在国家顶层设计中,明确强调密码技术是网络安全的核心技术和基础支撑,密码技术是解决数据安全问题最有效最经济保障手段,并通过《密码法》等相关配套政策明确开展密码技术应用和推广是一项关系网络安全和数据安全的重要工作,为密码技术的广泛应用奠定了政策基础。
在客观规律中,关联是现实社会存在、网络空间存在的基础,而可靠关联是社会秩序维护和网络安全工作的基础,在网络空间中,密码技术是保障可靠关联最有效技术手段《一种网络安全工作很实用的思维角度:理解和使用“关联”》,这为密码技术更深层次应用奠定广泛条件。
在实际情况中,密码技术已经在被广泛关注和规模化应用,正在各种应用场景中发挥作用,在不久的将来一定会成为保障网络安全最核心、最普遍使用的手段。也正是基于此,密码行业当前的发展速度确实是很迅速的,各种密码产品、密码方案、密码体系、密码应用、密码人才也是层出不穷,这些都为密码技术的应用发展带来积极推动作用。
1、密码技术是网络安全的核心,那么“核心”自身的安全问题如何保障?
2、密码技术是可靠关联的基础,那么怎么做到关联最经济、场景最适配,防止一刀切?
密码技术定位越高、应用越广泛,上述两个问题就越明显,本文就对上述两个问题进行必要的分析,并尝试性地给出解决思路,希望能为从业者提供一点参考。
密码技术在落地过程中,一般是要经历如下的几个阶段:
2、功能阶段:通过对密码算法的应用,形成密码功能性产品
3、体系阶段:通过对密码功能性产品的应用,形成密码功能体系
4、场景阶段:通过对密码产品、密码体系的部署和使用,与具体业务形成协同落地
5、用户阶段:形成密码技术、密码产品、密码体系、业务应用的融合,统一面向应用者
从上述五个过程不难发现,随着密码技术上层迭代的内容的增加,其密码技术应用存在风险的可能性在逐步增加(密码算法本身存在安全风险的可能性最小,而用户使用过程中因为各种原因存在安全风险的可能性最大),并伴随着应用对象对密码技术掌握层次的降低,共同导致密码技术应用整体安全性逐步降低。
从上述的分析不难看出,密码技术在业务中发挥最终的安全保障作用,靠的不仅仅是密码算法、密码产品和密码体系,靠的是由密码算法、密码产品、密码体系、密码应用、业务用户形成的整体。按照安全的木桶原理,任何一个层面出现短板,密码技术的最终的效果就存在短板
所以,提高密码算法、密码产品、密码体系、密码应用、用户操作几个层面安全能力,就成为保障“核心”自身安全最应该做的工作。
众所周知,网络安全的发展其实就是“攻击”与“防御”双方对抗的结果,对抗才是网络安全能力提升的源动力。只有防御没有攻击的能力只是纸上谈兵、只是想当然、只是理论上的能力,这样的能力在复杂的环境下不堪一击,中看不中用。
密码算法,是密码技术中最基础、最核心的部分,它的发展无时无刻不充斥着对抗,也正是因为这样,密码算法才拥有网络安全行业中的至高地位,其安全性也是被广泛认可。就算是这样,随着算力的提升、对抗技术的发展,密码算法本身也必须作出对应的改变。我想这一点对于密码行业从业者而言无需多说什么。
所以,采用“对抗”方式,是提升密码技术应用整体安全能力的基础保障
当下众多的密码技术从业者和从业单位,几乎都不具备密码算法能力,几乎都是在密码算法的基础上开展应用工作而已,并所有的工作几乎都是基于防御式的。虽然国家主管单位对产品、落地都有一些相关检测和测试手段,但这些基本侧重在合规性、功能性等层面,对其攻防层面的测试涉猎地很少。
基于这样的事实,结合上述锥体所给出的指示,如果在安全性上密码算法是满分(红线部分)的话,当下密码产业单位所做的工作都存在减分项,都存在安全风险,都需要借助攻击/侦查手段来提升自己的能力。如何做到这一点本文就不做具体说明了,希望从业者自行了解。
随着密码技术应用范围的扩大,面对各种各样的应用场景,如何做到经济和适配成为当下密码技术应用不得不面对的一个问题,一刀切的工作方式不再满足场景需要。在这种情况下,兼顾安全的本质和密码技术的本质就成为最智慧的选择,需要把握如下的原则:
在很多新兴场景下(物联网、工控等),存在很多传统信息化所不涉及的特殊要求,而这些要求采用传统的安全手段势必严重影响业务正常处理,在这样的情况下,安全设计就需要作出必要的应对,并且要能有平衡指标作为参考依据才是最正确的选择
2、密码技术的应用必须给出多样性的选择和最终的适配指标固定与监测
密码技术的引入势必增加成本并对资源有一定的虚耗,但,密码技术作为网络安全核心技术和基础支撑,最经济最有效的安全保障手段,还必须要使用,在这样的情况下,就需要密码技术本身提供多种选择性服务(当下,众多从业者只知道密码算法在密钥长度上有区别,并不清楚其实密码算法自身也有很多适配指标),无论是密钥长度还是算法适配指标,是否能满足场景需求,都需要进行量化考量,如何做到量化考量才是关键环节。
适配性,倒是一个具体考量指标,对于网络安全和业务之间的适配指标、密码技术和场景的适配指标,是可以在具体工作中进行测量和监控。
对于密码技术和场景的适配指标的测量和监控,同样可以采用对抗侦查的方式给出很好的解决
密码技术,作用和前景无容置疑,但在应用体系中如何保障整体能力和适配性是最关键环节
而,当下密码行业、密码产业对整体能力的认知存在偏差,多停留在防御角度
对密码技术的适配性上并没有充分发掘密码算法本应该有的特质,都局限在上层
影响密码技术整体能力因素的有密码算法、密码产品、密码体系、密码应用、用户操作等多个方面
提升保障能力,最好的办法就是采用对抗的方式,从业单位和从业者只有积累攻击能力,那防御能力也就逐渐加强,整体保障能力也就是得到全面提升
做到适配和经济,不是一句口号,要有具体的量化考量,而这种量化考量只能通过在实际场景中反复测量和还原才能得到,而这个过程同样是一种对抗侦查的具体落地
网络安全体系建设必须有对抗侦查体系的存在,密码技术应用能力,必须匹配有效的对抗侦查机制,当下众多单位都没有,密码技术的对抗与侦查,当下存在较为完善的能力保障,大家需要快速补充、
对抗永远是网络安全发展的需要,防御与攻击永远是网络安全能力的两个方面,缺一不可。
编辑:陈十九
审核:商密君
大家好,为了更好地促进同业间学术交流,商密君现开启征文活动,只要你对商用密码、网络安全、数据加密等有自己的独到见解和想法,都可以积极向商密君投稿,商密君一定将您的声音传递给更多的人。
![密码技术应用中需重点解决两个问题]( "密码技术应用中需重点解决两个问题")
点击购买《2020-2021中国商用密码产业发展报告》![密码技术应用中需重点解决两个问题]( "密码技术应用中需重点解决两个问题")
来源:与智慧做朋友
注:内容均来源于互联网,版权归作者所有,如有侵权,请联系告知,我们将尽快处理。
原文始发于微信公众号(商密君):密码技术应用中需重点解决两个问题
评论