19年7月4日,“第二届商用密码高性能技术与产业论坛”在北京成功举办,论坛由信息安全与通信保密杂志社主办,北京炼石网络技术有限公司和北京三未信安科技发展有限公司联合承办,由中国网络安全产业联盟、中国网络安全与信息化产业联盟、数字中国产业发展联盟、北京众享比特科技有限公司共同支持。国家密码管理局商用密码管理办公室霍炜副主任、国家科技部高新司李宏刚处长、以及业界专家、企业家和行业精英近400人出席了会议。
『第二届商用密码高性能技术与产业论坛现场』
围绕本次论坛主题“供给高质量国密,重构数据安全防线”,炼石网络CEO白小勇作“基于高性能国密的有效数据防护”报告,分享了对密码产业的认知、以及炼石在数据安全密码防护体系的实践探索成果。
『炼石CEO白小勇作演讲』
应用内数据保护是密码安全建设重点
从密码市场角度来看
白小勇谈到,国内密码市场目前有两大推动因素:一是来自于用户对于数据安全的需求演进。过去企业信息化安全建设都是以网络为中心,今天我们从IT时代进入DT时代,产生了大量有价值数据,需要从原来以网络为中心的安全转向聚焦到以数据为中心的安全,而密码技术能够直接作用于数据,是保护数据的核心手段。二是国密政策驱动。从即将颁布的《密码法》,到两办36号文、再到《网络安全等级保护2.0》对密码的强化,以及如火如荼开展中的密评,都从政策层面驱动着密码全面应用。前者体现为企业内生的安全需求,但后者大大加速了前者对应的数据安全密码防护市场形成,将原来需要5-10年才能形成的市场缩短到2-3年,这对于广大的密码以及安全从业者来说是非常大的利好。
从密码产业角度来看
密码产业主要包含密码算法、密码产品、密码应用等,其中,密码应用是重头戏。 在过去的十几年里面企业建设密码侧重围绕身份认证和通信安全,而现在我们产生了大量的数据,动辄发生亿级数据泄露事件,因此在存储和使用环节对数据加密是密码防护的一个重点,也是当前薄弱环节。当然,假如我们对密码应用仅仅止步于密码的“四性”、或对加密机、CA、VPN、USBKey等产品套餐式采购,则无法形成有效的数据安全密码防护体系,我们需要在多样化的场景中提炼出丰富的密码应用模式,尤其是应用内数据流转的密码使用场景。
从信息系统技术栈来看
信息系统可以分成三层,数据在基础设施层、软件平台层和业务应用层都在高速流转,但是越往上层,数据的价值点越来越高,同时数据泄露的几率越来越大。应用承载了数据的主要共享,是数据安全的关键抓手。因此,密码应用的重点就是要围绕业务应用展开,同时,密评工作也是以应用系统为目标展开的。
国内生态催生应用免改造加密模式
白小勇指出,美国的产业生态决定了其应用加密采用了集成密码SDK模式。美国SOX(塞班斯法案,上市公司监管法规)、HIPAA(健康保险隐私及责任法案)、FISMA(联邦信息系统安全防护政策) 、GLBA(金融服务法现代化法案)、PCI-DSS(支付卡行业数据安全标准)等行业应用合规要求涉及加密,在应用开发建设阶段被强制有效执行。
同时,据Consultancy统计,2018年风险合规市场已经达到700亿美金,美国前十大信息安全公司常年被德勤、安永、毕马威、普华永道等占据,这说明加密的广阔市场空间并不是游离在应用之外的基础密码产品,而是与行业应用充分结合的密码应用。从产品视角,炼石通过分析FIPS密码产品体系,发现FIPS密码产品第一大品类是密码中间件产品,占比23%,而国内密码中间件这个品类占比极低。
从国内现状看,我国过去十几年信息系统建设过程缺失内建密码安全能力,但是通过改造应用增强安全的方式成本极高、风险很大。因此,国内的产业生态决定了我们不得不采取运行阶段补丁增强密码模式。炼石开创性的将CASB云访问安全代理技术改进并融入企业私有场景,实现免改造应用增强细粒度数据防护。其中,炼石CASB插件版不仅能够对大量已有应用提供免开发改造的数据安全增强,同时也能够为各种新建系统提供敏捷的数据安全能力集成。
同时,炼石提出了把密码与安全保密技术一体化。加密的本质价值在于将安全问题缩小到密钥管理问题,让密码发挥重构数据边界的作用,把数据锚点解密与访问控制、审计两大技术结合,可以构建“防绕过”的数据安全防护体系。
炼石独特技术优势
1.主体到应用内用户,客体到字段
炼石CASB产品能够提供“主体到应用内用户,客体到字段”的“防绕过”安全能力。安全防护的本质是对主体和客体的控制。BeyondCorp提出把主体识别到“人+设备”,但是其客体识别只能到应用系统,不涉及对应用内流转数据的安全控制。另外传统的数据库侧防护无法识别到应用内用户,例如,其无法知晓敏感数据是被应用内哪个登录用户访问的。而炼石CASB是在应用内做防护,可以和登录用户、字段或文档级数据结合起来,提供细粒度的数据安全保护。
2.对于应用免开发改造
炼石CASB产品能够在应用不改的情况下部署插件,不管是应用服务器还是DBA工具,都可以通过策略配置实现对指定数据字段做加密、脱敏、审计等,同时可以灵活选择国密算法、国际算法以及对手机号、证件号、邮件等特定文件保留格式加密等丰富算法。
3.高性能国密保障业务效率不影响
炼石独家PCT专利保护的高性能国密算法实现不影响企业现有业务应用系统的效率,确保对用户使用不影响。采用基于国密SM4的格式保留加密算法,每秒可加密5000万条手机号。同时,在i9单颗CPU上,国密SM4加解密性能突破130Gbps,可实现对国外AES算法的等效替换。
白小勇谈到,炼石CASB产品能够支撑两大需求场景。一方面是可以构建数据安全密码防护体系,同时实现了把密码与安全保密技术一体化。另一方面,炼石能够很好的符合即将大规模推广的密评整改,通过部署应用免改造的CASB产品可以敏捷完成符合密评要求的国密改造。
来源:炼石网络CipherGateway
声明:本文来自信息安全与通信保密杂志社,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
