赛迪网专访三未信安副总经理高志权,高总表示:“密码技术已经成为一种普适性的技术,随着它的应用越来越广,势必对社会发展产生巨大影响。”
经历了传统互联网、移动互联网和物联网的几次科技浪潮后,密码学或者说密码技术已经走入人们生活的方方面面。当今人们每日需要传送大量的信息,但敏感信息以明文形式在网络上传输隐患很大,密码技术作为网络安全的基石,通过加密、认证等手段完成对信息的安全传输。
三未信安副总经理高志权
就像刚刚度过的“618”购物节,除了各大电商推出的诱人低价以外,更值得关注的是区块链技术正在被逐渐应用于商品安全溯源中,覆盖了生鲜、食品、母婴等众多品类场景。而区块链技术作为一种底层技术,大量依赖于密码学和安全技术的研究成果。此外,网银的U盾、Web页面的HTTPS协议和基础通信系统等都要依靠密码技术支持,可以说如果没有现代密码学和信息安全的研究成果,人类社会也许无法进入信息时代。
近年来我国的信息化进程不断加快,网络安全问题日益凸显,网络安全即国家安全,由于密码技术能保证信息的机密性、真实性、完整性和行为的不可否认性,使其在网络安全中发挥着重要的基础支撑作用,并直接关系到网络的安全性,对于我国密码技术的发展也提出了更高的要求。密码技术既是维护国家网络空间安全的需要,同样也是为了更好的保护和改善民生。
然而人们对密码技术却知之甚少,大致的原因有两个,其一是汉语环境中密码一词存在一词多义的翻译,没有明确区分出Cryptography(密码学)和Password(口令)这两个词,造成了人们对于密码的理解只是停留在表层密码(口令)上,如“admin、222222、12345678”;其二密码学相对壁垒较高,相应的人才本就不多,普及的力度薄弱。
作为商用密码行业的聚焦者,三未信安拥有领先的密码相关技术,专注于为客户提供整套的密码安全产品和多种类应用场景的解决方案。三未信安副总经理高志权表示,密码技术已经成为一种普适性的技术,随着它的应用越来越广,势必对社会发展产生巨大影响。
政策助力商用密码技术发展
随着密码技术在网络安全领域的应用逐渐加深,为了更明确密码技术的分类管理,2017年国家密码管理局起草的《中华人民共和国密码法(草案征求意见稿)》中明确指出国家将密码分为核心密码、普通密码、商用密码,实行分类管理,并提出了密码分类保护要求:核心密码、普通密码可以用于保护国家秘密信息,商用密码用于保护不属于国家秘密的信息。
我国密码使用历史悠久,实践经验丰富,但在民用领域,密码应用历史较短。随着20世纪90年代网络化的概念不断扩散,金融、证券等行业面临的信息安全问题逐渐增多,使用商用密码技术保护非国家秘密信息的需求越来越强烈。
在1996年时,中央办公厅印发的《关于发展商用密码和加强对商用密码管理工作的通知》,就确立了商用密码发展和管理方针,1999年由国务院颁布施行《商用密码管理条例》,则对商用密码的研制、生产、使用等环节提出了更明确的规定。
高志权表示,我国的商用密码起步晚于欧美等发达国家,但我国商用密码事业发展迅速,从无到有经过20多年的发展,已经在网络安全中也发挥着举足轻重的作用。
法律层面,《中华人民共和国密码法(草案征求意见稿)》中明确规定了关键信息基础设施应当依照法律、法规和密码相关国家标准的强制性要求使用密码进行保护,同步规划、同步建设、同步运行密码保障系统。《中华人民共和国网络安全法》强调了关键信息基础设施安全,维护网络数据的完整性、保密性和可用性,并且对网络运营者应该履行的用户信息保护义务提出了明确要求。在《数据安全管理办法(征求意见稿)》中提到了网络运营者应当参照国家有关标准,采用数据分类、备份、加密等措施加强对个人信息和重要数据保护。
在政策层面,高志权表示,目前各个行业中政策多是依赖于《商用密码管理条例》,另外在《网络安全等级保护条例(征求意见稿)》中也专门提到了非涉密网络应当按照国家密码管理法律法规和标准的要求,使用密码技术、产品和服务。近年来,密码行业在金融、电信、交通、铁路、民航、电力、政务外网等重点领域推进国产密码应用。这一系列政策将推动企业用户采用密码技术保护信息化系统,在关键信息基础设施等重要领域,加速部署密码产品,构建有效的数据安全防线。
打牢技术基础 为下游厂商提供更好的服务
有了政策的支持,当然技术进步还是要靠密码企业自身的创新和耕耘。在整个商用密码产业链中,上下游产品包含芯片、板卡和整机设备等,PCI-e接口的密码卡作为商用密码产业链中上游的产品之一,它的先进与否直接牵动产业链中各个层面的企业,因此商用密码技术的推进必然要从密码卡入手,而三未信安的密码卡产品正是基于此推出的产品,即打造底层产品,“造福”下游厂商。
在这一理念下,三未信安依靠在密码卡领域积累多年的技术储备,在今年4月,三未信安的密码卡通过了密码模块安全三级的密码检测和专家安全性审查,拿到了国内首张达到安全三级要求的密码模块型号证书:SJK1926 PCI-E密码卡。
三未信安认为,从产业的角度出发研制产品固然重要,但构建符合自身国情的标准体系显得更为重要。通过更为深入地理解下游厂商的实际需求,三未信安选择了更为严苛的安全标准,打造足够安全的密码模块产品。刚刚提到的密码模块安全三级技术要求,依据的就是GM/T 0028-2014《密码模块安全技术要求》,该标准共有四级,从第一级到第四级安全性依次递增。高志权表示,只有有了更安全的密码模块,才能做出更高安全的整机产品,作为国内主要的密码模块供应商,密码卡达到安全三级要求,是三未信安义不容辞的责任,这将为合作伙伴实现高安全等级的整机类密码产品奠定基础。
显然,安全三级标准还未达到“顶峰”,但根据三未信安给出的资料显示,从全球市场来看,国外仅有百分之十几的安全产品达到安全三级要求,国内目前除了SJK1926PCI-E密码卡之外,达到三级要求的产品相对较少;达到安全四级要求的产品目前国内为零,国外也是凤毛麟角。可以说,从目前实用性的方面来看,安全三级标准已经达到了相对较高的要求,要达到此要求是很困难的,不仅是因为GM/T 0028的要求高,在某些安全域中的要求甚至比FIPS 140-2 Level3还严格,而且无先例可循。
三未信安作为先行者,摸着石头过河难度确实很大,不过相信未来,安全三级产品将会越来越丰富。高志权也明确地指出,未来密码模块的安全等级需要跟系统的安全等级相匹配,国内密码安全体系尚处于推广起步阶段,目前与其配合的仅有GM/T 0054-2018《信息系统密码应用基本要求》,该标准中规定等保三级/四级信息系统,宜采用/应基于符合GM/T 0028的三级及以上密码模块或通过国家密码管理部门核准的硬件密码产品实现密码运算和密钥管理。国际上如WebTrust认证、PCI-DSS认证等,对密码产品的安全等级要求写的很清楚,鉴于此种情况,国内未来在电力、金融等行业标准也会逐渐的把对密码模块安全等级的要求补充进去,这将成为未来发展的趋势。
从网络安全防御的角度出发,商用密码作为网络安全的一种手段,与防火墙、防病毒、防入侵等被动防御手段不同,密码技术是主动地对需要保护的信息进行加密,属于一种主动的防御手段。只有标准更严,要求更高,网络环境才能更安全。
云时代,商用密码何去何从
不过在当前,根据法律法规要求,密码技术的应用主要在重点领域进行保护,包括基础信息网络、交通系统、工控系统和社会服务系统等,而在更多新技术场景中,密码技术尚未深入涉及,而这些技术正是满足企业用户创新的需求。
从2013年开始,移动互联网、云计算、物联网和大数据等迅速发展,传统的IT架构发生了变化。高志权也认为,新环境的快速发展给密码领域确实带来了很大的挑战,但同样也是新机遇,软件定义一切的时代让通信数据的安全成了又一难题,云计算的兴起催生出密码技术新的应用场景。三未信安整合了各项资源和技术储备,在2015年发布了云密码机,基于密码卡的硬件虚拟化技术及BYOK云密钥管理技术,在云上构建密码资源池服务,解决了把密码的方案或工程部署到云中的问题。在云密码资源池服务基础上,再构建其他的密码应用,如数字签名、数据加解密。这就是三未信安云密码资源池解决方案,可根据负载动态调整云密码机的规模,实现密码运算资源的动态调整和灵活调度,为用户提供按需高效、弹性可扩展的密码服务。
在数据保护方面,三未信安采取数据脱敏的方式保护数据安全,当企业用户在比较开放的环境进行数据分析时,对隐私数据进行了密码变换(脱敏处理),这样不仅提高了安全性,也给企业用户处理数据带来便利。此外,针对猖獗的数据倒买倒卖,三未信安还提供数据溯源的解决方案。
三未信安到今年成立了已经11年,技术领先是表象,研发团队才是基础,高志权表示,由于密码行业的迅速发展,为了实现前沿技术上的领先,三未信安与众多科研机构、高校的合作一直保持得比较密切。以此加快商用密码的创新发展,扎实推进商用密码技术的广泛应用,为企业用户、下游厂商提供更为系统、完善的商用密码产品和服务。
热门跟贴