1、數據安全中臺極簡數據保護解決方案目錄01 于安全風險趨勢與數據安全保護挑戰02 騰訊于數據安全中臺解決方案03 極簡于數據安全保護方案最佳實踐01 于安全風險趨勢與數據安全保護挑戰云安全風險趨勢數據來源：RightScale, Crowd Research影響于計算產業發展和應用的最普遍、最核心的制約因素就是于計算的安全性和數據私密性保護。- 國務院發展研究中心 2019年10月12日2019年全球重大數據安全事件6月10月3813起41億54%Risk Based Security7月：美國第七大銀行美國Capital One數據泄露，涉及1億用戶9月：Facebook數據庫未采取保護措施，

2、涉及4.19億用戶數據9月：全球醫療數據或遭大規模泄露，中國涉及近28萬條患者記錄9月：厄瓜多爾國家級數據泄露事件發生，涉及2千萬人國際社會已有成熟的數據安全法規及監管條例PCI DSSHIPPACSASOXSOCGLBAEU GDPRHKCAP 486Facebook英國航空2.3億美元萬豪集團1.24億美元50億美元數據安全領域，國家加快了密碼立法步伐2017年7月1820182018年3月2019年6月GM/T 0054信息系統密碼應 用基本要求20GM/T 0054-2018 信息系統密碼應用基本要求關鍵信息基礎設施安全 保護條例（征求意見稿）年6月網絡安全等級保護條例（征求意見稿）國

3、家關亍金融和重要領域密碼應用的重要文件年7月2019年5月密碼法進入人 大年度立法計劃網絡安全等級保護條例 新國家標準正式發布， 明確密碼評測重要性密碼法草案首次提請審議2019年10月密碼法二審 通過，正式發布數據安全生命周期風險及防護關鍵難點數據產生和獲取Data at RestData in TransitData in Use數據退役和銷毀數據訪問監控和響應數據合規和治理難點1：分類、治理和策略難點2：DaR/DiT/DiU加密技術難點4：事件監測分析難點3：密鑰管理02 騰訊于數據安全中臺解決方案解決數據安全核心三難云數據安全中臺數據安全 中臺HSM/SEM數據加密軟硬件服務KMS密

4、鑰管理系統Secrets Manager憑據管理系統數據獲取CKafka Redis CMQ Stream API事務處理和檢索MongoDB ES Postgresql MYSQL TDSQL分析與數據服務API COS CFS VPN CBS CVM數據訪問與消費原始數據歸一智能分析決策與反饋于數據安全中臺服務身 密 應份 鑰 用認 管 加證 理 密網 計 憑 日 可 絡 算 據 志 視 加 加 托 審 化密 密 管 計 管理TDSQLSparkling Snova BI EMR TI云數據安全中臺架構管控層中間件層于產品層接入層加密基礎組件專用密碼應用組件CASB客戶側加密組件統一密碼應

5、用接入服務（加密應用API、SDK）運算層CMQCOSCBSTDSQLMYSQL虧聯網、政務、金融、行業業務系統TLS/SSL傳輸加密KMSSecrets ManagerSGX/TEE安全計算環境數字簽CA證書名驗簽服務物聯網加密GVSMEVSMSVSMCloudHSM密碼服務實例SEM SEM軟件加密庫SDKSGXSGX密碼資源統一監控密碼資源統一管理密碼資源勱態調配 業務調用統計分析告警策略配置日志審計管理03 極簡于數據安全保護方案最佳實踐典型場景概覽Client本地數據Server配置文件Server金融支付如何保障網絡通道的安全？本地敏感數據如何加密保護？數據加密和傳輸，密鑰如何管理

6、？敏感配置文件、硬編碼問題如何解決？數據上于如何安全存儲？金融支付等敏感應用如何安全合規？ 怎樣實現國密化改進？憑據管理KMSSSM國密TLSEncryptSDK基亍KMS傳輸加密數據分享、備份存儲存儲透明加密MYSQLCBS 基亍KMS加密基亍KMS解密 VSMVSMCloudHSMVPCClientKMS應用：敏感數據加密場景敏感信息本地加密，加解密頻率低痛點密鑰安全、授權管理、密鑰存儲方案KMS細粒度權限管控、子賬號授權基亍硬件加密機的計算資源、多語言SDKKMS應用：信封加密場景本地高性能加密痛點密鑰安全、DataKey管理，國密算法方案KMS Encrypt SDK、國密、容災、Da

7、taKey緩存多級密鑰管理、信封加密KMS應用：云上數據安全存儲場景于上數據加密存儲 痛點加密應用復雜，業務接入工作量大 方案于產品和KMS集成提供透明加密用戶無感知Secrets Manager應用：敏感信息托管場景敏感配置加密、硬編碼敏感信息保護、權限控制 痛點敏感信息泄露問題、權限職責難以控制方案Secrets Manager 結合KMS 提供安全憑據托管 全鏈路加密保護、細粒度權限管控SSM 敏感配置信息托管示例配置文件： app.ini mysqlconnString=user:pwdtcp(10.x.x.x:1234)/db_a?charset=utf8初始化：func DbIni

8、tDemo() dbConnect, _ := sql.Open(mysql, conf.MysqlConnStr)dbConnect.Ping()接入前SSM 敏感配置信息托管示例初始化：func DbInitDemoSsm(client *ssm.Client) request := ssm.NewGetSecretValueRequest() request.SecretName = conf.MysqlConnStrName request.VersionId = conf.MysqlConnVersion rsp, _ := client.GetSecretValue(request)dbConnect, _ := sql.Open(mysql, rsp.Response.SecretString)dbConnect.Ping()配 置 文 件 ： app.ini my