董贵(guì)山,男,工学博士,研(yán)究员,中国电(diàn)子科技集团(tuán)公(gōng)司网(wǎng)络安全领域首席(xí)专家,国务院特(tè)殊津贴专(zhuān)家(jiā)(2016),中国(guó)网安副总(zǒng)工程师、卫士通公司总(zǒng)工程师,国家密码标准(zhǔn)化(huà)委员会委员,政府(fǔ)治理国(guó)家工程实(shí)验室(shì)副(fù)主任和专(zhuān)委会委员(yuán),科技部网络安全重点研发计划首席专家,长期承担(dān)过党政(zhèng)信息安全和密(mì)码应用领(lǐng)域的(de)装备与系统研制、技术标准制定(dìng)、系统建设方案设计等工(gōng)作,曾获(huò)得中(zhōng)办颁发的党政(zhèng)信(xìn)息安全先进工作(zuò)者称号,累计获得省(shěng)部级(jí)科技进步一等奖(jiǎng)2次,二等奖2次,三等奖4次。
董贵山:密码服务(wù)云构建数字中国网络安全(quán)服务新生态 卫士通公司20多年来以密码与(yǔ)安全保障(zhàng)为业务核心,一直(zhí)在党政和重要行业领域支撑着(zhe)国家的信息安全建设和运行,经(jīng)历了国家信息(xī)化的密码与安(ān)全建设的(de)全过程。结合云计算、大(dà)数据等新技术的演进,卫士通对整个过程(chéng)中(zhōng)以密码与安全保(bǎo)障(zhàng)为核心的业务变迁和模式发展有一些思考。在2019年中国it市场年会上,中国(guó)电科(kē)集团首席专家、中国网安副总工程师、卫士通总(zǒng)工程师董(dǒng)贵(guì)山(shān)作了题为“基于密码(mǎ)服务云的安全应用新模式”的主题演讲,阐述(shù)了卫士通以(yǐ)密码(mǎ)服(fú)务云(yún)的方式提供(gòng)安全服务的新模式。 一、数字社会(huì)驱动安全(quán)发展(zhǎn) 国家(jiā)战(zhàn)略引领(lǐng)着数字社会的有序发展,国家多次强调(diào)了(le)网络强国(guó)、数字中国和智慧社会建设的重要性和意义,国家信息化(huà)的(de)发展以逐(zhú)步步入3.0时代,即以数据的深度挖掘与融合应用为特(tè)征(zhēng)的(de)智慧化阶段(duàn),随着信息化建设(shè)与云计算(suàn)、大数(shù)据(jù)和移动(dòng)互联(lián)网等(děng)关键技术的深度融合,网(wǎng)络(luò)空间对国(guó)家和社会的发(fā)展带来了极大的价(jià)值和(hé)可观的收益。总结来说,信息化建设(shè)呈现了(le)三大趋势,一是驱动了网络(luò)、资源、终端的多(duō)维度融(róng)合,二(èr)是(shì)数据逐步成(chéng)为业务(wù)发展的核心和驱动力,三是对密(mì)码和(hé)安全(quán)服(fú)务化的需(xū)求日(rì)渐(jiàn)迫切。 信息化建设(shè)趋势的演进及(jí)与新兴技术的(de)融合利用对我们的安全技术(shù)、安全管理能力(lì)都提出(chū)了新(xīn)的要(yào)求,网络空间各类安全事件在个人、企业、社会乃至国家安全等(děng)层(céng)面(miàn)产生了(le)重大的影响和损失,如基于大数据分析干(gàn)涉政企(qǐ)选举(jǔ)、海量数据泄露、网站攻击、网络(luò)欺诈等等,这些大(dà)家都(dōu)已耳熟能详。面临目前安全(quán)风险泛在复杂多样的态势,密码作为(wéi)应(yīng)对安全风险的关(guān)键(jiàn)支撑技术,能够有效的完善(shàn)网络安全(quán)生态(tài),充分发(fā)挥(huī)它在网络安全(quán)中的机密、完整、真实(shí)、不可否认的作用,有力的支撑数(shù)据安全防护和(hé)网络安(ān)全体系可(kě)信(xìn)。从网(wǎng)络、身份(fèn)、数据、业务等角(jiǎo)度,基于密码重构(gòu)网络安全边界,构(gòu)建(jiàn)网络安全的保障体系,并对安全保(bǎo)障模式进(jìn)行创(chuàng)新(xīn)发展。 二、密码服务化必(bì)然趋势下的技术挑战 信息(xī)化(huà)建(jiàn)设的发展(zhǎn)逐步深入,如今(jīn)各种政(zhèng)务云、数据中心、大数据平(píng)台建设此(cǐ)起彼伏,催生了公有云、私有云、混合云等不同的业务应(yīng)用方式,纷(fēn)繁复杂的业务部(bù)署(shǔ)方式导致了原有的安全保障体(tǐ)系和密码应(yīng)用模式无法完全的适(shì)应安(ān)全风(fēng)险和需(xū)求(qiú)。尤(yóu)其是在公有云模式(shì)下,对业(yè)务应用的安(ān)全防护需要依赖云平台运营商的设(shè)备能力、技术能力和运维能(néng)力,同时其数据安全(quán)和密钥安全(quán)也存在极大的安全(quán)隐患(huàn)。结合云服务(wù)的发展(zhǎn)路线,将(jiāng)密码及(jí)安全(quán)能力(lì)以服务的方式输出可以有效的适应云场(chǎng)景(jǐng)下的网(wǎng)络和信(xìn)息(xī)安(ān)全保障需(xū)求。以专业(yè)的安全(quán)厂商提(tí)供的专业服务模式替代传(chuán)统的产品(pǐn)交付的“交钥匙”模式,一方面可以(yǐ)降低用(yòng)户保障安全和密码应用(yòng)的采(cǎi)购、建设和运维成本(běn);另一方(fāng)面可以实(shí)时获得持续迭代更(gèng)新的安全服务(wù)保障,以应对复杂多(duō)样且不断演化的网络(luò)风险和攻击模(mó)式,并以此为基础(chǔ)带来更加精准(zhǔn)合规的安全(quán)保障(zhàng)能力,为数字中国所面临的社会(huì)治理、惠民服务和产业数(shù)字经济发展提出基(jī)础支撑。应(yīng)该说密码(mǎ)服务化、专(zhuān)业化、精准(zhǔn)化、泛在化、合规性(xìng)是数字(zì)中国信息化建设的一(yī)个必然趋势。 在数字社会复杂(zá)的网络空间中,业务交互复杂多(duō)样,并与云计算、大数据(jù)、移动互联网等新兴技术深度融合,带来了一系列(liè)技术(shù)挑战,如泛在接入(rù)的海(hǎi)量(liàng)实体在(zài)数字空间(jiān)的(de)认(rèn)证互信、多(duō)云接(jiē)入场景下的一(yī)体化安全(quán)支撑、跨平台(tái)密钥管理能力按需(xū)应用(yòng)、个(gè)人隐私及商业秘密信(xìn)息(xī)的保护、网(wǎng)络空间信任的构(gòu)建等(děng),诸如此类都(dōu)需要我们(men)基(jī)于传统的技术进一(yī)步思考和突(tū)破,也是我们密码(mǎ)服务(wù)研(yán)究的初衷(zhōng)。希望通(tōng)过密码服务的研究和推进,构(gòu)建以(yǐ)密码服(fú)务平台为总枢纽的全国一体化密(mì)码服(fú)务(wù)能力体系,支(zhī)撑国家商用密码应用的有序推进(jìn),为推动政府(fǔ)治理现代化、强化国(guó)家监管能力提供(gòng)强劲助力(lì)。
三、卫(wèi)士通基于云模式实施密码服(fú)务新模式 基于此,卫士通提(tí)出了(le)基于(yú)安全可信的(de)云(yún)基础设施构建密码(mǎ)服(fú)务平台的可行思路。密码服务平(píng)台提供便捷(jié)易用的(de)密(mì)码调用(yòng)服务接口,便于业务应用开发商快速使用(yòng)密码,并(bìng)有(yǒu)效联通多个云服务(wù)平台,按需(xū)提供(gòng)密钥(yào)管理和服务(wù)入(rù)口(kǒu),实现平台间联动,在用(yòng)户保(bǎo)有密(mì)钥的前提下避免用户使用密钥的复杂操(cāo)作。以密码服务平台(tái)为(wéi)基础打造完善的密码应用(yòng)服务体系。基(jī)于密码服(fú)务云的密(mì)码运算资源(yuán)提供扩(kuò)展的密(mì)码应用服务,直接为云平台及业务应(yīng)用提供(gòng)密码(mǎ)应用支撑(chēng),并以此为枢纽(niǔ)拓展(zhǎn)以密码服务为核心的互(hù)联网信任服务生态,支撑(chēng)网络空间安(ān)全。 卫士(shì)通密码服务(wù)云(yún)是基于商用(yòng)密码和自主可(kě)控(kòng)技(jì)术、服务于政务、行业等国家(jiā)重要(yào)领域(yù)及广泛互联(lián)网应(yīng)用(yòng)的服务平台,密码服务云依托敏捷(jié)弹性的(de)云计算(suàn)密码资源(yuán)和安全基础设施,为(wéi)用户终端、物联(lián)网终(zhōng)端等(děng)网络实体以及(jí)业(yè)务应(yīng)用提供(gòng)了层次化的密码服务体系,包括(kuò)基于商用密码(mǎ)算法的基础密码服(fú)务、面向(xiàng)业务需求的应用(yòng)密码服务(wù)和数(shù)据安全密码服务,并提供了统一身份认(rèn)证、电子印章(zhāng)服务、移动安全服(fú)务等(děng)基于密码的运营服务平台。 卫士通对密码服务云的服务(wù)模式进行了探索(suǒ)和(hé)应(yīng)用(yòng),在(zài)各个层(céng)次形成了(le)具体的应用(yòng)案例,如以(yǐ)统一认证为基(jī)础的互联网信任服务平台、以安全接入服务(wù)商提(tí)供了吉林某地区的安全移动办(bàn)公接入服(fú)务、以第(dì)三(sān)方(fāng)密(mì)钥管理(lǐ)服务提(tí)供商提供了企(qǐ)业微信加(jiā)密(mì)服务(wù)以(yǐ)及以商用密码(mǎ)为核心的即时通信(xìn)及(jí)安全邮件应用等等(děng)。
四、总结 基(jī)于卫(wèi)士通密码服务云(yún)的探索和实践(jiàn),我们现在认(rèn)识到,数字转型期需要大力发展密码与安(ān)全服务,打造密码服务云,通过云服务的模(mó)式面向互联网、移动互联网、大数据、物联(lián)网乃(nǎi)至更多公共服务领域提(tí)供(gòng)更(gèng)加丰富多样的服务(wù),为(wéi)智慧城市、政务云和大数据平台提供安全的资源访问和完善的数据防护(hù),支撑(chēng)数字中国的建(jiàn)设。 为此,我们也提(tí)出(chū)几点(diǎn)建议,首先在国家(jiā)层(céng)面,推进顶(dǐng)层规(guī)划,制(zhì)定完善密码(mǎ)服(fú)务(wù)云(yún)平台相(xiàng)关(guān)等标准规范、应用指南(nán)。其(qí)次,针对密码(mǎ)服务云,制定相关科技专项支(zhī)撑,通过专项的牵引对有待突破的技术问题进(jìn)行进一步的(de)研究(jiū),攻克相关的难点(diǎn)。另外(wài),结合国(guó)家近期发布的36号文,在智慧城(chéng)市、政务、互联网(wǎng)、物联网等不同(tóng)应(yīng)用领域,选取(qǔ)典型应用进(jìn)行密码服务云试点(diǎn)示范,积极探索和发展密码服务(wù)保(bǎo)障(zhàng)的新模(mó)式,为(wéi)数字中国(guó)发展、网(wǎng)络空间信任服(fú)务体系建设及面向政(zhèng)务、行(háng)业、企业以及(jí)公众服(fú)务等领域的密码安(ān)全保障奠定(dìng)基础(chǔ)。
