近年來，網絡安全已上升到國家戰略高度，密碼技術作為網絡安全重要的主動防護技術，在信息化進程中得到了更多的應用和發展。然而，在云計算環境下，傳統密碼方式面臨諸多挑戰，密碼建設需要更加體系化、集中性的建設。

京東云基于自身在云計算領域的技術和場景積累，結合國產商用密碼的密碼能力，打造了面向各行業、支持多云異構場景的“云密碼資源池”解決方案，實現橫跨多云平臺的集中密碼資產治理。方案基于K8s搭建了云原生密碼安全底座，實現密碼多云服務與統一管理，并結合京東云現有安全產品，為上層應用提供敏感數據治理、輕量改造、穩定性管理等多維度安全能力。同時，支持多云密碼態勢的接入，通過管理、檢測、響應等諸多手段，解決管理機構面臨的信息孤島和運營孤島問題。

保障京東618加密服務低延時

(資料圖片僅供參考)

近年來，金融領域商用密碼全面應用和創新發展勢在必行，京東支付于2021年1月啟動自身業務系統的金融領域商用密碼改造工作，以滿足金融密碼應用的高安全要求。

業務部署在京東科技下屬的多個機房中，網絡結構十分復雜。同時，京東支付支撐了京東內部的眾多業務應用，往往都會面臨618、11.11等購物節以及其他營銷活動的高并發場景考驗。商密改造后的京東支付系統滿足高并發、低時延的性能要求，確保京東用戶在使用京東業務應用時能獲得良好的體驗。

京東云面向以京東支付為代表的金融行業商用密碼應用的核心場景，打造了支持多云異構場景的“金融級云密碼資源池”解決方案，形成“金融+云密碼”的創新服務模式。該模式在原有的通用密碼資源池的基礎上，增加以金融數據密碼機為代表的金融級密碼硬件設備，以及國密安全鍵盤等服務金融場景的密碼軟件產品，通過統一的密碼服務平臺提供各類密碼服務，為京東支付業務系統提供統一的密碼資源池管理、統一的密碼接口規范、統一的密碼運維與監控等服務，滿足金融行業密碼應用安全合規要求。

除了密碼服務以外，針對金融業務場景中敏感數據的安全防護問題，方案提供了多種京東云已有的數據安全能力，對數據采集、加工、傳輸、使用、存儲、銷毀的全生命周期進行了安全防護；同時，為了確保商密改造不影響原有業務系統的穩定性，方案采用了京東云的穩定性主動管理產品“云泰”，對商密改造后系統的穩定性進行了全方位的測試與驗證。

在今年京東618期間，京東云提供的加解密服務的峰值TPS高達百萬級別，在如此規模的高并發考驗下，加解密服務的平均延時保持在1毫秒以下。

守護青少年隱私安全

近日，共青團成都市委聯合京東云打造的全國首個12355青少年綜合服務智能平臺(以下簡稱智能平臺)正式上線，這是全國首個通過AI機器人為青少年提供心理、法律、困境咨詢等公益性服務的網絡智能平臺。

智能服務平臺提供咨詢服務的同時，青少年在咨詢求助過程中的個人隱私、敏感數據的安全尤為重要。以心理咨詢服務模塊為例，青少年和智能平臺之間每天都會產生海量的對話交互數據，包含身份證、電話號碼、心理問題描述等敏感文本數據。一旦出現不法分子攻擊等安全事件，這些敏感隱私數據就會面臨泄露、篡改等安全風險，由此造成的損失將無法估量。

京東云安全團隊基于密碼資源池產品，助力智能平臺從0到1建設了面向云上應用的密碼應用保障體系，提供身份鑒別、數據加解密、完整性、抗抵賴性等密碼功能服務，保障智能平臺成功通過“商用密碼應用安全性評估”的第三級別測評。

在密碼基礎層，通過部署服務器密碼機、IPSec/SSLVPN網關、密碼服務平臺等軟硬件密碼產品形成密碼資源池，向密碼服務層提供基于SM2、SM3、SM4等國密算法的基礎密碼算力支撐。

在密碼服務層，由密碼服務平臺對密碼基礎層的密碼設備進行對接與管理，通過統一的密碼服務接口，向智能平臺業務系統提供數據加解密、簽名驗簽、完整性、輕量改造等密碼功能服務，支撐各個層面的密碼應用。

在密碼應用層，通過調用各類密碼功能服務，對網絡和通信、設備和計算、應用和數據等層面進行了密碼應用建設，并對系統涉及的敏感數據進行了劃分與重點保護。

打造政務云安全屏障

按照《密碼法》和山東省密碼管理局要求，山東省市兩級電子政務云和電子政務外網需要盡快完成網絡安全等級保護三級和商用密碼應用安全性評估工作。

然而，傳統的直接集成密碼設備的方式面臨著各種挑戰。比如，云計算環境的系統架構較傳統的信息系統有很大變化，相應的安全風險及借助密碼技術解決的安全風險點需要重新研究；再比如，云計算平臺具有虛擬化、分布式、資源集中等特點，云環境下相應的密碼服務也需要相應調整，如對密碼服務虛擬化、密碼服務動態遷移等；此外，我國之前已經建設的密鑰管理中心等密碼服務基礎設施提供的服務還比較單一，暫不能適應云計算場景下對密碼管理的要求。

京東云作為濱州市基礎專有云平臺的責任單位，在政務云平臺密碼應用建設項目中，參考國家商用密碼應用相關標準，設計了濱州政務云平臺商用密碼應用解決方案。方案通過密碼資源池建設，建立密碼應用安全體系，為濱州市基礎專有云平臺提供密碼安全服務能力。

方案打通了云上與云下兩種不同的部署方式，既可以通過云平臺的計算資源實現部署，也可以通過自身的虛擬化技術完成云化部署，同時支持云環境與非云環境的密碼建設。

依托京東云計算技術體系，濱州政務云平臺實現了從傳統的設備直連模式到云化服務架構的突破，利用密碼設備構建密碼資源池，通過虛擬化技術構建密碼服務平臺，實現密碼資源的云化部署與管理。

同時，方案讓業務“無感”快速接入新增業務成為可能。新增業務服務通過統一的密碼原子接口，實現不同場景直接接入業務服務接口；既有業務通過平臺進行透傳服務接入，不影響既有業務的穩定運行。

最終，濱州市政務云平臺密碼應用建設項目以高分通過了第三級別的商用密碼應用安全性評估，并持續為政務云平臺的業務系統提供密碼服務和管理支撐。

未來，京東云將持續深耕商用密碼領域，不斷夯實密碼安全解決方案，構筑產業智能安全防線，以更成熟的密碼技術護航“數實融合”。