近年來，網(wǎng)絡(luò)安全已上升到國(guó)家戰(zhàn)略高度，密碼技術(shù)作為網(wǎng)絡(luò)安全重要的主動(dòng)防護(hù)技術(shù)，在信息化進(jìn)程中得到了更多的應(yīng)用和發(fā)展。然而，在云計(jì)算環(huán)境下，傳統(tǒng)密碼方式面臨諸多挑戰(zhàn)，密碼建設(shè)需要更加體系化、集中性的建設(shè)。

(資料圖)

京東云基于自身在云計(jì)算領(lǐng)域的技術(shù)和場(chǎng)景積累，結(jié)合國(guó)產(chǎn)商用密碼的密碼能力，打造了面向各行業(yè)、支持多云異構(gòu)場(chǎng)景的“云密碼資源池”解決方案，實(shí)現(xiàn)橫跨多云平臺(tái)的集中密碼資產(chǎn)治理。方案基于K8s搭建了云原生密碼安全底座，實(shí)現(xiàn)密碼多云服務(wù)與統(tǒng)一管理，并結(jié)合京東云現(xiàn)有安全產(chǎn)品，為上層應(yīng)用提供敏感數(shù)據(jù)治理、輕量改造、穩(wěn)定性管理等多維度安全能力。同時(shí)，支持多云密碼態(tài)勢(shì)的接入，通過管理、檢測(cè)、響應(yīng)等諸多手段，解決管理機(jī)構(gòu)面臨的信息孤島和運(yùn)營(yíng)孤島問題。

保障京東618加密服務(wù)低延時(shí)

近年來，金融領(lǐng)域商用密碼全面應(yīng)用和創(chuàng)新發(fā)展勢(shì)在必行，京東支付于2021年1月啟動(dòng)自身業(yè)務(wù)系統(tǒng)的金融領(lǐng)域商用密碼改造工作，以滿足金融密碼應(yīng)用的高安全要求。

業(yè)務(wù)部署在京東科技下屬的多個(gè)機(jī)房中，網(wǎng)絡(luò)結(jié)構(gòu)十分復(fù)雜。同時(shí)，京東支付支撐了京東內(nèi)部的眾多業(yè)務(wù)應(yīng)用，往往都會(huì)面臨618、11.11等購物節(jié)以及其他營(yíng)銷活動(dòng)的高并發(fā)場(chǎng)景考驗(yàn)。商密改造后的京東支付系統(tǒng)滿足高并發(fā)、低時(shí)延的性能要求，確保京東用戶在使用京東業(yè)務(wù)應(yīng)用時(shí)能獲得良好的體驗(yàn)。

京東云面向以京東支付為代表的金融行業(yè)商用密碼應(yīng)用的核心場(chǎng)景，打造了支持多云異構(gòu)場(chǎng)景的“金融級(jí)云密碼資源池”解決方案，形成“金融+云密碼”的創(chuàng)新服務(wù)模式。該模式在原有的通用密碼資源池的基礎(chǔ)上，增加以金融數(shù)據(jù)密碼機(jī)為代表的金融級(jí)密碼硬件設(shè)備，以及國(guó)密安全鍵盤等服務(wù)金融場(chǎng)景的密碼軟件產(chǎn)品，通過統(tǒng)一的密碼服務(wù)平臺(tái)提供各類密碼服務(wù)，為京東支付業(yè)務(wù)系統(tǒng)提供統(tǒng)一的密碼資源池管理、統(tǒng)一的密碼接口規(guī)范、統(tǒng)一的密碼運(yùn)維與監(jiān)控等服務(wù)，滿足金融行業(yè)密碼應(yīng)用安全合規(guī)要求。

除了密碼服務(wù)以外，針對(duì)金融業(yè)務(wù)場(chǎng)景中敏感數(shù)據(jù)的安全防護(hù)問題，方案提供了多種京東云已有的數(shù)據(jù)安全能力，對(duì)數(shù)據(jù)采集、加工、傳輸、使用、存儲(chǔ)、銷毀的全生命周期進(jìn)行了安全防護(hù)；同時(shí)，為了確保商密改造不影響原有業(yè)務(wù)系統(tǒng)的穩(wěn)定性，方案采用了京東云的穩(wěn)定性主動(dòng)管理產(chǎn)品“云泰”，對(duì)商密改造后系統(tǒng)的穩(wěn)定性進(jìn)行了全方位的測(cè)試與驗(yàn)證。

在今年京東618期間，京東云提供的加解密服務(wù)的峰值TPS高達(dá)百萬級(jí)別，在如此規(guī)模的高并發(fā)考驗(yàn)下，加解密服務(wù)的平均延時(shí)保持在1毫秒以下。

守護(hù)青少年隱私安全

近日，共青團(tuán)成都市委聯(lián)合京東云打造的全國(guó)首個(gè)12355青少年綜合服務(wù)智能平臺(tái)（以下簡(jiǎn)稱智能平臺(tái)）正式上線，這是全國(guó)首個(gè)通過AI機(jī)器人為青少年提供心理、法律、困境咨詢等公益性服務(wù)的網(wǎng)絡(luò)智能平臺(tái)。

智能服務(wù)平臺(tái)提供咨詢服務(wù)的同時(shí)，青少年在咨詢求助過程中的個(gè)人隱私、敏感數(shù)據(jù)的安全尤為重要。以心理咨詢服務(wù)模塊為例，青少年和智能平臺(tái)之間每天都會(huì)產(chǎn)生海量的對(duì)話交互數(shù)據(jù)，包含身份證、電話號(hào)碼、心理問題描述等敏感文本數(shù)據(jù)。一旦出現(xiàn)不法分子攻擊等安全事件，這些敏感隱私數(shù)據(jù)就會(huì)面臨泄露、篡改等安全風(fēng)險(xiǎn)，由此造成的損失將無法估量。

京東云安全團(tuán)隊(duì)基于密碼資源池產(chǎn)品，助力智能平臺(tái)從0到1建設(shè)了面向云上應(yīng)用的密碼應(yīng)用保障體系，提供身份鑒別、數(shù)據(jù)加解密、完整性、抗抵賴性等密碼功能服務(wù)，保障智能平臺(tái)成功通過“商用密碼應(yīng)用安全性評(píng)估”的第三級(jí)別測(cè)評(píng)。

在密碼基礎(chǔ)層，通過部署服務(wù)器密碼機(jī)、IPSec/SSL VPN網(wǎng)關(guān)、密碼服務(wù)平臺(tái)等軟硬件密碼產(chǎn)品形成密碼資源池，向密碼服務(wù)層提供基于SM2、SM3、SM4等國(guó)密算法的基礎(chǔ)密碼算力支撐。

在密碼服務(wù)層，由密碼服務(wù)平臺(tái)對(duì)密碼基礎(chǔ)層的密碼設(shè)備進(jìn)行對(duì)接與管理，通過統(tǒng)一的密碼服務(wù)接口，向智能平臺(tái)業(yè)務(wù)系統(tǒng)提供數(shù)據(jù)加解密、簽名驗(yàn)簽、完整性、輕量改造等密碼功能服務(wù)，支撐各個(gè)層面的密碼應(yīng)用。

在密碼應(yīng)用層，通過調(diào)用各類密碼功能服務(wù)，對(duì)網(wǎng)絡(luò)和通信、設(shè)備和計(jì)算、應(yīng)用和數(shù)據(jù)等層面進(jìn)行了密碼應(yīng)用建設(shè)，并對(duì)系統(tǒng)涉及的敏感數(shù)據(jù)進(jìn)行了劃分與重點(diǎn)保護(hù)。

打造政務(wù)云安全屏障

按照《密碼法》和山東省密碼管理局要求，山東省市兩級(jí)電子政務(wù)云和電子政務(wù)外網(wǎng)需要盡快完成網(wǎng)絡(luò)安全等級(jí)保護(hù)三級(jí)和商用密碼應(yīng)用安全性評(píng)估工作。

然而，傳統(tǒng)的直接集成密碼設(shè)備的方式面臨著各種挑戰(zhàn)。比如，云計(jì)算環(huán)境的系統(tǒng)架構(gòu)較傳統(tǒng)的信息系統(tǒng)有很大變化，相應(yīng)的安全風(fēng)險(xiǎn)及借助密碼技術(shù)解決的安全風(fēng)險(xiǎn)點(diǎn)需要重新研究；再比如，云計(jì)算平臺(tái)具有虛擬化、分布式、資源集中等特點(diǎn)，云環(huán)境下相應(yīng)的密碼服務(wù)也需要相應(yīng)調(diào)整，如對(duì)密碼服務(wù)虛擬化、密碼服務(wù)動(dòng)態(tài)遷移等；此外，我國(guó)之前已經(jīng)建設(shè)的密鑰管理中心等密碼服務(wù)基礎(chǔ)設(shè)施提供的服務(wù)還比較單一，暫不能適應(yīng)云計(jì)算場(chǎng)景下對(duì)密碼管理的要求。

京東云作為濱州市基礎(chǔ)專有云平臺(tái)的責(zé)任單位，在政務(wù)云平臺(tái)密碼應(yīng)用建設(shè)項(xiàng)目中，參考國(guó)家商用密碼應(yīng)用相關(guān)標(biāo)準(zhǔn)，設(shè)計(jì)了濱州政務(wù)云平臺(tái)商用密碼應(yīng)用解決方案。方案通過密碼資源池建設(shè)，建立密碼應(yīng)用安全體系，為濱州市基礎(chǔ)專有云平臺(tái)提供密碼安全服務(wù)能力。

方案打通了云上與云下兩種不同的部署方式，既可以通過云平臺(tái)的計(jì)算資源實(shí)現(xiàn)部署，也可以通過自身的虛擬化技術(shù)完成云化部署，同時(shí)支持云環(huán)境與非云環(huán)境的密碼建設(shè)。

依托京東云計(jì)算技術(shù)體系，濱州政務(wù)云平臺(tái)實(shí)現(xiàn)了從傳統(tǒng)的設(shè)備直連模式到云化服務(wù)架構(gòu)的突破，利用密碼設(shè)備構(gòu)建密碼資源池，通過虛擬化技術(shù)構(gòu)建密碼服務(wù)平臺(tái)，實(shí)現(xiàn)密碼資源的云化部署與管理。

同時(shí)，方案讓業(yè)務(wù)“無感”快速接入新增業(yè)務(wù)成為可能。新增業(yè)務(wù)服務(wù)通過統(tǒng)一的密碼原子接口，實(shí)現(xiàn)不同場(chǎng)景直接接入業(yè)務(wù)服務(wù)接口；既有業(yè)務(wù)通過平臺(tái)進(jìn)行透?jìng)鞣?wù)接入，不影響既有業(yè)務(wù)的穩(wěn)定運(yùn)行。

最終，濱州市政務(wù)云平臺(tái)密碼應(yīng)用建設(shè)項(xiàng)目以高分通過了第三級(jí)別的商用密碼應(yīng)用安全性評(píng)估，并持續(xù)為政務(wù)云平臺(tái)的業(yè)務(wù)系統(tǒng)提供密碼服務(wù)和管理支撐。

未來，京東云將持續(xù)深耕商用密碼領(lǐng)域，不斷夯實(shí)密碼安全解決方案，構(gòu)筑產(chǎn)業(yè)智能安全防線，以更成熟的密碼技術(shù)護(hù)航“數(shù)實(shí)融合”。