經(jīng)歷了傳統(tǒng)互聯(lián)網(wǎng)、移動互聯(lián)網(wǎng)和物聯(lián)網(wǎng)的幾次科技浪潮后,密碼學(xué)或者說密碼技術(shù)已經(jīng)走入人們生活的方方面面。當(dāng)今人們每日需要傳送大量的信息,但敏感信息以明文形式在網(wǎng)絡(luò)上傳輸隱患很大,密碼技術(shù)作為網(wǎng)絡(luò)安全的基石,通過加密、認證等手段完成對信息的安全傳輸。
三未信安副總經(jīng)理高志權(quán)
就像剛剛度過的“618”購物節(jié),除了各大電商推出的誘人低價以外,更值得關(guān)注的是區(qū)塊鏈技術(shù)正在被逐漸應(yīng)用于商品安全溯源中,覆蓋了生鮮、食品、母嬰等眾多品類場景。而區(qū)塊鏈技術(shù)作為一種底層技術(shù),大量依賴于密碼學(xué)和安全技術(shù)的研究成果。此外,網(wǎng)銀的U盾、Web頁面的HTTPS協(xié)議和基礎(chǔ)通信系統(tǒng)等都要依靠密碼技術(shù)支持,可以說如果沒有現(xiàn)代密碼學(xué)和信息安全的研究成果,人類社會也許無法進入信息時代。
近年來我國的信息化進程不斷加快,網(wǎng)絡(luò)安全問題日益凸顯,網(wǎng)絡(luò)安全即國家安全,由于密碼技術(shù)能保證信息的機密性、真實性、完整性和行為的不可否認性,使其在網(wǎng)絡(luò)安全中發(fā)揮著重要的基礎(chǔ)支撐作用,并直接關(guān)系到網(wǎng)絡(luò)的安全性,對于我國密碼技術(shù)的發(fā)展也提出了更高的要求。密碼技術(shù)既是維護國家網(wǎng)絡(luò)空間安全的需要,同樣也是為了更好的保護和改善民生。
然而人們對密碼技術(shù)卻知之甚少,大致的原因有兩個,其一是漢語環(huán)境中密碼一詞存在一詞多義的翻譯,沒有明確區(qū)分出Cryptography(密碼學(xué))和Password(口令)這兩個詞,造成了人們對于密碼的理解只是停留在表層密碼(口令)上,如“admin、222222、12345678”;其二密碼學(xué)相對壁壘較高,相應(yīng)的人才本就不多,普及的力度薄弱。
作為商用密碼行業(yè)的聚焦者,三未信安擁有領(lǐng)先的密碼相關(guān)技術(shù),專注于為客戶提供整套的密碼安全產(chǎn)品和多種類應(yīng)用場景的解決方案。三未信安副總經(jīng)理高志權(quán)表示,密碼技術(shù)已經(jīng)成為一種普適性的技術(shù),隨著它的應(yīng)用越來越廣,勢必對社會發(fā)展產(chǎn)生巨大影響。
政策助力商用密碼技術(shù)發(fā)展
隨著密碼技術(shù)在網(wǎng)絡(luò)安全領(lǐng)域的應(yīng)用逐漸加深,為了更明確密碼技術(shù)的分類管理,2017年國家密碼管理局起草的《中華人民共和國密碼法(草案征求意見稿)》中明確指出國家將密碼分為核心密碼、普通密碼、商用密碼,實行分類管理,并提出了密碼分類保護要求:核心密碼、普通密碼可以用于保護國家秘密信息,商用密碼用于保護不屬于國家秘密的信息。
我國密碼使用歷史悠久,實踐經(jīng)驗豐富,但在民用領(lǐng)域,密碼應(yīng)用歷史較短。隨著20世紀90年代網(wǎng)絡(luò)化的概念不斷擴散,金融、證券等行業(yè)面臨的信息安全問題逐漸增多,使用商用密碼技術(shù)保護非國家秘密信息的需求越來越強烈。
在1996年時,中央辦公廳印發(fā)的《關(guān)于發(fā)展商用密碼和加強對商用密碼管理工作的通知》,就確立了商用密碼發(fā)展和管理方針,1999年由國務(wù)院頒布施行《商用密碼管理條例》,則對商用密碼的研制、生產(chǎn)、使用等環(huán)節(jié)提出了更明確的規(guī)定。
高志權(quán)表示,我國的商用密碼起步晚于歐美等發(fā)達國家,但我國商用密碼事業(yè)發(fā)展迅速,從無到有經(jīng)過20多年的發(fā)展,已經(jīng)在網(wǎng)絡(luò)安全中也發(fā)揮著舉足輕重的作用。
法律層面,《中華人民共和國密碼法(草案征求意見稿)》中明確規(guī)定了關(guān)鍵信息基礎(chǔ)設(shè)施應(yīng)當(dāng)依照法律、法規(guī)和密碼相關(guān)國家標準的強制性要求使用密碼進行保護,同步規(guī)劃、同步建設(shè)、同步運行密碼保障系統(tǒng)。《中華人民共和國網(wǎng)絡(luò)安全法》強調(diào)了關(guān)鍵信息基礎(chǔ)設(shè)施安全,維護網(wǎng)絡(luò)數(shù)據(jù)的完整性、保密性和可用性,并且對網(wǎng)絡(luò)運營者應(yīng)該履行的用戶信息保護義務(wù)提出了明確要求。在《數(shù)據(jù)安全管理辦法(征求意見稿)》中提到了網(wǎng)絡(luò)運營者應(yīng)當(dāng)參照國家有關(guān)標準,采用數(shù)據(jù)分類、備份、加密等措施加強對個人信息和重要數(shù)據(jù)保護。
在政策層面,高志權(quán)表示,目前各個行業(yè)中政策多是依賴于《商用密碼管理條例》,另外在《網(wǎng)絡(luò)安全等級保護條例(征求意見稿)》中也專門提到了非涉密網(wǎng)絡(luò)應(yīng)當(dāng)按照國家密碼管理法律法規(guī)和標準的要求,使用密碼技術(shù)、產(chǎn)品和服務(wù)。近年來,密碼行業(yè)在金融、電信、交通、鐵路、民航、電力、政務(wù)外網(wǎng)等重點領(lǐng)域推進國產(chǎn)密碼應(yīng)用。這一系列政策將推動企業(yè)用戶采用密碼技術(shù)保護信息化系統(tǒng),在關(guān)鍵信息基礎(chǔ)設(shè)施等重要領(lǐng)域,加速部署密碼產(chǎn)品,構(gòu)建有效的數(shù)據(jù)安全防線。
打牢技術(shù)基礎(chǔ) 為下游廠商提供更好的服務(wù)
有了政策的支持,當(dāng)然技術(shù)進步還是要靠密碼企業(yè)自身的創(chuàng)新和耕耘。在整個商用密碼產(chǎn)業(yè)鏈中,上下游產(chǎn)品包含芯片、板卡和整機設(shè)備等,PCI-e接口的密碼卡作為商用密碼產(chǎn)業(yè)鏈中上游的產(chǎn)品之一,它的先進與否直接牽動產(chǎn)業(yè)鏈中各個層面的企業(yè),因此商用密碼技術(shù)的推進必然要從密碼卡入手,而三未信安的密碼卡產(chǎn)品正是基于此推出的產(chǎn)品,即打造底層產(chǎn)品,“造福”下游廠商。
在這一理念下,三未信安依靠在密碼卡領(lǐng)域積累多年的技術(shù)儲備,在今年4月,三未信安的密碼卡通過了密碼模塊安全三級的密碼檢測和專家安全性審查,拿到了國內(nèi)首張達到安全三級要求的密碼模塊型號證書:SJK1926 PCI-E密碼卡。
三未信安認為,從產(chǎn)業(yè)的角度出發(fā)研制產(chǎn)品固然重要,但構(gòu)建符合自身國情的標準體系顯得更為重要。通過更為深入地理解下游廠商的實際需求,三未信安選擇了更為嚴苛的安全標準,打造足夠安全的密碼模塊產(chǎn)品。剛剛提到的密碼模塊安全三級技術(shù)要求,依據(jù)的就是GM/T 0028-2014《密碼模塊安全技術(shù)要求》,該標準共有四級,從第一級到第四級安全性依次遞增。高志權(quán)表示,只有有了更安全的密碼模塊,才能做出更高安全的整機產(chǎn)品,作為國內(nèi)主要的密碼模塊供應(yīng)商,密碼卡達到安全三級要求,是三未信安義不容辭的責(zé)任,這將為合作伙伴實現(xiàn)高安全等級的整機類密碼產(chǎn)品奠定基礎(chǔ)。
顯然,安全三級標準還未達到“頂峰”,但根據(jù)三未信安給出的資料顯示,從全球市場來看,國外僅有百分之十幾的安全產(chǎn)品達到安全三級要求,國內(nèi)目前除了SJK1926PCI-E密碼卡之外,達到三級要求的產(chǎn)品相對較少;達到安全四級要求的產(chǎn)品目前國內(nèi)為零,國外也是鳳毛麟角。可以說,從目前實用性的方面來看,安全三級標準已經(jīng)達到了相對較高的要求,要達到此要求是很困難的,不僅是因為GM/T 0028的要求高,在某些安全域中的要求甚至比FIPS 140-2 Level3還嚴格,而且無先例可循。
三未信安作為先行者,摸著石頭過河難度確實很大,不過相信未來,安全三級產(chǎn)品將會越來越豐富。高志權(quán)也明確地指出,未來密碼模塊的安全等級需要跟系統(tǒng)的安全等級相匹配,國內(nèi)密碼安全體系尚處于推廣起步階段,目前與其配合的僅有GM/T 0054-2018《信息系統(tǒng)密碼應(yīng)用基本要求》,該標準中規(guī)定等保三級/四級信息系統(tǒng),宜采用/應(yīng)基于符合GM/T 0028的三級及以上密碼模塊或通過國家密碼管理部門核準的硬件密碼產(chǎn)品實現(xiàn)密碼運算和密鑰管理。國際上如WebTrust認證、PCI-DSS認證等,對密碼產(chǎn)品的安全等級要求寫的很清楚,鑒于此種情況,國內(nèi)未來在電力、金融等行業(yè)標準也會逐漸的把對密碼模塊安全等級的要求補充進去,這將成為未來發(fā)展的趨勢。
從網(wǎng)絡(luò)安全防御的角度出發(fā),商用密碼作為網(wǎng)絡(luò)安全的一種手段,與防火墻、防病毒、防入侵等被動防御手段不同,密碼技術(shù)是主動地對需要保護的信息進行加密,屬于一種主動的防御手段。只有標準更嚴,要求更高,網(wǎng)絡(luò)環(huán)境才能更安全。
云時代,商用密碼何去何從
不過在當(dāng)前,根據(jù)法律法規(guī)要求,密碼技術(shù)的應(yīng)用主要在重點領(lǐng)域進行保護,包括基礎(chǔ)信息網(wǎng)絡(luò)、交通系統(tǒng)、工控系統(tǒng)和社會服務(wù)系統(tǒng)等,而在更多新技術(shù)場景中,密碼技術(shù)尚未深入涉及,而這些技術(shù)正是滿足企業(yè)用戶創(chuàng)新的需求。
從2013年開始,移動互聯(lián)網(wǎng)、云計算、物聯(lián)網(wǎng)和大數(shù)據(jù)等迅速發(fā)展,傳統(tǒng)的IT架構(gòu)發(fā)生了變化。高志權(quán)也認為,新環(huán)境的快速發(fā)展給密碼領(lǐng)域確實帶來了很大的挑戰(zhàn),但同樣也是新機遇,軟件定義一切的時代讓通信數(shù)據(jù)的安全成了又一難題,云計算的興起催生出密碼技術(shù)新的應(yīng)用場景。三未信安整合了各項資源和技術(shù)儲備,在2015年發(fā)布了云密碼機,基于密碼卡的硬件虛擬化技術(shù)及BYOK云密鑰管理技術(shù),在云上構(gòu)建密碼資源池服務(wù),解決了把密碼的方案或工程部署到云中的問題。在云密碼資源池服務(wù)基礎(chǔ)上,再構(gòu)建其他的密碼應(yīng)用,如數(shù)字簽名、數(shù)據(jù)加解密。這就是三未信安云密碼資源池解決方案,可根據(jù)負載動態(tài)調(diào)整云密碼機的規(guī)模,實現(xiàn)密碼運算資源的動態(tài)調(diào)整和靈活調(diào)度,為用戶提供按需高效、彈性可擴展的密碼服務(wù)。
在數(shù)據(jù)保護方面,三未信安采取數(shù)據(jù)脫敏的方式保護數(shù)據(jù)安全,當(dāng)企業(yè)用戶在比較開放的環(huán)境進行數(shù)據(jù)分析時,對隱私數(shù)據(jù)進行了密碼變換(脫敏處理),這樣不僅提高了安全性,也給企業(yè)用戶處理數(shù)據(jù)帶來便利。此外,針對猖獗的數(shù)據(jù)倒買倒賣,三未信安還提供數(shù)據(jù)溯源的解決方案。
三未信安到今年成立了已經(jīng)11年,技術(shù)領(lǐng)先是表象,研發(fā)團隊才是基礎(chǔ),高志權(quán)表示,由于密碼行業(yè)的迅速發(fā)展,為了實現(xiàn)前沿技術(shù)上的領(lǐng)先,三未信安與眾多科研機構(gòu)、高校的合作一直保持得比較密切。以此加快商用密碼的創(chuàng)新發(fā)展,扎實推進商用密碼技術(shù)的廣泛應(yīng)用,為企業(yè)用戶、下游廠商提供更為系統(tǒng)、完善的商用密碼產(chǎn)品和服務(wù)。
[被采訪人簡介]
高志權(quán),三未信安副總經(jīng)理、密標委應(yīng)用組專家。2001年起從事于國產(chǎn)商用密碼的研究和開發(fā)工作,“密碼機”、“云密碼應(yīng)用方案”等多次獲得“國家密碼科技進步三等獎”(省部級),參與國家863計劃、發(fā)改委等重大課題或項目,在云密碼技術(shù)等方向有多項發(fā)明專利。在密碼應(yīng)用方面有較多的經(jīng)驗積累,牽頭或參與了多項密碼行業(yè)標準的制定工作,并成為密碼行業(yè)標準化技術(shù)委員會應(yīng)用組的專家。
推薦閱讀
麗笙酒店集團遭遇數(shù)據(jù)泄露,官方稱受影響會員不足10%
據(jù)英國科技新聞網(wǎng)站The Register報道稱,麗笙酒店集團(Radisson hotel Group,以下簡稱“麗笙”)已經(jīng)于10月30日開始向參與其獎勵計劃的會員發(fā)出電子郵件,確>>>詳細閱讀
本文標題:三未信安率先通過密碼模塊安全三級檢測
地址:http://www.oumuer.cn/jishu/dengbao/308553.html
網(wǎng)友點評
精彩導(dǎo)讀
科技快報
品牌展示