4月14日国务院常务会议审议通过《商用密码管理条例(修订草案)》。会议指出,近年来,商用密码应用愈发广泛,在保障网络和信息安全、维护公民和法人权益方面的重要性日益凸显。要全面贯彻总体国家安全观,进一步规范商用密码应用和管理,督促平台企业依法履行用户密码保护责任,确保个人隐私、商业秘密和政府敏感数据的安全。要更好顺应数字经济快速发展趋势,建立健全商用密码科技创新促进机制,推动商用密码科技成果转化和产业化应用,促进商用密码市场持续健康发展。
我国商用密码管理和应用在法治化、规范化基础上,逐步向科学化、体系化方向迈进,但实际情况复杂多变,商用密码应用在数据安全保障上仍存在不规范、不广泛、不安全等问题,建设过程中同样存在产品形态脱离应用环境、产品对接与兼容性不足、统一管理能力不足、服务灵活性不足等问题。以商用密码技术为核心,推动数字安全可信基础设施的建设,是我国数据安全领域面临的一项紧迫任务。
基于上述问题,为全面贯彻落实国家法律法规、践行《商用密码管理条例(修订草案)》的实施落地,建设数字安全可信基础设施,壮大数据安全服务、推广技术产品应用等工作迫在眉睫。通过建立云密码资源池、云密码服务管理平台等具体手段,达到降低系统改造成本、实现按需分配密码资源、避免重复建设资源浪费等目标,是有效促进数字安全产业繁荣发展的迫切要求,亦是抢抓数字经济产业密集创新和高速增长的必然措施,具有重大的社会效益与经济效益。
云密码服务建设已成国家网络安全战略的关键节点
随着越来越多的业务系统信息化、网络化、云化,如何对这些业务系统在网络空间进行有效保护,是国家网络安全战略的一个重要目标。密码技术作为一种重要的网络空间安全基础技术,如何合规、正确、有效地使用密码技术对网络空间中的业务系统提供网络安全技术保障,是国家网络安全战略的关键实现路径。
云密码服务能够为各类业务系统提供质量相同的密码保护,是解决业务系统不断云化、复杂化的必然技术路线,适配零散的本地密码服务难以支撑云上业务系统的新场景和新业态。业务系统需要密码服务“贴身”保护,但业务系统云化趋势导致本地密码服务与云上业务被切割,云密码服务建设迫在眉睫性,其必要性和必然性分析如下:
业务系统需要密码服务的“贴身”保护
业务系统云化是当前趋势
密码服务上云需要改变产品形态
云密码服务管理系统需要满足合规性要求
云密码服务建设痛点与用户难点
云密码服务管理系统自身在建设时,为了达到“集中、集成、集约”的效果,导致需要打通不同形态不同功能的商用密码产品之间的互联互通以提供完备的密码服务全集,进而导致建设初期设备采购的成本的增加,以及由于多种商用密码产品之间的扩展性和兼容性差异导致的改造成本增加,将成为主要的难点问题。
密码设备采购投入成本大:用户访问量大、业务使用量大、密码服务功能的复杂性高等原因,直接导致整体采购难度大、费用高。
云密码服务管理系统的改造成本高:云密码服务管理系统不是对各类合规的商用密码设备的简单堆叠,需要能够对其从安全和性能两方面通盘考虑整个系统的运行和优化机制。
云密码服务难以“贴身”的问题:密码服务与业务系统上云的异步性差异,使得在云密码服务管理系统建立完成提供密码服务时,业务系统存在未上云、全部上云和部分上云三种可能。
“三化六防”防御新模式
挑战网络安全诸多威胁
中孚信息潜心打造的云密码服务建设方案,通过实战化、体系化、常态化的新理念,夯实动态防御、主动防御、纵深防御、精准防护、整体防控、联防联控六大新举措,基于云上集约化的原则建设云密码服务管理系统,旨在为用户提供全栈式、高效率、低成本的合规化密码服务,致力于为云上业务系统构建坚实的密码保护屏障,符合GB/T 39786-2021《信息系统密码应用基本要求》。
一、方案以高保障可信接入TNA复合安全认证网关作为身份鉴别准入核心,为用户提供安全身份鉴别、数据加密传输。
1、持续验证、永不信任
以身份为基准,提供用户行为分析、流量态势感知、安全策略管控等智能分析处理功能,解决安全边界模糊问题。
2、动态授权、精细访问
通过细粒度的访问控制策略,包括但不限于访问时间、地点、协议、端口、设备类型等,解决了用户访问内网系统“谁来了不知道、谁走了不知道、做了什么不知道、是敌是友不知道”的内网管理问题。
3、安全架构、单包认证
以自研FPGA硬件过滤技术,免疫因CPU、操作系统、三方代码库的漏洞与后门导致的攻击,解决传统设备安全边界防御能力不足问题。
二、方案以云密码服务管理平台作为密码资源管理核心,为业务应用提供密码支撑服务。
1、密码能力全栈化
提供设备类、密钥类、算法类的一系列密码服务,提供密码服务按需配置、密钥集中管理、统一提供服务接口、统一设备管理能力,以及密码安全态势感知的监控能力。
2、密码接口标准化
提供统一的标准软件接口,兼容不同厂商、不同种类的密码硬件,简化应用系统对接难度,为不同的业务系统提供统一的密码服务接口,支撑密评改造快速落地。
3、密码资源池化
按需提供弹性可扩展的密码资源池,提高设备利用率,通过密码池化方式提高密码资源的高可用性,保障了业务连续性。
4、密码安全可视化
提供了丰富的可视化内容,包含监控预警和统计查询,能够统一监控密码服务、设备状态、业务调用等情况,使得整体业务系统密码应用情况清晰可视。
密码是安全的“基点”,是构建网络信任的“基石”,密码是数字化安全的关键核心技术。中孚信息以推动数据安全产业高质量发展为目标,构建以商用密码技术为核心的全维度一体化解决方案,不断满足新场景下用户高安全性高适用性等需求,持续推动前沿技术与密码技术的融合创新,为国家数字经济发展保驾护航。