一、在法律法规、行业指导的叠加驱动下,企业数据安全保护体系建设,迎来全新更高标准的合规性要求
近年来,国家十分重视数据安全,国家主管部门先后出台了一系列网络安全法律法规和政策文件。而密码技术作为网络与信息安全保障的核心技术和基础支撑,在解决网络身份的真实性、数据机密性、数据完整性保护和行为不可否认性等方面发挥着不可替代的作用。相关法规明确提出使用国产商用密码技术来保护重要敏感数据,并要求定期开展密码应用与安全性评估、等保测评等。国务院办公厅发布《国家政务信息化项目建设管理办法》指出“项目建设单位应当落实国家密码管理有关法律法规和标准规范的要求,同步规划、同步建设、同步运行密码保障系统并定期进行评估。”《“十四五”数字经济发展规划》提出的数字经济安全体系中,也要求加强密码应用安全性评估和促进数据加密技术。
在多重法律、法规、行业指导的叠加驱动下,企业数据安全保护体系的建设工作,迎来了更高的、全新的合规性要求。如何有效满足多重的合规要求,对国产密码保护系统建设的规划、设计、实施能力提出了更高挑战。
二、用户误区及在应用中遇到的问题
在应用商用密码技术以及相关密码产品的过程中,用户亟需高质量的密码产品,一方面满足自身保护数据资产的需要,另一方面满足相关法律法规的合规要求。但是,用户却面临市场上密码产品“不能用”、“不好用”以及“用不好”的情况。不少用户误以为买了加密机就能一步到位解决问题,实际上单一采购加密机并不能解决机密性和完整性问题,在后续使用过程中不但需要二次开发,还会在应用中遇到如下问题:
1.使用密码机方式进行应用密码改造,密码机只提供加密运算的能力,这就需要针对重要敏感数据在进行数据加密/解密以及完整性校验时,通过编写代码调用加密机的API来完成相关的操作,同时针对加密数据/索引或者签名特征进行维护。为了满足数据安全性要求,往往每年需要对主密钥进行更换,加大了代码开发和维护的工作量。
2.传统加密机方案往往对重要数据大文件的处理效率不高,一方面由于所有的加密操作在加密机内部完成,需要将文件传送给加密机,网络带宽/延时等不确定性导致效能下降;另一方面加密机在进行加密运算时通常采用SM4标准的CBC、ECB模式,在文件发生改变时,需要将整个文件发送给加密机进行重新加密而无法实现变化数据量的增量加密操作;而且传统方案受限于加密机的硬件性能,无法灵活的进行扩展。
三、能真正解决用户问题的创新方案
佰倬信息科技公司采用”应用系统解耦”的设计思路,其密码应用解决方案具备以下优势:
•实现数据机密性/完整性无需应用改造。
•加密/解密能力不依赖于单独设备能力,利用现有服务器算力完成加密,没有集中的瓶颈,可以根据需要方便的实现扩展。
•所有加密采用一文一密机制,安全级别高,且在海量文件或大文件场景下实现完美性能。
•密钥自动管理,无需进行人工维护。
•实时进行程序真实性/完整性校验,阻止真实性/完整性受损的程序访问保护数据。
•采用集中分布相结合方式满足物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全中的所有完整性要求。
•初始配置成本低,扩容可根据需求灵活扩展。
佰倬公司的应用密码方案采用软硬件结合的方式,以“尽量减少对应用的影响”为设计目标。整体方案由密码服务平台、佰倬密码服务模块、数字证书认证系统、密钥管理系统、电子签章系统、签名验签服务器、时间戳服务器、SSL VPN安全网关等密码软硬件设备组成,各密码基础设施均为双机冗余结构设计,避免一台设备或单个系统异常而导致业务中断,同时可为业务流量负载分担。
1、佰倬密码服务模块。可以实现以SM3和GB/T 15852.2 MAC密码算法为基础的消息鉴别服务,对数据和控制访问信息进行完整性保护;以SM4密码算法为基础的数据加密解密服务,实现重要数据在传输和存储过程中的机密性保护,确保重要数据的机密性和完整性。
2、数字证书认证系统。能够满足大量用户证书的管理需求。通过数字证书服务,满足对身份认证和行为认证的要求;
3、密钥管理系统。 不同用户的数据、不同类型的数据需要不同的密钥, 通过部署密钥管理系统,可规范密钥管理,实现自上而下密码应用的互信互任;
4、电子印章系统。可实现电子印章从制作、发布、到应用完整的公共服务支撑体系,确保单位使用电子印章对电子文件加盖过程、结果符合国家法律法规要求,实现电子文件安全、合法、有效应用。
5、IPSec/SSL VPN综合安全网关。通过IPSec/SSL VPN综合安全网关可构建基于国产密码技术的加密隧道,为需要远程接入的业务系统建立一个安全的接入网络,实现对远程接入的内部用户进行统一身份认证、统一系统账号管理、统一访问权限及单点登录。
6、签名验签服务器。签名验签服务主要应用于电子签名、电子政务等业务类型系统,可以为电子签章服务提供基础支撑能力。 实现不同单位和人员责任认定的不可否认性。
7、时间戳服务器。为数据产生时间点提供公正可信的认证支持,有效解决信息的时效性和操作行为的时效性。
8、手机盾系统。手机盾系统主要为移动端业务系统提供移动端证书的申请、签名、对称加解密、非对称加解密、用户信息变更等功能。
四、创新数据安全技术紧密融合密码技术的可靠产品是行业未来刚需
密码是网络空间安全的核心技术,是数字经济的基础设施,密码作为保障网络安全最有效、最可靠、最经济的关键核心技术,在维护国家安全、促进经济发展、保护人民群众利益中发挥着越来越重要的作用。
未来,随着国家“十四五”规划等一系列数字化发展战略的实施落地,将为我国密码行业转型升级按下“加速键”。在实战与合规需求驱动下,用户安全防护将从“应对式”向“主动式”转变,期待厂商将创新数据安全技术紧密融合密码技术,提供从“以产品为主”到“产品+服务”的增值解决方案。
