近年來，網(wǎng)絡安全已上升到國家戰(zhàn)略高度，密碼技術作為網(wǎng)絡安全重要的主動防護技術，在信息化進程中得到了更多的應用和發(fā)展。然而，在云計算環(huán)境下，傳統(tǒng)密碼方式面臨諸多挑戰(zhàn)，密碼建設需要更加體系化、集中性的建設。

京東云基于自身在云計算領域的技術和場景積累，結合國產(chǎn)商用密碼的密碼能力，打造了面向各行業(yè)、支持多云異構場景的“云密碼資源池”解決方案，實現(xiàn)橫跨多云平臺的集中密碼資產(chǎn)治理。方案基于K8s搭建了云原生密碼安全底座，實現(xiàn)密碼多云服務與統(tǒng)一管理，并結合京東云現(xiàn)有安全產(chǎn)品，為上層應用提供敏感數(shù)據(jù)治理、輕量改造、穩(wěn)定性管理等多維度安全能力。同時，支持多云密碼態(tài)勢的接入，通過管理、檢測、響應等諸多手段，解決管理機構面臨的信息孤島和運營孤島問題。

保障京東618加密服務低延時

(資料圖片僅供參考)

近年來，金融領域商用密碼全面應用和創(chuàng)新發(fā)展勢在必行，京東支付于2021年1月啟動自身業(yè)務系統(tǒng)的金融領域商用密碼改造工作，以滿足金融密碼應用的高安全要求。

業(yè)務部署在京東科技下屬的多個機房中，網(wǎng)絡結構十分復雜。同時，京東支付支撐了京東內部的眾多業(yè)務應用，往往都會面臨618、11.11等購物節(jié)以及其他營銷活動的高并發(fā)場景考驗。商密改造后的京東支付系統(tǒng)滿足高并發(fā)、低時延的性能要求，確保京東用戶在使用京東業(yè)務應用時能獲得良好的體驗。

京東云面向以京東支付為代表的金融行業(yè)商用密碼應用的核心場景，打造了支持多云異構場景的“金融級云密碼資源池”解決方案，形成“金融+云密碼”的創(chuàng)新服務模式。該模式在原有的通用密碼資源池的基礎上，增加以金融數(shù)據(jù)密碼機為代表的金融級密碼硬件設備，以及國密安全鍵盤等服務金融場景的密碼軟件產(chǎn)品，通過統(tǒng)一的密碼服務平臺提供各類密碼服務，為京東支付業(yè)務系統(tǒng)提供統(tǒng)一的密碼資源池管理、統(tǒng)一的密碼接口規(guī)范、統(tǒng)一的密碼運維與監(jiān)控等服務，滿足金融行業(yè)密碼應用安全合規(guī)要求。

除了密碼服務以外，針對金融業(yè)務場景中敏感數(shù)據(jù)的安全防護問題，方案提供了多種京東云已有的數(shù)據(jù)安全能力，對數(shù)據(jù)采集、加工、傳輸、使用、存儲、銷毀的全生命周期進行了安全防護；同時，為了確保商密改造不影響原有業(yè)務系統(tǒng)的穩(wěn)定性，方案采用了京東云的穩(wěn)定性主動管理產(chǎn)品“云泰”，對商密改造后系統(tǒng)的穩(wěn)定性進行了全方位的測試與驗證。

在今年京東618期間，京東云提供的加解密服務的峰值TPS高達百萬級別，在如此規(guī)模的高并發(fā)考驗下，加解密服務的平均延時保持在1毫秒以下。

守護青少年隱私安全

近日，共青團成都市委聯(lián)合京東云打造的全國首個12355青少年綜合服務智能平臺(以下簡稱智能平臺)正式上線，這是全國首個通過AI機器人為青少年提供心理、法律、困境咨詢等公益性服務的網(wǎng)絡智能平臺。

智能服務平臺提供咨詢服務的同時，青少年在咨詢求助過程中的個人隱私、敏感數(shù)據(jù)的安全尤為重要。以心理咨詢服務模塊為例，青少年和智能平臺之間每天都會產(chǎn)生海量的對話交互數(shù)據(jù)，包含身份證、電話號碼、心理問題描述等敏感文本數(shù)據(jù)。一旦出現(xiàn)不法分子攻擊等安全事件，這些敏感隱私數(shù)據(jù)就會面臨泄露、篡改等安全風險，由此造成的損失將無法估量。

京東云安全團隊基于密碼資源池產(chǎn)品，助力智能平臺從0到1建設了面向云上應用的密碼應用保障體系，提供身份鑒別、數(shù)據(jù)加解密、完整性、抗抵賴性等密碼功能服務，保障智能平臺成功通過“商用密碼應用安全性評估”的第三級別測評。

在密碼基礎層，通過部署服務器密碼機、IPSec/SSLVPN網(wǎng)關、密碼服務平臺等軟硬件密碼產(chǎn)品形成密碼資源池，向密碼服務層提供基于SM2、SM3、SM4等國密算法的基礎密碼算力支撐。

在密碼服務層，由密碼服務平臺對密碼基礎層的密碼設備進行對接與管理，通過統(tǒng)一的密碼服務接口，向智能平臺業(yè)務系統(tǒng)提供數(shù)據(jù)加解密、簽名驗簽、完整性、輕量改造等密碼功能服務，支撐各個層面的密碼應用。

在密碼應用層，通過調用各類密碼功能服務，對網(wǎng)絡和通信、設備和計算、應用和數(shù)據(jù)等層面進行了密碼應用建設，并對系統(tǒng)涉及的敏感數(shù)據(jù)進行了劃分與重點保護。

打造政務云安全屏障

按照《密碼法》和山東省密碼管理局要求，山東省市兩級電子政務云和電子政務外網(wǎng)需要盡快完成網(wǎng)絡安全等級保護三級和商用密碼應用安全性評估工作。

然而，傳統(tǒng)的直接集成密碼設備的方式面臨著各種挑戰(zhàn)。比如，云計算環(huán)境的系統(tǒng)架構較傳統(tǒng)的信息系統(tǒng)有很大變化，相應的安全風險及借助密碼技術解決的安全風險點需要重新研究；再比如，云計算平臺具有虛擬化、分布式、資源集中等特點，云環(huán)境下相應的密碼服務也需要相應調整，如對密碼服務虛擬化、密碼服務動態(tài)遷移等；此外，我國之前已經(jīng)建設的密鑰管理中心等密碼服務基礎設施提供的服務還比較單一，暫不能適應云計算場景下對密碼管理的要求。

京東云作為濱州市基礎專有云平臺的責任單位，在政務云平臺密碼應用建設項目中，參考國家商用密碼應用相關標準，設計了濱州政務云平臺商用密碼應用解決方案。方案通過密碼資源池建設，建立密碼應用安全體系，為濱州市基礎專有云平臺提供密碼安全服務能力。

方案打通了云上與云下兩種不同的部署方式，既可以通過云平臺的計算資源實現(xiàn)部署，也可以通過自身的虛擬化技術完成云化部署，同時支持云環(huán)境與非云環(huán)境的密碼建設。

依托京東云計算技術體系，濱州政務云平臺實現(xiàn)了從傳統(tǒng)的設備直連模式到云化服務架構的突破，利用密碼設備構建密碼資源池，通過虛擬化技術構建密碼服務平臺，實現(xiàn)密碼資源的云化部署與管理。

同時，方案讓業(yè)務“無感”快速接入新增業(yè)務成為可能。新增業(yè)務服務通過統(tǒng)一的密碼原子接口，實現(xiàn)不同場景直接接入業(yè)務服務接口；既有業(yè)務通過平臺進行透傳服務接入，不影響既有業(yè)務的穩(wěn)定運行。

最終，濱州市政務云平臺密碼應用建設項目以高分通過了第三級別的商用密碼應用安全性評估，并持續(xù)為政務云平臺的業(yè)務系統(tǒng)提供密碼服務和管理支撐。

未來，京東云將持續(xù)深耕商用密碼領域，不斷夯實密碼安全解決方案，構筑產(chǎn)業(yè)智能安全防線，以更成熟的密碼技術護航“數(shù)實融合”。