近年来,网络安全已上升到国家战略高度,密码技术作为网络安全重要的主动防护技术,在信息化进程中得到了更多的应用和发展。然而,在云计算环境下,传统密码方式面临诸多挑战,密码建设需要更加体系化、集中性的建设。
京东云基于自身在云计算领域的技术和场景积累,结合国产商用密码的密码能力,打造了面向各行业、支持多云异构场景的“云密码资源池”解决方案,实现横跨多云平台的集中密码资产治理。方案基于K8s搭建了云原生密码安全底座,实现密码多云服务与统一管理,并结合京东云现有安全产品,为上层应用提供敏感数据治理、轻量改造、稳定性管理等多维度安全能力。同时,支持多云密码态势的接入,通过管理、检测、响应等诸多手段,解决管理机构面临的信息孤岛和运营孤岛问题。
【资料图】
保障京东618加密服务低延时
近年来,金融领域商用密码全面应用和创新发展势在必行,京东支付于2021年1月启动自身业务系统的金融领域商用密码改造工作,以满足金融密码应用的高安全要求。
业务部署在京东科技下属的多个机房中,网络结构十分复杂。同时,京东支付支撑了京东内部的众多业务应用,往往都会面临618、11.11等购物节以及其他营销活动的高并发场景考验。商密改造后的京东支付系统满足高并发、低时延的性能要求,确保京东用户在使用京东业务应用时能获得良好的体验。
京东云面向以京东支付为代表的金融行业商用密码应用的核心场景,打造了支持多云异构场景的“金融级云密码资源池”解决方案,形成“金融+云密码”的创新服务模式。该模式在原有的通用密码资源池的基础上,增加以金融数据密码机为代表的金融级密码硬件设备,以及国密安全键盘等服务金融场景的密码软件产品,通过统一的密码服务平台提供各类密码服务,为京东支付业务系统提供统一的密码资源池管理、统一的密码接口规范、统一的密码运维与监控等服务,满足金融行业密码应用安全合规要求。
除了密码服务以外,针对金融业务场景中敏感数据的安全防护问题,方案提供了多种京东云已有的数据安全能力,对数据采集、加工、传输、使用、存储、销毁的全生命周期进行了安全防护;同时,为了确保商密改造不影响原有业务系统的稳定性,方案采用了京东云的稳定性主动管理产品“云泰”,对商密改造后系统的稳定性进行了全方位的测试与验证。
在今年京东618期间,京东云提供的加解密服务的峰值TPS高达百万级别,在如此规模的高并发考验下,加解密服务的平均延时保持在1毫秒以下。
守护青少年隐私安全
近日,共青团成都市委联合京东云打造的全国首个12355青少年综合服务智能平台(以下简称智能平台)正式上线,这是全国首个通过AI机器人为青少年提供心理、法律、困境咨询等公益性服务的网络智能平台。
智能服务平台提供咨询服务的同时,青少年在咨询求助过程中的个人隐私、敏感数据的安全尤为重要。以心理咨询服务模块为例,青少年和智能平台之间每天都会产生海量的对话交互数据,包含身份证、电话号码、心理问题描述等敏感文本数据。一旦出现不法分子攻击等安全事件,这些敏感隐私数据就会面临泄露、篡改等安全风险,由此造成的损失将无法估量。
京东云安全团队基于密码资源池产品,助力智能平台从0到1建设了面向云上应用的密码应用保障体系,提供身份鉴别、数据加解密、完整性、抗抵赖性等密码功能服务,保障智能平台成功通过“商用密码应用安全性评估”的第三级别测评。
在密码基础层,通过部署服务器密码机、IPSec/SSL VPN网关、密码服务平台等软硬件密码产品形成密码资源池,向密码服务层提供基于SM2、SM3、SM4等国密算法的基础密码算力支撑。
在密码服务层,由密码服务平台对密码基础层的密码设备进行对接与管理,通过统一的密码服务接口,向智能平台业务系统提供数据加解密、签名验签、完整性、轻量改造等密码功能服务,支撑各个层面的密码应用。
在密码应用层,通过调用各类密码功能服务,对网络和通信、设备和计算、应用和数据等层面进行了密码应用建设,并对系统涉及的敏感数据进行了划分与重点保护。
打造政务云安全屏障
按照《密码法》和山东省密码管理局要求,山东省市两级电子政务云和电子政务外网需要尽快完成网络安全等级保护三级和商用密码应用安全性评估工作。
然而,传统的直接集成密码设备的方式面临着各种挑战。比如,云计算环境的系统架构较传统的信息系统有很大变化,相应的安全风险及借助密码技术解决的安全风险点需要重新研究;再比如,云计算平台具有虚拟化、分布式、资源集中等特点,云环境下相应的密码服务也需要相应调整,如对密码服务虚拟化、密码服务动态迁移等;此外,我国之前已经建设的密钥管理中心等密码服务基础设施提供的服务还比较单一,暂不能适应云计算场景下对密码管理的要求。
京东云作为滨州市基础专有云平台的责任单位,在政务云平台密码应用建设项目中,参考国家商用密码应用相关标准,设计了滨州政务云平台商用密码应用解决方案。方案通过密码资源池建设,建立密码应用安全体系,为滨州市基础专有云平台提供密码安全服务能力。
方案打通了云上与云下两种不同的部署方式,既可以通过云平台的计算资源实现部署,也可以通过自身的虚拟化技术完成云化部署,同时支持云环境与非云环境的密码建设。
依托京东云计算技术体系,滨州政务云平台实现了从传统的设备直连模式到云化服务架构的突破,利用密码设备构建密码资源池,通过虚拟化技术构建密码服务平台,实现密码资源的云化部署与管理。
同时,方案让业务“无感”快速接入新增业务成为可能。新增业务服务通过统一的密码原子接口,实现不同场景直接接入业务服务接口;既有业务通过平台进行透传服务接入,不影响既有业务的稳定运行。
最终,滨州市政务云平台密码应用建设项目以高分通过了第三级别的商用密码应用安全性评估,并持续为政务云平台的业务系统提供密码服务和管理支撑。
未来,京东云将持续深耕商用密码领域,不断夯实密码安全解决方案,构筑产业智能安全防线,以更成熟的密码技术护航“数实融合”。