密碼法與華為云數(shù)據(jù)安全

在生活已經(jīng)離不開互聯(lián)網(wǎng)的今天，密碼的重要性更無比凸顯。密碼不僅關系黨和國家安全，更關系個人安全，是信息時代的守護神。

早在去年10月，密碼法頒布后不久，網(wǎng)上就流傳一條奇聞：“密碼法實施后，密碼將由國家統(tǒng)一管理，保護大家的信息安全?！边@是謊言，但也透露出不少人對“密碼”和“密碼法”的了解極其有限。

因此，適當?shù)目破帐潜匾?。這開年的第一天，筆者就花些時間給大家做做這方面的解釋工作。

一、此密碼非彼密碼

大家對密碼再熟悉不過了，用六位數(shù)的密碼保護兩位數(shù)的存款、購物時刷臉刷指紋支付、登錄網(wǎng)站時總也記不住的賬號密碼……

但在生活中的這些“密碼”，嚴格來說是“口令”，它是一種簡單高效的進行身份確認的手段，已經(jīng)存在了幾千年時間了，比如大家看古裝劇經(jīng)常見到“玉璽”、“虎符”，就是一種“口令”，用以證明是皇帝和將軍本人發(fā)布的信息。

但密碼法中說的密碼是不是口令？顯然不是。準確地說，口令只是密碼中的一小部分。

華為云安全技術專家說：“對什么是密碼，密碼法第二條明確表示，密碼是指采用特定變換的方法對信息等進行加密保護、安全認證的技術、產(chǎn)品和服務。在現(xiàn)代密碼學中，密碼是指對信息進行加密保護、安全認證的一整套的技術和協(xié)議。它代表的是一個過程。密碼的功能有兩個，一個是加密保護，一個是身份認證。加密保護，是為了把明文信息變成密文；身份認證，是為了確認‘你就是你而不是其他人’?！?/span>

比如大家發(fā)紅包的過程，從你輸入紅包數(shù)額開始，到輸入支付密碼，到發(fā)出去，到親朋好友搶到，這整個過程中的每個數(shù)字和文本，都是做了加密處理的，而且會認證是你而不是其他人發(fā)的紅包、支付的紅包費用，只有你想發(fā)的人才能看到你的紅包等等。整個過程中，支付密碼實際只是一個“口令”，是其中的一個環(huán)節(jié)而已。

二、密碼法的內容是什么？

密碼法是我國密碼領域的首部綜合性、基礎性法律，旨在規(guī)范密碼應用和管理，保障網(wǎng)絡與信息安全。

密碼法主要內容為：什么是密碼，怎么用密碼，誰來管密碼，怎么管密碼。密碼法的制定和實施，可以規(guī)范密碼的管理和應用，發(fā)揮密碼作為國家重要戰(zhàn)略資源的作用。

華為云安全技術專家說：“密碼法將密碼分為核心密碼、普通密碼和商用密碼三類，實行分類管理。三類密碼保護的對象不同：核心密碼、普通密碼用于保護國家秘密信息；商用密碼用于保護不屬于國家秘密的信息。核心密碼保護的信息最高密級為絕密級。普通密碼保護的信息最高密級為機密級?！逼渲校蠹医?jīng)常接觸的是商用密碼，用來保護網(wǎng)民的口令及敏感信息等。

密碼法還著重指出：任何組織或者個人不得竊取他人加密保護的信息或者非法侵入他人的密碼保障系統(tǒng)。

三、密碼法與自己有什么關系？

普通人對密碼技術的印象總是陷于兩極：一方面感覺密碼技術極其神秘，總也搞不懂，總感覺跟情報破解、軍事戰(zhàn)爭有關，跟自己沒啥關系；一方面自己手機、電腦上就有很多“密碼”，不就是幾個字母和數(shù)字嗎？

這就讓許多人有一種印象：密碼技術與自己沒什么關系，但自己卻經(jīng)常用“密碼”。

但其實密碼既不那么神秘也沒那么普通。

對一般網(wǎng)民而言，加密技術，無處不在。平常用的網(wǎng)上銀行、瀏覽視頻、微信聊天，你每發(fā)出的一條信息，都通過互聯(lián)網(wǎng)傳輸層的安全協(xié)議（TLS/SSL）一類技術進行了加密，保障你發(fā)出的信息不被人截獲和破解。比如大家打開華為云主頁的時候，在瀏覽器左上角會出現(xiàn)一把綠色的鎖，這把綠色鎖表明該站已使用了TLS/SSL加密保護。所以，密碼法的實施，會更規(guī)范這些加密過程，保護每個網(wǎng)民的信息安全。

對企業(yè)組織而言，一切使用加密保護、安全認證技術、產(chǎn)品和服務進行保護的企業(yè)及組織，尤其是影響國計民生、社會公共利益和秩序的單位，都要合理使用密碼來保障數(shù)據(jù)安全。對于使用商用密碼的企業(yè)及組織還需要開展商用密碼應用安全性評估。國家網(wǎng)絡安全根本制度等保中，就要求等保三級及以上系統(tǒng)必須進行密碼應用安全性評測：對于數(shù)據(jù)的從采集、傳輸、存儲全生命周期進行有效的密碼保護和安全管理。如違反密碼法，輕則責令整改、給予警告；重則數(shù)十萬罰款；對負責人進行處分和罰款；構成犯罪的，依法追究刑事責任。

四、華為云能為你做些什么？

說到這，華為云也提供了從數(shù)據(jù)訪問、識別分類、防泄漏、審計追溯的完整的數(shù)據(jù)安全方案。

首先，提供了專業(yè)的等保安全服務，幫助大家過等保，包括密碼法中對企業(yè)密碼使用的要求。

其次，推出了SSL證書管理服務，為用戶提供云上一站式證書購買、管理的能力，實現(xiàn)網(wǎng)站的可信身份認證與數(shù)據(jù)安全傳輸。

再次，數(shù)據(jù)加密服務作為數(shù)據(jù)保護的最后一環(huán)，嵌入20余種云服務中，實現(xiàn)一鍵加密，一年上億次調用，累計服務1萬多用戶。基于鯤鵬的國密加密方案，可以實現(xiàn)透明無感知加密，由于采用自研ARM芯片加速，性能損耗控制在5%左右，非常適合應用于金融、政務等關鍵基礎設施。

從次，發(fā)布了敏感數(shù)據(jù)保護服務（SDG），支持GDPR定義的敏感數(shù)據(jù)檢測；支持結構化和非結構化數(shù)據(jù)脫敏；支持基于規(guī)格和自然語義處理的識別，中文識別率達95%，英文識別率達98%，業(yè)界領先，助力華為云成為首個獲得ISO27701認證的云平臺。

最后，還有數(shù)據(jù)庫安全服務，是國內唯一集數(shù)據(jù)庫防火墻、數(shù)據(jù)脫敏、數(shù)據(jù)庫審計一體的數(shù)據(jù)庫安全產(chǎn)品，完善的保護數(shù)據(jù)庫安全，在零售、汽車、教育等多個行業(yè)廣泛使用。