距離2020年1月1日《中華人民共和國密碼法》(簡稱“密碼法”)正式施行,還剩15天。密碼法都做了哪些規定,與我們個人和企業有什麼關系,在新法正式施行前我們應該怎麼做好準備?今天我們就來聊一聊密碼法相關的那些事。
密碼法最受關注的四大問題
密碼法的“密碼”指的是什麼?
一提到密碼,我們都會聯想到銀行密碼、手機密碼、支付密碼、賬号密碼等等,但此密碼并非彼密碼。
密碼法裡的密碼指的是使用特定變換對資訊等進行加密保護或者安全認證的産品、技術和服務。是以對于硬體安全子產品、伺服器密碼機、數字證書認證系統等核心功能屬于加密保護或安全認證的産品都屬于密碼産品。
按照密碼的功能形态分為核心密碼、普通密碼和商用密碼。核心密碼和普通密碼是用來保護國家秘密資訊,商用密碼是用于保護不屬于國家秘密的資訊的密碼,是網際網路和其他行業使用最為廣泛的類型。
那麼重點來了,密碼法跟誰有關?
一切使用加密保護、安全認證技術、産品和服務進行保護的企業及組織,尤其是影響國計民生、社會公共利益和秩序的機關,都應該合理使用密碼來保障資料安全。
對于使用商用密碼的企業及組織還需要開展商用密碼應用安全性評估。在2019年12月1日正式實施的等保2.0中,就對網絡安全第三級及以上等級保護對象做出了明确的密碼應用安全性評測标準。對于可能影響國家安全的關鍵資訊基礎設施的營運者還需要按照監管要求進行審查。
“密碼應用安全性評估”涉及哪些内容?
密碼應用安全性評估對于網絡對象采集、傳輸、存儲的資料以及外圍保護環境資料根據重要程度、類型提出了實作機密性、真實性、完整性和不可否認性的密碼保護要求,圍繞資料生命周期進行全方位的密碼保護和安全管理。
通俗來講,密碼不僅要用在資料采集、存儲、傳輸等所有節點,而且還要有效,不能是形式主義。
違反密碼法有什麼後果?
對于不使用密碼的,輕則管理部門會對違規機關進行責令改正,給予警告,重則對違規機關進行數十萬的罰款,對負責人進行處分和罰款,一旦構成犯罪,還将依法追究刑事責任。
阿裡雲進階式資料加密能力助你做足功課
根據使用者對不同資料不同安全等級的需求,阿裡雲提供了一整套完整的進階式資料加密能力,以及密鑰管理服務,也就是密碼法中的密碼管理服務,讓使用者可以保護好雲上這個“密碼本”,滿足不同資料加密需求。
加密入門:可見的“預設加密”
為了更友善的讓使用者對低安全級别的資料進行加密保護,而避免付出額外的密鑰管理開銷,阿裡雲在密鑰管理服務KMS中為使用者提供了一種自動管理密鑰的功能,使用者隻需要在KMS中選擇“服務密鑰”這一功能,就可以通過KMS實作資料的自動加密,不需要使用者做任何操作,且密鑰的任何調用情況使用者都可以在操作審計産品中看到。
加密進階:可見可控的全托管加密
如果使用者對資料加密有更高需求,可以不使用KMS自動生成的服務密鑰功能,而是自行在KMS中管理密鑰的生命周期,包括建立、删除、禁用、啟用密鑰等,并且在通路控制(RAM)中自主管理密鑰的授權規則。該密鑰是解密資料的唯一鑰匙,沒有使用者授權密鑰,任何人無法看到資料;如果密鑰被删除,包括使用者在内的任何人都無法解密資料。
加密高階:可見可控的半托管加密
比全托管加密更進階的安全能力來自于業界普遍認可的一項技術:BYOK(Bring Your Own Key)。通俗來講就是使用者可以自己生産密鑰導入雲上KMS托管的硬體密碼機中,這個過程是單向的,密鑰隻能導入不能導出,除使用者之外的任何第三方都無法知曉托管密碼機中的内容。除此之外使用者可以随時銷毀雲上密鑰,而仍然保有密鑰的生命周期管理能力,例如,使用者導入密鑰對資料加密後可以删掉密鑰,在資料需要被解密時再重新導入相同密鑰來解密即可,這為使用者提供了更多的自主權利。
加密更高階:自己寫代碼調用KMS
相較于前三階均是“雲産品內建加密”,從該階加密開始,使用者可以自己寫代碼調用KMS的API能力,更加适用于對敏感資料保護有更高要求,或者為了滿足GPDR及其他法律法規要求的使用者,這種加密方式可以針對特定資料實作主動加密保護。使用者可以根據自身的業務場景特性和業務邏輯特性來制定不同的密鑰管理政策,将加密能力嵌入到業務當中,使得安全與合規需求及業務系統緊密融合,進一步減小惡意者對敏感資料的攻擊面。例如:資料庫TDE加密,并不能有效防止具有資料庫使用者或者DBA檢視資料庫内的敏感資料。如果業務系統對特定的敏感資料列進行自定義加密,資料庫使用者或者DBA則需要進一步擷取密鑰的權限進而檢視敏感資料。
除此之外,自定義加密的應用系統,可以更好的利用KMS内建的密鑰自動輪轉能力,實作密鑰管理的安全政策。
加密最高階:自己管理HSM叢集和寫代碼
除了密鑰管理服務KMS,阿裡雲還為使用者提供了雲伺服器密碼機執行個體。使用者可以自己管理所需的密碼機執行個體數量,自己做密鑰機之間的密鑰同步、備份、負載均衡等工作。在這個過程中,雲服務商不參與任何密鑰管理相關工作,使用者不僅對密鑰管理有完全的控制權,同時對硬體密碼機也有完全的控制權,為最高階的加密方式。
從上面可以看出,阿裡雲這套雲上密碼能力體系,不僅可以幫助使用者實作資料的加密保護、數字簽名的産生和驗證、加密密鑰的自動輪轉等功能,更便捷的建構密碼應用和解決方案,還能賦能雲上資料安全、身份認證、區塊鍊、DevSecOps等廣泛場景。
雲上密碼能力地圖
密碼法的頒布隻是第一步,資料安全是一個系統工程。在《密碼法》的指導下,企業可以借助阿裡雲的技術工具和安全産品強化自身的安全體系,在保障資料安全的前提下,充分享受技術紅利,促進業務的持續、穩定發展。
如果您想了解更多資料加密相關問題,可以掃描下方二維碼,直連安全專家哦~
