28天后密码法正式施行 必备功课做完了吗？

距离2020年1月1日《中华人民共和国密码法》（简称“密码法”）正式施行，还剩28天。密码法都做了哪些规定，与我们个人和企业有什么关系，在新法正式施行前我们应该怎么做好准备？今天我们就来聊一聊密码法相关的那些事。

密码法最受关注的四大问题

密码法的“密码”指的是什么？

一提到密码，我们都会联想到银行密码、手机密码、支付密码、账号密码等等，但此密码并非彼密码。

密码法里的密码指的是使用特定变换对信息等进行加密保护或者安全认证的产品、技术和服务。所以对于硬件安全模块、服务器密码机、数字证书认证系统等核心功能属于加密保护或安全认证的产品都属于密码产品。

按照密码的功能形态分为核心密码、普通密码和商用密码。核心密码和普通密码是用来保护国家秘密信息，商用密码是用于保护不属于国家秘密的信息的密码，是互联网和其他行业使用最为广泛的类型。

那么重点来了，密码法跟谁有关？

一切使用加密保护、安全认证技术、产品和服务进行保护的企业及组织，尤其是影响国计民生、社会公共利益和秩序的单位，都应该合理使用密码来保障数据安全。

对于使用商用密码的企业及组织还需要开展商用密码应用安全性评估。在2019年12月1日正式实施的等保2.0中，就对网络安全第三级及以上等级保护对象做出了明确的密码应用安全性评测标准。对于可能影响国家安全的关键信息基础设施的运营者还需要按照监管要求进行审查。

“密码应用安全性评估”涉及哪些内容？

密码应用安全性评估对于网络对象采集、传输、存储的数据以及外围保护环境数据根据重要程度、类型提出了实现机密性、真实性、完整性和不可否认性的密码保护要求，围绕数据生命周期进行全方位的密码保护和安全管理。

通俗来讲，密码不仅要用在数据采集、存储、传输等所有节点，而且还要有效，不能是形式主义。

违反密码法有什么后果？

对于不使用密码的，轻则管理部门会对违规单位进行责令改正，给予警告，重则对违规单位进行数十万的罚款，对负责人进行处分和罚款，一旦构成犯罪，还将依法追究刑事责任。

阿里云进阶式数据加密能力助你做足功课

根据用户对不同数据不同安全等级的需求，阿里云提供了一整套完整的进阶式数据加密能力，以及密钥管理服务，也就是密码法中的密码管理服务，让用户可以保护好云上这个“密码本”，满足不同数据加密需求。

加密入门：可见的“默认加密”

为了更方便的让用户对低安全级别的数据进行加密保护，而避免付出额外的密钥管理开销，阿里云在密钥管理服务KMS中为用户提供了一种自动管理密钥的功能，用户只需要在KMS中选择“服务密钥”这一功能，就可以通过KMS实现数据的自动加密，不需要用户做任何操作，且密钥的任何调用情况用户都可以在操作审计产品中看到。

加密进阶：可见可控的全托管加密

如果用户对数据加密有更高需求，可以不使用KMS自动生成的服务密钥功能，而是自行在KMS中管理密钥的生命周期，包括创建、删除、禁用、启用密钥等，并且在访问控制（RAM）中自主管理密钥的授权规则。该密钥是解密数据的唯一钥匙，没有用户授权密钥，任何人无法看到数据；如果密钥被删除，包括用户在内的任何人都无法解密数据。

加密高阶：可见可控的半托管加密

比全托管加密更高级的安全能力来自于业界普遍认可的一项技术：BYOK（Bring Your Own Key）。通俗来讲就是用户可以自己生产密钥导入云上KMS托管的硬件密码机中，这个过程是单向的，密钥只能导入不能导出，除用户之外的任何第三方都无法知晓托管密码机中的内容。除此之外用户可以随时销毁云上密钥，而仍然保有密钥的生命周期管理能力，例如，用户导入密钥对数据加密后可以删掉密钥，在数据需要被解密时再重新导入相同密钥来解密即可，这为用户提供了更多的自主权利。

加密更高阶：自己写代码调用KMS

相较于前三阶均是“云产品集成加密”，从该阶加密开始，用户可以自己写代码调用KMS的API能力，更加适用于对敏感数据保护有更高要求，或者为了满足GPDR及其他法律法规要求的用户，这种加密方式可以针对特定数据实现主动加密保护。用户可以根据自身的业务场景特性和业务逻辑特性来制定不同的密钥管理策略，将加密能力嵌入到业务当中，使得安全与合规需求及业务系统紧密融合，进一步减小恶意者对敏感数据的攻击面。例如：数据库TDE加密，并不能有效防止具有数据库用户或者DBA查看数据库内的敏感数据。如果业务系统对特定的敏感数据列进行自定义加密，数据库用户或者DBA则需要进一步获取密钥的权限从而查看敏感数据。

除此之外，自定义加密的应用系统，可以更好的利用KMS内建的密钥自动轮转能力，实现密钥管理的安全策略。

加密最高阶：自己管理HSM集群和写代码

除了密钥管理服务KMS，阿里云还为用户提供了云服务器密码机实例。用户可以自己管理所需的密码机实例数量，自己做密钥机之间的密钥同步、备份、负载均衡等工作。在这个过程中，云服务商不参与任何密钥管理相关工作，用户不仅对密钥管理有完全的控制权，同时对硬件密码机也有完全的控制权，为最高阶的加密方式。

从上面可以看出，阿里云这套云上密码能力体系，不仅可以帮助用户实现数据的加密保护、数字签名的产生和验证、加密密钥的自动轮转等功能，更便捷的构建密码应用和解决方案，还能赋能云上数据安全、身份认证、区块链、DevSecOps等广泛场景。

云上密码能力地图

密码法的颁布只是第一步，数据安全是一个系统工程。在《密码法》的指导下，企业可以借助阿里云的技术工具和安全产品强化自身的安全体系，在保障数据安全的前提下，充分享受技术红利，促进业务的持续、稳定发展。

（文章来源：阿里云安全）
注：内容均来源于互联网，版权归作者所有，如有侵权，请联系告知，我们将尽快处理。