腾讯云安全隐私计算通过 CFCA 评测，再获国家级认可

Posted 2021-10-25 小小的一朵云

2021年10月19日，中国金融认证中心（CFCA）正式公布了首批多方安全计算金融应用测评通过名单，腾讯云安全隐私计算在安全性、性能等多方面都以优秀的测试表现一路通关，成为国内最先获得该国家级认可的安全多方计算产品。

大数据及人工智能经过多年的飞速发展，数据已成为各企业最重要的资产及核心竞争力，受到国家高度重视，2019年10月，党的十九届四中全会首次将数据增列为一种生产要素，数据作为我国第五大生产要素，将为数字经济体系中技术创新、需求挖掘、效率提升提供重要动能。但随之而来的法律法规和信任问题收紧了企业之间的数据流通，数据孤岛问题像一只无形的手，严重阻碍了高价值的数据合作。2020年11月，中国人民银行正式发布《多方安全计算金融应用技术规范》（JR/T 0196—2020），2021年6月中国支付清算协会正式发布《多方安全计算金融应用评估规范》（T/PCAC 0009-2021），技术规范和评估规范的发布有助于推动多个主体间的数据流通共享与融合应用，确保数据隐私被更好地保护，杜绝数据误用、滥用等情况发生。

中国金融认证中心（CFCA）依据人行及支付清算协会的技术规范和评估规范，在多方安全计算金融应用系统版本确定的基础上对多方安全计算金融应用系统的技术、安全、性能进行测评，从产品设计、软件开发、技术应用等角度评判多方安全计算金融应用产品，保障多方安全计算技术金融场景的落地，使数据共享和数据合作更加标准化和规范化。

本次评测过程耗时1个月，CFCA极其细致、专业地对腾讯云安全隐私计算产品做了综合性的评测，多方面的能力得到了有效的认证：

- 基础功能，例如登陆授权、数据注册、安全求交、特征工程、统计分析、隐匿查询、模型训练等产品基础能力。腾讯云安全隐私计算的基础产品能力构成了一站式的操作平台，可以方便业务快速使用多方安全计算的能力对接到业务系统，快速上线。

- 技术方案，例如产品架构、应用场景、通信模式等。腾讯云安全隐私计算从架构层面抽象出基础功能、底层算法协议、通信框架、计算框架等多个模块，方便各种用户定制化场景，更加实用和可靠。

- 算法安全，例如算法协议、算法安全、通信安全等。基于多方安全计算技术的产品，最为核心的应用是各种MPC协议，以及所使用到的密码技术。这一部分评测充分论证了腾讯云安全隐私计算产品在算法协议上的安全性。

- 性能详情，例如不同场景的时延、吞吐率等。腾讯云安全隐私计算主要针对非资金交易计算的场景，如贷款风控等，性能完全满足各类业务场景，尤其在树模型训练上，具有独特的性能优势，建模调优高效，对算法人员非常友好。

通过严格的评测，让我们对多方安全计算金融应用规范有了更深刻的认识，也指引了我们产品的目标方向，稳扎稳打地成为行业的领先产品。

CFCA 由中国人民银行于 1998 年牵头组建、经国家信息安全管理机构批准成立。作为国家重要的金融信息安全基础设施之一， CFCA 组织近百项国家标准、金融行业标准、密码行业标准及重要团体标准的制定，多次荣获中国人民银行及政府、协会等颁发的各种奖项。CFCA深耕金融行业检测评估服务，具有丰富的客户案例与实战经验，同时拥有CMA、CNAS、金融科技产品认证、IT产品信息安全认证、银联认证等多项权威检测资质。

由于金融、政务等各种场景对联合风控、联合统计、隐匿查询的强烈述求，今年初我们将神盾联邦计算升级为腾讯云安全隐私计算，产品基于腾讯 Angel PowerFL 隐私计算框架，以联邦学习（FL）、安全多方计算（MPC）、可信执行环境（TEE）等隐私数据保护技术为基础，针对机器学习、数据分析等算法进行定制化的隐私保护改造，打造数据应用全链路的隐私计算产品。升级后的腾讯云安全隐私计算产品保证原始数据不出本地即可快速完成隐私计算任务，保障数据安全的同时又能发挥数据最大价值，很好地解决了企业面临的数据孤岛难题。目前腾讯云安全隐私计算平台在银行、保险、政务、教育等行业都有标杆性案例，其优异的安全性、性能表现在诸多风控、营销场景下都发挥了重要作用，即保障数据安全又最大化释放了企业数据价值。

 

 

关注“腾讯云大数据”公众号，技术交流、最新活动、服务专享一站Get~

比特币勒索病毒肆虐，腾讯云安全专家给你支招

5月12日晚， WannaCry 蠕虫病毒在全球大肆爆发。据BBC、CNN等媒体报道，恶意攻击者利用 NSA（美国国家安全局）泄露的 Windows 0day 利用工具对99个国家实施了超过75000次攻击。

什么是比特币勒索蠕虫病毒？

这次攻击的始作俑者是一款名为“WannaCry”（中文名：想哭）的勒索病毒，带有加密功能，它利用 Windows 在 445 端口的安全漏洞潜入电脑并对多种文件类型加密并添加后缀(.onion)使用户无法打开，用户电脑存在文档被加密的情况，攻击者称需支付比特币解锁，如下图（图片来自互联网）：

事件影响：国内高校网络系统沦为感染重灾区

这次 WannaCry 的攻击，被感染的机器有六个小时的时间缴付大约 300 美元的赎金，随后每隔几小时赎金上涨一次。英国 NHS（National Health Service）系统中超过 1/3 的机构目前已受到攻击，这些机构已经取消了所有的门诊预约并劝告可能的情况下尽量避免急诊。

受到攻击的还包括西班牙的电讯公司 Telefónica、俄国内政部、 FedEx 等等。

国内高校网络系统沦为感染重灾区。据有关机构统计，目前国内每天有数万台机器遭到该蠕虫病毒袭击，被黑的大四学生毕业论文被加密导致无法打开且被勒索赎金。如下为全球受影响地区分布图（图片来自互联网）：

腾讯云安全专家直播解答网友疑问

昨天，腾讯云安全专家张祖优还做客腾讯新闻，通过直播互动的方式，为网友们解释了此次比特币勒索蠕虫病毒的相关信息，并逐一回答了网友们关心的安全问题，给出了应对的具体措施。

直播回看如下：http://video-10012769.file.myqcloud.com/%E2%80%9C%E5%8B%92%E7%B4%A2%E7%97%85%E6%AF%92%E2%80%9D%E7%88%86%E5%8F%91%E8%85%BE%E8%AE%AF%E4%BA%91%E4%B8%93%E5%AE%B6%E6%95%99%E4%BD%A0%E6%9D%A5%E9%98%B2%E8%8C%83.mp4

腾讯云安全团队紧急为云上用户排查、提供修复建议

此外，腾讯云安全团队 5 月 13 日凌晨为云上用户紧急排查，连夜进行了分析，针对受害用户的主机的病毒和木马样本进行了提取、特征比对和入侵原因分析，发现大量受害主机可能是由于没有及时安装 Windows 更新补丁导致被攻击者入侵，从而使系统迅速感染病毒、 数据被加密，对此，腾讯云安全团队提供了如下应对方案：

腾讯云用户修复建议：

当前已受影响的用户，建议对未被加密的重要数据进行备份，并开展重装工作；

对于采用非腾讯云官方 Windows 镜像的用户，建议采取如下措施进行缓解：

1. 在安全组策略中，检查您名下所有 Windows 云主机是否已关闭 137、 139、 445 服务端口的对外访问，建议禁止外部访问此类高危端口，详细修复可参考如下链接：
   http://bbs.qcloud.com/thread-28531-1-1.html；

2. 目前微软官网发布的补丁已经修复了可导致该蠕虫病毒被传染的漏洞，建议用户及时安装 Windows 最新版本补丁（包含此次受影响的 MS17-010 补丁），避免成为勒索蠕虫的受害者；

3. 目前腾讯云官网提供的 Windows 镜像已经在4月20日全网更新完成，默认已安装最新补丁，并不受此次“比特币勒索蠕虫病毒”影响，请您放心使用。

温馨提醒

此次比特币勒索蠕虫病毒在互联网上的传播范围极广，影响范围巨大，建议针对您的重要业务系统立即进行数据备份，针对重要 Windows 系统安装补丁并制作系统镜像，以做好灾难应急恢复工作。