深圳市商用密码行业协会携手腾讯安全,打造国内首家云端密码应用联合实验室
11月28日,华南地区规格最高、规模最大的网络安全大会“湾区创见·2020年网络安全大会“在深圳国际会展中心顺利开幕。腾讯作为大会协办方,承办了公有云安全专场。期间,腾讯安全联合深圳市商用密码行业协会成立的“鼎云密码应用联合实验室”(以下简称“联合实验室”)正式揭牌。这是国内首家聚焦云端密码应用的联合实验室,致力于推动云计算平台密码应用,促进密码应用的合规、正确和有效。
近年来,国内外大规模数据泄露事件频频发生,国家、企业甚至个人对网络和信息安全的要求日益严格,对密码技术也有了更高要求。与此同时,国家相继颁布实施了《网络安全法》、《密码法》、《网络安全审查办法》、《国家政务信息化项目建设管理办法》等一系列法律法规,规范密码应用,强调通过密码应用安全性评估促进商用密码的使用和管理规范。
在本届大会的公有云安全专场上,鼎铉商用密码测评技术有限公司安全测评部副部长邹超提到“密码用的对不对,好不好,要拿测评结果来说话。”而目前,国内商用密码应用呈现“不规范、不广泛、不安全”的现状。根据调查,目前有大量的重要系统存在密码使用不符合标准,使用大量不安全的算法,甚至未使用密码的情况。
政企单位在应用传统密码技术的过程中本就存在“难做、难用、难管”三大难题,而随着新基建加速推进,越来越多的政企单位上云,如何依托云计算交付密码技术成为了业界需要思考的新问题。
在密码技术层面,将密码技术嵌入云计算系统中仍面临诸多的挑战,包括如何与云系统进行适配、硬件密码模块怎样部署、以及业内缺乏云计算系统中应用密码技术配套规范和标准等等。
为攻克这些难题,推动密码技术更好地在云端场景应用落地,深圳市商用密码行业协会携手腾讯安全云鼎实验室共同成立鼎云密码应用联合实验室。联合实验室将聚焦云端密码应用进行前瞻性的研究,依托腾讯安全在云数据加密方面的技术积累和科研能力,发挥腾讯云数据安全中台端到端的云数据全生命周期安全体系的优势,帮助政企单位构建简单易用的业务系统合规化的密码技术应用架构。
以数据存储的机密性和完整性保护为例,以前合规的数据存储加密采用的密码机方案,需要密码使用单位自己二次开发改造应用系统代码,来调用密码机提供的基础加解密算力,实施成本高、周期长。
而腾讯安全已经在云加密技术方面做了大量预研,通过云访问安全代理CASB组件提供面向切面加密技术,提供基于国密SM4算法的格式加密。实现将数据加密后存入数据库,使数据从应用服务到数据库之间以密文形式传输。帮助密码使用单位体系化的满足商用密码应用安全性评估的合规要求。
深圳市商用密码行业协会一直以来致力于推进深圳市商用密码与信息安全技术的普及,促进行业人才的成长与进步,推动产学研结合,推进商用密码和信息技术知识的传播和应用。此次与腾讯安全云鼎实验室强强联合,共同致力于面向云端场景的密码应用提供更加简单实用的解决方案。未来,联合实验室将制定一体化的密码保障体系框架以及设计技术要求,释放双方多年的技术实力和行业经验,围绕云计算场景进行密码标准化研究,开展云计算密码应用行业最佳实践,打造密码靶场和实训平台并在云计算密码应用创新研究等方面展开合作。进一步开放安全能力,推动密码技术应用合规化。