在新基（jī）建的大（dà）背景下，随着网络安全与密（mì）码技术的不断演（yǎn）进，融合密码（mǎ）技术的网（wǎng）络（luò）安（ān）全（quán）体系框架逐渐（jiàn）成为网络安全建设的新（xīn）趋势。

在（zài） 2020 国家网络安全周举行之（zhī）际，记者有幸在现场采访（fǎng）到了中国电（diàn）科集（jí）团（tuán）网络安全领（lǐng）域首席专（zhuān）家（jiā）、中国网安副总工程师、卫士通总工程师董贵山。就密（mì）码在新基建中的应用、服务等问题（tí），董贵山谈（tán）了他（tā）的看法。

董贵山（shān）：新（xīn）型基（jī）础设（shè）施主要包括三（sān）个方面内容：一是信息（xī）基础设施。主要是指基于（yú）新一代信息技术演化生成的基（jī）础（chǔ）设施，比如，以5G、物（wù）联网、工业互联（lián）网、卫星互（hù）联网为代表的通信网络（luò）基础设施，以人工智（zhì）能（néng）、云计算、区块链为代表（biǎo）的新技术基础设施，以数据中心、智能计（jì）算中心为（wéi）代表的（de）算力基础（chǔ）设（shè）施等；二是融（róng）合基础设施。主要是指（zhǐ）深度应用互联网、大数据、人工智（zhì）能等技（jì）术（shù），支撑传统基础设施转型升（shēng）级，进而（ér）形（xíng）成的融合基础设施（shī），比如，智能交通基础设施、智慧能源基础（chǔ）设施等；三（sān）是创新基（jī）础设施。主要（yào）是指支撑科（kē）学研究、技术开（kāi）发、产品（pǐn）研（yán）制（zhì）的具有公（gōng）益属性的（de）基础设施，比如，重大（dà）科技（jì）基础设（shè）施（shī）、科（kē）教基础（chǔ）设施、产业技（jì）术创新基础设施（shī）等。

从以上三个方面的分（fèn）类来看，新型基（jī）础设施是未来（lái）引（yǐn）领数字经济发展的关键载体和支柱，覆盖了网络通（tōng）信、信息计（jì）算、新兴技术领域、行业性融合平台以（yǐ）及（jí）科研支撑平台（tái），将成为（wéi）数字中国在（zài）网（wǎng）络（luò）空间“数（shù）字孪生”的沃土和通路。网络安全（quán）作为新基建（jiàn）、数字经济发展的基石， 也受到了广泛的（de）关注与重视。

新（xīn）型基（jī）础（chǔ）设施具备基础平台（tái）支撑、海量数（shù）据汇聚（jù）、广（guǎng）泛实体接入、泛在服务交付四大特性。“基础平台支撑”体现了（le）新型基础设施的总体定位，不管（guǎn）是（shì）信（xìn）息基（jī）础（chǔ）设施、融（róng）合基础设施还是创新基础设施，都具（jù）有显著的基础（chǔ）性和平台（tái）性，是网络通信（xìn）、信（xìn）息（xī）服务和科研创新的基础支撑；“海量数（shù）据汇聚”“广泛实体（tǐ）接（jiē）入”体现了新型（xíng）基（jī）础设（shè）施的平台价值，信息基础（chǔ）设施和融合基（jī）础设施汇聚了海量的（de）通信（xìn）数据、行业数据和科研数（shù）据，提供网（wǎng）络（luò）互联平台，为广泛的网（wǎng）络实体（tǐ）提供网络接（jiē）入和（hé）服务功能（néng）；“泛在（zài）服务交付”体现了新（xīn）型基础设（shè）施的交（jiāo）付模（mó）式，不（bú）管是（shì）传统基础设施还是信息基础设施，均是采用服务化的价值交付模式（shì），结（jié）合（hé）互联网泛在接入、网络互联的特点，新（xīn）型基础设（shè）施能够为广（guǎng）泛的网络（luò）实体提供泛在化的服务覆盖，最大化平台（tái）价值。这四大特（tè）性无一不代表着巨（jù）大的数据价值和（hé）平台价（jià）值，对网络（luò）攻击者具有极高（gāo）的诱（yòu）惑力，存（cún）在极大的安全风（fēng）险。

董贵山：“网络安（ān）全与信（xìn）息化（huà）是一体之（zhī）两翼，驱（qū）动之双轮”。安全是发展的（de）保障，发展是安全的目的，网（wǎng）络（luò）安全和信息（xī）化建设互相依存、协调共生。新型基（jī）础设施建设是（shì）“云大（dà）物移智”的有机聚（jù）合和结构（gòu）化（huà）升级，网络安全风（fēng）险也覆盖了信息服务平台、IoT设备、PC端、移动（dòng）端，这些承载着新（xīn）基建业（yè）务（wù）、数据和服（fú）务的载（zǎi）体（tǐ）正在时刻（kè）接受海量网络攻（gōng）击的（de）考（kǎo）验，如何全面保障新型基础设施安全也受到了业界（jiè）的（de）广泛关注。新（xīn）型基础设（shè）施作（zuò）为国（guó）家（jiā）级的网络信（xìn）息服务平（píng）台、行（háng）业融合支撑平台和科研平台，应参考关键信息基础设施（shī）的（de）相关要求（qiú）进行安（ān）全（quán）防护设计（jì）和建（jiàn）设（shè）工作，同时针对新基（jī）建各（gè）领域特定场景进行（háng）定制化防护。传统的网络安全防（fáng）护（hù）体系多具有通用性和（hé）普适性，无法细粒度的（de）涵（hán）盖到特定场景和业务数据流转方（fāng）面，而密码技术因其（qí）技术特点和防（fáng）护理（lǐ）念能够（gòu）深入到业（yè）务场景之中，与业务应用进行（háng）深入融合，像为士兵穿上“盔甲（jiǎ）”一样，为防护对象提供“贴身防护”能力。

密码是保障网络（luò）和信息安全（quán）最有效、最可（kě）靠、最经济的关（guān）键核心技（jì）术，是网络（luò）安全的最后一道防线，能够为新基建的“基础平台支撑、海量数据（jù）汇聚、广泛实体接入、泛在服务交付（fù）” 四大特性提供针对性（xìng）的（de）防护。

（1）密码为“基础（chǔ）平台支（zhī）撑”构筑（zhù）完善的安（ān）全防护体系。

新型基（jī）础（chǔ）设（shè）施为国家信息化（huà）建设提（tí）供新一代的基础支撑（chēng）平台，其平台价值极高，因此需（xū）要完善的安全防（fáng）护能力。密码技术在网络安全防（fáng）护体系中位居（jū）核心和基础地位，依靠密码（mǎ）技术和网（wǎng）络安（ān）全技术能够打造集（jí）感知安全、传输安全、存储安全、计算安全（quán）、处理安全（quán）、应用安全于一体（tǐ）的安全防护（hù）能力，构（gòu）建（jiàn）以密码技术为核心、多种技术相互融合的新网络安全（quán）体（tǐ）系（xì）， 构筑新基建安全防护体系。

（2）密（mì）码为“海量数据汇（huì）聚”建（jiàn）立坚实（shí）的数据保护能力。

新型基础设施是基于多种功能、多种要素、多种技术的体系化集成，支撑着（zhe）跨领域、跨平台和跨系统（tǒng）的数据交换和（hé）信息共（gòng）享，提供海（hǎi）量数据分（fèn）析，实现数据的互操（cāo）作和流程协同。密码技术（shù）提供的数据加密存储、可信数据汇（huì）聚（jù）、安全数据共享、数据流转确权能（néng）够实现数据的（de）全生命周期安全，并对敏感数据、个人（rén）隐私数据提供针对性的数据（jù）脱敏（mǐn）、数据加密（mì）和数（shù）据隐（yǐn）藏（cáng）能力，将防护（hù）能力（lì）深入（rù）到业务流转之中。

（3）密码（mǎ）为“广（guǎng）泛实体接入”提供安全的（de）鉴别防护机制。

新型基础设施的部分重点（diǎn）领域（yù）如铁路、公路、电网、通（tōng）信、管网（wǎng）等，为（wéi）规模（mó）化（huà）的网络实体接入建设网（wǎng）络互（hù）联平（píng）台，实现实体的广泛接入和互联通信。网络互（hù）联平台的安全稳（wěn）定运行成为了（le）新型（xíng）基础设施建设（shè）实现价值的前提。基于密码技术为网络实体建立安全的数据执行和（hé）存储环境，基于密码（mǎ）技（jì）术建立平台侧与网络实体之间的（de）可（kě）信鉴别（bié）和安全传（chuán）输机制，两者结合构建从终端侧到平（píng）台侧的安全接入环境，有（yǒu）效（xiào）的保（bǎo）护平台外延的网络（luò）实（shí）体安（ān）全，保障新型基础设施（shī）的网络实体安全和边界接入安（ān）全。

（4）密码为（wéi）“泛在服务交付”构（gòu）建泛在的密码服（fú）务能力。

从新型基础设施（shī）的建设领域如智慧（huì）城（chéng）市、物联网、车（chē）联（lián）网、充（chōng）电桩（zhuāng）可以看出，核心（xīn）价值是为数字经济广大领域提供泛在化的服务，将（jiāng）基础能（néng）力提供给更多（duō）的企业、组织和个人去使用，拓展服务范围，让更多人享受（shòu）数（shù）字（zì）经济发展的红利。泛在的服（fú）务能力一方（fāng）面（miàn）需要（yào）服（fú）务于各行业领域，密码技术需要依托各行业领域（yù）特性（xìng）提供相适应（yīng）的防护能力，另一方（fāng）面需（xū）要延伸到海（hǎi）量的网络实体，这些（xiē）网络实体是新（xīn）型基础设（shè）施建设的价值（zhí）延伸（shēn）和受益主（zhǔ）体，同时也会成（chéng）为网络攻击的薄（báo）弱点和攻（gōng）击点，成为攻击（jī）平台的（de）跳板（bǎn）。为此，需要建立泛（fàn）在化的密码保障机制， 为（wéi）广大行业领域（yù）提供泛在的密码服务接入能力，为移动（dòng）终端、PC端、IoT终端提（tí）供体系化（huà）的密码防护能（néng）力，有力的（de）支持新基建泛在（zài）服务的安全稳定和可管可控。

新型基础（chǔ）设施建设（shè）一方（fāng）面兼具关键信息基础设施（shī）的价值定位，另一（yī）方面融合新兴（xìng）技术、新兴（xìng）领域的（de）业务（wù）特点，具有较高的复杂性和先进（jìn）性。因此需要基于（yú）密码技术为新（xīn）型基础设施设（shè）计建设（shè）完善的网络（luò）安全防护体系。

董贵山：当前，密码的价值得到了广泛的重（chóng）视，2020年1月1日，《中（zhōng）华人民共和国密码法》正式实（shí）施，2020年成为了“密码法元（yuán）年”，密码法对密码进行明确的（de）定义，密码是指采用特定变换的方法对信息（xī）进行加密（mì）保护、安（ān）全认（rèn）证的（de）技术、产（chǎn）品（pǐn）和服务。其中，商用密码（mǎ）用于保护不属（shǔ）于国家（jiā）秘密（mì）的信息，公民（mín）、法人和其他组织可以（yǐ）依法（fǎ）使用商（shāng）用密（mì）码保护网络（luò）与信息安全。商用密（mì）码具备（bèi）机密性、完整性、真实性和（hé）不可否认（rèn）性四大防护（hù）特性，能够应对网络安全（quán）的数据泄（xiè）露、数据篡改、身份仿冒（mào）和行为否认等风险。

商用密码是我国自主完善的技术体（tǐ）系（xì），经过二十余年的发展和演进（jìn），提出了（le）包含SM1、SM2、SM3、SM4、SM7、SM9和ZUC算（suàn）法的一套完整（zhěng）自（zì）洽的（de）商用密码算法（fǎ）体系，建立（lì）了覆盖密码（mǎ）算法（fǎ）、密（mì）码（mǎ）协议、密（mì）码功能接口（kǒu）、密（mì）码（mǎ）产（chǎn）品（pǐn）规格（gé）、密码应（yīng）用要求和测评规范的一套完善的标准体系，形成了以密码芯片、密码板卡、密码整机和密（mì）码（mǎ）系统等传统（tǒng）产品为主，多种产（chǎn）品形态和应（yīng）用模式并现的产（chǎn）品（pǐn）体系。

商（shāng）用（yòng）密（mì）码的建（jiàn）设受（shòu）到了政策（cè）、法规、标准、规范的全面推动。以（yǐ）法（fǎ）规奠定密码法制基础，国家（jiā）相继出台（tái）了网（wǎng）络安全法、密码法（fǎ），加速（sù）数据安全法、个人信（xìn）息（xī）保护法立法进程，旨（zhǐ）在（zài）规范网络安（ān）全，以法理奠定密（mì）码的核心定位；以政策推动密码按需建设，国家在关键信息基础设施、政务信息化建设、信创产业等方面（miàn）均以政策（cè）文件的方式明确了密码是网（wǎng）络安全和（hé）信息化建设的重要组成（chéng）部分；以标准构建（jiàn）密码使用基线，网络安全等级保护（hù）标准体系的升级明确（què）了（le）密码在等保定级和（hé）合规防护方面（miàn）的基本要求，密（mì）码行业标准体系的快速增补也在全面完善（shàn）密码（mǎ）技（jì）术和产品的合规应用；以（yǐ）测评保（bǎo）障密（mì）码应用（yòng）合规，参（cān）考网络安全等级保护的（de）测（cè）评机制和测评要求，密码行业出台了密码（mǎ）应用安全性评估制（zhì）度，以测评来明确密码应用的合规性（xìng）、正确性和有效性，从而保（bǎo）障密码应用设计的完备性和密码产品在（zài）各个环节的正确有效使用。

新（xīn）型基础设施建设同样需要密码技术的保（bǎo）障，无论是从合法合规角度还是（shì）消除安全风险角度来看（kàn），密码技术都是新型基础设施网（wǎng）络安（ān）全的最后（hòu）一道防（fáng）线。

从基础设施（shī）这个（gè）词汇来看（kàn），密码行业同样存在一个基础设施——公钥密码基础（chǔ）设施（Public Key Infrastructure，PKI），公钥密码（mǎ）基础（chǔ）设施是一个包括硬件、软件、人员（yuán）、策略和规程的集合，用来实现基于公钥密（mì）码体制的（de）密钥和证书的产生（shēng）、管理、存储、分发（fā）和撤销等功能，目前（qián）已广泛（fàn）应（yīng）用于（yú）政务、金融、电力等构架关键信（xìn）息基础设施领域，为其（qí）提供可信的密钥（yào）和证书管理，建立网络安全的可信根。

新（xīn）型基（jī）础设施继承了（le）传统基础设（shè）施建设的服务化特性，通（tōng）过端到端的服务模式创造和交（jiāo）付价值，这一模式特性要求（qiú）密码支撑能力能（néng）够提（tí）供相匹配的能力，PKI更倾向于传统（tǒng）的（de）安全（quán）基础设施，提供基础通（tōng）用的密码支撑能力，对（duì）新型基础设施建设的密码需求的匹配性不高。

新型基础（chǔ）设施（shī）的（de）基础平台支撑（chēng）要求密码支撑（chēng）提供灵活弹性可伸缩的服务能力，海量数（shù）据汇聚要求（qiú）密码支（zhī）撑提供融合数据全（quán）生命（mìng）周期的数据防护能力，广泛实体（tǐ）接入要（yào）求密码（mǎ）支撑提供平台化（huà）的通信保（bǎo）护和接入管控能力，泛在服务交付要求密（mì）码支撑（chēng）提供服（fú）务化的密码（mǎ）交付能（néng）力，让新基建（jiàn）的受（shòu）益者能够享（xiǎng）受经过密码防护的安全新基建服（fú）务。这些能力都是传统的密码建设模（mó）式无法（fǎ）全（quán）面响应的。为此我（wǒ）们（men）提供建设以（yǐ）密码服务平台为核心的（de）新型密码管理与服务基础设施（shī），应对新型基础设施泛在互联（lián）海量支撑的平台特性提供泛（fàn）在化（huà）、平（píng）台化的（de）密码服务（wù）能（néng）力和一（yī）窗式、多（duō）维度的密码管（guǎn）理（lǐ）能力。

董贵山（shān）：基于我（wǒ）上述提到的目（mù）标，卫士通提出（chū）了集密（mì）码服务与密码（mǎ）管理为一（yī）体的（de）密码服务平台的理念模型。在该模型的服务（wù）侧，密码服务（wù）平台（tái）包括层次化（huà）密码服务、通用密码（mǎ）中间件和API网关，通（tōng）过标准化（huà）集成能力集成优秀的密码（mǎ）系统和密（mì）码设备；通过资源虚（xū）拟化和微服务化设计对外提供覆盖基础密码服务、通用（yòng）密（mì）码服务（wù）和安全（quán）应用服（fú）务的层（céng）次化（huà）密码服务能力；通过通用密码中间件封装（zhuāng）层次化密码服务接口为应用提供一（yī）站式（shì）的密（mì）码集成能力；依托API 网关与管理侧（cè）协（xié）同（tóng）实现对应用的接入认（rèn）证和访问（wèn）控制（zhì）。在（zài）管理侧，密码（mǎ）服务平台（tái）通过密码设备与服务管理提供统一（yī）的访（fǎng）问（wèn）入口和管（guǎn）理界（jiè）面，支持租户（hù）、应用、设（shè）备、服（fú）务和（hé）订单的多维度管理，对使用情况（kuàng）进行信息统计和可视（shì）化展现，支（zhī）撑外部的密码（mǎ）监（jiān）管和安（ān）全运营；各类平（píng）台用户可以通过（guò）统一（yī）访问入口进行登录认证，完成各（gè）自的管理职责。

密码服务平台提（tí）出“密码可用、密码好用、密码能管、密码好管”的四大（dà）服务目标（biāo）。在（zài）密（mì）码可用方（fāng）面（miàn），通过（guò）密码虚拟化、层（céng）次（cì）化（huà）密码服务应（yīng）对目前密码资源使用率低、密码技术使用不当、对新业务场景适应性不强的问题；在密（mì）码（mǎ）好用方面，通过通用密码中间件、标准化集成能（néng）力（lì）应（yīng）对密码与应用对接困难、密码服务接口（kǒu）不（bú）一致（zhì）以及已（yǐ）建密（mì）码（mǎ）资源难以（yǐ）利旧的问题；在密码（mǎ）能管（guǎn）方（fāng）面，通过API网关、密码设备与服务管理（lǐ）应（yīng）对（duì）业（yè）务应用情况不可控、密码使用情况不可见以及密（mì）码资（zī）源无法（fǎ）统一管理等问题；在（zài）密码好管方面，通过密码（mǎ）服务的（de）使用计（jì）量和专业化技（jì）术团队应对密（mì）码整体态势无法（fǎ）获取、密码使（shǐ）用（yòng）应急能力不足以及（jí）使用计（jì）量困难（nán）等问题。

针（zhēn）对新型基础设（shè）施的场景（jǐng）要求，密码服务平台在（zài）基础密码服务方面能够提（tí）供海量（liàng）密钥和证书服务能力、适应物（wù）联网、车联网的多元化（huà）证（zhèng）书签发（fā）和（hé）管理能力（lì）以及覆盖全网（wǎng）的密码（mǎ）监管（guǎn）和管理能力；在通用密码（mǎ）服务方面能够（gòu）提（tí）供联（lián）接人机物的异构统一身（shēn）份认证服务能力、数据流转（zhuǎn）管控与追溯机制、物联网设备的统（tǒng）一标识管理（lǐ）能（néng）力、车联网平台的电子（zǐ）地图安全管控服务和车端密码支撑能力等（děng）针对性的密码服务能力（lì）。

董贵（guì）山（shān）：新（xīn）基建是数字中（zhōng）国发展的“新”阶段，密码服务（wù）是（shì）密码（mǎ）行业发展（zhǎn）的“新（xīn）”模式（shì），两“新”碰撞（zhuàng），迸发新机，以新的密（mì）码（mǎ）服务模式保障新基建（jiàn）的“内生安全”。因此为保（bǎo）障密码在新基建（jiàn）中发挥更（gèng）好（hǎo）的（de）安（ān）全（quán）支撑作（zuò）用，需从多个角度推进新（xīn）基建领域密码应用（yòng）建（jiàn）设工作。

一是通过政策推动（dòng）、业务驱动等推进密码在新基建（jiàn）领域的广（guǎng）泛部署，立足密码作为网络安全的“内置基因”定（dìng）位，实现新基建的“内生安全”，推动密码（mǎ）在（zài）新基建的建（jiàn）设和示（shì）范，形成（chéng）新基建各典型领域密（mì）码（mǎ）应用最佳（jiā）实（shí）践。

二（èr）是（shì）从项目建（jiàn）设、场景需求中提（tí）炼（liàn）业务场景和技（jì）术需求，开展（zhǎn）密码技术突破和产品研制，从而能够实现密码（mǎ）技术（shù）与新基建各领域的（de）深度融合，以密码服务（wù）支撑基础设施对外安全（quán）服务。三是落实国家网络安全等级保护（hù）相关要求和（hé）密码应（yīng）用建设的（de）相关要求，在新型（xíng）基础设施建设过程（chéng）中要同步规划、同步建设、同步运行密（mì）码（mǎ）保障系统（tǒng）并定（dìng）期（qī）进行评估。在规划过程（chéng）中，要立足新型（xíng）基础设施安全要（yào）求，站在整体角度设计（jì）密（mì）码应用方案，在建（jiàn）设过程中，把（bǎ）密码（mǎ）服（fú）务融入到（dào）整体架（jià）构（gòu）中，新型基础设施需与（yǔ）密码保障体系同步运行，并通过定期（qī）安（ān）全评估、密码应用安全性（xìng）评估（gū）等手段（duàn），持续保持密码应用（yòng）的有效性和安（ān）全性。