本文探讨了数字经济背景下的数据安全风险及密码技术的重要性,分析了密码应用中的常见问题,并介绍了密码应用安全性评估的方法与流程。
前言
2022年1月,国务院印发《“十四五”数字经济发展规划》(以下简称“规划”),明确了“十四五”时期推动数字经济健康发展的指导思想、基本原则、发展目标、重点任务和保障措施。规划指出,数字经济是继农业经济、工业经济之后的主要经济形态,是以数据资源为关键要素,以现代信息网络为主要载体,以信息通信技术融合应用、全要素数字化转型为重要推动力,促进公平与效率更加统一的新经济形态。
业务伴生风险。数据要素是数字经济深化发展的核心引擎,数据对提高生产效率的乘数作用不断凸显,成为最具时代特征的生产要素,数据的爆发增长、海量集聚蕴藏了巨大价值,数据的开发利用为经济社会发展提供了强大动力。安全是发展的前提,传统业务需求侧重于“希望发生什么”,而安全需求侧重于“不希望发生什么”,从而“确保发生什么”。因此,凡是有数据开发利用的场景,总会伴生着数据安全风险,都会产生数据安全需求。
风险驱动密码。数字时代呼唤安全创新,密码是国之重器,是数字技术发展的安全基因,是保障网络与数据安全的核心技术,也是推动我国数字经济高质量发展、构建网络强国的基础支撑。从实战需求看,日趋严峻的网络与数据安全威胁使得数字经济迫切需要密码技术这个“压舱石”,以有效抵御外部黑客攻击、防止内部人员泄露。从合规需求看,以密码应用安全性评估为抓手落实《密码法》,并结合《网络安全法》《数据安全法》《个人信息保护法》等法律法规,也在持续拉动密码应用新需求。实战与合规叠加的需求成为安全产业发展的关键动力,推动新密码市场加速形成。
密码融入业务。密码作为直接作用于数据的安全技术,只有融入数据处理流程才能有效防范业务风险。从技术路线上,传统“外挂式”密码产品采用开发改造应用的模式门槛高、周期长、风险大,用户面临“难用、难管”等挑战。“面向切面安全”等新模式提出“内嵌式”密码技术创新,将安全与业务在技术上解耦、但又在能力上融合交织,提供轻量级改造应用的实施模式,有效防护企业应用与数据,让密码“好用、好管”。
本白皮书以“用密”为主线展开介绍密码技术、产品、服务、集成、合规等密码相关知识,希望为需求和供给两侧从业者提供密码应用参考手册。作为重点部分,从业务视角归纳了20种密码应用模式,尝试在保密性、完整性、真实性、不可否认性等的基础上,从数据开发利用场景提炼更直观的密码使用方案。进一步的,对全面开展中的密评工作,梳理了典型的密评改造技术方案,为密评工作者提供参考。
由于编者水平有限,时间仓促,白皮书中不妥和错漏之处在所难免,敬请各位读者批评指正和提出宝贵意见。在此也欢迎业界专家和同仁拨冗参与本白皮书下一版本改进完善,共同为密码技术应用推广贡献力量!
本白皮书编写过程中获得了腾讯云鼎实验室等众多专家和机构的指导与帮助,在此特别致谢。
(关注账号,私信小编,即可下载完整版《2021密码应用技术白皮书》PDF高清文件)
本文约5万字,预计阅读时间 30 分钟。
注1:欢迎业界同仁反馈改进、共同完善、交流合作,信息反馈请发送邮件至:
support@ciphergateway.com。
注2:文章仅展示部分内容,请关注后下载完整17万字白皮书原文。
声明:北京炼石网络技术有限公司对本技术报告内容及相关产品信息拥有受法律保护的著作权,未经授权许可,任何人不得将报告的全部或部分内容以转让、出售等方式用于商业目的使用。转载、摘编使用本报告文字或者观点的应注明来源。报告中所载的材料和信息,包括但不限于文本、图片、数据、观点、建议等各种形式,不能替代律师出具的法律意见。违反上述声明者,本公司将追究其相关法律责任。报告撰写过程中,为便于技术说明和涵义解释,引用了一系列的参考文献,内容如有侵权,请联系本公司修改或删除。
目录
一. 数字经济伴生安全风险
1.1. 数字经济定位为主要经济形态
1.2. 数据资源已成为关键生产要素
1.3. 数据处理伴生着安全威胁风险
1.3.1. 数据收集风险
1.3.2. 数据存储风险
1.3.3. 数据使用风险
1.3.4. 数据加工风险
1.3.5. 数据传输风险
1.3.6. 数据提供风险
1.3.7. 数据公开风险
二. 密码产业护航数字经济
2.1. 数字经济呼唤创新密码应用
2.1.1. 密码技术是数字安全压舱石
2.1.2. 实战合规是密码建设指南针
2.1.3. 密码创新是数字安全领头雁
2.2. 密码产业进入黄金发展时代
2.2.1. 顶层战略引导数字经济安全建设
2.2.2. 国家法律加速密码应用推广普及
2.2.3. 行业地区出台密码技术应用要求
2.3. 密码技术筑牢数字安全屏障
2.3.1. 密码技术进步促进应用融合
2.3.2. 信息技术升级促进产品演进
2.3.3. 攻防演练对抗促进实战发展
2.3.4. 数据要素市场促进密码创新
2.4. 业务视角归纳密码应用模式
(一) 身份鉴别及密钥管理
2.4.1. PKI信任体系
2.4.2. IBC信任体系
2.4.3. 预共享密钥的身份鉴别
2.4.4. 基于数字签名的身份鉴别
(二) 数据传输(通信安全)
2.4.5. 离线通信消息加密
2.4.6. 代理重加密受控分发消息
2.4.7. 在线通信消息加密
2.4.8. 可感知窃听的专线通信
(三) 数据存储(数据资产安全)
2.4.9. 应用内数据加密
2.4.10. 数据库存储加密
2.4.11. 文件存储加密
(四) 数据使用(数据共享与安全兼得)
2.4.12. 基于差分隐私的数据匿名化
2.4.13. 基于属性加密的访问控制
2.4.14. 锚点解密的防绕过数据安全
2.4.15. 不可信环境中的数据运算
2.4.16. 可验证结果的计算外包
2.4.17. 封装业务逻辑的可信运算环境
2.4.18. 基于密码的数字水印追溯
2.4.19. 基于密码校验的防篡改
2.4.20. 基于私钥签名的责任认定
三. 密码技术集聚创新原力
3.1. 基础算力类
3.1.1. 密码卡
3.1.2. 密码套件
3.1.3. 智能密码钥匙
3.1.4. 服务器密码机
3.1.5. 签名验签服务器
3.2. 应用场景类
3.2.1. 数字证书认证系统
3.2.2. CASB业务数据加密平台
3.2.3. 金融数据密码机
3.2.4. VPN虚拟私有网络
3.2.5. 电子签章系统
3.2.6. 身份鉴别系统
3.3. 管理支撑类
3.3.1. 密钥管理系统
四. 密码能力融入业务流程
4.1. 数据安全本质是对数据重建访问规则
4.2. 安全技术从基础设施演进到业务应用
4.3. 密码安全融合打造面向业务实战防护
五. 密评合规重构安全防护
5.1. 密码应用典型性问题分析
5.1.1. 密码应用不广泛
5.1.2. 密码应用不规范
5.1.3. 密码应用不安全
5.2. 密评为密码合规提供基线
5.2.1. 密评发展历程
5.2.2. 密评开展依据
5.2.3. 密评适用对象
5.2.4. 密评政策法规
5.2.5. 密评遵循标准
5.2.6. 密评核心内容
5.2.7. 密评等保关系
5.2.8. 密评机构名单
5.3. 密码应用安全性评估标准
5.3.1. 密评测评要求
5.3.2. 密评测评过程
5.3.3. 密评高风险项
5.3.4. 密评评分规则
5.3.5. 密评测评结论
5.4. 密评改造专业化技术方案
5.4.1. 密改总体框架
5.4.2. 密改技术方案
5.4.3. 密钥管理方案
5.4.4. 安全管理方案
5.4.5. 安全合规分析
5.4.6. 密改方案效果
5.4.7. 密改设备清单
六. 附录
6.1. 密码基本知识
6.1.1. 密码算法
6.1.2. 密码协议
6.1.3. 密码认证
6.1.4. 密钥管理
6.1.5. 密码价值
6.2. 密码相关标准
6.2.1. 国家标准
6.2.2. 行业标准
一、数字经济伴生安全风险
1.1. 数字经济定位为主要经济形态
2022年1月12日,国务院印发的《“十四五”数字经济发展规划》中明确指出:数字经济是继农业经济、工业经济之后的主要经济形态,是以数据资源为关键要素,以现代信息网络为主要载体,以信息通信技术融合应用、全要素数字化转型为重要推动力,促进公平与效率更加统一的新经济形态。
数据作为一种新型生产要素较早被写入到国家顶层规划中,体现了互联网大数据时代的新特征。当前数字经济正在引领新经济发展,数字经济覆盖面广且渗透力强,与各行业融合发展,并在社会治理中如城市交通、老年服务、城市安全等方面发挥重要作用。而数据作为基础性资源和战略性资源,是数字经济高速发展的基石,也将成为“新基建”最重要的生产资料。数据要素的高效配置,是推动数字经济发展的关键一环。加快培育数据要素市场,推进政府数据开放共享、提升社会数据资源价值、加强数据资源整合和安全保护,使大数据成为推动经济高质量发展的新动能,对全面释放数字红利、构建以数据为关键要素的数字经济具有战略意义。
1.2. 数据资源已成为关键生产要素
在数据时代,以大数据为代表的信息资源向生产要素形态演进,数据已同其他要素一起融入经济价值创造过程。与其他资源要素相比,数据资源要素具有如下特征:一是数据体量巨大。且历
最低0.47元/天 解锁文章
扫一扫
485
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
