密码丰会|白小勇:密码安全一体化,打造实战型数据保护
2023年6月9日,以“创新·应用”为主题的2023密码丰会在北京丰台成功召开。本届大会由丰台区人民政府主办,邀请北京市科学技术委员会、中关村科技园区管理委员会和北京市密码管理局指导,丰台区科学技术和信息化局、丰台区密码管理局、中关村丰台科技园管委会承办,中关村中安高速密码产业联盟(筹)、北京网络信息安全技术创新产业联盟联合承办,北京商用密码行业协会、北京中关村高新技术企业协会、北京市丰台区高新技术企业协会、数盾科技、炼石网络等以及多地密码行业协会、密码企业与密码产业链机构协办。
大会汇聚了密码行业的知名院士、行业专家、商用密码重点企业代表,通过产业发展、创新应用、成果发布、重点方案以及商密“木兰”对话、商密跨界问道等多个维度,共同深入探讨商用密码行业的发展方向、密码关键核心技术,以科技创新激发“动力源”,筑牢国家网络安全的“铜墙铁壁”。炼石创始人、CEO白小勇受邀出席,并发表《密码安全一体化,打造实战型数据保护》的主题演讲,并在商用密码行业年度评选中,炼石荣获“成长力企业”奖项。
关注炼石的本公众号(或从微信中搜索公众号:炼石网络CipherGateway)并后台回复关键词“炼石就是数据安全052 ”,即可打包下载《密码安全一体化,打造实战型数据保护》主题演讲PDF版高清文件。
为了共同推动密码产业发展,欢迎行业同仁加入“[炼石]密码应用技术圈”微信群,探讨密码技术与应用的最新动态和最佳实践。
01 法律法规培育密码产业肥沃土壤
内在需求与外部合规双驱动,商密产业发展动力强劲。社会向前发展,安全是内在需求,如果安全不足以匹配发展,那么璀璨成果会随时面临崩塌。随着中国式现代化的深入推进,安全需求的内涵和外延将更加丰富,迫切需要更高标准的安全保障。近年来,在国家“十四五”规划、二十大报告战略指引下,《网络安全法》《密码法》《数据安全法》《个人信息保护法》相继施行,“四法四例四规”配套规章细化到省部级、技术标准细化到场景级。尤其是2023年4月14日,《商用密码管理条例》(简称“《商密条例》”)由国务院常务会议审议通过,自2023年7月1日起施行。《商密条例》坚持总体国家安全观,统筹发展和安全,一方面,鼓励公民、法人和其他组织依法使用商用密码保护网络与数据安全,支持网络产品和服务使用商用密码提升安全性,规范商用密码在信息领域新技术、新业态、新模式中的应用;另一方面,明确关键信息基础设施的商用密码使用要求,并加强与国家安全审查、网络安全等级保护制度的衔接,将极大促进商用密码行业蓬勃发展。
“放管服”改革放宽市场准入,商密应用市场空间广阔。《商密条例》的出台,有效地将商用密码应用各领域、各环节、各要素纳入法治化管理轨道,充分满足新时代商用密码事业发展的根本需求。值得一提的是,《商密条例》坚持放宽准入与规范监管相结合,提出按照行政审批制度改革要求,放宽市场准入,由原《商密条例》规定的全环节严格管控,调整为对关键环节进行重点把控,管理方式由重事前审批转为加强事前事中事后监管,更好激发市场活力社会创造力。如今,商用密码领域正逐步以《密码法》为核心,以《商用密码管理条例》等行政法规为主干,从法律、法规政策到国标、行标、团标以及指导性文件,自上而下构建权责明确、功能互补、协调一致的密码法律法规体系,将进一步推动密码行业规模快速扩张。
02 新商密条例加速实战型密码枝繁叶茂
“后商密条例时代”,既强化密码合规、更推动实战应用。强化密码合规主要体现在,一是商用密码技术正逐步获得国家政策重视以及用户认可,从顶层规划到配套法律法规陆续落地,关键信息基础设施和等级保护三级等重要系统明确要求密码合规;二是数据安全技术与业务的结合越来越紧密,业务应用层正成为数据安全建设的重点,成为解决企业在平衡合规压力、改造复杂业务系统的关键所在;三是数据安全技术应用扩展到各领域行业,如国家标准GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》的发布,密码技术的行业及场景适用性进一步延伸。针对实战应用,当下的数据泄露事件频发,面对新安全挑战与新合规要求,数据安全防护体系正在从“以网络为中心的安全”,升级到“侧重以数据为中心的安全”。而密码作为数据安全的杀手锏技术和核心支撑,天然具备安全防护基因。尤其在政府、金融、运营商、交通、教育、医疗、文旅、工业等领域,个人信息保护、商业数据保护、数据安全合规改造、国密合规改造等方面的密码能力建设亟待加速。
“一实战、双合规”,辩证推动密码安全一体化建设发展。从技术实战来看,安全建设呈现“一实战、双合规”的辩证统一,密码技术贯穿始终。不论是攻防演练还是合规整改,本质上是解决实战对抗的问题,所以实战是检验数据安全能力的唯一标准。但是,实战对抗对应着偶发的、高技术水平的对抗风险,对于绝大部分企业来说,难以具备持续性的资源投入应对。而合规建设可将这种对抗性风险转变成常态的、可重复验证、可被审计的非对抗风险,合规更容易被复制推广。当然,合规需求也是来自于实战的最佳实践,实战与合规的需求是辩证统一的。在炼石看来,数据安全合规分为过程合规和结果合规。从过程看,密码作为一种直接作用于数据的技术手段,合规、正确、有效地使用密码技术,可以满足《密码法》等法定要求的“数据安全过程合规”。从结果看,DSM数据安全管理认证、PIP个人信息保护认证等是《数据安全法》《个人信息保护法》以及配套法律法规的落地手段,体现了“数据安全结果合规”。
03 免改造安全技术打造实战型数据保护
安全需求和业务纽结缠绕难改造,免改造安全技术解决痛点。在炼石多年实践应用中,发现密码应用最大痛点在于,安全机制和业务处理纽结缠绕、难以改造。在数字化转型及数字经济产业发展中,不仅是CPU、操作系统、数据库等基础软件的升级,涉及广泛行业应用软件亟待升级替换是更大的市场空间,比如制造业的PLM/MES/ERP软件、医疗行业HIS软件、金融行业应用软件、能源行业应用软件、交通行业应用软件等等。这些巨大存量的应用软件普遍缺失内建密码安全机制,缺乏有效手段增强密码安全能力,因为通过开发改造模式成本极高、影响业务连续性,还有源代码维护等技术可行性挑战,从而面临“不改有风险、强改会要命”的两难困境。对此,炼石创新打造免改造数据安全技术,无需开发改造应用代码,面向复杂应用系统可以快速实施密码安全一体化的全面数据保护,重构数据防护边界,实现防绕过的数据安全机制。
从数据控制点切入,沿业务数据流向优先嵌入密码能力。聚焦到数据实际流转过程,在每个关键节点上,作为生产要素的数据都面临着众多威胁。通过对数据流转中的威胁分析,选取关键安全增强点进行加密,用这种方式可以为数据重新塑造一个虚拟边界,实现防范内外部安全威胁,是当前数据安全实战防护的有效手段。炼石打造的免改造应用模式,基于“数据安全主平台”,无需开发改造应用代码,通过高覆盖率的数据控制点,横向覆盖广泛应用,纵向叠加发现识别、加密、去标识化、检测/响应、审计追溯等安全能力,在不影响业务的前提下敏捷实施上线,将安全与业务在技术上解耦、但又在能力上融合交织,打造实战化数据安全防护体系。
不局限于坐而论道,更要起而行之。此次大会的召开,提供了一个守正创新、凝聚共识、共话未来的交流平台。炼石期待能携手行业同仁,共拓密码商业化市场,共筑数据安全防线,共建安全产业生态,践行使命与担当,为国家安全贡献力量。
京公网安备 11010802038255号 