业务价值。
开展密码测评对客户的价值?
专有云是一类源自腾讯公有云技术栈的私有云产品,其主要面对的是中、大规模的行业云(团体云)及大型企业私有云应用场景。纵向看,云计算下的商密应用场景分为云租户、云平台两方面;横向看,专有云解决方案中往往集成了各类密码产品和软件。在复杂的产品应用场景及方案中快速构建合规的国密应用方案框架,对保障重点行业客户的云平台安全与合规具有重大意义。
TCE专有云平台面临的挑战?
TCE由租户端、运营端、TCS容器底座以及大量云服务产品,以及网络、安全设备、服务器等组件组成,涉及运营、运维、大量云服务产品,以及网络、服务器等组件,云平台的商密改造难度不是单个产品和单个服务的数量乘积,而是需要从全局架构统一规划,构建数据全链路的机密性和完整性保护方案。
密评主要考察密码应用方案中以下关键合规要点:
一、关键点是否采用密码技术进行保护:关键数据加密存储、完整性保护、重要角色强身份认证登录、HTTPS加密通道、数据交换加密、系统管理配置信息加密(帐号口令等)。
二、密码算法/技术是否满足防护要求:所采用的算法是否经过论证,是否符合国密局、行业监管的要求,算法应用是否得当(如:摘要算法当加密算法、采用RSA1024以下位数算法)。
三、密码设备及服务是否具备资质:密码产品、密码服务、密钥管理是否采用了具有商用密码产品认证产品,包括加解密运算设备、Ukey等(比如:3级密评中,密码运算需要交由至少2级密码模块进行)。
腾讯安全云鼎实验室如何解决这些问题?
结合TCE的实际使用场景,通过TCE的安全中间件进行安全合规能力的统一封装,通过云平台密码服务组件进行异构密码产品的适配,保证密码运算严格运行在密码产品中,并对上提供多样密码能力,包括认证密码服务、终端密码服务、网络与通信安全服务、数据存储安全服务、管理配置安全服务等商密安全服务能力。腾讯云鼎试验室的商用密码合规解决方案完美地解决了3级密码应用要求的合规性、多厂商加密机兼容性,并且未来具备对接多厂商密码应用平台的能力。
相较于传统商用密码方案,该方案有几大特点:
一、密码即服务。提供免应用改造数据库加密,高性能场景支持,对数据库性能影响极小;统一接入API/SDK,降低开发成本。
二、融合架构。基于合规密码服务中台构建原生合规应用架构,支撑“互联网 产业”业务。
三、降本增效。方案上,统一管控,动态延展,提高密码基础设施资源利用率,减少维护成本;合规上,结合密码生态、业务生态,最小化业务改造及合规成本。
四、生态保障。覆盖密评机构、密码整改机构、创新密码产品、腾讯应用生态、软件、安全集成开发商生态。
商用密码合规解决方案带来的价值:
首先,合规业务价值,保障云平台数据安全保护能力上的行业领先性和竞争力;
其次,实现密码架构方案标准化及异构密码产品适配,灵活性高,为云平台打造安全、可扩展、可落地的合规密码服务方案;
同时,大幅降低了系统建设、升级、运维、安全合规的风险和成本。
目前,腾讯商用密码合规解决方案已经在腾讯专有云TCE、财付通、企业微信、健康码、WeCity、协同办公等多样化业务应用场景形成最佳实践。