信创与密码应用论坛（杭州）-徐淑卿《密码服务平台应用实践分享》（15页）.pdf

1、密码服务平台应用实践分享The Pratice Sharing of Cryptography Service Platform徐淑卿Xu Shuqing产品总监Chief Product OfficerCONTENTS目 录01.云上业务密码建设背景密码政策驱动，密码技术为数据安全保驾护航02.密码服务平台应用与实践以集约化的建设理念，搭建密码服务平台，以服务的方式向多租户提供各类密码服务03.平台成果与实践效益满足云上系统在商用密码应用安全性评估的需求，建立密码保障体系2022 WEST L AKE CYBERSECURIT YCONFERENCE01云上业务密码建设背景密码政策驱动，密码

2、技术为数据安全保驾护航01.密码政策相继出台01.业务上云 如何正确、高效应用密码用的不够“对”算法风险：使用MD5、SHA-1、RSA1024等不安全不可靠的算法的情况仍然存在 覆盖不完善：仅在部分环节应用密码技术，重要日志、重要文件未加密较为普遍，存在绕过安全防护措施获取明文数据的可能 认证鉴权不可靠：对关键行为、重要文件发布等行为认证鉴权有空白或强度偏低，发生安全事件后存在抵赖空间，难以溯源问题 密钥管理不当：在实际使用中，存在系统无法对密钥的全生命周期进行管理的情况，一旦密钥外泄，后果不堪设想如何高效应用？资源浪费：云上系统种类繁多，若一 一进行密码建设容易形成资源浪费，且部署复杂度提

3、升 改造工程量大：密码设备普遍需要接口集成，业务系统需要二次开发，改造工程量大，且存在部分业务系统不再具备改造能力 对接成本大：目前密码厂家、设备种类多样化，业务系统在进行密码建设时，需对接各类型密码设备，对接成本大 缺乏统一管理：在多密码设备的情况下，难以对云上系统调用的密码服务进行统一管控；缺乏安全运营机制，难以形成安全事件处置闭环02密码服务平台应用与实践以集约化的建设理念，搭建密码服务平台，以服务的方式向多租户提供各类密码服务02.密码服务平台是当前云上密码建设最优选通过国产密码算法与密码技术，实现重要数据在传输、存储等场景中的安全防护数据安全防护根据密码应用国家标准要求，建设物理、网

4、络、设备、应用四位一体的密码保障体系国密体系建设具备密码能力整合、服务轻量化、管理统一的优势，可一站式满足用户多样化的密码应用需求，云上业务实现密码应用的普遍选择。密码服务平台方案针对于国密改造难度大的问题，提供多种轻量化改造的解决方案，无需业务系统二次改造轻量化改造模式02.密码服务平台架构设计平台定位密码服务平台，面向专有云平台云上系统提供集中化、虚拟化、透明化的密码服务核心能力面向各租户的信息系统提供多种密码服务，以服务调用的形式，满足密评要求各租户能够自由调度其下信息系统所使用的密码资源，实现密码资源的统一调度与管理各类密码服务与底层密码资源的监测预警02.密码服务调用 满足密评需求线

5、上提供各类密码资源的申请服务各租户根据被测信息系统所需要的密码资源情况，在线上申请所需的密码服务，并实现密码应用改造，即可满足密评要求。传输加密服务：为多类型的终端提供传输加密服务，包括需集成改造的字段级传输加密、通过网络配置修改的流量拦截式加密；存储加密服务：提供不同颗粒度的存储加密服务，包括需集成改造的字段级存储加密、通过安装加解密软件的表级别存储加密。02.密码服务业务流密码资源池云服务器密码机传输透明加密系统密钥管理服务器SSL VPN安全网关签名验签服务器时间戳服务器密码应用服务密钥管理服务传输加密服务存储加密服务身份认证服务数字签名服务时间戳服务完整性校验服务安全通道服务云资源池租

6、户A租户B租户C租户D虚拟密码机VPN实例密码系统实例平台管理密码服务平台管理后台统一密钥管理平台密钥管理服务开通资源管理租户平台管理员服务说明：用户登录身份认证服务：数字证书国密验证码协同签名认证扫码信息传输传输加密服务：SDK集成，字段加密流量拦截，透明加密安全通道服务：信道加密信息存储存储加密服务：SDK集成，字段加密软件安装，透明加密关键操作数字签名服务、时间戳服务：SDK集成，行为抗抵赖数据完整性完整性校验服务：SDK集成，HMAC校验数字签名服务：SDK集成，签名验签02.密码服务平台建设模式以应用为起点 共同推进平台建设l H市数据资源管理