距離2023年1月1日《中華人民共和國密碼法》(簡稱「密碼法」)正式施行,還剩二十多天。密碼法都做了哪些規定,與我們個人和企業有什麼關係,在新法正式施行前我們應該怎麼做好準備?今天我們就來聊一聊密碼法相關的那些事。
一提到密碼,我們都會聯想到銀行密碼、手機密碼、支付密碼、賬號密碼等等,但此密碼並非彼密碼。
密碼法里的密碼指的是使用特定變換對資訊等進行加密保護或者安全認證的產品、技術和服務。所以對於硬體安全模組、伺服器密碼機、數字證書認證系統等核心功能屬於加密保護或安全認證的產品都屬於密碼產品。
按照密碼的功能形態分為核心密碼、普通密碼和商用密碼。核心密碼和普通密碼是用來保護國家秘密資訊,商用密碼是用於保護不屬於國家秘密的資訊的密碼,是網際網路和其他行業使用最為廣泛的型別。
一切使用加密保護、安全認證技術、產品和服務進行保護的企業及組織,尤其是影響國計民生、社會公共利益和秩序的單位,都應該合理使用密碼來保障資料安全。
對於使用商用密碼的企業及組織還需要開展商用密碼應用安全性評估。在2023年12月1日正式實施的等保2.0中,就對網路安全第**及以上等級保護物件做出了明確的密碼應用安全性評測標準。對於可能影響****的關鍵資訊基礎設施的運營者還需要按照監管要求進行審查。
密碼應用安全性評估對於網路物件採集、傳輸、儲存的資料以及外圍保護環境資料根據重要程度、型別提出了實現機密性、真實性、完整性和不可否認性的密碼保護要求,圍繞資料生命週期進行全方位的密碼保護和安全管理。
通俗來講,密碼不僅要用在資料採集、儲存、傳輸等所有節點,而且還要有效,不能是形式主義。
對於不使用密碼的,輕則管理部門會對違規單位進行責令改正,給予警告,重則對違規單位進行數十萬的罰款,對負責人進行處分和罰款,一旦構成犯罪,還將依法追究刑事責任。
根據使用者對不同資料不同安全等級的需求,阿里雲提供了一整套完整的高階式資料加密能力,以及金鑰管理服務,也就是密碼法中的密碼管理服務,讓使用者可以保護好雲上這個「密碼本」,滿足不同資料加密需求。
為了更方便的讓使用者對低安全級別的資料進行加密保護,而避免付出額外的金鑰管理開銷,阿里雲在金鑰管理服務kms中為使用者提供了一種自動管理金鑰的功能,使用者只需要在kms中選擇「服務金鑰」這一功能,就可以通過kms實現資料的自動加密,不需要使用者做任何操作,且金鑰的任何呼叫情況使用者都可以在操作審計產品中看到。
如果使用者對資料加密有更高需求,可以不使用kms自動生成的服務金鑰功能,而是自行在kms中管理金鑰的生命週期,包括建立、刪除、禁用、啟用金鑰等,並且在訪問控制(ram)中自主管理金鑰的授權規則。該金鑰是解密資料的唯一鑰匙,沒有使用者授權金鑰,任何人無法看到資料;如果金鑰被刪除,包括使用者在內的任何人都無法解密資料。
比全託管加密更高階的安全能力來自於業界普遍認可的一項技術:byok(bring your own key)。通俗來講就是使用者可以自己生產金鑰匯入雲上kms託管的硬體密碼機中,這個過程是單向的,金鑰只能匯入不能匯出,除使用者之外的任何第三方都無法知曉託管密碼機中的內容。除此之外使用者可以隨時銷毀雲上金鑰,而仍然保有金鑰的生命週期管理能力,例如,使用者匯入金鑰對資料加密後可以刪掉金鑰,在資料需要被解密時再重新匯入相同金鑰來解密即可,這為使用者提供了更多的自主權利。
相較於前三階均是「雲產品整合加密」,從該階加密開始,使用者可以自己寫**呼叫kms的api能力,更加適用於對敏感資料保護有更高要求,或者為了滿足gpdr及其他法律法規要求的使用者,這種加密方式可以針對特定資料實現主動加密保護。使用者可以根據自身的業務場景特性和業務邏輯特性來制定不同的金鑰管理策略,將加密能力嵌入到業務當中,使得安全與合規需求及業務系統緊密融合,進一步減小惡意者對敏感資料的攻擊面。例如:資料庫tde加密,並不能有效防止具有資料庫使用者或者dba檢視資料庫內的敏感資料。如果業務系統對特定的敏感資料列進行自定義加密,資料庫使用者或者dba則需要進一步獲取金鑰的許可權從而檢視敏感資料。
除此之外,自定義加密的應用系統,可以更好的利用kms內建的金鑰自動輪轉能力,實現金鑰管理的安全策略。
除了金鑰管理服務kms,阿里雲還為使用者提供了雲伺服器密碼機例項。使用者可以自己管理所需的密碼機例項數量,自己做金鑰機之間的金鑰同步、備份、負載均衡等工作。在這個過程中,雲服務商不參與任何金鑰管理相關工作,使用者不僅對金鑰管理有完全的控制權,同時對硬體密碼機也有完全的控制權,為最高端的加密方式。
從上面可以看出,阿里雲這套雲上密碼能力體系,不僅可以幫助使用者實現資料的加密保護、數字簽名的產生和驗證、加密金鑰的自動輪轉等功能,更便捷的構建密碼應用和解決方案,還能賦能雲上資料安全、身份認證、區塊鏈、devsecops等廣泛場景。
雲上密碼能力地圖
密碼法的頒布只是第一步,資料安全是乙個系統工程。在《密碼法》的指導下,企業可以借助阿里雲的技術工具和安全產品強化自身的安全體系,在保障資料安全的前提下,充分享受技術紅利,促進業務的持續、穩定發展。