一、解决方案简介

腾讯安全基于政策标准指南、结合客户企业实况，设计并实施集密钥保护、云加密机、数据脱敏、数据加密、访问控制、安全审计为一体的解决方案，完成全链路密码改造升级，实现企业商业密码应用安全合规，为企业数据存储、共享、迁移提供安全保护措施。

某银行数据安全智能化保护解决方案是基于GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》、行业密码应用基本规范等政策标准指南，结合客户企业自身实际业务架构，提供免业务架构改造的一体化解决方案。

由于银行涉及用户体量大、端到端覆盖的密码应用场景多（既包括了移动终端、IoT嵌入式物联网设备，也包括了服务端、网页端、小程序等）等特点，解决方案基于如下特点，终提供面向业务的一站式接入能力，支持各类平台快速接入改造且无业务架构变动，适合各类小、中、大型业务场景，满足各业务线的商密技术应用和安全合规需求，实现业务支撑闭环。

1.采用自底向下的跨平台设计，自主研发的插件、代理双架构模式，保障垮平台架构的性能、稳定性；

2.以密码基础底座、密码服务组件层结合，形成商密服务中间件矩阵；

3.在应用层通过对核心算法引擎与密码组件服务的进一步封装，形成密码应用服务中台；

4.结合加密、脱敏、访问控制引擎，提供数据实时加密、批量加密、静态脱敏、动态脱敏能；

5.基于主动防御机制，实现数据库访问行为控制、可疑行为审计。

二、应用场景痛点简介

伴随大数据、人工智能、云计算的深入发展，数据在驱动产业智能化、催生新的生产组织形态方面的作用不断显现。党的十九届四中全会中，首次将数据增列为生产要素，要求建立健全由市场评价贡献、按贡献决定报酬的机制。数据作为数字经济时代的全新生产要素，将其整合、分享、应用都能一定价值，但其一旦泄露 ，也会给个人、企业、机构和国家造成损失。

可见，伴随数据价值增长，也带来了愈发严峻的数据安全保护问题。此外，政府部门也大力宣传数据安全保护重要性，并相继颁布一系列配套法律法规和行业标准，都对金融行业的数据安全保护提出了更高要求。

尤其是需要坚持密码技术自主可控的指导思想，摆脱过去长期以来对国外开源项目的依赖，通过自研的方式打造国产商用密码算法引擎，更低成本和高效地实现支撑业务商密应用和升级，应对多样的业务和技术场景，着力解决好性能、兼容性、安全性、易用性的问题。但商密行业提供的常规技术解决方案却无法稳定、高效的解决上诉问题，面临如下挑战：

产品生态普遍以硬件为主，软件密码相关标准发展相对滞后，导致安全合规的软件密码产品缺失；

商用密码中间件生态不够完善；

缺乏从终端到系统形成闭环支撑的密码产品；

高并发业务系统存在密码算法性能问题；

在密码升级改造过程中无法支持业务系统连续性和稳定性......

面对当前安全合规、风险威胁、业务保障的综合局势，各金融银行、机构都迫切需要一套智能解决方案，可支持在不影响业务架构的前提下，快速、稳定的完成安全保护体系改造，提升数据安全保护能力。

三、解决方案亮点介绍

该解决方案提供了一体化架构，支持各业务线高效接入，终建设了如下数据安全保护能力：

1.三级密钥管体系理

密钥管理系统⽀持密钥全⽣命周期管理，采用三级密钥派生机制，即根密钥、模块密钥、工作密钥。根密钥和模块密钥均是由密码机产生的真随机数。工作密钥则由模块密钥实时派生且不落盘存储，实现“一字段一密钥”，即数据库中每个字段使用不同的工作密钥进行加密，保证数据的机密性。

2.数据加解密

通过优化架构，支持数据写入实时加解密，同时支持存量明文数据批量加密改造，在保障业务连续性、稳定性的基础上顺利推动改造。

3.数据脱敏

内置丰富的脱敏算法，支持快速推动数据脱敏，确保敏感信息不易泄露。

4.访问控制

支持字段级别的访问请求管理，可针对数据库名、表、访问命令、字段达到访问阻断或在自定义的时间段放行请求。通过自定义角色将代理账号与访问规则绑定，代理账号与访问规则支持一对一也支持多对多。

5.数据库审计

实时监测数据传输，对写入、查询等操作行为进行审计，及时告警风险操作，支持业务数据安全防护。

在落地建设过程中，该方案基于如下特点，充分满足了客户诉求且保障实施效果：

免改造接入 - 产品从架构层面设计尽量减少对业务应用的入侵，实现快速接入和使用，同时也减少了用户侧开发运维的工作量，整体降低使用成本。

AI能力结合 - 数据识别结合AI能力实现智能化敏感数据识别。该AI识别引擎基于腾讯内部训练和实践结果，能够覆盖复杂和未知场景，突破传统规则束缚，整体提高数据识别准确率。

多数据源支持 - 支持关系型、非关系型、大数据的多类数据源，可以覆盖多种场景。

云原生方便快捷 - 基于云原生采用SaaS、PaaS架构，针对云原生产品如云主机、云数据库、对象存储等，一键资产自动同步，接入友好便捷。

安全合规有效 - 产品能力凭借优异技术获得信通院、IDC、Gartner多项专业认证，应用案例和佳实践也获评多类优秀案例。

四、金融行业客户名单

某银行、某财付通、某财险。

五、客户评价

某银行评价：

该解决方案充分考虑我行业务现状和安全管理要求，高效率、低成本的支撑了我行金融业务完成全链路密码改造升级，整体项目进展顺利，技术成果先后获得三项国家密码管理局商密产品认证，并获得某市金融创新一等奖和某金融发展奖二等奖。

该方案采用了腾讯云多款自主研发的核心产品，借助于其多年互联网核心技术积累、企业实践研发经验，终都快速、有效的落地实施。系统上线后，实际提升了我行数据安全保护能力，有力推动了我行数据安全体系建设进展，为端到端的完成数据安全风险治理及合规管理闭环打下良好基础。