原生加密：腾讯云数据安全中台解决方案

导语 | 数据安全问题既是技术问题，也是管理问题。本文是对腾讯安全云鼎实验室专家姬生利老师在云+社区沙龙online的分享整理，从技术角度剖析当前国内数据安全面临的难题及密码应用现状，并带来腾讯数据安全解决方案和云密码应用最佳实践解析，帮助大家构建安全有效的数据管理策略。

一、 企业数据安全风险和国内密码应用现状

随着企业上云和数字化转型升级的深化，数据正在成为企业的核心资产之一，在生产过程中发挥的价值越来越大。

近几年大规模的数据泄露事件频发，外部威胁和内部威胁左右夹击，由内部威胁带来的大规模数据泄露事件越来越多，不安全的配置、源代码泄露及硬编码都有可能造成数据泄露，企业业务数据安全面临严峻挑战。

业务安全挑战
提供数据传输、数据存储等过程中的机密性和完整性的保护；
完善的密钥生命周期管理，保证密钥产生和运算过程的安全；
保护金融支付、电子政务、身份认证等业务过程的安全。
另一方面，《密码法》、《网络安全法》、网络安全等级保护2.0，以及相关行业安全规范对数据安全保护以及数据加密做出明确规定。

安全合规要求
满足外部合规需求，如密码法应用要求、等保安全合规建设等，系统安全标准 PCI DSS、SOC、第三方支付认证等；
满足内部审计管理策略。

二、密码常用技术简介

1. 对称加密
AES、DES、3DES、SM4 等；
加密解密使用相同密钥。
2. 非对称加密
RSA、ECC、SM2 等；
公钥加密，私钥解密。
3. 杂凑/哈希/散列
SHA、MD5、SM3；
单向不可逆。
4. 数字签名
将非对称密钥反过来使用；
私钥签名，公钥验证。

三、企业数据安全面临的难题

1. 从数据安全生命周期看风险及防护关键难点
难点1：分类、治理和策略。

难点2：DaR/DiT/DiU加密技术。

难点3：密钥管理。

难点4：事件监测分析。

2. 从开发运营过程看数据泄露风险
开发：意识疏忽泄露源代码中包含的敏感凭据和密钥。

测试：暴露高风险的测试数据库访问端口和弱账号等。

部署/交付：临时环境中的数据访问端口，薄弱配置导致的安全问题。

生产/运营：账号口令泄露、破解、弱口令，缺乏保护的隐私数据和密钥。

3. 从应用服务的构成看数据泄露风险
数据从产生、传输、存储、处理，到共享展示，每一个环节都存在数据泄露的风险，涉及数据安全保障：

本地敏感数据存储安全、网络通道的安全、配置文件和硬编码敏感信息的安全、密钥的安全管理、云上数据的存储安全