董贵山,男,工学博士,研究员(yuán),中国电(diàn)子科技集团公司网络安全领(lǐng)域首席专(zhuān)家,国务院特(tè)殊津贴专家(2016),中国网安副(fù)总工程(chéng)师、卫士通公司(sī)总工程师,国家密码标准化委员会委员,政府治理国家工程实验室副主任(rèn)和专委会委员,科技部网络安(ān)全重点(diǎn)研发(fā)计划首(shǒu)席(xí)专家,长期承担过党政信息(xī)安全和密码(mǎ)应用领域的装备与系统研制、技术标准制定、系(xì)统建设方案设计等工作,曾获得(dé)中办颁发的(de)党政信息安全先进(jìn)工(gōng)作者称号,累计获得省部级科技进步一等奖(jiǎng)2次,二(èr)等奖2次,三等奖4次(cì)。
董贵山(shān):密码服务云构建数(shù)字中国网络安全服务新生态 卫士通(tōng)公司20多年来以密码与安全保障为业务核(hé)心(xīn),一直在党(dǎng)政和重要行业领域支撑(chēng)着国家的信息安全(quán)建设和运(yùn)行,经历(lì)了(le)国家信息化的密码(mǎ)与安全(quán)建(jiàn)设的全过程。结合云计算、大数据等新技术的演进,卫士通对整个(gè)过程中以密(mì)码与安全保障为核(hé)心的业务变迁和(hé)模式(shì)发展有一些思考。在2019年中国it市场年会(huì)上,中国电科(kē)集团首席专家、中(zhōng)国网安副总工程师、卫士通总工程师(shī)董(dǒng)贵山作了题为“基于密码服务(wù)云的安全应用(yòng)新(xīn)模式”的主题(tí)演(yǎn)讲,阐述了卫士通以密(mì)码服务云的方式提供安(ān)全服务的新模式(shì)。 一、数字社会驱动安(ān)全发展 国(guó)家战(zhàn)略引领着(zhe)数字(zì)社会的(de)有序(xù)发(fā)展,国家多次(cì)强调了网络强国、数(shù)字(zì)中(zhōng)国和(hé)智慧社(shè)会建设的重要性和意义,国家信息化的发展以逐步步入3.0时(shí)代,即以数据(jù)的深度挖掘与融合应用为(wéi)特征的智慧化阶段(duàn),随着信息化建设与云计(jì)算、大数据和移动互联网等关键技术的深度融合,网络空间对国家和(hé)社会的发展带(dài)来了极(jí)大的价值和可观的(de)收益。总结来说,信息化建设呈现了三(sān)大趋势,一是驱(qū)动(dòng)了网络、资源、终端的(de)多维度融合,二(èr)是(shì)数据逐步成为业务(wù)发展的核(hé)心和驱动力,三是对密码和安全服务化的需求日渐迫切(qiē)。 信息化建设(shè)趋势的演进及与新兴技术的融合利用对我们的(de)安全技术、安全管理能力都提出了新的要求,网(wǎng)络空间各类安全事件在个人、企业、社会乃至国家安全等层面产生(shēng)了重大的(de)影响和损失,如基于大数据分析干涉政企选举、海量数据泄(xiè)露、网站攻击、网络欺诈(zhà)等等,这些大家都已耳熟能详。面临目前安(ān)全风险泛在复杂多样(yàng)的态势,密码作为应对安(ān)全风险的关键支撑技术,能(néng)够有效的(de)完善网络(luò)安全生态(tài),充分发挥它(tā)在网络安全中的机密、完整、真实、不可否认的作用,有力的(de)支撑数据安全防(fáng)护和网络(luò)安全体系可信。从网(wǎng)络、身份(fèn)、数据(jù)、业务等(děng)角度,基于密码(mǎ)重构(gòu)网络安(ān)全边界,构建网(wǎng)络安全的(de)保(bǎo)障体系,并(bìng)对(duì)安(ān)全保(bǎo)障模式进行创新发展。 二、密(mì)码服务化必然趋势下的技术挑战 信息化建设的发展逐步深入,如今各种政务云、数据中心、大数据平台(tái)建设此起彼伏,催生了(le)公有云、私有(yǒu)云、混(hún)合云等不同的业务应(yīng)用方式,纷繁(fán)复(fù)杂(zá)的(de)业务部(bù)署方式(shì)导致(zhì)了原有的安全保障体系和密码应(yīng)用模式无(wú)法完全的适应安全风险和需求(qiú)。尤其是在公有(yǒu)云模(mó)式(shì)下,对(duì)业(yè)务应用的安全防护需要依赖云平(píng)台(tái)运营(yíng)商(shāng)的设备(bèi)能力、技术能力和运(yùn)维(wéi)能力,同时其数据安全和密钥安全(quán)也存在极大的安(ān)全隐患。结合云(yún)服务的发展路线,将密码(mǎ)及安全(quán)能力以服务的方式输出可以有效(xiào)的适应(yīng)云场景下的网络和信息安全保障(zhàng)需求(qiú)。以专业的安(ān)全厂商提供的专业服务模式(shì)替(tì)代传统的产品交(jiāo)付的“交(jiāo)钥(yào)匙”模式,一方面可以降低用户保障安全和密码应用(yòng)的采购、建设(shè)和运维成本;另一(yī)方面可以实时(shí)获得持续迭(dié)代更新的安(ān)全服(fú)务保障,以(yǐ)应对复杂多样(yàng)且不断演化(huà)的(de)网络风险和攻击模(mó)式,并以此为基础带(dài)来更加精准合规的安全保障能力,为数(shù)字中国所面临的社(shè)会治理、惠(huì)民服(fú)务和产业数字经济(jì)发展提出基(jī)础支撑。应(yīng)该说(shuō)密码(mǎ)服务化、专(zhuān)业化(huà)、精准化、泛在化、合规性是(shì)数(shù)字中国信息化建设的一个必然趋势。 在(zài)数字社(shè)会(huì)复杂的网络空间中,业务(wù)交互复杂多样,并与云(yún)计算、大数据、移动(dòng)互联网等新兴技术深(shēn)度融合,带(dài)来了一(yī)系列(liè)技术挑战,如泛在接入的海量(liàng)实体(tǐ)在(zài)数字空间的(de)认证互信、多(duō)云接入场景下的一体化安全(quán)支撑(chēng)、跨(kuà)平(píng)台(tái)密钥管理(lǐ)能力按(àn)需应用、个(gè)人隐私及商业秘(mì)密(mì)信(xìn)息的保护、网络空间信任的构建等,诸如此类(lèi)都需要我们基(jī)于传统的技术进一步思考和(hé)突破,也是我们密码服务研究的初衷(zhōng)。希望通过密码服务的研(yán)究(jiū)和推进,构建(jiàn)以(yǐ)密码(mǎ)服(fú)务平(píng)台为总枢纽的全(quán)国一体(tǐ)化密(mì)码服务能力体系,支撑国家商用密码应用的有(yǒu)序推进,为推动(dòng)政府治理现代化、强(qiáng)化国家监管(guǎn)能力提(tí)供强劲(jìn)助力(lì)。
三、卫士通基(jī)于云模(mó)式(shì)实施密(mì)码服(fú)务新模式 基于(yú)此,卫士(shì)通提出了(le)基于安全可信的云基础设施构建密码(mǎ)服务平台(tái)的可行思路(lù)。密(mì)码服务平台提供便捷易用的密码调(diào)用(yòng)服务接口,便于业务应用开发商快速使用密码,并有效(xiào)联通(tōng)多个云服务平台,按需提供(gòng)密(mì)钥管(guǎn)理(lǐ)和服务入口,实现平台间联动,在用(yòng)户保有密(mì)钥的前提下避免(miǎn)用户使用密钥的复杂操作。以密码服(fú)务平(píng)台为基础打造(zào)完善的密码应用服务体(tǐ)系。基于密码服务云(yún)的密(mì)码(mǎ)运算(suàn)资源提供(gòng)扩展的密(mì)码应用服务(wù),直接为(wéi)云(yún)平台及业务应用提供密码应用支撑,并以此为枢纽拓展以密码服务为核心(xīn)的互(hù)联网信(xìn)任服务(wù)生态,支撑网络(luò)空间(jiān)安全。 卫(wèi)士(shì)通(tōng)密码(mǎ)服务云是基于商用密码(mǎ)和自主可(kě)控技术、服(fú)务于政务、行业等(děng)国家重要领域及广泛互联网应用的(de)服务(wù)平台,密(mì)码服务云依托敏捷弹(dàn)性的云计算密码资源(yuán)和安(ān)全基(jī)础设施,为用户终(zhōng)端、物联网终端等网络实体以(yǐ)及(jí)业务应用提供(gòng)了层次(cì)化的密码服务体系(xì),包括基于商(shāng)用密码算法的基础(chǔ)密(mì)码(mǎ)服(fú)务、面向业(yè)务需求的应(yīng)用密码服务和数(shù)据安(ān)全密码服(fú)务,并提(tí)供了统一身(shēn)份(fèn)认证、电子印章服(fú)务、移动安全服务等(děng)基于密码的运营服务平台。 卫(wèi)士通对密码服务云的(de)服务模式进行了探索和(hé)应用,在各个层次(cì)形成了具体(tǐ)的应用案例,如以统一认证为基础的互联网信任服务平台(tái)、以安(ān)全接(jiē)入(rù)服务(wù)商提供了吉林某地区的安(ān)全移动办公接入服务、以第三(sān)方密钥管理(lǐ)服务(wù)提供商(shāng)提(tí)供了(le)企业微信加密(mì)服务(wù)以及以(yǐ)商用(yòng)密码为核心的即时通信及安全邮件应用等等。
四(sì)、总(zǒng)结 基于卫士通密码服务云的探索和实践(jiàn),我们现在(zài)认识到(dào),数字转型期(qī)需要大(dà)力发展(zhǎn)密码(mǎ)与安全服务,打造密(mì)码服务云,通过云(yún)服务的模式(shì)面向互联网、移(yí)动互联网、大数(shù)据、物联网乃至更多公共(gòng)服务领域提供更加(jiā)丰富多样的服务,为智慧城市、政务(wù)云和大数据(jù)平台提供(gòng)安全的资(zī)源访问和(hé)完善(shàn)的(de)数据防护,支撑数字(zì)中(zhōng)国(guó)的建(jiàn)设。 为(wéi)此(cǐ),我们也提出几点建议,首先在国家层面,推进顶层规划,制定(dìng)完善密码服务云平台相关(guān)等标(biāo)准规范、应用指南。其次,针对密码服务云,制定(dìng)相关科技专(zhuān)项支(zhī)撑,通(tōng)过(guò)专项的牵引对有待突破的技(jì)术问题进行进一(yī)步(bù)的研究,攻克相关(guān)的难点。另外(wài),结合国家(jiā)近期发布的36号文,在智慧城市、政务、互联网、物联网等不同应(yīng)用领域,选取典型应用进(jìn)行密码服务云试(shì)点示范,积极(jí)探索和发展(zhǎn)密码(mǎ)服务保(bǎo)障的新模式,为数字中(zhōng)国发展、网络(luò)空间信任服务(wù)体系建设及(jí)面向政务、行(háng)业、企业(yè)以及公众服(fú)务等领域的密码安全保障(zhàng)奠定基(jī)础。
