董贵山,男,工学博士,研究员,中国电子科技(jì)集团(tuán)公司网络安全领域首席专家,国务院特殊(shū)津贴专家(2016),中国网安副总工程师、卫(wèi)士通(tōng)公司总工程师,国家密码标准化(huà)委员会委(wěi)员,政(zhèng)府治理国家(jiā)工程实验室(shì)副(fù)主任和(hé)专(zhuān)委会委员(yuán),科技部(bù)网络安全重点研发计划(huá)首(shǒu)席专家,长期承担过党政信息安全和密(mì)码应用领域的(de)装备(bèi)与系统研(yán)制、技术标准制定(dìng)、系(xì)统建(jiàn)设方(fāng)案设计等工作,曾获得中(zhōng)办(bàn)颁(bān)发的(de)党政信息安全先进工作者称号,累计(jì)获得省部(bù)级科技进步一等奖2次,二等奖2次,三等奖4次。
董贵山:密码服务云构(gòu)建数字(zì)中国网络(luò)安全(quán)服务新生(shēng)态 卫士通公(gōng)司20多(duō)年(nián)来以密码与安全保障(zhàng)为业务(wù)核心,一直在党政和重要行业领域(yù)支(zhī)撑着国家的信息(xī)安全建设和(hé)运行,经历(lì)了国家(jiā)信息(xī)化的密码与安全建设的全过程。结合(hé)云计(jì)算(suàn)、大数(shù)据等(děng)新技(jì)术的演进,卫士通对(duì)整个过程中以密码与安(ān)全保障为核心的(de)业务变迁和模式发(fā)展有(yǒu)一(yī)些思考。在2019年中国it市场年会上(shàng),中国(guó)电科集团(tuán)首席专家、中(zhōng)国(guó)网安副总工程师、卫士(shì)通总工程师董贵山作了题为“基于密码(mǎ)服务云(yún)的安全应用新模(mó)式(shì)”的主题演讲,阐(chǎn)述了卫士通以密码服务云的方式提(tí)供安全(quán)服务(wù)的新(xīn)模式。 一、数字社会驱(qū)动安全发展 国家(jiā)战略引(yǐn)领着数字社会的有序发(fā)展(zhǎn),国家多(duō)次强调了网络(luò)强国、数字中国和智慧(huì)社会建设的重要性和意义(yì),国家(jiā)信息化的发展以逐步(bù)步入3.0时代,即以数据的深度挖掘与融合应用为特征的智慧化阶段,随(suí)着信息化建设与云计(jì)算、大数据和移动互联网等关键(jiàn)技术的深(shēn)度融合,网络空间对国家和社会的发展带来了极大的价值和可观的收益。总结(jié)来说,信息化建设呈现了(le)三大趋势(shì),一是驱动(dòng)了(le)网络、资(zī)源、终端(duān)的多维度融合,二是数据逐(zhú)步成为业务发展的核心和驱(qū)动力,三是对密(mì)码(mǎ)和安(ān)全服务化的(de)需求日渐迫切(qiē)。 信息化建设(shè)趋势(shì)的演(yǎn)进及与新兴技术的融合(hé)利用对我们(men)的安全技术、安(ān)全管(guǎn)理能力都(dōu)提出(chū)了(le)新的要(yào)求,网(wǎng)络(luò)空间各类安全事(shì)件在(zài)个(gè)人、企(qǐ)业、社(shè)会(huì)乃(nǎi)至国家(jiā)安全等层面产生了重大的(de)影响和损失,如基于大数据分析干涉政企选举、海量数据泄露、网站攻击、网络欺诈等(děng)等(děng),这些大家(jiā)都已耳熟能详。面临目前(qián)安全(quán)风险泛(fàn)在复杂(zá)多样(yàng)的态势,密码(mǎ)作为应对安全风险(xiǎn)的关键支撑技术,能够有(yǒu)效的完善网络安全生态,充分发挥它在网络安全中的机密、完(wán)整、真实、不可否认的(de)作用,有(yǒu)力的支撑数据安全防护(hù)和网络安(ān)全体(tǐ)系可信。从网络、身份(fèn)、数据、业务等角度,基于密(mì)码重(chóng)构网络安全边界,构(gòu)建网络安全的(de)保障体(tǐ)系(xì),并对安全保障模式进行创(chuàng)新发展。 二、密(mì)码服(fú)务化(huà)必然趋势下(xià)的技术挑战 信息化建设的发展逐步深入,如(rú)今各种政(zhèng)务云(yún)、数据中心、大数据平台建设(shè)此起(qǐ)彼伏,催生了(le)公(gōng)有(yǒu)云、私有云(yún)、混合(hé)云等不(bú)同的业务(wù)应用方式,纷繁(fán)复(fù)杂的业务部署方式(shì)导致了原(yuán)有的安全(quán)保障体系(xì)和(hé)密码(mǎ)应用模式无法完全的适应安全风险和需求。尤(yóu)其是(shì)在公有(yǒu)云模式下,对业务应用(yòng)的(de)安全防护(hù)需要依赖云平(píng)台运营商的设备能力、技术能力和运维能力,同时其数据安全和(hé)密钥安全也存(cún)在极大的安全(quán)隐患。结合云(yún)服务的发展路线,将密(mì)码及(jí)安全能力以服务的方式输(shū)出可以有效的适应(yīng)云场景下的网络和信息安全(quán)保障需求。以专业(yè)的安(ān)全厂商提供的专业服务模式替代传统的(de)产品交(jiāo)付的“交钥匙”模式,一(yī)方面可以降低用户(hù)保障安全和(hé)密码应用的采购、建设和运维成本(běn);另一方面可以实时获得持(chí)续迭代更新的安全服务保障,以应对复杂多样且(qiě)不断演(yǎn)化的网络风险和攻(gōng)击模式,并以此为基(jī)础(chǔ)带来更加精准合规的(de)安全保障能力,为数(shù)字中国所(suǒ)面(miàn)临的社会治理、惠(huì)民服务和产业数(shù)字经济发展提出基础支撑。应该说密码服务(wù)化、专业化、精准化、泛在化、合规性是数字(zì)中(zhōng)国信息化(huà)建设的一个必然趋势。 在数(shù)字社会复杂的网(wǎng)络(luò)空间中,业务交互复杂多样(yàng),并(bìng)与云(yún)计算、大数据、移动互(hù)联网等新兴技术深(shēn)度融合,带来了一系(xì)列技术挑战,如泛在接入的(de)海量实体在数(shù)字空间的认(rèn)证互信、多云接入场(chǎng)景下的(de)一体化安全支(zhī)撑、跨平台密(mì)钥管理能力按(àn)需应用、个人隐私及商业秘(mì)密信息的保护(hù)、网络空间信任(rèn)的(de)构(gòu)建(jiàn)等,诸(zhū)如此类都需要我们基于传统的技术进一步(bù)思考和(hé)突破(pò),也是(shì)我们密码(mǎ)服(fú)务研究(jiū)的(de)初衷。希望通过密码服务的(de)研究和推进(jìn),构建以密码服务(wù)平(píng)台为总枢纽(niǔ)的全国一体化密码服务能力体(tǐ)系,支撑(chēng)国家商(shāng)用密码应用的有序推进,为推动政府治理(lǐ)现代化、强化国(guó)家监管(guǎn)能力提供强劲助力。
三、卫(wèi)士通基于云模式实施密码服务新模式(shì) 基于此,卫士通提出了基于安全可(kě)信的云(yún)基础设施构(gòu)建密码(mǎ)服务(wù)平台的可行思路。密码服务平台提供便捷易用的密码调用服务(wù)接口,便于业(yè)务应用开(kāi)发商快速使(shǐ)用密(mì)码,并有效联通(tōng)多个云(yún)服务平台,按需提供密钥管理和(hé)服务入口,实现(xiàn)平(píng)台间联动,在用(yòng)户保有(yǒu)密钥的前提下避免用户使(shǐ)用密钥的复(fù)杂操(cāo)作。以密码(mǎ)服务平台(tái)为(wéi)基础打造完善(shàn)的密(mì)码应用服务体系。基于密码服务云的密码(mǎ)运算(suàn)资(zī)源(yuán)提供扩展的密码应(yīng)用(yòng)服务,直接为云平(píng)台及业务(wù)应用提供密码应用支撑(chēng),并以此为枢纽拓展以密码(mǎ)服务为核心的互联网信任服务生态,支撑网络空间安(ān)全(quán)。 卫士通密码服务云是(shì)基于商(shāng)用(yòng)密码(mǎ)和自主(zhǔ)可控技术、服务于政务、行(háng)业等(děng)国(guó)家(jiā)重要领域及广泛互联网应用的服务平台,密码服务(wù)云依托敏捷(jié)弹性的云计算(suàn)密码资源和安全基础设施,为用户终端、物联(lián)网终(zhōng)端等(děng)网络(luò)实体以(yǐ)及业务应(yīng)用提供了层次化的密码服务体系,包括基(jī)于商用(yòng)密码算法的基础密码服(fú)务、面向业务需求的(de)应用密码服务和数据安全密码服(fú)务,并(bìng)提供了统一身份认(rèn)证、电子(zǐ)印章服务、移(yí)动(dòng)安全(quán)服务等基于密(mì)码的运营服(fú)务平台(tái)。 卫士(shì)通对密(mì)码服务云的(de)服务模式进行(háng)了(le)探索和应(yīng)用,在各个层次形成了(le)具体的应用案例(lì),如以(yǐ)统一认(rèn)证为基(jī)础的互联(lián)网信任(rèn)服务平台(tái)、以(yǐ)安全接(jiē)入服务商提供了吉林某地(dì)区的(de)安全移动办公接入服务、以第三方密钥管理服务提供商(shāng)提供(gòng)了企业微(wēi)信(xìn)加密(mì)服务以及以商用密(mì)码为(wéi)核心的(de)即(jí)时(shí)通信及安全(quán)邮件应用等等。
四、总结 基于(yú)卫士通密码服务云的探索和实践,我们现在认识到,数字转型期需要大力发展密(mì)码(mǎ)与安(ān)全服务,打造密码服务云(yún),通过云(yún)服务(wù)的模式面(miàn)向互联网、移动互(hù)联网、大数据、物联网乃至更多公共服务(wù)领域提(tí)供更加丰(fēng)富多样(yàng)的(de)服务,为智慧城市、政务(wù)云(yún)和大数据(jù)平台提(tí)供安全(quán)的(de)资源访问(wèn)和完善的数据防(fáng)护,支撑(chēng)数字中国的建设。 为此,我们也提出(chū)几(jǐ)点(diǎn)建(jiàn)议,首(shǒu)先在国(guó)家层面,推进顶层规划,制定(dìng)完(wán)善密码服(fú)务云平(píng)台相关等(děng)标准规范、应用指南。其次,针(zhēn)对密码服务云,制定相(xiàng)关科技专项支撑,通(tōng)过专项的牵引对有(yǒu)待突破(pò)的(de)技术(shù)问(wèn)题进行进一步的研究,攻(gōng)克相关(guān)的难点。另外,结合国(guó)家近(jìn)期(qī)发布的36号(hào)文,在智(zhì)慧城市、政务、互联网、物联网(wǎng)等(děng)不同应用领域,选取(qǔ)典型应用进行(háng)密(mì)码(mǎ)服务云试点示范,积极探索和发(fā)展密码服务保(bǎo)障的新模式,为数字中国发展、网络(luò)空间信任服务体(tǐ)系建设及面向政务、行(háng)业、企业以及(jí)公众服务等(děng)领域的密码安全保障奠定基础。
