11月28日,華南地區規格最高、規模最大的網路安全大會“灣區創見·2020年網路安全大會”在深圳國際會展中心順利開幕。騰訊作為大會協辦方,承辦了公有云安全專場。期間,騰訊安全聯合深圳市商用密碼行業協會成立的“鼎雲密碼應用聯合實驗室”(以下簡稱“聯合實驗室”)正式揭牌。這是國內首家聚焦雲端密碼應用的聯合實驗室,致力於推動雲端計算平臺密碼應用,促進密碼應用的合規、正確和有效。
近年來,國內外大規模資料洩露事件頻頻發生,國家、企業甚至個人對網路和資訊保安的要求日益嚴格,對密碼技術也有了更高要求。與此同時,國家相繼頒佈實施了《網路安全法》、《密碼法》、《網路安全審查辦法》、《國家政務資訊化專案建設管理辦法》等一系列法律法規,規範密碼應用,強調透過密碼應用安全性評估促進商用密碼的使用和管理規範。
在本屆大會的公有云安全專場上,鼎鉉商用密碼測評技術有限公司安全測評部副部長鄒超提到“密碼用的對不對,好不好,要拿測評結果來說話。”而目前,國內商用密碼應用呈現“不規範、不廣泛、不安全”的現狀。根據調查,目前有大量的重要系統存在密碼使用不符合標準,使用大量不安全的演算法,甚至未使用密碼的情況。
政企單位在應用傳統密碼技術的過程中本就存在“難做、難用、難管”三大難題,而隨著新基建加速推進,越來越多的政企單位上雲,如何依託雲端計算交付密碼技術成為了業界需要思考的新問題。
在密碼技術層面,將密碼技術嵌入雲端計算系統中仍面臨諸多的挑戰,包括如何與雲系統進行適配、硬體密碼模組怎樣部署、以及業內缺乏雲端計算系統中應用密碼技術配套規範和標準等等。
為攻克這些難題,推動密碼技術更好地在雲端場景應用落地,深圳市商用密碼行業協會攜手騰訊安全雲鼎實驗室共同成立鼎雲密碼應用聯合實驗室。聯合實驗室將聚焦雲端密碼應用進行前瞻性的研究,依託騰訊安全在雲資料加密方面的技術積累和科研能力,發揮騰訊雲資料安全中臺端到端的雲資料全生命週期安全體系的優勢,幫助政企單位構建簡單易用的業務系統合規化的密碼技術應用架構。
以資料儲存的機密性和完整性保護為例,以前合規的資料儲存加密採用的密碼機方案,需要密碼使用單位自己二次開發改造應用系統程式碼,來呼叫密碼機提供的基礎加解密算力,實施成本高、週期長。
而騰訊安全已經在雲加密技術方面做了大量預研,透過雲訪問安全代理CASB元件提供面向切面加密技術,提供基於國密SM4演算法的格式加密。實現將資料加密後存入資料庫,使資料從應用服務到資料庫之間以密文形式傳輸。幫助密碼使用單位體系化的滿足商用密碼應用安全性評估的合規要求。
深圳市商用密碼行業協會一直以來致力於推進深圳市商用密碼與資訊保安技術的普及,促進行業人才的成長與進步,推動產學研結合,推進商用密碼和資訊科技知識的傳播和應用。此次與騰訊安全雲鼎實驗室強強聯合,共同致力於面向雲端場景的密碼應用提供更加簡單實用的解決方案。未來,聯合實驗室將制定一體化的密碼保障體系框架以及設計技術要求,釋放雙方多年的技術實力和行業經驗,圍繞雲端計算場景進行密碼標準化研究,開展雲端計算密碼應用行業最佳實踐,打造密碼靶場和實訓平臺並在雲端計算密碼應用創新研究等方面展開合作。進一步開放安全能力,推動密碼技術應用合規化。