董贵山,男,工学博士,研究员,中国电子科技集团公(gōng)司网络安(ān)全领(lǐng)域首席专家,国务院特殊津贴(tiē)专家(2016),中国网安副总工程师、卫(wèi)士(shì)通公司总工程(chéng)师,国家(jiā)密(mì)码(mǎ)标准(zhǔn)化委员会(huì)委员(yuán),政(zhèng)府治(zhì)理国家工程实验室副主(zhǔ)任(rèn)和专委会委员,科技部网络安全重点研发计划首席(xí)专家,长期承(chéng)担(dān)过党政信息安全和(hé)密码应用(yòng)领域的装备与系统(tǒng)研制、技术标准制定、系统建设方案(àn)设计等工(gōng)作,曾获得中办颁发的党(dǎng)政信息(xī)安(ān)全(quán)先进(jìn)工作者称号,累计获得省部(bù)级科技进步(bù)一(yī)等奖2次,二(èr)等奖(jiǎng)2次(cì),三(sān)等奖4次。
董贵(guì)山:密码服务云构建(jiàn)数字中国网络安全服务新生态 卫士通(tōng)公司20多年来(lái)以密码与(yǔ)安全保(bǎo)障为业务核心,一(yī)直在(zài)党政和(hé)重要行业领域支撑着国家的(de)信(xìn)息安全建设和运行,经(jīng)历了国家(jiā)信息(xī)化(huà)的密(mì)码与安全建(jiàn)设的全过程。结合云计算、大数据等新技术的演进(jìn),卫(wèi)士通对整(zhěng)个过程中以密码与安全保障为核心的业务变迁(qiān)和模式发展有一些思考。在2019年中国it市场年会上,中(zhōng)国电(diàn)科集团首席专家、中国网安(ān)副总工程师(shī)、卫士通总工程师董贵山作了题为“基于密码服务云的安(ān)全(quán)应用新模式”的主题(tí)演讲,阐(chǎn)述了卫(wèi)士通以密(mì)码(mǎ)服务云的方(fāng)式(shì)提供安全服务的新模式。 一、数字社(shè)会驱动安(ān)全发展(zhǎn) 国家(jiā)战略引领着数字(zì)社(shè)会的有序(xù)发展,国家多次(cì)强调(diào)了网络强国、数字中国和智慧社会建设的重要性和意义(yì),国家信息(xī)化(huà)的发展以逐步步入3.0时代,即(jí)以数据的深度(dù)挖掘与融合应用为特征的(de)智(zhì)慧化阶段(duàn),随(suí)着信息化建设与云(yún)计(jì)算、大(dà)数据和移动互联(lián)网等(děng)关键技术的(de)深(shēn)度融合,网络(luò)空(kōng)间对国(guó)家和社会的(de)发展带来了极大的价(jià)值和(hé)可观的收益。总结来说,信息化(huà)建设呈现(xiàn)了(le)三(sān)大趋势,一是驱(qū)动了网络、资源(yuán)、终端的多维(wéi)度融合,二是数(shù)据逐步成为业务发展的核心和驱动(dòng)力(lì),三是对密(mì)码(mǎ)和安全(quán)服务化的需(xū)求(qiú)日渐迫切。 信息化建设趋势的演进及与(yǔ)新兴技术的(de)融合利用对我们的安全(quán)技术(shù)、安(ān)全(quán)管理能力都提出(chū)了新(xīn)的要求,网络空间各类安全(quán)事件在(zài)个人、企业、社会乃至(zhì)国家安全(quán)等(děng)层(céng)面产生了重大的影响和损失,如基(jī)于(yú)大数据(jù)分析干涉(shè)政企(qǐ)选举、海量数据泄露、网站攻击、网络欺诈等等,这些大家都已(yǐ)耳熟能详(xiáng)。面临目前安全风险泛(fàn)在复杂多样的态势,密码作为应对安全风险的关键支撑技术,能够(gòu)有效的完善网络安(ān)全生态,充分发挥它在(zài)网络安全(quán)中(zhōng)的机密、完整(zhěng)、真实、不可否认的(de)作用,有力(lì)的支撑(chēng)数据安全防护和网(wǎng)络安全体(tǐ)系可信。从网(wǎng)络、身(shēn)份、数(shù)据、业(yè)务等角度,基于(yú)密(mì)码重构网(wǎng)络安全边(biān)界,构建网络(luò)安(ān)全的(de)保障体(tǐ)系,并对安全保障模式进行(háng)创新发展。 二、密(mì)码服务化必然趋势下的(de)技术挑战(zhàn) 信息化建设的发展逐步深入,如今(jīn)各种政务云(yún)、数(shù)据中心、大数据平台建(jiàn)设(shè)此起彼伏,催生了公有云、私有云、混合云(yún)等不同的(de)业务(wù)应用方(fāng)式,纷繁复(fù)杂(zá)的业务部署(shǔ)方式导致了原有的安全保障体系和密码应(yīng)用模式(shì)无(wú)法(fǎ)完全的适应(yīng)安全风(fēng)险和需求。尤其是在公有云(yún)模式下,对业务应用(yòng)的安全(quán)防护需要依赖云平台运(yùn)营(yíng)商的(de)设备能力、技术能力和(hé)运维能力,同时其数据安全(quán)和密钥安全(quán)也存在极大(dà)的安全隐患。结合云服务的发展(zhǎn)路线,将密码及(jí)安全能力以服务的方式输出可以(yǐ)有(yǒu)效的(de)适(shì)应云场(chǎng)景下的网(wǎng)络(luò)和信息安全保障需求。以专业的安全厂商提供的专业服务模式(shì)替代传统(tǒng)的产品交(jiāo)付的“交(jiāo)钥(yào)匙”模式,一(yī)方(fāng)面可以(yǐ)降低(dī)用户保(bǎo)障(zhàng)安全和密码应用的采购、建设和运维成本(běn);另一(yī)方(fāng)面可(kě)以实时(shí)获得持续迭代(dài)更新的安全服务保障,以应对复(fù)杂多样且不断演化(huà)的网络风险和攻击模式,并以此为(wéi)基础带(dài)来(lái)更加精准合规的安全保障能力(lì),为数(shù)字(zì)中国所面临的社会治理、惠民服务和产业数字经济发展提出基础(chǔ)支(zhī)撑。应该说密(mì)码服务化、专业化、精准化、泛在化、合规性是(shì)数字中国信息化建设的一个(gè)必然趋势。 在数(shù)字社会复杂的网络空间(jiān)中,业务交互复杂多样,并与(yǔ)云计算(suàn)、大数据、移动(dòng)互联网等新(xīn)兴技术深度(dù)融合,带来了一系列技术挑战,如泛在接(jiē)入的海量实(shí)体在数字空间的认证互信(xìn)、多云接入(rù)场景下的一体化安全支撑、跨平台密钥管理能力按需应用、个人隐私及商业秘密信息的保(bǎo)护、网络空间(jiān)信任的构建等,诸如此(cǐ)类都需要我们基于传统的(de)技术进一步思考和突破,也是我们密码服务研究的(de)初衷。希望通过密(mì)码(mǎ)服务的研究和推进,构建以密码服务平台为总枢(shū)纽的全国一体(tǐ)化密码服务能力体(tǐ)系,支撑国家(jiā)商用(yòng)密码(mǎ)应用的有序推(tuī)进,为推动政府治理现代化(huà)、强化(huà)国家监管能力提供强(qiáng)劲助力。
三、卫士通基于云模式实施密码服务新模(mó)式 基于此(cǐ),卫士通(tōng)提出了(le)基(jī)于(yú)安全可信的云基础设施构建(jiàn)密码服(fú)务平台的(de)可行思路。密码服(fú)务平台提供(gòng)便捷易用的密(mì)码调用服务接口,便(biàn)于业务应(yīng)用开发商快速使(shǐ)用密码(mǎ),并有效联通多个云服务平台,按需提(tí)供密钥管理和(hé)服务(wù)入口(kǒu),实现(xiàn)平台间联动,在用户保(bǎo)有密(mì)钥的前提下避(bì)免(miǎn)用户使用密钥的(de)复杂操作。以(yǐ)密码服务平台为基础(chǔ)打造(zào)完善的密码应用服务体系。基于密码(mǎ)服务云的密码运算资源提供(gòng)扩展的密码应用服务,直接(jiē)为云(yún)平台及(jí)业务应用提供密码(mǎ)应用(yòng)支撑,并以此为枢纽拓展以密码服务为核心(xīn)的互联网信任服务生态,支撑网络空间安全。 卫士通(tōng)密码服务(wù)云是基于(yú)商用(yòng)密码和自主(zhǔ)可控技(jì)术、服(fú)务于政务(wù)、行业等国(guó)家(jiā)重要领域及广泛互联(lián)网(wǎng)应用的(de)服务平台(tái),密码服务云(yún)依托敏捷弹性的云计算(suàn)密码资(zī)源和安全基(jī)础设施,为用户(hù)终(zhōng)端、物联网终端等网络实(shí)体以及业(yè)务(wù)应用提供(gòng)了层次化的密码服务体系,包括基于商(shāng)用密码算法的(de)基础密码服务、面向(xiàng)业(yè)务需求的应用(yòng)密码服务和数据安全密码服务,并提供(gòng)了(le)统(tǒng)一身份认证、电子印章服务、移动(dòng)安全服务等基于(yú)密码(mǎ)的运营服务平台。 卫士通对(duì)密码服(fú)务云(yún)的服务模式进行了探(tàn)索和应用,在各(gè)个层次形成了具体的应用案例(lì),如以统一认证为基础(chǔ)的(de)互联网信任服务平台、以安(ān)全接(jiē)入服务商提供了(le)吉林某地(dì)区(qū)的安全移动办公(gōng)接入(rù)服务、以第三方密钥(yào)管理(lǐ)服务提供商提供了企(qǐ)业(yè)微信(xìn)加密(mì)服务以及以商用密码为核心的(de)即时通信及安全邮件应(yīng)用等等。
四(sì)、总结 基于卫士通密(mì)码(mǎ)服务(wù)云的探(tàn)索和实践,我们现在认识到,数字转型期需要大力发(fā)展密码与安全服务,打造密码(mǎ)服务云(yún),通过云服(fú)务的(de)模(mó)式面(miàn)向(xiàng)互联网、移(yí)动互联网、大数据、物(wù)联网乃至更多(duō)公(gōng)共服务领(lǐng)域提供更加(jiā)丰富多(duō)样的服务(wù),为智慧城市、政务云(yún)和大数据平台提(tí)供安(ān)全的(de)资(zī)源(yuán)访问(wèn)和完善的数据(jù)防(fáng)护,支撑数字中国的建设。 为(wéi)此,我们也提出几点建议,首先在国家层面,推进(jìn)顶(dǐng)层规划,制定(dìng)完善密码服务云平台相关等(děng)标准规范、应用指南。其次,针对密码服务云,制定(dìng)相(xiàng)关(guān)科技(jì)专项支撑,通过专(zhuān)项的牵引对有待(dài)突破(pò)的(de)技术问题进(jìn)行进一步的研究,攻克相关的难(nán)点。另(lìng)外,结合国家近期发布(bù)的36号文,在(zài)智(zhì)慧城市、政务(wù)、互联(lián)网、物联网等不同(tóng)应(yīng)用领域,选取典型应(yīng)用进行密码服务(wù)云试点示范,积极探索和发展密(mì)码服务保(bǎo)障的新(xīn)模式,为数字中(zhōng)国发展、网络空间(jiān)信(xìn)任服(fú)务体系(xì)建(jiàn)设及面(miàn)向政(zhèng)务、行(háng)业、企业以及公众服务等领域的密码安全保(bǎo)障(zhàng)奠定基础。
