卫士通亮相国家网络安全宣传周并发表主题演讲
2021-11-01 卫士通

10月11日,由陕西省委网信办、西安市委网信办指导,中国网络安全产业联盟、中国电子技术标准化研究院联合主办的2021年国家网络安全宣传周“网络安全产业发展论坛”在陕西西安成功召开。卫士通资深专家、天津网安总经理洪新受邀出席论坛并作主题演讲,分享了卫士通“第三方密码服务”在保障数据安全方面的探索。

洪新在题为《建立多方信任模型的第三方数据加密服务研究》主题演讲中提出安全问题不仅是技术层面的问题,还有信任层面的问题,即人的问题,并引述IBM的报告指出95%的安全问题是由人引起的问题。

洪新

他分析到,之所以说技术只是解决网络安全的一个层面,是因为即使是技术最先进的企业,技术并不完全解决用户安全能力的提升,也并不解决平台应用厂商对用户数据权力过大,没有制约这样的问题,故而近几年爆发的安全事件不断,而且越来越多,越来越大。另外,也同时造成了用户对IT基础设施和应用厂商的信任感不断地被消费,不是对他们技术的怀疑,而是对他们提供的信任感的怀疑。

关于信任,国内外对于互联网网络安全信任上的探索,最终都指向第三方的信任模式,所谓“第三方的模式”。当天洪新重点介绍的“第三方密码服务”是指用户和互联网平台运营者之外,引入了一个独立的密码服务运营者,帮助用户管理密码支撑用户数据的加密,这个模式下,互联网运营商和平台运营商他们所见,所管,所存的用户数据只有密文,从而有效防止明文信息的泄露。应用和平台的运营者、密码服务运营者互相制衡,共同确保用户数据的安全。由于密码和加密数据的分离,各个服务运营者都不能存取用户明文信息,极大增加了用户对运营者服务的信任。第三方模式已成功地在各个领域得到广泛的应用,安全领域的CA就是很典型的应用。

第三方加密服务商会提供在线的密钥服务,加密密钥安全的存储分发,第三方加密服务商不接触也不保存任何的数据,通过密钥和安全策略控制用户,保护用户的实际安全。在此同时,这个服务又对应用服务商提供密码安全的组件适配服务,让组件提供应用服务的同时,所有的信息都能通过第三方加密再储存和传输,即使有人非法获取用户的数据,也会因为没有密钥,没有办法真正获取用户的明文信息。数据和密码的分离,有效避免因运营者信任问题造成的数据泄露。而用户本身则能通过第三方密钥服务所得到的密钥和安全策略,完成信息在本地的加解密。

这个原理已被作为最佳实践应用于卫士通和众多合作伙伴的合作当中,如华为,曙光云,企业微信,国产数据库和OA企业等。