仅90余天,借助腾讯安全云鼎实验室的商用密码合规解决方案,腾讯专有云企业版Tencent Cloud Enterprise(Tencent TCE)于2021年11月高分通过第三方密评机构的密码应用安全性评估 本次测评由国家密码局授权的权威评估机构——深圳市网安计算机安全检测技术有限公司,依据国标GB/T 39786-2021《信息安全技术信息系统密码应用基本要求》等要求对腾讯专有云平台进行综合测评。 本次TCE云平台顺利通过了商用密码应用安全性评估,并获得了3级密评的85.84分高分,有效化解行业客户对于业务上云过程中的密码安全应用合规压力,并以领先的数据安全能力支撑客户云上应用系统的整体安全,让客户可专注于云上应用 腾讯云鼎试验室的商用密码合规解决方案完美地解决了3级密码应用要求的合规性、多厂商加密机兼容性,并且未来具备对接多厂商密码应用平台的能力。 目前,腾讯商用密码合规解决方案已经在腾讯专有云TCE、财付通、企业微信、健康码、WeCity、协同办公等多样化业务应用场景形成最佳实践。 微信图片_20220118150215.jpg
随着全球大数据、云计算、互联网、物联网等信息技术的发展,商用密码产品日趋普及,密码应用也不断深入和拓展。然而,保障加密策略的安全,需要对数据加密进行细致的策略规划。 12月18日,2021商用密码应用创新高端研讨会举行,以密码“融入新时代、赋能新发展”为主题,集中呈现我国商用密码理论、技术、产品、服务、应用等最新成果,共同探索未来密码产业发展。 腾讯安全云鼎实验室高级研究员谢灿出席大会商用密码应用创新高端研讨会分论坛,并作了《腾讯云商密技术研究与产业融合实践》的主题分享。 针对实际运用过程中的需求与痛点,腾讯云鼎实验室结合多年数据安全治理实践和技术能力积累,推出一站式商用密码合规解决方案,助力金融等关键行业低成本、高效地实现应用系统密码合规。 覆盖密评机构、密码整改机构、创新密码产品、腾讯应用生态、软件、安全集成开发商生态; 尤其值得一提的是腾讯专有云凭借腾讯安全一站式商用密码合规解决方案高分通过商用密码应用安全性评估。
发布文章赢千元好礼!
影响数字化产业应用的最普遍、最核心的制约因素是数据安全性和数据私密性保护,持续深化商用密码技术应用,保障数据安全和隐私性具备战略性意义。 12月18日,“2021商用密码应用创新高端研讨会”举行,以密码“融入新时代、赋能新发展”为主题,集中呈现我国商用密码理论、技术、产品、服务、应用等最新成果,共同探索未来密码产业发展。 在会上,谢灿分析了当前企业数据安全管理和商用密码应用面临的三大核心挑战,以及腾讯云、腾讯数字化业务在商用密码融合应用的最佳实践。 在传统商用密码方案下,企业和机构通常面临三大痛点: 商用密码应用往往涉及密码、安全、业务开发、合规战略等多团队协作,需要应对组织协作效率问题; 密码技术应用往往涉及大量开发改造,且开发门槛高、实施周期长 尤其值得一提的是腾讯专有云TCE平台凭借腾讯安全一站式商用密码合规解决方案高分通过商用密码应用安全性评估。
专有云产品中心联合腾讯安全云鼎实验室发布“云平台商用密码应用解决方案”,本方案面向最新实施的国标 GB/T 39786-2021《信息安全技术信息系统密码应用基本要求》标准3级要求,并通过了第三方认证评测机构的评测 解决方案的价值 2021年12月,中国密码学会发布《信息系统密码应用高风险判定指引》等4项密码应用与安全性评估指导性文件。 (比如:国标3级合规要求中,密码运算需要交由至少2级密码模块进行) 腾讯专有云企业版 Tencent Cloud Enterprise(Tencent TCE)商用密码应用解决方案 TCE 云平台通过构建安全中间件 解决方案的应用 业务应用安全上云场景 要求对应用所在云平台进行商用密码安全性评估的场景 分阶段建设密码合规场景 一期要求具备基本国密能力,二期要求通过商用密码安全性评估,分阶段建设的场景 设备利旧场景 结语 专有云平台商用密码应用解决方案,可有力地支撑金融、大企业等行业客户业务上云的数据安全,保障云平台数据安全保护能力上的行业领先性和竞争力。
为解决当前密码应用存在的突出问题,国家颁布实施了《网络安全法》、《密码法》、《网络安全审查办法》、《国家政务信息化项目建设管理办法》等一系列法律法规,对密码应用安全性评估提出要求,希望通过密码应用安全性评估促进商用密码的使用和管理规范 商用密码应用安全性评估(简称“密评”),是指在采用商用密码技术、产品和服务集成建设的网络和信息系统中,对其密码应用的合规性、正确性和有效性进行评估。 Q3:为什么要做密评? 《商用密码应用安全性评估管理办法(试行)》第三条、第二十条 涉及国家安全和社会公共利益的重要领域网络和信息系统的建设、使用、管理单位(以下简称责任单位)应当健全密码保障体系,实施商用密码应用安全性评估。 GM/T0054-2018《信息系统密码应用基本要求》 《信息系统密码测评要求(试行)》 《商用密码应用安全性评估测评过程指南(试行)》 《商用密码应用安全性评估管理办法(试行)》 《商用密码应用安全性评估作业指导书 》 《商用密码应用安全性评估测评工具使用需求说明书》 ?
为解决当前密码应用存在的突出问题,国家颁布实施了《网络安全法》、《密码法》、《网络安全审查办法》、《国家政务信息化项目建设管理办法》等一系列法律法规,都对密码应用安全性评估提出要求,希望通过密码应用安全性评估促进商用密码的使用和管理规范 商用密码应用安全性评估(简称“密评”)是指对采用商用密码技术、产品和服务集成建设的网络和信息系统密码应用的合规性、正确性和有效性进行评估,包括规划阶段的方案评审和建设、运行阶段的安全评估。 1)《密码法》第二十七条 法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码进行保护,自行或者委托商用密码检测机构开展商用密码应用安全性评估。 2)《商用密码应用安全性评估管理办法(试行)》第三条、第二十条 涉及国家安全和社会公共利益的重要领域网络和信息系统的建设、使用、管理单位(以下简称责任单位)应当健全密码保障体系,实施商用密码应用安全性评估 Q6:取得了商用密码应用安全性评估报告后应向哪些部门和机构进行备案?
一般来说非涉密单位接触到的密码应用,都属于商用密码,应遵循国家密码局商用密码管理有关条例规定。 密码安全性评估成为必须 本次《密码法》发布对于非涉密的企事业单位来说,最大的影响就是必须要主动进行“密码安全性评估”。 根据《密码法》要求,商用密码产品及服务使用方应按照国家密码管理局有关规定,对商用密码产品、密码服务、密码技术进行安全性以及合规性认证。 并对关键信息基础设施,应采用商用密码进行保护,并进行密码安全性评估,同时与关键信息基础设施安全检测评估、网络安全等级测评制度密码相关要求相衔接。 通过密码安全性评估需要关注哪些? 当前,我国密码安全性评估主要依据是《GM∕T 0054-2018 信息系统密码应用基本要求》,其对信息系统的规划、建设、运行三个阶段的密码应用情况安全性评估进行了详细的规定: 在密码算法方面,信息系统中使用的密码算法应当符合法律
为解决当前密码应用存在的突出问题,国家颁布实施了《网络安全法》、《密码法》、《网络安全审查办法》、《国家政务信息化项目建设管理办法》等一系列法律法规,都对密码应用安全性评估提出要求,希望通过密码应用安全性评估促进商用密码的使用和管理规范 商用密码应用安全性评估(简称“密评”)是指对采用商用密码技术、产品和服务集成建设的网络和信息系统密码应用的合规性、正确性和有效性进行评估,包括规划阶段的方案评审和建设、运行阶段的安全评估。 视频内容 密评六大基础问题解答 Q1:运营单位怎么判定是否需要开展商用密码应用安全性评估? 2)《商用密码应用安全性评估管理办法(试行)》第三条、第二十条 涉及国家安全和社会公共利益的重要领域网络和信息系统的建设、使用、管理单位(以下简称责任单位)应当健全密码保障体系,实施商用密码应用安全性评估 Q6:取得了商用密码应用安全性评估报告后应向哪些部门和机构进行备案?
期间,腾讯安全联合深圳市商用密码行业协会成立的“鼎云密码应用联合实验室”(以下简称“联合实验室”)正式揭牌。 与此同时,国家相继颁布实施了《网络安全法》、《密码法》、《网络安全审查办法》、《国家政务信息化项目建设管理办法》等一系列法律法规,规范密码应用,强调通过密码应用安全性评估促进商用密码的使用和管理规范。 为攻克这些难题,推动密码技术更好地在云端场景应用落地,深圳市商用密码行业协会携手腾讯安全云鼎实验室共同成立鼎云密码应用联合实验室。 实现将数据加密后存入数据库,使数据从应用服务到数据库之间以密文形式传输。帮助密码使用单位体系化的满足商用密码应用安全性评估的合规要求。 深圳市商用密码行业协会一直以来致力于推进深圳市商用密码与信息安全技术的普及,促进行业人才的成长与进步,推动产学研结合,推进商用密码和信息技术知识的传播和应用。
近日,工业和信息化部密码应用研究中心发起的“首届全国商用密码应用优秀案例”评选活动正式结束,腾讯云数据安全中台保护方案凭借优异技术和实践表现获评优秀案例。 (首届全国商用密码应用优秀案例名单)本次优秀案例征集涵盖电子政务、信息通信、工业互联网、车联网、物联网、云计算、公共服务、基础软硬件等领域,多达100余项,经过初期评审、专家评审多项严苛环节,从案例的合规性 三大核心能力有效解决商用密码应用“门槛高”问题腾讯安全在本次案例征集中提交的腾讯云数据安全中台保护方案,综合了企业上云过程中面临的诸多门槛——如数据如何分类、治理和策略,如何进行密钥管理、事件监测分析、 打通全产业链为企业数字化发展护航腾讯云数据安全平台孵化了基于商用密码的自研算法模块,实现了核心代码的完全自主可控。尤其在国产CPU的高性能兼容支持上,为国产商用密码算法的应用落地扫除了一大技术障碍。 在产业和社会层面,腾讯安全这一举措将打通密码行业上下游产业链,适配云及多元化的应用场景,帮助企业极简化地实施云数据安全保护及数据加密方案,降低用户的商用密码应用成本,将有力推动数据安全与密码应用产业的创新发展
近日,工业和信息化部密码应用研究中心发起的“首届全国商用密码应用优秀案例”评选活动正式结束,腾讯云数据安全中台保护方案凭借优异技术和实践表现获评优秀案例。 (首届全国商用密码应用优秀案例名单) 本次优秀案例征集涵盖电子政务、信息通信、工业互联网、车联网、物联网、云计算、公共服务、基础软硬件等领域,多达100余项,经过初期评审、专家评审多项严苛环节,从案例的合规性 打通全产业链 为企业数字化发展护航 腾讯云数据安全平台孵化了基于商用密码的自研算法模块,实现了核心代码的完全自主可控。 尤其在国产CPU的高性能兼容支持上,为国产商用密码算法的应用落地扫除了一大技术障碍。 在产业和社会层面,腾讯安全这一举措将打通密码行业上下游产业链,适配云及多元化的应用场景,帮助企业极简化地实施云数据安全保护及数据加密方案,降低用户的商用密码应用成本,将有力推动数据安全与密码应用产业的创新发展
;在《密码法》中规定使用商用密码进行保护的关键基础设施,其运营者应履行开展商用密码应用安全评估的工作,同时指出商用密码应用安全评估、关键信息基础设施安全检测评估与网络安全等级测评进行衔接,避免重复评估、 商用密码应用安全评估、关键信息基础设施安全检测评估与网络安全等级测评三者间该如何衔接,三者间又存在什么样的联系与区别呢?本文对其进行简要分析。 检测评估内容包括但不限于网络安全制度(国家和行业相关法律法规政策文件及运营者制定的制度)落实情况、组织机构建设情况、人员和经费投入情况、教育培训情况、网络安全等级保护工作落实情况、密码应用安全性评估情况 商用密码应用安全评估:(简称“密评”)是指对采用商用密码技术、产品和服务集成建设的网络和信息系统密码应用的合规性、正确性、有效性进行评估。 等级保护是支撑国家网络安全的基本制度、开展关键信息基础设施保护和商用密码应用安全评估的基础,若无法将等级保护制度落实到位,则很难实现关键信息基础设施保护到位,商用密码应用安全评估工作也无法顺利进行。
腾讯云密钥管理系统通过验证测试,为建立行业标准探路 日前,由国家密码管理局授权的全国性第三方商用密码检测机构鼎铉对腾讯云密钥管理系统进行了密码应用验证测评。 鼎铉公司拥有商用密码产品检测机构资质,商用密码应用安全性评估试点机构资质,国家实验室认可CNAS和国家计量认可CMA资质,国际金融数据安全评估PCI DSS的QSA和ASV机构资质,并具备信息系统安全、 同时,还从物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全、管理制度、人员管理、建设运行、应急处置等八个方面进行了量化评估,系统达到了GB/T39786-2021《信息安全技术信息系统密码应用基本要求 为引导和规范企业合理合规应用密码,国家陆续颁布实施《网络安全法》、《密码法》等一系列政策法规,对密码应用安全性评估提出要求。 此次腾讯云积极配合第三方认证机构进行安全性评估,在验证腾讯云密钥管理系统安全性的同时,也为行业标准的建立提供了借鉴价值和参考意义。
对于大多数非涉密企事业单位而言,《密码法》中对商用密码提出的主动进行“密码安全性评估”是对密码管理工作影响最大的部分。 具体来说,即包括按照国家密码管理局有关规定,使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码进行保护,自行或者委托商用密码检测机构开展商用密码应用安全性评估。 商用密码应用安全性评估应当与关键信息基础设施安全检测评估、网络安全等级测评制度相衔接。 那么,面对实施在即的“密码安全性评估”,企业该如何准备? 兼顾信息系统规划、建设、运行三个阶段的密码应用情况安全性评估,具体参照标准为《GM/T 0054-2018 信息系统密码应用基本要求》: 1)在密码算法方面:信息系统中使用的密码算法应当符合法律、法规的规定和密码相关国家标准 如使用国家批准的商用密码算法SM2、SM3、SM4等; 2)在密码技术方面:密码技术中涉及的标准密码协议应符合国内相关密码标准,如果是自定义的密码协议,设计要安全合理,同时遵循相关密码标准; 3)在密码产品方面
针对目前企业现状,从密码技术角度。如何解决企业数据安全及密码应用面临的难题呢? 如何解决数据安全及密码应用难题? ▼云上密码应用最佳实践▼ 视频内容 哪些信息系统需要采用密码保护并通过密码应用性评估? 《密码法》第二十七条明确法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码进行保护,自行或者委托商用密码检测机构开展商用密码应用安全性评估。 等保2.0在通信传输、数据保密和完整性、密码管理、密码产品的选择和使用等对数据加密和密码应用做了明确规定: 02.png 总结来说,企事业单位应遵循《密码法》相关规定以及等保2.0的相关要求,对关键信息系统采用商用密码进行保护 ,并进行密码安全性评估,保障信息系统在密码算法、密码协议、密钥管理、密码产品和服务的合规性、正确性、有效性。
云访问安全代理(CASB),是一款面向应用的数据防护服务,采用免应用开发改造的配置方式,提供面向服务侧的字段级数据存储加密防护,有效抵御内外部数据安全威胁。服务已通过国家密码管理局的安全认证,满足商用密码应用安全性评估的相关合规要求。
扫码关注腾讯云开发者
领取腾讯云代金券
云服务器
网站备案
文件存储
命令行工具
SSL 证书
