玩转云端| 天翼云数据加密，护航企业数据安全

有交流就会产生信息，为了防止信息泄露，人们通常会采取一些特殊的措施来保护信息。很早以前，“数据加密”就出现在人类的生活中。比如：由姜子牙创造的历史上最早的密钥——阴符（兵符），兵符由两半组成，一半留给君主，另一半交给下属，需两半吻合后命令才能生效；厉害的武功秘籍被火烧或者溅水以后方可显露真迹；达芬奇密码、摩尔斯电码、RSA 算法、AES 算法等等。

数据加密的方法多种多样而且在不断地进步回顾整个数据加密发展史堪称一部对抗数据泄露的打怪升级史

近年来，以云计算、大数据、人工智能、物联网为代表的新兴技术快速发展，网络安全风险全面泛化，复杂程度也在不断加深。特别是随着企业数字化转型的逐渐深入，网络数据泄露风险开始遍布在越来越多的场景之中。其中，公共事业企业、医疗机构、金融服务公司、制造企业是黑客的首要攻击目标。

①某银行疑似发生数据泄露高达 1679 万条

2021 年 1 月 8 日，有人在某国外论坛中发帖售卖某银行 1679 万笔数据，并放出部分数据样本，数据包括用户名字、性别、卡号、身份证号、手机号码、所在城市、联系地址、工作单位、邮编、工作电话、住宅电话、卡种、发卡行等关键信息。

②某初创公司泄露 408GB 数据，影响全球 2 亿多用户

同年，安全公司 Safety Detectives 发现，某初创公司泄露了 408GB 数据。此次数据泄露是由于数据库设置错误所导致，总计泄露超过 3.18 亿条用户记录，涉及到的社交平台用户超 1 亿。值得注意的是，该初创公司在 2020 年 8 月也发生了类似事件，泄露了 1.5 亿个用户的个人数据。

网络犯罪活动从未停止，甚至越发猖獗。网络犯罪造成的数据丢失给企业带来巨大的损失。数据是企业的核心资产，加密自己的核心敏感数据，保障数据安全，是每个企业的刚需。

由此，天翼云数据加密服务 DEW（Data Encryption Workshop）应运而生。它是一个综合的云上数据加密服务，基于国家密码局认证的硬件加密机，提供可独占、高性能、安全合规的加密域计算资源，通过将用户线下加密设备能力转移到云上，为用户提供云上数据加密服务，可处理加解密、签名、验签、产生密钥和密钥安全存储等操作。

密钥管理

密钥管理服务 KMS（Key Management Service）是一种安全、可靠、简单易用的密钥托管服务，帮助用户轻松创建和管理密钥，保护密钥的安全。KMS 通过使用硬件安全模块 HSM（Hardware Security Module）保护密钥的安全，所有的用户密钥都由 HSM 中的根密钥保护，避免密钥泄露。KMS 对密钥的所有操作都会进行访问控制及日志跟踪，并提供所有密钥的使用记录，满足审计和合规性要求。

密钥管理可以轻松满足对小数据和大量数据的加解密。

 专属加密

专属加密 Dedicated HSM（Dedicated Hardware Security Module）是一种云上数据加密服务，可处理加解密、签名、验签、产生密钥和密钥安全存储等操作。

Dedicated HSM 提供经国家密码管理局检测认证的加密硬件，可保护弹性云服务器上数据的安全性与完整性，满足 FIPS 140-2 安全要求。同时，用户能够对专属加密实例生成的密钥进行安全可靠的管理，也能使用多种加密算法来对数据进行可靠的加解密运算。

专属加密覆盖敏感数据加密、金融支付、验伪等应用场景，确保为用户建立完整的数据防泄露体系。

作为云服务国家队，天翼云多年来专注于企业数据安全相关研究，保障企业正常平稳运行，推动企业用户安全业务升级，护航数据安全！

典型应用案例某自动驾驶企业是国内自动驾驶行业的独角兽，提供不同级别的自动驾驶方案，其核心数据是供深度学习分析使用的海量路采数据。

挑战：• 客户通过 400G 专线数据上云，面临个人隐私保护和自然测绘法规的众多要求，海量数据加密要求迫切。• 云上数据加密存储，加密密钥由客户自持，天翼云保证绝不触碰客户数据。• 单对象使用独立的密钥进行加密，海量文件要求 KMS 支撑 3000+TPS 的高性能调用。

解决方案

▎使用 OBS 存储数据，数据在上云时免开发使用 KMS 进行加密。

▎KMS 满足客户 3000+TPS 的 API 调用性能需求。

▎使用 HYOK 模式，KMS 对接客户专属加密 HSM，密钥生命周期由客户完全控制，满足客户信任需求。

▎HSM 硬件加密模块满足国密局认证要求，合规可靠。