NetEDS数据加解密服务系统

一、背景描述

在数字信息技术高速发展的趋势下，数据已经成为数字经济发展的核心生产要素，是国家重要资产和基础战略性资源，随着数据价值的愈加凸显，数据安全风险也与日俱增，保障数据安全已经上升为事关国家安全和社会经济发展的重大问题。数据安全主要从政策合规和企业需求两方面来保障。

政策合规方面：从数据安全的立法进程来看，早在2015年颁布的《国家安全法》中就已经对数据的安全可控做出了相关规定；2021年9月1日起施行的《中华人民共和国数据安全法》指出：“开展数据处理活动应当依照法律、法规的规定，建立健全全流程数据安全管理制度，采取相应的技术措施和其他必要措施，保障数据安全”。可见，政府企业等机构有义务依法对数据传输、存储等数据处理活动采取数据加密等技术措施，以保障数据安全。目前数据安全大规模合规建设即将正式启动。从国家层面来看，未来各监管部门也将加大对数据安全的监管，各行业在数据分级、数据全流程管理以及数据防护等方面的建设将成为安全建设的重点。

企业需求方面：随着企业数字化转型及互联网化进程的不断深入发展，原本一些“不重要”、“不敏感”的数据，在算法和算力的增强、多种技术的运用之下被赋予了新的价值，可一旦这些被赋予新价值的数据被“挟持”，就有很大可能对企业生存造成极大的打击，所以保障数据安全是企业应担的义务，也是企业长期向好发展的必要条件。

NetEDS数据加解密服务系统基于政策导向和企业面临的实际问题，使用主流技术，采用简洁大方的Web管理界面，保障数据的机密性、可靠性，适用于金融、政企等领域，致力于打造极致的用户体验。

二、产品简介

NetEDS数据加解密服务系统是信安世纪自主研发的一款基于商用密码算法与技术实现的高性能数据安全产品，拥有“强安全”、“多场景”、“高性能”三重优势，可提供统一密钥管理、通用数据加解密、数据库加解密等安全服务，能够对敏感数据、重要信息等进行加密保护，有效降低因数据泄露带来的安全风险，帮助用户切实履行 《数据安全法》、《个人信息保护法》等法律法规要求的数据保护义务。

三、产品组成

NetEDS数据加解密服务系统是由NetEDS整机和NetEDS安全中间件两部分组成。

NetEDS整机由底层的加解密模块和上层的NetEDS服务与NetEDS管理平台组成。底层的硬件加解密模块提供安全合规的密钥运算与密钥存储能力；上层的NetEDS服务可提供数据加解密服务，包括通用加解密、KMIP、切面加密和自检服务；NetEDS管理平台可提供配置与管理功能，包括密钥管理、切面加密管理、应用管理、系统设置、用户管理、日志管理。

NetEDS安全中间件被集成到客户的应用中。在存储安全场景，NetEDS安全中间件为应用提供更便捷的场景化接口，且提供在线加密和本地加密两种场景的选择和切换功能；在数据库安全场景，NetEDS安全中间件为应用提供切面加密功能。

四、产品优势

1.  算法与标准

支持SM2、SM3、SM4等多种商用密码算法；满足GM/T 0028-2014《密码模块安全技术要求》第二级安全要求，支持GM/T 0110-2021《密钥管理互操作协议规范》，严格遵循相关标准保障数据安全性、技术合规性。

2.  易用性

支持REST风格的在线服务接口，并提供配套SDK。

支持商密算法、国际算法KMIP协议，实现与数据库、虚拟化、云平台基础设施的“即插即用”。

使用切面加密技术避免客户进行业务代码级别的开发。

3. 密钥安全

采用三级密钥体系及硬件加密技术，保障密钥的机密性；拥有完备的密钥备份、归档、恢复机制，充分保障密钥的完整性与可用性。

4. 系统安全

支持TLCP协议（国密SSL）实现的API通讯加密；支持三权分立安全管理机制；支持管理员双因素认证、应用安全认证和白名单机制；支持完善的系统审计功能，保证管理操作、密钥使用行为可追溯。

5. 高可用

支持多机负载均衡或双机热备的部署方式，防止主机故障、网络故障等风险，保障业务正常运行。

五、核心功能

1. 密钥管理

提供全生命周期密钥管理功能，包括密钥的生成、存储、使用、导入/导出、更新、备份、恢复、归档、销毁和删除等功能；支持密钥轮转与别名管理；支持双算法、KMIP协议，简化密钥管理操作，保障密钥管理安全性。

2. 通用加解密服务

提供REST风格的HTTP API接口，可实现对结构化、非结构化数据的加解密、签名验签等功能。

3. 切面加密服务

提供字段级数据库切面加密功能，支持保留格式加密，支持密文检索，支持对敏感数据自定义配置脱敏策略，为应用打造全面有效且易于实施的数据安全保护。

4. Web管理界面

页面简洁、功能齐全，提供密钥管理、切面加密管理、应用管理、系统设置、用户管理、日志管理等功能，方便用户灵活配置策略，对用户操作提供全方位的保障，帮助用户进行高效管理。

5. 访问控制

支持RBAC、ABAC鉴权的访问控制机制；支持白名单管理；支持IAM策略进行密钥权限控制；支持三权分立，权限明确地对系统进行管理，互相监督制衡，为系统提供最安全的管理体系。

六、应用场景

1. 统一密钥管理

分散的密钥管理系统可能会导致不可控的失误，加大用户工作量，NetEDS提供了安全便捷的统一密钥管理方案，可基于KMIP协议，将用户内部分散的密钥管理系统统一，方便用户进行密钥的全生命周期管理与加解密服务，降低系统复杂度，降低运行和维护成本。

2. 数据库切面加密

当前用户集成数据安全存储功能时一般需要对现有系统进行代码改造，NetEDS提供了安全高效的切面加密方案，适用于“代码无改造”的实战需求，应用切面加密技术保障数据安全，并且能够以配置的方式敏捷部署实施，拥有高度灵活性，不影响业务运行。

3. 数据库透明加密

当前数据库泄密事件频繁发生，防止数据明文存储已经成为保障数据安全的重中之重，NetEDS提供了安全无感的透明加密方案，适用于对数据库执行实时加解密的场景，可在原有业务系统无感的情况下，实现敏感数据的密文落盘存储，拥有独立的权控体系，具备应用完全透明性。

4. 存储加密

《数据安全法》等法律法规指出，用户有义务对数据存储采取加密等技术措施，保障数据安全。NetEDS提供了安全可靠的存储加密方案，可根据业务需求，灵活变通，提供在线加密和本地加密两种选择，使用安全加密技术保障数据在存储过程中的机密性、完整性。

5. 多云密钥管理

上云是企业发展的必然趋势， NetEDS为企业提供了安全便捷的云密钥管理解决方案，能够在公有云、混合云等场景下，将密钥安全下发到云中，实现对云基础设施的密钥管理，解决存量业务平滑上云和数据迁移的问题，保障用户云上数据的隐私性、机密性。

七、产品创新点

信安NetEDS数据加解密服务系统在已有密钥全生命周期安全管理能力的基础上，深度结合通用数据加解密、数据库切面加密、数据库透明加密等技术，将密钥管理与数据加密融为一体，适用于“应用免改造”的实战场景，可以给用户呈现完美的交付体验，并且NetEDS引入KMIP密钥管理互操作协议，所以可以兼容任何应用该协议的应用服务器、数据库系统、云计算平台等主流IT基础设施，方便系统快速集成，提高安全管理者的工作效率，降低运维成本，帮助企业大幅度提高其数据安全性，让数据存储更安全，用户使用更安心。

八、产品价值

1. 经济效益

在数字经济时代，数据作为核心生产要素所蕴含的价值日益凸显，同时，数据泄露、窃取、篡改等安全问题也日趋严峻。随着《数据安全法》和《个人信息保护法》等法律法规的相继出台，以及等保和密评等标准的发布，均表明了企业、机构应该采取数据加密等技术措施，来保障重要数据在存储过程中的机密性和完整性。信安NetEDS数据加解密服务系统适应多应用场景，能够以免开发改造的方式快速集成，满足企业密钥管理与数据加解密的需求，提高企业工作效率，降低运维成本，同时满足等保、密评等相关标准的要求，全方位保障企业数字资产安全。
2. 社会效益

《中华人民共和国数据安全法》指出：“开展数据处理活动应当依照法律、法规的规定，建立健全全流程数据安全管理制度，采取相应的技术措施和其他必要措施，保障数据安全”。可见，政府企业等机构有义务依法对数据传输、存储等数据处理活动采取数据加密等技术措施，以保障数据安全。信安NetEDS数据加解密服务系统支持SM2、SM3、SM4等多种商用密码算法；满足GM/T 0028-2014《密码模块安全技术要求》第二级安全要求，严格遵循相关标准保障数据安全性、技术合规性，筑牢数据安全防线，严防数据泄露、窃取、篡改等安全问题，为社会数字经济发展提供安全保障。