1. 概述

云计算、大数据、人工智能和移动互联网的飞速发展，在带给社会便捷和智能的同时，也存在着数据泄露和滥用问题。2016年12月，雅虎公司宣布其超过10亿的用户账号被黑客窃取。其中，敏感数据的安全保护当属人们最关心的问题之一。敏感数据作为组织（包括企业、政府等）的核心资产和个人的隐私信息，受到组织和个人的高度重视，通常包括核心代码、设计图纸、身份证号和健康信息等。

《中华人民共和国网络安全法》第十条明确要求建设、运营网络或者通过网络提供服务，应当维护网络数据的完整性、保密性和可用性；第二十一条：“采取数据分类、重要数据备份和加密等措施”；在法律层面，给予数据保护高度重视。刚刚发布的《信息安全技术网络安全等级保护基本要求》明确要求在三级及以上信息系统的安全通信网络和安全计算环境中使用密码技术。《信息系统密码应用基本要求》对等级保护不同级别的系统中密码技术的使用要求的更加细致。这些法律法规的出台无疑推动了密码技术在信息系统中的普及和应用。

2. 需求分析

数据的全生命周期通常包括使用、传输和存储三部分。在未经防护的情况下，数据的全生命周期都是以明文形式存在，一旦发生数据被盗，或者攻击者绕过权限非法访问，明文数据所承载的敏感信息的泄露势必会对相关组织和个人产生重大经济、名誉等损失。此外，数据全生命周期的防篡改意义重大，尤其在电子商务，网上银行等金融领域，数据的完整性是整个业务的基础支撑，很难想象一笔转账的金额被篡改后所造成的恶劣后果。云计算的弹性扩展和按需付费，使得大批企业纷纷上云，在享受云计算便捷的同时，数据的安全问题则变得更加棘手。由于其开放共享的特性，传统的物理边界消失，给数据的保护带来了新的挑战。

3. 方案架构

3.1 技术架构

图 3 1 逻辑示意图

三未信安数据安全保护平台（以下简称“平台”），专门为保护敏感数据全生命周期的安全而设计，通过为用户提供功能丰富且易用的数据保护方案保证数据的保密性、完整性、真实性和可用性。平台以SecKMS密钥管理系统为核心提供不同层级的访问控制和数据加密产品，包括数据库加密（SecDB）、文件系统加密（SecStorage）、磁盘加密（NCS）、应用程序加密（SecApp）和大数据加密（SecBD）等。平台的应用场景广泛，包括数据中心，云环境以及它们的混合场景。

3.2 产品部署图

图 3 2 产品部署图

SecKMS通过集群功能以双活，多活或者主备等方式为应用提供高可用的密钥管理服务。加密客户端部署在相应的服务器中，通过TCP/IP协议调用接口，实现数据的密码运算和密钥管理。管理员可以对SecKMS进行统一的管理和配置，包括密钥管理，系统管理以及人员权限分配等。当业务系统部署在云中时，SecKMS通过云中VPC技术实现逻辑隔离，提供给SecKMS一个独立安全的运行环境。所有加密客户端通过API与SecKMS实现通信，以实现密钥的集中管理和密码运算。

3.3 主要功能

 保证敏感数据机密性和完整性

 保证数据在使用、传输和存储时的机密性和反篡改

 集中的管理密钥和策略配置

 采用企业级密钥管理系统实现所有加密客户端密钥统一管理和授权

3.4 主要技术指标

数据保护平台主要采用密码技术实现数据安全，相关的技术指标包括加解密，密钥生成、获取等。具体参数如下：

SecKMS可支持2000个并发的业务系统，对存储到加密磁盘中的数据可达750MBps。

4. 方案特色

 数据保护类型丰富

平台可针对数据库、文件系统等实现结构化和非结构化数据的保护

 密钥管理安全灵活

平台密钥管理采用合规的硬件密码模块保证密钥安全，并且使用灵活

5. 适用领域

北京三未信安Sec系列产品支持KMIP（Key Management Interoperability Protocol）的标准协议，可广泛应用于金融领域、能源领域、水利/自然资源领域、国防和工业领域、公共通信领域、交通领域、公共服务领域、电子政务等领域。

SecDB、SecStorage、SecAPP、SecBD等软件部署安装在不同行业和领域的业务系统中，通过SSL通道和KMIP协议与SecKMS连接。SecKMS对各模块的密钥进行全生命周期管理，包括密钥生成、密钥分发、密钥归档、密钥轮换、密钥备份、密钥删除、密钥销毁等操作。同时，SecKMS可对业务系统中的用户进行权限策略配置，防止非授权用户访问业务系统和业务数据。

6. 企业分工

北京三未信安在实施过程中负责提供三未信安的安全产品、产品中的标准接口、合同规定的售后服务，必要时可提供产品的机房部署。

三未信安的产品清单包括：

三未信安产品全面支持国密算法，其数据安全解决方案广泛应用于金融领域（客户有Visa、戴姆勒金融、花旗银行等）、能源领域（客户有中石油、中石化、国网等）、水利/自然资源领域（客户有中国水利部）、国防和工业领域（客户有海关等）、公共通信领域（客户有华为等）、交通领域（客户有北汽等）、公共服务领域、电子政务（客户有北京CA、上海CA等）。

案例1 中石油和中石化的数据加密

中国石油和中国石化使用三未信安的密码机产品，对业务系统和数据进行加密存储，并通过密钥生命周期的管理，达到数据安全保护的目的。

案例2 华为云专属加密

基于三未信安为华为华北区（北京）提供加密实例的专属加密服务，基于国密算法，提供多种权限认证并支持加解密、签名、验签、产生密钥和密钥安全管理等服务。

                                        北京三未信安科技发展有限公司

                                         联系人：鹿淑煜

                                         电  话：18678882580

                                                 0531-88988936