数据安全中台极简数据保护解决方案

1、数据安全中台极简数据保护解决方案目录01 于安全风险趋势与数据安全保护挑战02 腾讯于数据安全中台解决方案03 极简于数据安全保护方案最佳实践01 于安全风险趋势与数据安全保护挑战云安全风险趋势数据来源：RightScale, Crowd Research影响于计算产业发展和应用的最普遍、最核心的制约因素就是于计算的安全性和数据私密性保护。- 国务院发展研究中心 2019年10月12日2019年全球重大数据安全事件6月10月3813起41亿54%Risk Based Security7月：美国第七大银行美国Capital One数据泄露，涉及1亿用户9月：Facebook数据库未采取保护措施，

2、涉及4.19亿用户数据9月：全球医疗数据或遭大规模泄露，中国涉及近28万条患者记录9月：厄瓜多尔国家级数据泄露事件发生，涉及2千万人国际社会已有成熟的数据安全法规及监管条例PCI DSSHIPPACSASOXSOCGLBAEU GDPRHKCAP 486Facebook英国航空2.3亿美元万豪集团1.24亿美元50亿美元数据安全领域，国家加快了密码立法步伐2017年7月1820182018年3月2019年6月GM/T 0054信息系统密码应 用基本要求20GM/T 0054-2018 信息系统密码应用基本要求关键信息基础设施安全 保护条例（征求意见稿）年6月网络安全等级保护条例（征求意见稿）国

3、家关亍金融和重要领域密码应用的重要文件年7月2019年5月密码法进入人 大年度立法计划网络安全等级保护条例 新国家标准正式发布， 明确密码评测重要性密码法草案首次提请审议2019年10月密码法二审 通过，正式发布数据安全生命周期风险及防护关键难点数据产生和获取Data at RestData in TransitData in Use数据退役和销毁数据访问监控和响应数据合规和治理难点1：分类、治理和策略难点2：DaR/DiT/DiU加密技术难点4：事件监测分析难点3：密钥管理02 腾讯于数据安全中台解决方案解决数据安全核心三难云数据安全中台数据安全 中台HSM/SEM数据加密软硬件服务KMS密

4、钥管理系统Secrets Manager凭据管理系统数据获取CKafka Redis CMQ Stream API事务处理和检索MongoDB ES Postgresql MYSQL TDSQL分析与数据服务API COS CFS VPN CBS CVM数据访问与消费原始数据归一智能分析决策与反馈于数据安全中台服务身 密 应份 钥 用认 管 加证 理 密网 计 凭 日 可 络 算 据 志 视 加 加 托 审 化密 密 管 计 管理TDSQLSparkling Snova BI EMR TI云数据安全中台架构管控层中间件层于产品层接入层加密基础组件专用密码应用组件CASB客户侧加密组件统一密码应

5、用接入服务（加密应用API、SDK）运算层CMQCOSCBSTDSQLMYSQL亏联网、政务、金融、行业业务系统TLS/SSL传输加密KMSSecrets ManagerSGX/TEE安全计算环境数字签CA证书名验签服务物联网加密GVSMEVSMSVSMCloudHSM密码服务实例SEM SEM软件加密库SDKSGXSGX密码资源统一监控密码资源统一管理密码资源劢态调配 业务调用统计分析告警策略配置日志审计管理03 极简于数据安全保护方案最佳实践典型场景概览Client本地数据Server配置文件Server金融支付如何保障网络通道的安全？本地敏感数据如何加密保护？数据加密和传输，密钥如何管理

6、？敏感配置文件、硬编码问题如何解决？数据上于如何安全存储？金融支付等敏感应用如何安全合规？ 怎样实现国密化改进？凭据管理KMSSSM国密TLSEncryptSDK基亍KMS传输加密数据分享、备份存储存储透明加密MYSQLCBS 基亍KMS加密基亍KMS解密 VSMVSMCloudHSMVPCClientKMS应用：敏感数据加密场景敏感信息本地加密，加解密频率低痛点密钥安全、授权管理、密钥存储方案KMS细粒度权限管控、子账号授权基亍硬件加密机的计算资源、多语言SDKKMS应用：信封加密场景本地高性能加密痛点密钥安全、DataKey管理，国密算法方案KMS Encrypt SDK、国密、容灾、Da

7、taKey缓存多级密钥管理、信封加密KMS应用：云上数据安全存储场景于上数据加密存储 痛点加密应用复杂，业务接入工作量大 方案于产品和KMS集成提供透明加密用户无感知Secrets Manager应用：敏感信息托管场景敏感配置加密、硬编码敏感信息保护、权限控制 痛点敏感信息泄露问题、权限职责难以控制方案Secrets Manager 结合KMS 提供安全凭据托管 全链路加密保护、细粒度权限管控SSM 敏感配置信息托管示例配置文件： app.ini mysqlconnString=user:pwdtcp(10.x.x.x:1234)/db_a?charset=utf8初始化：func DbIni

8、tDemo() dbConnect, _ := sql.Open(mysql, conf.MysqlConnStr)dbConnect.Ping()接入前SSM 敏感配置信息托管示例初始化：func DbInitDemoSsm(client *ssm.Client) request := ssm.NewGetSecretValueRequest() request.SecretName = conf.MysqlConnStrName request.VersionId = conf.MysqlConnVersion rsp, _ := client.GetSecretValue(request)dbConnect, _ := sql.Open(mysql, rsp.Response.SecretString)dbConnect.Ping()配 置 文 件 ： app.ini my