密碼是平衡數據安全與數據流通價值的關鍵技術之一,是保障網絡與信息安全的核心技術和基礎支撐。
8月9-11日,在2023商用密碼大會現場,阿里云展出的全新云上密碼應用方案得到廣泛關注。來自多個省市的密碼管理局和用戶單位相關領導蒞臨展臺,表達了對阿里云作為國內領先云服務商廠商牽頭推動云上密碼應用發展的期望。
安全與合規雙驅動的密碼應用需求
密碼之于數字世界的重要性不言而喻。為了合規、正確、有效的使用密碼,保護數據安全,國家陸續出臺了一系列法律、法規和標準,逐步建立起成熟規范的商用密碼應用管理體系與機制。
法律
《密碼法》
2019年10月26日發布,2020年1月1日生效
第八條表明“公民、法人和其他組織可以依法使用商用密碼保護網絡與信息安全”。
第二十七條“法律、行政法規和國家有關規定要求使用商用密碼進行保護的關鍵信息基礎設施,其運營者應當使用商用密碼進行保護,自行或者委托商用密碼檢測機構開展商用密碼應用安全性評估。商用密碼應用安全性評估應當與關鍵信息基礎設施安全檢測評估、網絡安全等級測評制度相銜接,避免重復評估、測評”。
第三十七條 關鍵信息基礎設施的運營者違反本法第二十七條第一款規定,未按照要求使用商用密碼,或者未按照要求開展商用密碼應用安全性評估的,由密碼管理部門責令改正,給予警告;拒不改正或者導致危害網絡安全等后果的,處十萬元以上一百萬元以下罰款,對直接負責的主管人員處一萬元以上十萬元以下罰款。
行政法規
《網絡安全等級保護條例》
(征求意見稿)
第三級以上網絡運營者應在網絡規劃、建設和運行階段,按照密碼應用安全性評估管理辦法和相關標準,委托密碼應用安全性測評機構開展密碼應用安全性評估。
《國家政務信息化項目建設管理辦法》
(國辦發[2019]57號)
《商用密碼應用安全性評估管理辦法》
(試行)
關鍵信息基礎設施、網絡安全等級保護第三級及以上信息系統,每年至少評估一次。
標準及測評文件
《GB/T 39786—2021信息安全技術 信息系統密碼應用基本要求》是密碼應用安全性評估依據的新標準。其配套文件如下:
密碼服務的演進云為密碼應用帶來了什么
傳統密碼產品的交付必須以硬件盒子為載體,雖然可以提供獨立的密碼應用能力,且對于用戶來說可控性更高,但是密碼硬件資源的物理瓶頸限制,導致密碼資源無法按需彈性伸縮,不同廠商的硬件資源管控和服務接口不統一導致密碼設備部署、運維運營復雜。
2014-2015年左右出現的密碼產品虛擬化部署模式,雖然可以在一定程度上解決硬件盒子的一些弊端,但是密碼資源的隔離性與網絡的安全性難以保障,尤其是到了云上,無法與云產品及云上安全體系融合,出現兼容性等問題。
阿里云原生的密碼應用方案,通過將密碼能力內置云平臺基礎設施,以“密碼管理即服務KMaaS”的形式交付用戶,實現“密碼·應用一體化”,帶來密碼應用的本質變革。同時,阿里云整套密碼應用方案全面支持國密算法。
01.高可用
02.云管融合
03.安全合規
阿里云飛天企業版一體化密碼服務架構
商用密碼安全性評估,簡稱“密評”。云上客戶進行商用密碼安全性評估驗證包括兩部分,一是云平臺自身需要滿足密評要求,二是云上業務系統滿足密評要求。
阿里云飛天企業版是國內首家通過密評驗證的云平臺。飛天企業版客戶進行密評時,可以直接復用云平臺側解決方案,無需對云平臺做任何改造。
同時,阿里云為客戶提供了云上密碼應用統一服務平臺,該平臺將底層復雜的密碼硬件資源管理難題進行虛擬化封裝,并以服務化方式交付客戶,從而實現對密碼硬件資源的統一分配和管理,進而降低云上應用對接難度,拉齊各分支單位的密碼應用水位,提升密評改造效率。
此次展會,阿里云重點展示了飛天企業版環境下一體化密碼服務架構。
架構優勢
提供可快速復制、可靠的密碼建設方案,拉齊各應用單位密碼安全性設計水平,保障應用正確使用密碼服務。
集中規范管理密碼資源,提升管理規范性,安全性及運維效率,降低安全風險。
服務與資源兼容性強,最大化資源利用率,降低應用對接難度,提升密評改造效率。
產品優勢
使用監管機構許可認證的密碼設施,保證您的密鑰在阿里云得到最嚴格的保護。
依托阿里云高可靠和高可用的云平臺底座及產品自身高可用架構設計,提供了99.9%的服務可用性保障。
提供密碼機全托管所需的自動運維能力,只需關注加密業務,無需關注繁瑣密碼機運維操作。
客戶價值
既能滿足云平臺密評合規要求,同時幫助云上客戶滿足租戶側密評要求;
一站式解決密碼應用需求,降低管理運維難度;
簡化應用與密碼系統對接流程,提升密評改造效率。
公共云內置的高等級密碼應用方案
展會現場,阿里云同時展出了公共云上原生的高等級密碼應用方案。通過將密碼能力內置于云平臺,使密碼服務成為一種脫離于硬件資源限制可隨取隨用的資源。
阿里云密鑰管理系統支持全球29個Region與88個可用區,支持國際FIPS 140-2/3、國內GM/T多個監管標準要求,支持國密算法與國際算法。
在面向用戶使用場景下,支持云產品默認加密的能力、業務數據加密、文件進行服務端與客戶端加密、憑據(AK、SK、、賬號、口令)的安全加密能力;
用戶通過阿里云密鑰管理服務KMS,在密鑰使用過程中支持BYOK(Bring your own key)、KYOK(Keep your own key);支持針對不同種類的密鑰輪轉,有效解決密鑰丟失或泄露問題;憑據管理產品可管理AK、SK等口令的安全性,從而有效緩解因AK、SK泄露導致的數據泄露等安全事件發生。
對于超大型客戶而言阿里云密鑰管理服務KMS支持萬級別QPS的實時加解密能力,并且有效支持阿里云的TAG、支持多賬號共享能力。
對于全球化國際客戶阿里云密鑰管理服務KMS支持自動化運維,有效降低客戶使用密碼產品的難度,提升運維效率。同時支持客戶全球多區域自動化備份與恢復能力,密鑰穩定性提升到SLA99.9999%。
云上密碼應用典型案例
客戶需求
該客戶首次將IT基礎設施遷移至云上,阿里云負責云平臺整體安全保護。
解決方案
阿里云安全除了為該客戶提供了云基礎設施默認安全服務,更是提供了一套高安全等級的密碼基礎設施,以及自下而上逐層遞進式的云原生數據加密能力,保障云上數據的保密性和完整性:
所有上云數據自動落盤加密存儲,擁有IDC機房同等控制權
“上云”意味著傳統數據中心的物理安全邊界消失。
該客戶在將業務系統和數據遷移至阿里云時,通過打開和強制實施ECS盤、NAS文件系統、OSS桶等云產品加密能力,可實現對所有上云數據一鍵加密存儲,同時通過自帶密鑰加密數據的方式在云上構建起一個由客戶完全自主可控的虛擬數據中心。
通過這種方式,使得客戶既能享受云計算帶來的高可靠、高可用、彈性等技術優勢,又能保障客戶對云系統服務的數據處理流程(分區、調度、復制、備份)及數據使用依然擁有與線下IDC機房同等的控制權。
關鍵數據先加密后存儲,最小化風險暴露面
利用阿里云加密產品和設施,實現業務層字段級數據加密,做到只有合法的業務流程才能發起對數據的解密和訪問;并為客戶節省在密鑰保護和防泄露、密碼機運維、加解密能力彈性擴縮容以及負載均衡等各方面的投入和持續性開銷。
根據等保2.0三級要求進行分類分級后,使用阿里云的加密服務針對關鍵數據和敏感數據采取先加密后存儲的安全策略,以實現數據曝露面最小化的可能性:
支持廣泛公鑰密鑰體系,滿足數據完整性和認證需求
公鑰密鑰體系(PKI)可以對身份認證、終端準入等場景提供可信賴機制,對業務日志、時間戳提供不可篡改的能力,對電子文檔、合同等提供合法的簽名,并支撐各行業內的業務標準化互通。
然而公鑰密鑰體系多種多樣,不同國家對公鑰密鑰體系也提出了不同的要求,復雜性可見一斑。阿里云的加密服務底座,支撐各類公鑰密鑰系統的集成和生態伙伴接入,可提供廣泛的密碼業務支撐,用于構建企業CA證書體系,實現海關、交通、銀行、PCI等各行業的標準化交互認證,以及滿足“電子簽名法”、歐盟eIDAS等法律法規要求。
日志加密及防篡改,實現攻擊可溯源
操作日志是記錄誰何時訪問了哪些系統及數據的依據,也是“溯源”的關鍵渠道。客戶使用阿里云的密鑰管理服務KMS可以實現對云原生系統服務產生的操作日志默認加密保護,防止數據被竊取和篡改,一旦發生攻擊,可以做到“有效溯源”;同時可以使用加密服務進一步針對特定的敏感日志數據在業務層加密或者加蓋時間戳,提供更有針對性的“歷史證據保護”。
Visual Studio 訂閱中查找和聲明產品密鑰
本文內容
本文介紹如何從 中查找、聲明和導出產品密鑰。 若要詳細了解產品密鑰類型、限制等,請訪問產品密鑰概述。
查找并索取產品密鑰
必須登錄你的 Visual Studio 訂閱才能查看產品密鑰。 可在下載頁中,選擇某一特定產品的藍色獲取密鑰鏈接來查找單個產品密鑰。 所有密鑰都可在“產品密鑰”頁查找到。 如果一個產品有多個密鑰,會在下載項的“注釋”列中顯示注釋,幫助你確定應使用哪個密鑰。
某些產品將其多個版本捆綁到單次下載中。 在這種情況下,輸入的產品密鑰決定安裝的產品版本。某些密鑰會自動提供,例如“靜態”密鑰,同一個密鑰可以根據需要使用無數次,因為不需要激活。 其他密鑰必須通過選擇該產品的獲取密鑰鏈接來索取。
根據具體的產品,有多種密鑰類型可供選擇。
產品密鑰類型鍵類型描述
不適用
安裝此產品不需要密鑰。
零售
零售密鑰允許多次激活,適用于產品的零售版本。 在許多情況下,每個密鑰允許激活 10 次,不過在同一臺計算機中通常允許激活更多次。
多次激活
多次激活密鑰 (MAK) 允許使用同一密鑰多次安裝某產品。 MAK 適用于批量許可版本的產品。 通常情況下,每個訂閱只提供一個 MAK 密鑰。
靜態激活密鑰
靜態激活密鑰提供給不需要激活的產品。 它們可在無限次安裝中使用。
自定義密鑰
自定義密鑰提供特殊操作或信息來激活或安裝產品。
VA 1.0
與 MAK 類似的多次激活密鑰。
OEM 密鑰
允許多次激活的原始設備制造商密鑰。
Azure Dev Tools for 零售密鑰
Azure Dev Tools for 的零售密鑰允許在一臺設備上進行激活。 這些密鑰面向學生消費。
Azure Dev Tools for 實驗室密鑰
允許多次激活的實驗室用途密鑰。 Azure Dev Tools for 實驗室密鑰供高校計算機實驗室方案使用。
Azure Dev Tools for MAK 密鑰
面向 Azure Dev Tools for 程序客戶提供的 MAK 密鑰。
可從產品的下載頁索取密鑰,或者在“產品密鑰”頁上搜索所需的密鑰。
索取產品密鑰
只有擁有活動訂閱的訂閱者才可下載產品和索取產品密鑰。 當訂閱處于活動狀態時,可從“產品密鑰”頁導出索取的密鑰。
索取產品密鑰:
登錄到你的 Visual Studio 訂閱。 必須登錄才能下載產品或索取產品密碼。選擇產品密鑰選項卡。產品密鑰根據產品名稱按字母順序列出。 可以向下滾動到所需產品的名稱,也可以使用頁面頂部的搜索欄進行搜索。
在此示例中,我們使用了搜索欄查找 Visual Studio 2019 的產品密鑰。正如你所見,這里列出了幾個版本。 之間已為 Visual Studio 2019 版本 16.0 和 16.1 各申領了一個密鑰。 對于這兩個版本,仍可使用更多不同類型的密鑰。
注意,你可以在注釋列記錄有關已索取的密鑰的簡短說明。 可將此功能與已申領列中的日期一起使用,從而跟蹤你申領的密鑰。 例如,可以在使用密鑰激活產品的安裝時進行記錄。
導出已索取的密鑰
可導出已申領密鑰的列表。 此列表包括眾多自動標記為“已索取”的靜態密鑰和其他密鑰。
重要
如果訂閱到期,則無法索取新的密鑰或導出已索取的密鑰。
若要導出密鑰,請選擇“產品密鑰”頁面最右側的導出所有密鑰鏈接。 此時將創建名為 .xml 的 .xml 文件。 可以選擇打開或保存文件。 你需要使用能夠處理 .xml 文件的應用程序來打開此文件。 例如,可以將該文件作為 Excel 中的只讀工作簿打開。
利用 PIN 而不是產品密鑰的產品
截至 2024 年 10 月,對 Office 2024 和相關 Office 2024 產品的訪問仍可供訂閱者使用:但是,訂閱門戶中下載頁上的鏈接將重定向到 訂閱者可以使用其帳戶憑據創建新帳戶或登錄。 此處列出的產品密鑰用于 獲取和設置Office 應用數據。 與產品密鑰不同,PIN 用于兌換,而不是激活。 成功兌換后,產品會顯示在“服務和訂閱”下,可供安裝。 舊版 Office 產品仍可在下載頁面上使用,用戶將被重定向到 ,并且需要使用其憑據創建新帳戶或登錄。 了解如何 使用 PIN 兌換產品。
資源
Visual Studio 訂閱支持。
另請參閱后續步驟
當你準備好下載軟件并使用密鑰時,請訪問 。 有關下載軟件的詳細信息,請參閱下載概述。