撰稿 | 流苏
编辑 | 图图
转载声明:本文由公众号安在(ID:AnZer_SH)授权转载
不知道有多少人和我一样,每每收到工资都高兴的飞起,下一秒还完花呗和信用卡后,看着支付宝的余额则欲哭无泪。忽然心好累,每一天都用六位数的密码,保护着两位数的存款。
有意思的是,别说是两位数的存款,哪怕是个位数的存款,甚至于负债,我们也从未有“干脆不要密码”这一念头。用密码保护自己的隐私和财富,这似乎早已是人人习以为常的事情。
随着互联网技术的发展,虚拟世界和现实世界逐渐交织在一起,难以真正彻底区分开来。于是,密码这一极具私密性、个人性的工具广泛应用于大大小小的互联网平台,保证了个人账号的独一性和安全性,成为互联网和现实映射的桥梁。
其实,早在公元前,人们便有意识的通过密码来确保信息的安全,大名鼎鼎的“鲁班锁”便是其中的代表者。公元前400年,斯巴达人也曾用“塞塔”密码来传递情报。及至近代,密码技术被广泛运用于军事情报传递和保护个人财产安全上。
笔者发现了个有意思的现象,无论是古代还是今天,无论是个人还是群体,无论是现实世界还是虚拟世界,并且一直“忠心耿耿”的保护着“安全”。这么多年过去了,密码竟然从未过时,一直随着科技的发展不断完善,并逐步衍生出更加高级且难以破译的密码。
毫无疑问,密码技术的应用在保护个人隐私信息、财富以及传递情报等方面有着不可替代的作用。
实际上,密码技术在商业领域同样发挥着无与伦比的作用,而对不涉及国家秘密内容的信息进行加密保护所使用的密码技术和密码产品则称之为“商用密码”。
大数据时代,数据资源早已成为企业的核心发展要素之一。企业想要进一步发挥数据的价值,数据共享是必不可少的,只有将数据整合在一起才能实现“量变到质变”的飞跃。
然而,在数据共享过程中,企业信息泄露事件越来越频繁,既阻碍了数据共享的进行,也让企业网络信息安全管理工作压力倍增。
殊不知,保护企业信息安全正是商用密码的强项,通过对信息进行重新编码,在保证信息的完整性和正确性的同时,也保证信息的机密性,防止信息被篡改、伪造和泄露。
如果说商用密码提升企业网络安全防御水平是内在需求,那商业密码政策合规要求便是外在需求。
根据《中华人民共和国密码法(草案征求意见稿)》第十八条规定,企业关键信息基础设施应当依照法律、法规的规定和密码相关国家标准的强制性要求使用密码进行保护,同步规划、同步建设、同步运行密码保障系统。
2018年,中共中央办公厅、国务院办公厅下发《金融和重要领域密码应用与新发展工作规划》(2018-2022年)的文件,要求到2022年,基本建立起高质量密码供给体系和测评认证体系,充分发挥密码保障金融和重要领域的网络安全的作用。其中,金融行业、基础设施行业、数字经济、信息惠民等领域要着力开展密码应用工作。
值得注意的是,在最新发布的等级保护2.0中,商用密码也有相应的合规要求,如在安全通信网络,安全计算环境,安全建设管理,安全运维管理的某些关键节点上,企业必须要使用商用密码,以此来增强企业安全防护能力,保护企业网络信息系统的安全。
总的来说,商用密码技术是网络安全的基础性核心技术,是信息保护和网络信任体系建设的基础,是保障网络空间安全的关键技术。
可惜的是,商用密码在网络安全领域应用并没有想象的那么广泛。2018年国家密码管理局联合公安部联合对部分等级保护系统进行信息统计,7728各个系统中,仅38个系统使用了国产密码,966个系统使用了国际密码,6724个系统未使用密码技术。
同时,不少企业常常不合规、不正确使用商用密码,如使用的密码算法、产品、技术未经国家密码管理局认可;部署了密码产品但未能正确使用;仅在某些环节应用了密码技术,未形成防护体系等商用密码不规范应用等。
随着数字化、网络化、智能化深入发展,使用不可信的云计算、大数据服务商时,需要更高级别的安全保障,建设自主可控、安全领先的网络空间密码防线是非常必要的。
商用密码技术之之所以能够为企业网络安全提供有效防护,和商用密码的四个特性密不可分,即真实性、完整性、机密性、不可否认性。
真实性:通过密码来确定用户的真实性,常见于各类身份鉴别场景中。
完整性:通过密码来确保企业重要数据的完整,如传输报文、日志、密钥数据、访问控制信息等。
机密性:通过密码来保证企业重要数据的不被他人知晓或者泄露。
不可否认性:通过密码来记录发送、接收、审批、创建、修改、删除、添加、配置等操作。
正是因为商用密码技术有着“四性”,所以才能保障信息系统,并最终实现网络安全目标。
密码技术是网络空间安全的核心技术与基础支撑,是安全的第一道防线,发挥保底作用。企业应具备相应的密码意识,使用密码技术来保护企业信息系统的安全。商用密码行业相关企业、专家也应继续发力,确保密码技术和相关产品能够符合要求,降低企业落地的门槛。
在企业数据安全全生命周期中,商业密码技术的应用有助于改善“大数据裸奔”的状态,能够大幅提升企业安全防护能力,有效保护企业数据共享安全、平稳进行。