距離2020年1月1日《中華人民共和國密碼法》(簡稱“密碼法”)正式施行,還剩27天。密碼法都做了哪些規定,與我們個人和企業有什麼關係,在新法正式施行前我們應該怎麼做好準備?今天我們就來聊一聊密碼法相關的那些事。
密碼法最受關注的四大問題
密碼法的“密碼”指的是什麼?
一提到密碼,我們都會聯想到銀行密碼、手機密碼、支付密碼、賬號密碼等等,但此密碼並非彼密碼。
密碼法裏的密碼指的是使用特定變換對信息等進行加密保護或者安全認證的產品、技術和服務。所以對於硬件安全模塊、服務器密碼機、數字證書認證系統等核心功能屬於加密保護或安全認證的產品都屬於密碼產品。
按照密碼的功能形態分爲核心密碼、普通密碼和商用密碼。核心密碼和普通密碼是用來保護國家祕密信息,商用密碼是用於保護不屬於國家祕密的信息的密碼,是互聯網和其他行業使用最爲廣泛的類型。
那麼重點來了,密碼法跟誰有關?
一切使用加密保護、安全認證技術、產品和服務進行保護的企業及組織,尤其是影響國計民生、社會公共利益和秩序的單位,都應該合理使用密碼來保障數據安全。
對於使用商用密碼的企業及組織還需要開展商用密碼應用安全性評估。在2019年12月1日正式實施的等保2.0中,就對網絡安全第三級及以上等級保護對象做出了明確的密碼應用安全性評測標準。對於可能影響國家安全的關鍵信息基礎設施的運營者還需要按照監管要求進行審查。
“密碼應用安全性評估”涉及哪些內容?
密碼應用安全性評估對於網絡對象採集、傳輸、存儲的數據以及外圍保護環境數據根據重要程度、類型提出了實現機密性、真實性、完整性和不可否認性的密碼保護要求,圍繞數據生命週期進行全方位的密碼保護和安全管理。
通俗來講,密碼不僅要用在數據採集、存儲、傳輸等所有節點,而且還要有效,不能是形式主義。
違反密碼法有什麼後果?
對於不使用密碼的,輕則管理部門會對違規單位進行責令改正,給予警告,重則對違規單位進行數十萬的罰款,對負責人進行處分和罰款,一旦構成犯罪,還將依法追究刑事責任。
阿里雲進階式數據加密能力助你做足功課
根據用戶對不同數據不同安全等級的需求,阿里雲提供了一整套完整的進階式數據加密能力,以及密鑰管理服務,也就是密碼法中的密碼管理服務,讓用戶可以保護好雲上這個“密碼本”,滿足不同數據加密需求。
加密入門:可見的“默認加密”
爲了更方便的讓用戶對低安全級別的數據進行加密保護,而避免付出額外的密鑰管理開銷,阿里雲在密鑰管理服務KMS中爲用戶提供了一種自動管理密鑰的功能,用戶只需要在KMS中選擇“服務密鑰”這一功能,就可以通過KMS實現數據的自動加密,不需要用戶做任何操作,且密鑰的任何調用情況用戶都可以在操作審計產品中看到。
加密進階:可見可控的全託管加密
如果用戶對數據加密有更高需求,可以不使用KMS自動生成的服務密鑰功能,而是自行在KMS中管理密鑰的生命週期,包括創建、刪除、禁用、啓用密鑰等,並且在訪問控制(RAM)中自主管理密鑰的授權規則。該密鑰是解密數據的唯一鑰匙,沒有用戶授權密鑰,任何人無法看到數據;如果密鑰被刪除,包括用戶在內的任何人都無法解密數據。
加密高階:可見可控的半托管加密
比全託管加密更高級的安全能力來自於業界普遍認可的一項技術:BYOK(Bring Your Own Key)。通俗來講就是用戶可以自己生產密鑰導入雲上KMS託管的硬件密碼機中,這個過程是單向的,密鑰只能導入不能導出,除用戶之外的任何第三方都無法知曉託管密碼機中的內容。除此之外用戶可以隨時銷燬雲上密鑰,而仍然保有密鑰的生命週期管理能力,例如,用戶導入密鑰對數據加密後可以刪掉密鑰,在數據需要被解密時再重新導入相同密鑰來解密即可,這爲用戶提供了更多的自主權利。
加密更高階:自己寫代碼調用KMS
相較於前三階均是“雲產品集成加密”,從該階加密開始,用戶可以自己寫代碼調用KMS的API能力,更加適用於對敏感數據保護有更高要求,或者爲了滿足GPDR及其他法律法規要求的用戶,這種加密方式可以針對特定數據實現主動加密保護。用戶可以根據自身的業務場景特性和業務邏輯特性來制定不同的密鑰管理策略,將加密能力嵌入到業務當中,使得安全與合規需求及業務系統緊密融合,進一步減小惡意者對敏感數據的攻擊面。例如:數據庫TDE加密,並不能有效防止具有數據庫用戶或者DBA查看數據庫內的敏感數據。如果業務系統對特定的敏感數據列進行自定義加密,數據庫用戶或者DBA則需要進一步獲取密鑰的權限從而查看敏感數據。
除此之外,自定義加密的應用系統,可以更好的利用KMS內建的密鑰自動輪轉能力,實現密鑰管理的安全策略。
加密最高階:自己管理HSM集羣和寫代碼
除了密鑰管理服務KMS,阿里雲還爲用戶提供了雲服務器密碼機實例。用戶可以自己管理所需的密碼機實例數量,自己做密鑰機之間的密鑰同步、備份、負載均衡等工作。在這個過程中,雲服務商不參與任何密鑰管理相關工作,用戶不僅對密鑰管理有完全的控制權,同時對硬件密碼機也有完全的控制權,爲最高階的加密方式。
從上面可以看出,阿里雲這套雲上密碼能力體系,不僅可以幫助用戶實現數據的加密保護、數字簽名的產生和驗證、加密密鑰的自動輪轉等功能,更便捷的構建密碼應用和解決方案,還能賦能雲上數據安全、身份認證、區塊鏈、DevSecOps等廣泛場景。
密碼法的頒佈只是第一步,數據安全是一個系統工程。在《密碼法》的指導下,企業可以藉助阿里雲的技術工具和安全產品強化自身的安全體系,在保障數據安全的前提下,充分享受技術紅利,促進業務的持續、穩定發展。
如果您想了解更多數據加密相關問題,可以掃描下方二維碼,直連安全專家哦~
