董贵(guì)山(shān),男,工学博士,研究员,中国(guó)电(diàn)子科(kē)技集团公司网络安(ān)全领域首席(xí)专家,国务院特殊津(jīn)贴专家(2016),中国网安副总工程师、卫士通公司总工程师,国家(jiā)密码标准化委员会委员,政府治理国家工程(chéng)实验(yàn)室副主任和专(zhuān)委会委员(yuán),科技部网络安全重点研发计(jì)划首(shǒu)席(xí)专(zhuān)家,长期承担过党政信息安(ān)全和(hé)密(mì)码应用领(lǐng)域(yù)的装备与系统研制、技术(shù)标准制定、系统(tǒng)建设方案设计等工(gōng)作,曾获得(dé)中办颁发的(de)党政信息(xī)安(ān)全先进工作者称号(hào),累(lèi)计获得省(shěng)部(bù)级科技进步一等(děng)奖2次(cì),二(èr)等奖2次,三等奖4次(cì)。
董贵山:密码(mǎ)服务云构(gòu)建数字(zì)中(zhōng)国网(wǎng)络(luò)安全服务新生态 卫士通公司20多(duō)年来以密码与(yǔ)安全保障为业务核心,一(yī)直在党政和(hé)重要行(háng)业领(lǐng)域支撑着国家的信息安全建设和运行,经(jīng)历(lì)了国家信息化的密码与(yǔ)安全建设的全过程。结合云计算、大(dà)数(shù)据等(děng)新(xīn)技(jì)术的演进,卫士通对整个过程中以密码与(yǔ)安全(quán)保障为(wéi)核心(xīn)的业务变迁(qiān)和模式发(fā)展有一些思(sī)考。在2019年中国it市场年会(huì)上,中国电科集团首席专家(jiā)、中国网安副总工(gōng)程师、卫士通总工程师(shī)董贵山作了题为(wéi)“基于密码服务云的(de)安全应(yīng)用新(xīn)模(mó)式”的(de)主题演讲,阐述了卫士通(tōng)以密(mì)码(mǎ)服(fú)务云的(de)方式提供安全服务的新(xīn)模式。 一、数(shù)字社会(huì)驱动(dòng)安全(quán)发展 国家战略引(yǐn)领着(zhe)数字社会(huì)的有序发(fā)展,国家多次强(qiáng)调了网(wǎng)络(luò)强(qiáng)国、数(shù)字中国和(hé)智慧社会(huì)建设的重要性和意义,国家信息(xī)化的发展以逐步步入3.0时代,即以数据的深(shēn)度挖掘与融合应用(yòng)为特征的智慧(huì)化阶段,随着信息(xī)化建设与(yǔ)云计(jì)算、大数据(jù)和移动互联网等关键技术的深度融(róng)合,网络空间对国(guó)家和社会的(de)发展(zhǎn)带(dài)来了(le)极大的价值和(hé)可观的收益(yì)。总结来说,信息化(huà)建(jiàn)设呈现了三大(dà)趋势,一(yī)是驱动了网络、资源(yuán)、终(zhōng)端的多维度(dù)融合,二是数据逐步成为业务发(fā)展的核心和驱(qū)动力,三(sān)是对密(mì)码和(hé)安全服务化的需求日渐迫切。 信息(xī)化建设(shè)趋势的演进及与新兴技术的融合(hé)利用对我们的安全技术、安全(quán)管理能力(lì)都(dōu)提出了新(xīn)的要求,网(wǎng)络空间(jiān)各类安全事件在个人(rén)、企业、社会乃至国家安全(quán)等层面产(chǎn)生了重大(dà)的影响和损失(shī),如基于大数据分(fèn)析干涉政企选举、海量数据(jù)泄露、网(wǎng)站攻击、网络欺诈等等,这(zhè)些大家都(dōu)已耳熟能详。面临目(mù)前安全风险(xiǎn)泛在复杂(zá)多(duō)样的态势,密码作为应对安全风险的关键支撑技术,能够有效(xiào)的完(wán)善网络安(ān)全生态,充分发挥它在网络安全中的(de)机密、完整、真实、不可否认(rèn)的作用,有力的支撑数据(jù)安全防护和网络安(ān)全体系(xì)可信。从网络、身份、数据、业务等角(jiǎo)度,基于密码重构网络安全边界,构建网络安全的保障体系(xì),并对安全保障模式进行(háng)创(chuàng)新发(fā)展(zhǎn)。 二(èr)、密码服(fú)务化必然趋势(shì)下的技术挑战 信息化建设的发展(zhǎn)逐步深入,如今各种(zhǒng)政务云、数据中心、大数据平台建设此起彼伏(fú),催生了公有(yǒu)云(yún)、私有云、混合云等不同(tóng)的业务应(yīng)用方式,纷繁复杂(zá)的业务部署(shǔ)方式导(dǎo)致了原有(yǒu)的安全保障体系和密(mì)码应用模式无法(fǎ)完全的适应安全风险(xiǎn)和需求。尤其(qí)是在公(gōng)有云模式(shì)下,对业(yè)务应用的安(ān)全(quán)防(fáng)护需要依赖(lài)云(yún)平台运营商的设备能力、技术能(néng)力(lì)和(hé)运维能力,同时(shí)其(qí)数据安全和密钥安全也存(cún)在极大的(de)安(ān)全隐患。结(jié)合云(yún)服务的发(fā)展(zhǎn)路线,将(jiāng)密(mì)码及安(ān)全(quán)能力以(yǐ)服务(wù)的(de)方(fāng)式(shì)输出可以有效的适(shì)应云(yún)场景下的网络(luò)和信息(xī)安全(quán)保障需求。以专业的安全厂商提供的专业(yè)服务模式替代传统(tǒng)的产品交付的“交钥(yào)匙”模式,一方面可以降低(dī)用户(hù)保障安全和密(mì)码应用的采购(gòu)、建(jiàn)设和运维成本;另(lìng)一方(fāng)面可以实时获得持续迭代(dài)更(gèng)新的安全服务(wù)保(bǎo)障(zhàng),以应对复杂多(duō)样(yàng)且不(bú)断演化的网络风险和攻击模式,并以此为(wéi)基础带来(lái)更加精准(zhǔn)合规的安全保(bǎo)障能(néng)力,为数字中国所面临的(de)社会治(zhì)理(lǐ)、惠民服务和(hé)产业数字经济(jì)发(fā)展提出基础支撑。应该说密码服务(wù)化、专业化(huà)、精准化(huà)、泛在化、合规性(xìng)是数(shù)字(zì)中国信息化建设的一个(gè)必然趋(qū)势。 在数字社会(huì)复杂的网络空间中,业务(wù)交互复杂多样,并与云(yún)计算(suàn)、大数据、移动互联网等(děng)新兴技术深度融(róng)合,带来了一系列技术(shù)挑战(zhàn),如泛在接(jiē)入的海量实(shí)体在(zài)数字空间的认证互(hù)信、多云(yún)接入场景下的一体化安全支(zhī)撑、跨平台(tái)密(mì)钥管理能力按需应用、个人隐私及(jí)商业秘密信息的保护、网络空间信任的构建(jiàn)等(děng),诸如此类都需要(yào)我们基于传统的技术进(jìn)一(yī)步(bù)思(sī)考和突破,也(yě)是我们密码(mǎ)服务(wù)研究的初衷。希望通过(guò)密码服务的研究和推进,构建以密码服务平(píng)台(tái)为总枢纽(niǔ)的全国一体(tǐ)化(huà)密码服务能(néng)力体系,支撑国家商用密码(mǎ)应用的有序(xù)推(tuī)进,为推动政(zhèng)府治理现代化、强化国家监管能力提供强劲助(zhù)力。
三、卫士通基于云(yún)模式实(shí)施密(mì)码服务新模式(shì) 基于此,卫(wèi)士通提(tí)出了基于安全(quán)可信的云基础设施构(gòu)建密码服务平(píng)台的可行思路。密码服务平台提(tí)供(gòng)便捷易用的密码调用服(fú)务接口,便(biàn)于业务应用开发商快速(sù)使用密码,并有效联通多个云服务平台,按需提供密钥管理和(hé)服务入口,实现平台(tái)间联动,在(zài)用(yòng)户保有密钥的前提(tí)下避(bì)免用户使(shǐ)用密钥的复杂操作。以密码服务平台为基(jī)础打造完(wán)善的密码应用(yòng)服务体系。基于密码服务云的密(mì)码运(yùn)算资源提供扩展的密码(mǎ)应用服务,直接为云(yún)平台及业务应用提(tí)供密码应用(yòng)支(zhī)撑,并以此为枢纽拓展以密码服务(wù)为(wéi)核心的互联网信任服务生态,支撑网(wǎng)络空间安全。 卫士通密(mì)码服务云是基于商用(yòng)密码和自主可控技术、服务于政务、行业等国家重要(yào)领域及广泛互联网应用的服务(wù)平(píng)台,密码服务云依托敏捷(jié)弹性的云计算密码资源和安(ān)全基础设(shè)施,为用户终端、物联网终端等(děng)网络实体以及(jí)业务应用提供了层次化的(de)密码(mǎ)服务体系,包括基于商用密码算法的基础密码服务、面(miàn)向业务需求的应用密码服务和数据安全密码(mǎ)服务,并提供了统一(yī)身(shēn)份认证、电子印章服务、移动安全服务等基于(yú)密码的(de)运营服务平台。 卫士通对密码服务云的服务(wù)模式(shì)进(jìn)行了探索和应用,在各个层次形(xíng)成了具体的应用(yòng)案例,如以统一认证为基础(chǔ)的互联网(wǎng)信任服务平台(tái)、以安全接入服务商提供了吉(jí)林某(mǒu)地区的安全移动(dòng)办公接入服(fú)务(wù)、以第三方密钥管理服务提供商提供了企业微(wēi)信加密服务以及(jí)以商用密码为核心(xīn)的(de)即时通信及安全邮件应用等等。
四、总(zǒng)结 基于(yú)卫士通密码服务云的探索和实践,我(wǒ)们现在认识到,数字转型期需要大(dà)力(lì)发展密码与安全服务,打造密码服务云,通过云(yún)服务(wù)的模式面向互联网(wǎng)、移动互(hù)联网(wǎng)、大数据、物联网乃至更多公共服务领域提供更加丰(fēng)富多样的服务(wù),为智(zhì)慧城市(shì)、政务云和大(dà)数据平台提供(gòng)安全的资源访(fǎng)问和(hé)完善的数据防护,支撑数字中国的建设。 为此,我们也提出几点建议,首先在国家层面,推进顶层规划,制定完(wán)善密码服务云平台(tái)相关等标准规(guī)范、应用指南。其次(cì),针对密码服务云,制定相(xiàng)关科技(jì)专项支撑,通过专项的牵引(yǐn)对(duì)有待突破的技(jì)术问题进行进(jìn)一(yī)步的研究,攻(gōng)克相关的难点。另外,结合国家近期发布的36号文,在智慧城市、政务(wù)、互(hù)联网、物联网等(děng)不(bú)同(tóng)应用领(lǐng)域,选取典型应(yīng)用进行密码(mǎ)服(fú)务云试点示范,积(jī)极探索和发展密(mì)码服务保障的(de)新模(mó)式,为(wéi)数(shù)字(zì)中国发(fā)展、网络空(kōng)间信任服务体系(xì)建设及面向政务、行业、企业以(yǐ)及公众服务等领域(yù)的密码(mǎ)安全保(bǎo)障奠定基础。
