案例名称
面向金融行业的云密码服务平台
案例简介
(资料图片)
京东科技面向金融行业商用密码应用的核心场景,结合京东支付业务的密码应用实践与京东云的云计算技术能力,打造了面向金融行业、支持多云异构场景的“金融云密码服务平台”解决方案。
方案基于云计算技术架构与金融业务场景,形成“金融+云密码”的创新服务模式,为金融行业信息系统提供统一的密码资源池管理、统一的密码接口规范、统一的密码运维与监控等服务,满足金融行业密码应用安全合规要求。
创新技术/模式应用
在金融行业信息系统的密码应用中,通常会涉及多种密码设备的接入。以京东支付为例,其支付系统需要接入金融数据密码机,门户系统接入云服务器密码机,此外还接入了签名验签服务器、时间戳服务器等密码设备。由于需要多种设备堆叠提供密码服务,造成了京东支付的密码应用面临成本高、管理难、无法适配云环境、难以统一监控等实际问题。
针对上述问题,京东科技基于京东云的云计算技术架构,打造了面向金融场景的自研云密码服务平台解决方案。主要创新技术有以下五点:
1.云化服务、资源整合
金融云密码服务平台利用密码设备构建密码资源池,通过实现云化部署、管理,提供面向租户管理及租户自管理;整合不同厂商,不同型号密码设备能力实现设备复用、利旧,保护已有投资;支持混合多云场景下的密码服务统一管理。
2.面向金融、多种服务
金融云密码服务平台提供金融密码服务、通用密码服务、典型密码服务等多种密码服务,其中金融密码服务主要面向金融场景,基于金融数据密码机向支付、网银、交易等系统提供密码服务;业务应用可以根据自身的业务属性灵活选择。
3.按需调用、弹性扩容
金融云密码服务平台通过密码服务实例向业务应用提供密码服务,并采用容器虚拟化技术,实现服务实例的按需分配与弹性扩容;云密码虚拟化支持弹性扩展。
4.集约赋能、一站管理
金融云密码服务平台通过平台一体化设计,统一资源管理,统一服务接口,提供标准化组件化服务能力;支持对密码设备进行统一运维、管理、监控以及密码设备、密码服务运行状态可视化。
5.灵活部署、便捷交付
金融云密码服务平台支持云上与云下两种部署方式,既可以通过云平台的计算资源与网络实现部署,也可以通过自身的虚拟化技术生成服务实例;支持多云异构场景,可以实现混合多云密码服务的统一管理;通过平台可以实现应用快速对接、快速上线。
项目效果评估
1.解决痛点
(1)密码设备种类多、系统对接成本高
金融云密码服务平台基于云计算技术架构整合多元异构密码设备的高效管理,提供统一的密码资源池管理、密码接口规范、密码策略配置以及密码安全应用,满足应用信息系统的安全合规要求、密码技术统一标准化改造和密码资源统一管理与运维等要求,将密码系统设计、部署、运维、管理,计费等组合成一体化解决方案,以服务方式解决用户的各类密码应用需求。
(2)现有密码体系与云环境适配性差
云计算背景下的金融密码体系建设,需从产品形态、部署方式、商业模式等多个层面适应云计算中的服务化需求。金融云密码服务平台解决方案结合了京东自身在金融、云计算与密码领域多年的积累与实践,形成面向租户、弹性扩容、灵活部署的全栈云密码体系建设方案,为金融行业用户提供一站式云密码建设服务。
(3)金融行业信息系统商业密码应用改造
金融云密码服务平台及密码资源池中各密码设备均具备商用密码产品认证二级资质,满足《GB/T 39786-2021 信息安全技术 信息系统密码应用基本要求》、《JR/T 0255-2022 金融行业信息系统商用密码应用基本要求》等密评标准要求,可支持金融行业云平台与云上应用的密评改造建设。
(4)复杂系统架构下密码资源难以统一纳管
金融行业常面临多云(公有云、专有云、混合云)以及非云化环境下的资源统筹管理难题。金融云密码服务平台解决方案支持对多个金融信息系统的异构密码资源进行集中管理,建立混合多云密码服务统一管理平台,对各系统密码服务进行全流程监控与管理,实现统一纳管。
2.效果数据
目前京东支付业务已全面接入建设金融云密码服务平台,平台同时支撑了京东科技内部1300+应用,并在亿级用户体量下经历了11.11、618等大促考验。在2022年京东618大促期间,平台提供的密码服务峰值TPS达到百亿量级,平均延时小于2毫秒。此外,本系统支持了京东科技通过等保、PCI DSS、银联支付信息安全合规、可信云等17类检测与评审。
项目牵头人
刘会