合规与实战推动密码产业发展*
2021-01-25白小勇
白小勇
(北京炼石网络技术有限公司,北京 100086)
0 引 言
密码技术作为网络空间安全的核心技术,在网络安全体系中起着不可替代的作用。《中华人民共和国密码法》将密码分为核心密码、普通密码和商用密码,其中商用密码满足数字经济发展中数据活动的机密性、完整性、真实性和不可否认性等安全需求。国家“十四五”规划指出:“发展数字经济,推进数字产业化和产业数字化,推动数字经济和实体经济深度融合”,密码作为数字经济的“安全基因”,密码产业将迎来全新发展机遇,也面临着新挑战。
1 合规监管与实战防护共驱新密码市场
密码技术历来由攻防对抗推动发展。密码作为历史最悠久、最具传奇色彩的安全技术,自诞生以来就属于安全产品。3000年前,著名兵书《六韬》记载了姜太公使用阴符、阴书等古典密码技术保护军事秘密通信。甲午战争期间,中方的高级电报密码被日方破译,导致清军在战争各方面陷入被动,密破则国破,国破则家亡。密码技术发展史是一部宏大的攻防对抗史。
密码合规解决使用门槛和外部经济学两大问题。而如今,信息系统复杂多样,伴随的丰富应用场景对用户正确使用密码提出极高要求,再加上现代密码学体系的复杂化,攻防重心延伸到密码应用环节,但是广泛政企用户很难应对这种偶发性的、高技术水平的对抗性风险。而密码合规能将这种对抗性风险转变成常态的、可重复验证的非对抗风险。同时,从外部经济学角度来看,合规能有效解决消费方与受益方不一致的问题,对数据的服务者提出基础性的安全保障要求,对普及密码技术、提升国家安全具有积极意义。
因此,我国陆续出台多项安全法规,直接或间接驱动形成新密码市场。
一是国家安全顶层设计。《中共中央国务院关于构建更加完善的要素市场化配置体制机制的意见》明确要求数据安全。《中共中央关于制定国民经济和社会发展第十四个五年规划和二〇三五年远景目标的建议》明确提出:保障国家数据安全,加强个人信息保护。[1]
二是出台多部数据安全法律法规。《中华人民共和国网络安全法》作为我国网络安全领域第一部基础性法律,对于我国有效应对网络威胁和风险、全方位保障网络安全具有重要意义;《中华人民共和国数据安全法(草案)》《中华人民共和国个人信息保护法(草案)》对数据安全和个人信息提出明确防护要求;《中华人民共和国密码法》提升使用密码保障网络与信息安全的水平。这四部法律之间紧密关联,网络安全法规定了安全治理道路,数据安全法和个人信息保护法明确了道路上信息数据的保护目标,而密码法提出了保护信息数据的技术手段。四法共治,极大驱动了以应用为主的新密码市场发展。
三是强化密码“一法三规”。《中华人民共和国密码法》强调国家积极规范和促进密码应用,将密码应用的相关制度上升为国家法律,明确要求关键信息基础设施等使用商用密码保护网络安全。而国家关于政务信息系统、等保三级以上网络、关键信息基础设施等“三规”,同样要求正确、有效采用符合相关要求的密码产品和服务。
用户需要以合规为起点,以真实对抗结果为导向,进一步构建有效的密码实战化防护体系。密码实战化防护指标包含三部分:第一,应满足密码防护能力融入业务流程,提供多场景细粒度有效防护;第二,能够融合访问控制、审计等其他安全技术,实现安全机制可靠有效运行;第三,支持敏捷部署、实施周期短、对业务影响小等特点。
在合规监管与实战防护的共同驱动下,商用密码市场迎来前所未有的发展机遇。密码法颁布前,密码市场可分为监管市场和商业市场两部分。监管市场由合规手段强制推动,用户规模小但市场占比庞大,在过去占据密码市场的主导地位。而商业市场用户规模数倍于监管市场,但过去市场体量不足监管市场的一半。《中华人民共和国密码法》《商用密码管理条例(修订草案征求意见稿)》等也同步贯彻落实“放管服”理念,精简了行政许可事项,进一步放宽市场准入。信息技术高速发展带动的安全新需求,亦充分激活实战防护驱动的密码需求。如图1所示,未来密码市场亦将呈现分层次叠加的多样化需求,即实战防护、密评合规、信创合规。
图1 未来密码市场的分层次需求
2 高质量供给推动密码技术升级
2.1 国内产业生态提出密码新需求
美国产业生态特点决定了其应用内加密采用集成密码SDK模式。美国SOX(塞班斯法案,上市公司监管法规)、HIPAA(健康保险隐私及责任法案)、FISMA(联邦信息系统安全防护政策)、GLBA(金融服务法现代化法案)、PCIDSS(支付卡行业数据安全标准)等行业合规准则,在应用开发建设阶段均被有效执行,并且涉及数据加密、访问控制、审计等。
相比美国,我们在应用与数据安全的相关法律法规制定起步较晚,过去十几年,大量应用系统在建设过程中没有将应用内建安全考虑进来,造成国内大量已建应用缺失安全防护能力,只能采取二次开发改造的方式以增强数据安全防护。
而对已建应用系统,进行开发改造以增强安全的方式涉及面广、开发周期长、成本极高、风险很大,部分维护不到位的系统甚至缺失源代码;同时,已上线系统如果重新部署还存在业务中断风险。所以,通过改造的方式增强已建应用系统安全并不可行,国内的产业生态决定了我们更适合采取运行阶段补丁增强安全的模式。
2.2 业务层是密码应用的重点
密码防护重点放在业务应用层相对更合理。如图2所示,企业目前的IT架构,包含基础设施、软件平台以及业务应用等不同层,企业数据在不同层之间高效流转,实现互联共享,为企业创造价值。数据随着向上层流动,价值点就会越多。数据在基础设施层,它就是一些没有业务含义的二进制数字;在软件平台层,它表现为各种形式的文件格式;在业务应用层,数据才具备了丰富的业务含义。
图2 企业IT架构
应用层恶意人群的攻击行为,一般发生在看似合理的业务操作中,具有一定隐蔽性。而且,相关内部人员因为权限问题,更容易接触到企业或组织的核心数据信息,风险性更高。同时,接触业务应用层的内外部人员数量相对更多,因此,企业要重视数据在业务应用层的安全防护,以应用为抓手达成对企业数据资产的安全防护,有效应对数据泄露。
2.3 高质量密码供给面临的挑战
2020年12月11日中央政治局会议要求:“要扭住供给侧结构性改革,同时注重需求侧改革,打通堵点,补齐短板,贯通生产、分配、流通、消费各环节,形成需求牵引供给、供给创造需求的更高水平动态平衡,提升国民经济体系整体效能。要整体推进改革开放,强化国家战略科技力量,增强产业链供应链自主可控能力。”[2]
密码产业也应当形成“需求牵引供给、供给创造需求的更高水平动态平衡”。从需求侧,国家大力推动在重要领域的密码应用,密码测评认证体系稳步有序发展,合规与实战双驱动的密码需求正在牵引密码供给。从供给侧,新一代信息技术场景需要密码技术的持续迭代,尤其是在密码应用领域,创新驱动的高质量密码供给亟待增强。
高质量密码供给面临三大挑战,一是让密码能用,需要持续优化SM系列算法实现性能,使得替换国外密码算法后不影响业务效率;同时,完善场景覆盖,逐步完善软件形态产品,覆盖云端、移动端、物联网端等新型场景。二是让密码好用,既要降低使用门槛,为用户提供易用的密码数据安全产品;又要降低集成难度,对密码接口进行业务级封装,提炼密码中间件,让应用软件开发者轻松用起来。三是让密码用好,对于新建或改造的应用系统,同步内建密码能力,对于存量应用系统,提供融入业务流程的密码安全能力,让数据流转与安全防护兼得。
让密码能用。首要解决密码算法性能问题。炼石利用AES-NI指令集加速优化SM4算法性能,实现在i9单颗CPU上SM4加解密性能突破130Gbps,加密10亿条手机号仅耗时20秒,实现对AES等算法的等效替换。
让密码好用。需要免开发改造应用或轻量级改造应用的方式,补足已建应用系统缺失的安全能力。过去十几年,大量应用系统在建设过程中没有将应用内建安全考虑进来。因此,对已建应用系统进行开发改造以增强安全的方式涉及面广、开发周期长、成本高、风险大,此外还有失去维护的系统甚至缺失源代码而无法实施;同时,对已上线系统重新部署还存在业务中断风险。所以,通过改造的方式增强已建应用系统安全并不可行。
让密码用好。需要将密码与其他多种安全技术结合,共同构建实战化防护体系。传统的加密与防护控制组合模式中,加密施加在数据库一侧,访问控制通过4A或IAM策略中心下发认证和权限决策,二者是分别建设的。解密和权限是两个决策点,数据解密无法和权限体系结合,加解密和细控的分离带来了威胁敞口,攻击者可以绕过访问控制,从威胁敞口直接窃取数据。密钥是对数据秘密的浓缩,加密将明文的安全性缩小到密钥的安全性,但单独应用加密并不直接解决问题,因此如图3所示,需要将加密与访问控制、审计等技术结合,共同构建“防绕过”的数据安全防护体系。
图3 密码与系统安全一体化
2.4 “面向切面数据安全”让密码融合到业务中
炼石基于现状,参考AOP面向切面编程思想,创新性提出“面向切面数据安全”思路,进而打造出CASB业务数据安全平台,通过在业务流转的数据切面上施加安全规则,实现安全与业务在技术上解耦,又在能力上融合交织,构建实战化的数据安全防护体系。
2.4.1 应用免开发改造,敏捷部署
在免开发改造应用基础上,CASB业务数据安全平台通过部署AOE插件,代理和拦截入库SQL,实现敏感数据在服务侧的加密防护。当数据被业务人员访问,它能结合业务人员的身份信息进行动态脱敏,并对不同等级数据分类施策,同时面向业务人员和DBA增强内控防护,实现主体到人、客体到字段的细粒度访问控制,以及加解密脱敏一体化防护。
2.4.2 打造“防绕过”安全机制
密码技术与“面向切面数据安全”概念结合,能够有效打造数据安全平台的“防绕过”安全机制。CASB业务数据安全平台通过在“数据切面点”加密,就会让访问控制机制无法被绕过,让数据访问审计具备高置信度特征,防范内部人员利用漏洞或内控不足导致敏感数据泄露。
2.4.3 满足“安全新合规”需求
CASB业务数据安全平台能满足各行业对多方面“新合规”的需求,包括国密、个人信息保护、信创等。CASB业务数据安全平台具有国家密码管理局颁发的商用密码产品认证证书,能够满足GM/T 0054-2018 《信息系统密码应用基本要求》密评规范中的密码合规要求;支持加密、去标识化、匿名化等功能,遵循个人信息保护技术合规要求;同时,CASB业务数据安全平台可基于龙芯、飞腾等国产化平台提供,全面支持信创。
3 拓宽商业市场,培育密码生态
市场机遇和高质量密码供给是商用密码发展内在因素。商用密码的健壮发展亦离不开信息技术整体生态的支撑。如图4所示,按技术链条划分,密码技术链可大致分为上、中、下游三个环节。
图4 密码技术链条
上游包括密码算法标准、网络协议及规范,如IETF RFC等。中游包括网络协议栈实现、软件开发工具链,硬件密码模块和驱动、CPU密码指令集支持等。下游包括各种应用软件,涉及基础应用软件、行业应用软件等环节。
目前,技术生态环节存在商用密码覆盖盲区。上游的网络层协议及规范尚不支持SM算法。中游的通用协议栈实现与开发工具链没有充分支持SM算法。上中游盲区导致下游应用软件普遍不支持SM算法。
而在信息技术生态推广商用密码面临巨大挑战:
一是与已有协议或应用衔接兼容、算法安全切换等问题。在协议兼容方面,商用密码TLS协议面临算法ID等问题,如不能与标准协议兼容,会形成生态孤岛;应用衔接方面,大量已有应用需进行商用密码改造升级工作,如何实现SM算法和已有应用无缝对接、深度融合存在技术挑战;算法切换方面,需解决好SM系列算法与RSA/AES/SHA等已有的国外密码算法的快速、安全切换问题。
二是商用密码“走出去”面临阻力。首先是潜在阻力,很多国际标准组织被超级大国主导和影响,商用密码算法进入国际规范存在潜在阻力;其次是意见统一,我国产业界在是否要进入国际规范这个问题上需要统一,无形中形成商用密码国际化推进工作的“内部阻力”;最后是差距明显,与欧美相比,我国密码产业起步晚,在密码产业生态上有明显差距。
与此同时,密码生态迎来历史性发展契机。首先,密码法出台造就商用密码发展黄金窗口期,密码建设从国家层面将迎来最好时机,加速SM算法在上中下游的全面融合和推广应用。其次,新技术、新业态成就商用密码发展新机遇。云计算、物联网、大数据、5G等信息技术升级可以促进算法协议以更低成本完成升级工作,尤其是信创产业带来的历史契机。密码既是信创的重要组成部分,又为信创提供安全保障。最后,我国具有充沛的技术人才保障,以及“一带一路”巨大市场潜力,为商用密码发展奠定了重要基础。
进一步地,增强技术生态覆盖,针对上游,通过RFC等规范制定,布局SM算法进入标准和协议;针对中游,通过多个重点工程,抓住协议栈和工具链;针对特定行业或领域,结合中国市场,联合多家国际主导厂商,以密码合规等市场准入条件为契机,反向推动上游协议接纳SM算法;针对下游,结合法律法规和密评整改等手段,从下游应用软件反向推动,依赖下游广泛应用生态发挥出商用密码的巨大价值,不断开拓商用密码市场和国际市场,做强做大密码产业生态。
进一步地,拓宽密码商业化市场,在战略上,应明确商用密码全面应用的路线,坚持 “走出去”的密码技术路线,技术链条的上中下游配合行动,做实做强密码产业生态。在战术上,从算法到协议,再到应用,全面贯彻SM算法的加速普及。
4 结 语
密码技术历来由攻防对抗推动发展,合规是推广密码技术直接有效的手段,合规与实战并举,更能拉动商用密码市场蓬勃发展。目前,产业内高质量密码供给不足,造成密码普及滞后,市场呼唤高质量密码供给,通过技术升级让密码技术能用、好用、用好,在丰富的应用场景中打造密码实战化防护体系。在密码生态建设上,目前技术生态环节存在商用密码覆盖盲区,需要进一步增强工具链覆盖,弥补密码生态短板,抓住信创带来的历史契机,拓宽密码商业化市场,做大做强密码生态。