炼石免改造加密亮相2023商密大会,参编密评行业报告发布
豫见商密,共襄发展
2023年8月9-11日,2023商用密码大会在河南省郑州国际会展中心圆满召开,是我国商密领域规格最高、规模最大、影响最广的全国性商用密码盛会,也是《密码法》和新修订的《商用密码管理条例》正式实施以来的第一次全国性的盛会。大会以“密码赋能美好发展”为主题,旨在推进商用密码创新驱动、前沿交流、产业对接、协同合作,集中呈现我国商用密码理论、技术、产品、服务、应用等最新成果,探讨产业发展趋势,解读政策法规,为全国商用密码及相关行业部门“齐聚一堂、共襄发展”提供平台。
炼石作为数据安全头部产品厂商,携自研“免改造加密”产品、特色行业数据安全解决方案以及配套服务体系亮相本次大会,着力解决用户密评合规与实战防护双痛点,受到了国家密码管理局、北京市密码管理局以及多个省市的密码管理机构领导高度认可。同时,展位现场人气火爆、咨询不断,打破空间壁垒,拓展更多商机,炼石“免改造加密”产品受到参展嘉宾广泛的关注与好评,实现了与多家客户现场达成采购意向。
商用密码应用安全性评估实践与发展论坛上,在国家密码管理局的指导下,中国工业互联网研究院牵头,炼石等企业深度参与编制的《商用密码应用安全性评估发展研究报告(2023年)》正式发布。
关注炼石的本公众号(或从微信中搜索公众号:炼石网络CipherGateway)并后台回复关键词“炼石就是数据安全072”,即可打包下载《商用密码应用安全性评估发展研究报告(2023年)》。
炼石“免改造加密”亮相大会,“一平台多模块”体现创新自研实力
“后商密条例时代”,既强化密码合规、更推动实战应用。2023年7月1日,由国务院常务会议审议通过的《商用密码管理条例》正式施行,有效地将商用密码应用各领域、各环节、各要素纳入法治化管理轨道,充分满足新时代商用密码事业发展的根本需求。强化密码合规主要体现在,一是商用密码技术正逐步获得国家政策重视以及用户认可,从顶层规划到配套法律法规陆续落地,关键信息基础设施和等级保护三级等重要系统明确要求密码合规;二是数据安全技术与业务的结合越来越紧密,业务应用层正成为数据安全建设的重点,成为解决企业在平衡合规压力、改造复杂业务系统的关键所在;三是数据安全技术应用扩展到各领域行业,如国家标准GB/T
39786-2021《信息安全技术
信息系统密码应用基本要求》的发布,密码技术的行业及场景适用性进一步延伸。针对实战应用,当下的数据泄露事件频发,面对新安全挑战与新合规要求,数据安全防护体系正在从“以网络为中心的安全”,升级到“侧重以数据为中心的安全”。而密码作为数据安全的杀手锏技术和核心支撑,天然具备安全防护基因。
现实情况是应用改造成本抵消安全增益正陷入两难困境。在数字化转型及数字经济产业发展中,不仅是CPU、操作系统、数据库等基础软件的升级,涉及广泛行业应用软件亟待升级替换是更大的市场空间,比如军工领域的PLM/MES/ERP软件等。这些巨大存量的应用软件普遍缺失内建密码安全机制,缺乏有效手段增强密码安全能力,因为无法破解开发改造模式成本极高、影响业务连续性,还有源代码维护等技术可行性挑战。这也意味着,应用改造带来的高难度、高风险、长周期,再叠加复杂的数据安全能力,使得企业投入成本在一定程度上抵消了安全带来的增益,企业数据安全建设面临“不改有风险、强改会要命”的两难困境。
秉承“数据为中心”的新安全理念,推出免改造加密产品矩阵。此次展会上,炼石展出包含“一平台:数据安全主平台,多模块:识别、防护、检测/响应、恢复、审计/追溯以及安全合规等安全能力模块”的数据安全产品体系,可通过高覆盖率的数据控制点,横向覆盖广泛应用、纵向叠加多阶安全能力,有效保护结构化与非结构化数据,实现集中式管控、分布式保护,可应用于数据收集、存储、使用、加工、传输、提供等环节。其中,炼石数据安全主平台开创性地基于面向切面安全技术,实现免改造应用的细粒度数据安全防护,可覆盖应用系统、数据库、文件系统、磁盘、终端等数据流转的多层级,具有免改造应用交付快、应用架构兼容广、密码安全一体化防护强、适应业务数据流向管控准等优势。
免改造加密能力矩阵,在数据控制点施加防绕过动态保护。一方面可实现面向用户重建安全规则,只有符合权限的用户,才能访问到其应该使用的数据;结合业务场景的风险监测;可定责到人的高置信审计。另一方面,面向运维重构数据边界,没有任何人能从应用后台获取敏感数据明文信息。如此,攻击者既无法直接从运维侧获取敏感数据,也无法从用户侧获取未授权的敏感数据,让数据流转与安全防护兼得。对于已建立系统,内建数据安全能力,在数据流动的切面上重建安全规则,部署安全控制点,避免大规模改造代码,降低成本;对于新建关键信息基础设施、重要网络与信息系统,免改造数据安全技术保障同步规划、同步建设、同步使用,成为用户提升实战能力的重要支撑。
打造成熟标准化产品与交付体系,覆盖头部行业客户试点与推广复制。炼石产品方案可在不影响业务的前提下敏捷实施上线,将安全与业务在技术上解耦、但又在能力上融合交织,实现主体到应用内用户、客体到字段/文档级的有效保护,打造实战化数据安全防护体系。目前,炼石已形成了成熟标准化产品与交付体系,能够满足政府、金融、运营商、教育医疗文旅、工业等行业客户,在个人信息保护、商业秘密保护、数据安全合规改造、国密合规改造等业务场景需求。同时,炼石进一步强化配套服务体系,打造4项通用服务和2项专项咨询服务,致力于满足企业和组织发展战略、合规要求和风险治理等诉求,让数据安全防护成效实现“1+1>2”。
展会期间,炼石还开放多年原创稿件合辑,创新打造“知识超市”,传递专业产业认知,为参会嘉宾获取资料提供便利。一直以来,炼石持续输出原创内容,包括《密码产业洞察报告》《密码应用技术白皮书》《数据安全产业洞察报告》《数据安全与个人信息保护技术白皮书》等系列产业洞察报告,以及法规要点解读、时政热点解析、行业政策解读、历年法规汇总等。此次借助2023商用密码大会这个平台,希望能与产业同仁,共建数据安全产业合作共赢生态格局,为产业发展贡献炼石智慧。
炼石参编的《商用密码应用安全性评估发展研究报告(2023年)》正式发布
8月10日上午,由中国工业互联网研究院协办的“2023商用密码大会——商用密码应用安全性评估实践与发展论坛”在成功举办。在国家密码管理局的指导下,中国工业互联网研究院牵头,炼石等企业深度参与编制了《商用密码应用安全性评估发展研究报告(2023年)》,旨在总结密评试点工作经验,进一步规范和引导密评工作开展,对推动商用密码应用及安全性评估在各领域广泛开展具有积极意义。会上,受中国密码学会商用密码应用安全性评估联合委员会委托,安全研究所所长王聪发布了《商用密码应用安全性评估发展研究报告(2023年)》,并对其进行了解读。