焦点访谈深谈《密码法》，腾讯李滨解密云数据加密防护之道

在12月30日央视《焦点访谈》栏目播出的《守护安全，密码在你身边》密码法专题节目中，腾讯云安全首席架构师与业内专家一同详细解读了我国首部《密码法》的发布意义并在采访中分享了应用密码对云上数据进行加密保护的防护之道。

（戳视频了解《密码法》发布意义及云上数据加密保护安全秘籍）

在李滨看来，数据流转作为便捷生活应用的支撑，其安全与否直接关乎个人隐私和企业业务安全。运用密码技术对数据传输、流转、存储、使用等环节加密保护，是确保用户和企业信息安全的重要手段。而在云计算已成为国家基础设施的背景下，企业应当联动《密码法》要求，构建贯穿生命周期的国密数据保护能力。

从《密码法》实施看数据加密

正如李滨在采访中所说：“大众在享受扫码乘车、移动支付、电子发票等互联网便捷应用的同时，大量个人信息、金融数据、企业经营数据的流转给个人隐私和企业经营带来了巨大的风险。‘方便快捷’的背后需要密码技术的安全保护作为支撑。”

在密码技术随互联网应用丰富迎来迅猛发展的背景下，我国首部《密码法》于2019年10月26日顺利通过十三届全国人大常委会第十四次会议审议，并将在2020年1月1日起正式施行。作为国家安全法律体系的重要组成部分，《密码法》的实施将对密码、数据加密带来哪些影响呢？

首先，让我们先来了解下《密码法》中的“密码”是个啥？

密码就是采用特性变换对信息等进行加密保护和安全认证的技术、产品和服务。简单来说，就是把明文变成密文，将原来可读的信息变成不能识别的符号序列。其主要有两个，一个是加密保护，一个是安全认证。密码的这两大特殊功能决定了密码在网络空间中，身份识别、安全隔离、完整性保护、信息加密和抗抵赖性等方面具有不可替代的重要作用。

其次，《密码法》给企业安全提出了哪些新要求？

对于大多数非涉密企事业单位而言，《密码法》中对商用密码提出的主动进行“密码安全性评估”是对密码管理工作影响最大的部分。具体来说，即包括按照国家密码管理局有关规定，使用商用密码进行保护的关键信息基础设施，其运营者应当使用商用密码进行保护，自行或者委托商用密码检测机构开展商用密码应用安全性评估。商用密码应用安全性评估应当与关键信息基础设施安全检测评估、网络安全等级测评制度相衔接。

那么，面对实施在即的“密码安全性评估”，企业该如何准备？

兼顾信息系统规划、建设、运行三个阶段的密码应用情况安全性评估，具体参照标准为《GM/T 0054-2018 信息系统密码应用基本要求》：

1）在密码算法方面：信息系统中使用的密码算法应当符合法律、法规的规定和密码相关国家标准、行业标准的有关要求。如使用国家批准的商用密码算法SM2、SM3、SM4等；

2）在密码技术方面：密码技术中涉及的标准密码协议应符合国内相关密码标准，如果是自定义的密码协议，设计要安全合理，同时遵循相关密码标准；

3）在密码产品方面：信息系统使用的密码产品与模块应通过国家密码管理部门核准。

4）在密码服务方面：信息系统中使用的密码服务应通过国家密码管理部门的许可。

由此可见，《密码法》的实施一方面解决了“谁来用密码、谁来管密码、怎么管密码”的问题，另一方面也将“数据加密”的重要性提升到了一个新高度，鞭策着企业致力满足更高的合规要求。

产业互联网时代，腾讯云数据安全中台的加密防护之道

针对产业互联网时代的数据安全问题，李滨提出，云计算已经和水、煤、电一样，成为当下承载各类社会生活应用的基础支撑设施。而云环境表现出的广边界等特征使得云上数据安全衍生出更多风险点。构建贯穿数据产生、流动、存储、使用及销毁等过程的全周期加密技术保护和身份认证和访问控制成为云生态下数据安全防护的关键所在。

鉴于此，腾讯安全通过“云数据安全中台”，打造端到端的云数据全生命周期安全体系，以数据加密软硬件系统(CloudHSM/SEM)、密钥管理系统(KMS)以及凭据管理系统(SecretsManager)三大能力为核心，将密码运算、密码技术及密码产品以服务化、组件化的方式输出，实现从数据获取、数据处理及检索、数据分析与服务，数据访问与消费过程中的安全防护，打通合规层、技术层、云产品层、安全服务层、解决方案层等的安全能力，助力企业低成本、高效率地应对云上数据安全的挑战。

针对密码技术存在的“难做、难用、难管”老三难，腾讯安全以“云数据安全中台”为中心，提供全数据生命周期、完整的云产品生态集成、以及完全符合国家密码局标准的高性能国密算法加密API/SDK服务，保障数据在识别、使用、消费过程中的安全。

借助腾讯云数据安全中台提供的极简化的加密API和SDK服务，用户可以轻松的在各个业务环节中嵌入合规的加密及密码技术，以及便捷的实现对现有业务的密码应用进行合规化改造。目前，典型云产品应用包括密钥管理系统KMS、云加密机CloudHSM、国密数据和网络加密SDK、基于国密KMS标准的凭据管理系统等。

与此同时，除数据加密外，腾讯安全还综合运用数据安全管理经验和数据保护技术打造了数据安全治理中心、云加密机、密钥管理系统、凭据管理系统、数据安全审计、堡垒机、敏感数据处理等七大产品体系，为数据全生命周期每个阶段提供针对性保护，有效助力企业克服数据分类、管理和策略、加密技术、密匙管理以及事件监测分析等四大防护难题，为企业构筑国密级数据保护能力提供强有力的技术与服务支持。

目前，腾讯安全围绕数据全生命周期构建的安全防护体系，已成功应用于互联网、零售、汽车制造、金融、游戏、政务等行业。未来，腾讯安全将继续开放能力和深化行业探索，为云时代的数据加密与安全防护提供更多技术支撑。

➤推荐阅读

• 首次公开云上攻击路径全景，腾讯安全联合GeekPwn发布《2019云安全威胁报告》
• 一文透析腾讯云如何为企业构建「数据全生命周期保护」
• 政务上云，如何做好数据安全保护？ 
• 数据加密、区块链、可信计算、Serverless…丨Techo云安全专场七大前沿议题拆解
• Techo云安全专场议题前瞻丨数据安全解决方案重磅首发、区块链安全威胁全景公开……
• 首届腾讯Techo开发者大会来袭，云上安全极简之道倾囊相授！ 
• 密码法正式发布，企业该如何准备？
• 腾讯安全打造真实云端攻防战 GeekPwn 云安全挑战赛0ops摘冠
• 【安全预警】泛微e-cology OA数据库配置信息泄露漏洞预警
• 【安全预警】PHP远程代码执行漏洞风险预警（CVE-2019-11043）

关注云鼎实验室，获取更多安全情报