大数据时代,窃取隐私数据的手段越来越多。无论国际还是国内,都曾发生过很多起因数据泄露导致的重大安全事件。因此,数据安全至关重要。密码技术是用来保护数据安全和网络安全的有效手段,密码技术应用是否广泛、安全、规范一定程度上决定了网络和数据是否安全。当前,国际的通用密码算法SHA-1、MD5等已被证明是不安全的,我国学者研究的商用密码算法SM2、SM3和SM4等逐渐成为国际标准。但商用密码在国内的信息系统中应用并不广泛,且存在应用不规范的问题,因此,出台对商用密码应用的评估标准是势在必行的。
商用密码应用安全性评估(简称"密评")是对网络应用环境与信息系统进行合规性、正确性与有效性的综合评估,以此来规定公司的商用密码技术的使用,从而维护网络空间和网络系统的安全性。商用密码应用安全性评估主要根据2018年密标委发布的GM/T0054-2018《信息系统密码应用基本要求》和2021年国家市场监督管理总局、国家标准化管理委员会发布的GB/T 39786—2021《信息安全技术信息系统密码应用基本要求》,两个规范中明确了对信息系统中使用的密码技术的具体规定。技术层面提出了对物理和环境的安全、网络和通信安全、设备和计算安全、应用和数据安全等的要求,而管理层面则强调了对制度、人员、建设运行、应急处置等的要求,两个层面的指标体系中均划分了第一级至第四级的基本要求。
图一 密评基本要求框架
密评规范的技术要求中,四个方面都包含了对商用密码信息技术应用情况的具体量化评价准则,四个方面都要求信息系统必须具备商用密钥服务和密码产品能力。在网络和通信安全、设备和计算安全、应用和数据安全层面,信息系统应当确保对通信数据的完整性和通信过程中对关键数据的高度机密,并且,通过信息系统的资源访问控制信息和对关键信息的安全标记,也必须确保是高度安全的。在信息储存和传输过程中,也必须确保关键数据的完整性、高度机密和不可否认性。密钥管理系统作为密钥全托管平台,具有加密解密、签名验签以及完整性校验等功能,可以满足在密评体系中的网络和通信安全、设备和计算安全、应用和数据方面的密码技术应用需求。
密钥管理服务(Key Management Service,以下简称KMS)是一站式密钥管理平台,提供对称及非对称加密解密、数字签名验签、完整性校验以及密钥的全生命周期管理等功能。KMS具有安全合规、集中托管、稳定可靠等优势。KMS密钥管理系统通过严密的安全性设计与评估,可以确保密钥在天翼云受到了最严密的防护,同时利用硬件安全模块使密钥得到最高级别的专用硬件防护,符合监管合规要求。KMS提供密码基础设施的完全托管,用户无需投入密码基础设施及运维资源就能够轻松实现密钥全生命周期管理,集中控制密钥策略。此外,KMS采用分布式部署,构建多地域冗余的密码计算能力,保证服务的可靠性,并且可以提供标准的API接口供用户调用,确保服务的高可用性。
用户部署密钥管理服务后,支持创建对称密钥类型SM4以及非对称密钥类型SM2,可以对重要数据、系统信息等进行加密以保证数据的机密性。此外,KMS还提供SM3及HMACSM3摘要算法,可以实现对字符串以及文件的摘要,保证重要数据及信息在存储、通信、传输过程中的完整性及不可否认性。按照商用密码规范的行业标准,KMS中提供的商用密码和密码计算服务都能够满足信息系统的安全性要求,并且能够有效进行不可否认性、完整性、机密性的保障。因此,密钥管理服务是密码测评的必备神器。
