仅90余天，借助腾讯安全云鼎实验室的商用密码合规解决方案，腾讯专有云企业版Tencent Cloud Enterprise（Tencent TCE）于2021年11月高分通过第三方密评机构的密码应用安全性评估（3级标准）。

本次测评由国家密码局授权的权威评估机构——深圳市网安计算机安全检测技术有限公司，依据国标GB/T 39786-2021《信息安全技术信息系统密码应用基本要求》等要求对腾讯专有云平台进行综合测评。测评范围包括密码技术应用、密钥管理和安全管理制度等多个维度，最终结果满足标准的第3级要求。

敲黑板，划重点：

腾讯专有云TCE云平台是面向金融及大企业等关键行业客户的基础云平台。本次TCE云平台顺利通过了商用密码应用安全性评估，并获得了3级密评的85.84分高分，有效化解行业客户对于业务上云过程中的密码安全应用合规压力，并以领先的数据安全能力支撑客户云上应用系统的整体安全，让客户可专注于云上应用，成就业务价值。

开展密码测评对客户的价值？

专有云是一类源自腾讯公有云技术栈的私有云产品，其主要面对的是中、大规模的行业云（团体云）及大型企业私有云应用场景。纵向看，云计算下的商密应用场景分为云租户、云平台两方面；横向看，专有云解决方案中往往集成了各类密码产品和软件。在复杂的产品应用场景及方案中快速构建合规的国密应用方案框架，对保障重点行业客户的云平台安全与合规具有重大意义。

TCE专有云平台面临的挑战？

TCE由租户端、运营端、TCS容器底座以及大量云服务产品，以及网络、安全设备、服务器等组件组成，涉及运营、运维、大量云服务产品，以及网络、服务器等组件，云平台的商密改造难度不是单个产品和单个服务的数量乘积，而是需要从全局架构统一规划，构建数据全链路的机密性和完整性保护方案。

密评主要考察密码应用方案中以下关键合规要点：

一、关键点是否采用密码技术进行保护：关键数据加密存储、完整性保护、重要角色强身份认证登录、HTTPS加密通道、数据交换加密、系统管理配置信息加密（帐号口令等）。

二、密码算法/技术是否满足防护要求：所采用的算法是否经过论证，是否符合国密局、行业监管的要求，算法应用是否得当（如：摘要算法当加密算法、采用RSA1024以下位数算法）。

三、密码设备及服务是否具备资质：密码产品、密码服务、密钥管理是否采用了具有商用密码产品认证产品，包括加解密运算设备、Ukey等（比如：3级密评中，密码运算需要交由至少2级密码模块进行）。

腾讯安全云鼎实验室如何解决这些问题？

结合TCE的实际使用场景，通过TCE的安全中间件进行安全合规能力的统一封装，通过云平台密码服务组件进行异构密码产品的适配，保证密码运算严格运行在密码产品中，并对上提供多样密码能力，包括认证密码服务、终端密码服务、网络与通信安全服务、数据存储安全服务、管理配置安全服务等商密安全服务能力。腾讯云鼎试验室的商用密码合规解决方案完美地解决了3级密码应用要求的合规性、多厂商加密机兼容性，并且未来具备对接多厂商密码应用平台的能力。

（腾讯安全云鼎实验室-商密创新体系)

相较于传统商用密码方案，该方案有几大特点：

一、密码即服务。提供免应用改造数据库加密，高性能场景支持，对数据库性能影响极小；统一接入API/SDK，降低开发成本。

二、融合架构。基于合规密码服务中台构建原生合规应用架构，支撑“互联网+产业”业务。

三、降本增效。方案上，统一管控，动态延展，提高密码基础设施资源利用率，减少维护成本；合规上，结合密码生态、业务生态，最小化业务改造及合规成本。

四、生态保障。覆盖密评机构、密码整改机构、创新密码产品、腾讯应用生态、软件、安全集成开发商生态。

商用密码合规解决方案带来的价值：

首先，合规业务价值，保障云平台数据安全保护能力上的行业领先性和竞争力；

其次，实现密码架构方案标准化及异构密码产品适配，灵活性高，为云平台打造安全、可扩展、可落地的合规密码服务方案；

同时，大幅降低了系统建设、升级、运维、安全合规的风险和成本。

目前，腾讯商用密码合规解决方案已经在腾讯专有云TCE、财付通、企业微信、健康码、WeCity、协同办公等多样化业务应用场景形成最佳实践。

（扫码申请产品购买或试用）