记者����:2020年(nián)4月20日国家发改委相(xiàng)关负责人首次明确新型基础(chǔ)设施的范围(wéi)���,请问新型基础设(shè)施(shī)具体(tǐ)包括(kuò)哪(nǎ)些内容��,又有哪些(xiē)特性��?
董贵山���:新(xīn)型基础(chǔ)设施主要包括三个方面内(nèi)容(róng)����:一是信息基础设(shè)施(shī)����。主要是指基于新一代信息技术演化生成的基础设(shè)施��,比如��,以5G���、物联网��、工业互联网��、卫星互联网为代表的(de)通信(xìn)网络基(jī)础设施����,以人(rén)工智能��、云计算(suàn)��、区块链为代表的新技术基础设施��,以数据(jù)中心(xīn)���、智能(néng)计(jì)算中(zhōng)心为代(dài)表的算力基础设施等����;二是融合基础设施���。主要(yào)是指深度应用(yòng)互联网���、大数据��、人(rén)工(gōng)智(zhì)能等技(jì)术���,支(zhī)撑传统基础设施(shī)转型升级��,进而形(xíng)成的(de)融合基(jī)础设施���,比(bǐ)如(rú)��,智能交通基础设施���、智(zhì)慧能源(yuán)基础设施(shī)等���;三是创新基础设(shè)施����。主要是指支(zhī)撑科(kē)学研究(jiū)���、技术开发���、产品研制的(de)具有公益属性的基础设(shè)施����,比如��,重大科(kē)技基础设施����、科教基础设(shè)施����、产(chǎn)业技(jì)术(shù)创新基础(chǔ)设施等���。
从以上三个(gè)方面的分类来看��,新(xīn)型基础设施(shī)是未(wèi)来引(yǐn)领数字经济发(fā)展的关键载体(tǐ)和支柱���,覆盖了网络通信��、信息计算��、新兴技术领(lǐng)域����、行(háng)业性融合平台以及科研支(zhī)撑平台���,将成(chéng)为(wéi)数字中(zhōng)国在网络空(kōng)间“数字孪生(shēng)”的沃(wò)土和通路���。网(wǎng)络安全作为新基建��、数字经济发展的基石���, 也受到了广泛的关注与重视����。
新型基(jī)础设(shè)施具备基础平台支撑����、海量(liàng)数据汇聚����、广泛实体接入(rù)����、泛在服(fú)务交付(fù)四大特性��。“基础平台支撑”体现了新型基础设施的总体定位����,不管是信息基础设施��、融合基础设(shè)施还是(shì)创(chuàng)新基础设(shè)施���,都(dōu)具(jù)有显著的(de)基础性和平(píng)台性��,是(shì)网络通信���、信息服务和科(kē)研创新的基础支撑��;“海(hǎi)量数据汇聚”“广泛实体(tǐ)接入”体现了新(xīn)型基(jī)础设(shè)施(shī)的平台价(jià)值(zhí)����,信息基础(chǔ)设施(shī)和(hé)融合基础设施汇聚了海量(liàng)的通信数据(jù)����、行业数据和科研数据(jù)��,提(tí)供网络互联平(píng)台����,为(wéi)广泛的网络(luò)实体提供网(wǎng)络接(jiē)入和服(fú)务功(gōng)能���;“泛在服务交付”体现了新型(xíng)基础设施的交付模式��,不管(guǎn)是传统基础(chǔ)设施还(hái)是信息基础设施����,均(jun1)是采用服(fú)务化(huà)的(de)价值交(jiāo)付模式����,结合互联(lián)网泛在接(jiē)入(rù)���、网络互联的特点����,新型(xíng)基础设施能够为(wéi)广泛的网络实体提供(gòng)泛(fàn)在化(huà)的服务覆盖(gài)���,最(zuì)大(dà)化平(píng)台价值����。这(zhè)四(sì)大特性无一不代表着巨大的数据价值和平台价值(zhí)���,对网络攻击者具有极高的诱惑力(lì)��,存在极(jí)大(dà)的安全风险���。
记者����:密码(mǎ)技术在(zài)新基(jī)建中扮演什么样的角色����?
董贵山����:“网络(luò)安全与信息化是一体之两(liǎng)翼��,驱(qū)动之双轮”�����。安全是发展的保障��,发展是安全(quán)的目的�����,网络(luò)安全和信息化建设互相依(yī)存����、协调共生����。新型基础设施建设是“云大物移智”的有(yǒu)机(jī)聚合(hé)和结构化升级(jí)����,网络(luò)安全风险也覆盖了信息服(fú)务(wù)平台(tái)��、IoT设(shè)备��、PC端���、移动端���,这些承载着新基(jī)建业(yè)务�����、数据和服务的(de)载体正在时刻(kè)接(jiē)受海量(liàng)网络(luò)攻击(jī)的考验���,如何(hé)全(quán)面(miàn)保障新型基础设(shè)施安(ān)全也受(shòu)到了业界的广泛(fàn)关注��。新型基础设施(shī)作为国家级的网络信息服务平台����、行业融合支撑平台和科研平台���,应参考关键信(xìn)息基础设施的相(xiàng)关要求进(jìn)行安全防护(hù)设计和(hé)建设(shè)工作���,同时针对新基建各领域特定场景(jǐng)进行定制化(huà)防(fáng)护�����。传统的(de)网络安全防(fáng)护体系多具有(yǒu)通(tōng)用性和普适性����,无(wú)法(fǎ)细粒(lì)度(dù)的涵(hán)盖到特定场景和业务数据(jù)流(liú)转方面���,而密(mì)码(mǎ)技术因其技术特点和防(fáng)护理念(niàn)能够深(shēn)入到(dào)业务(wù)场景之中��,与业务应用进行深入融合���,像(xiàng)为士兵穿上“盔甲”一样����,为防护对象提供(gòng)“贴身防护”能力��。
密(mì)码是(shì)保障网络和信(xìn)息安全最有效����、最可靠���、最经济的关键核心(xīn)技(jì)术����,是(shì)网络安全(quán)的最后一道(dào)防线�����,能够为新基建(jiàn)的“基础平(píng)台支撑(chēng)����、海量数据汇聚����、广泛实体(tǐ)接入��、泛(fàn)在服务交付” 四(sì)大(dà)特性(xìng)提(tí)供针对(duì)性的(de)防护(hù)�����。
(1)密码为“基础平台支撑(chēng)”构筑(zhù)完善(shàn)的安全防护体系(xì)���。
新型基础设施为国(guó)家(jiā)信(xìn)息化建设提供新一代的基础支撑平台��,其平台价值(zhí)极高����,因此需要完善的安全防护能力(lì)���。密码技术在网络安全防护(hù)体系中位(wèi)居(jū)核心和(hé)基(jī)础地位(wèi)����,依(yī)靠密码技术和网络安全(quán)技术能够打造集感知安全(quán)����、传输安全����、存(cún)储安全���、计算(suàn)安(ān)全��、处理安全���、应用安全于一体的安全防护能力���,构建以密码技术为核心��、多种技术相(xiàng)互融合的新网络安全体系���, 构筑新基建(jiàn)安全防护体系���。
(2)密码为“海量数(shù)据汇聚”建立坚实的数据保护能力(lì)���。
新(xīn)型基础设施是(shì)基于多种功能�����、多种(zhǒng)要素���、多种技(jì)术(shù)的体系化集(jí)成���,支撑着跨(kuà)领域����、跨平台和跨系统(tǒng)的数据交换和信息共享��,提供海量(liàng)数据分析��,实现数据的互操作(zuò)和流(liú)程协(xié)同��。密码技术提供的数据加密存储�����、可信数据汇聚(jù)����、安全(quán)数(shù)据共享����、数据流转确(què)权能够实现数据的(de)全生命周(zhōu)期安全����,并对敏感数(shù)据���、个人隐私数据提供针对性的数据脱敏�����、数据加(jiā)密和数据(jù)隐(yǐn)藏能力��,将(jiāng)防护能力(lì)深入到业务流转之中(zhōng)���。
(3)密(mì)码为“广(guǎng)泛(fàn)实(shí)体接入”提供安全的鉴别防护机制����。
新(xīn)型基础设施的部分重点领域如铁路���、公路��、电(diàn)网���、通信���、管网等���,为(wéi)规模化的网(wǎng)络实体(tǐ)接入建设网络互联(lián)平台��,实现实体的广泛接入(rù)和(hé)互联通信��。网络互联平台的安(ān)全稳定运行成为了新型基础设施建设实现价值的前提���。基于密码技(jì)术为(wéi)网络实体建立安(ān)全的数据执行和存储环境��,基于密码技术建立平(píng)台侧与网络实体之间的可(kě)信鉴别和安全传输机制���,两者结合构建从(cóng)终(zhōng)端侧到平台(tái)侧的安全接入环(huán)境����,有效的保(bǎo)护平台(tái)外延的网络实体安全�����,保障(zhàng)新型基础设施(shī)的网(wǎng)络实体安(ān)全和(hé)边界接(jiē)入(rù)安(ān)全��。
(4)密码为(wéi)“泛在服(fú)务交(jiāo)付”构建泛在(zài)的密码服务能力�����。
从新型基(jī)础(chǔ)设(shè)施的建设领域如(rú)智慧(huì)城市����、物联网���、车联网(wǎng)���、充电桩可以看出��,核心价值是为数字(zì)经济广(guǎng)大领域提供泛在化的服务����,将基(jī)础(chǔ)能(néng)力(lì)提(tí)供给更多的企业��、组织和个人去使用(yòng)���,拓展服务(wù)范(fàn)围����,让(ràng)更多人(rén)享(xiǎng)受数字(zì)经济(jì)发展的(de)红利�����。泛在的服务能力一方面需要服(fú)务于各行业领域�����,密(mì)码技术(shù)需(xū)要依托各行业领域特性提供相适应的防护能力����,另一方(fāng)面需要延伸到海(hǎi)量的网络实体���,这些网络实体是新型基础(chǔ)设(shè)施建设的(de)价值(zhí)延伸和受益主体��,同时也会成为(wéi)网络攻击的(de)薄弱(ruò)点和攻击点(diǎn)���,成为(wéi)攻击平台的跳板���。为此��,需要建立泛在化的密码(mǎ)保障机制��, 为广大行业领域提供泛在的密码服务接入能力��,为移动(dòng)终端��、PC端��、IoT终(zhōng)端(duān)提供体系化的(de)密码(mǎ)防(fáng)护能力����,有力的支持新基建泛(fàn)在服(fú)务的(de)安(ān)全稳定和(hé)可(kě)管可控���。
新型基础设施建(jiàn)设一方(fāng)面兼具关键(jiàn)信息基础设施的价(jià)值(zhí)定位��,另一方面融合新兴(xìng)技术(shù)����、新(xīn)兴领(lǐng)域(yù)的(de)业务特点(diǎn)��,具有较(jiào)高的复杂性和先(xiān)进性���。因此需要基于密码技(jì)术为新型基础设施设计建设完善(shàn)的网络安(ān)全防护体系����。
记者�����:密码法(fǎ)的发布对新基建(jiàn)的推动工作有哪些影响���?
董贵山����:当前����,密码的价值得到了(le)广泛的重视����,2020年1月1日(rì)����,《中华人民共和国(guó)密码(mǎ)法》正式实施��,2020年成为了(le)“密码法元年”��,密码法(fǎ)对(duì)密码进行明(míng)确的(de)定(dìng)义����,密码是指采用特(tè)定变换的方法对信息进(jìn)行加密保护���、安全认(rèn)证的技术���、产(chǎn)品和(hé)服务���。其中����,商用密码用于(yú)保护(hù)不属于国家秘密(mì)的信息��,公民���、法人和其他(tā)组织可以依法使用商用密码保护网络与信息安(ān)全����。商用密码具备机密性����、完整性���、真实(shí)性和(hé)不可(kě)否(fǒu)认性四大防(fáng)护特性�����,能(néng)够(gòu)应(yīng)对网络安全的数(shù)据泄露����、数据篡改����、身份仿冒和行(háng)为否认(rèn)等风险��。
商用密码是(shì)我国自主完善的技(jì)术体系���,经过二十余(yú)年的(de)发展和演进����,提出(chū)了(le)包含SM1����、SM2���、SM3���、SM4��、SM7����、SM9和ZUC算法的(de)一套完整(zhěng)自洽的商用密(mì)码算法体系(xì)�����,建立了覆盖密码(mǎ)算法����、密(mì)码协(xié)议���、密码功能接(jiē)口����、密码产品规格����、密码应用要求和测评规(guī)范的一(yī)套完善的标准体系��,形(xíng)成了以密码芯片����、密码板卡���、密码整机和密(mì)码系(xì)统等传统产品为主��,多种产品形态和(hé)应用模式并(bìng)现的产(chǎn)品体(tǐ)系��。
商用密码(mǎ)的建设受到了(le)政策����、法规��、标(biāo)准��、规范的全面推动����。以法规奠定(dìng)密(mì)码法制基础�����,国家相继出台了网络安(ān)全(quán)法����、密码法(fǎ)��,加速数据安全法��、个人信息保护法立法进程����,旨在规范网络安全���,以法理(lǐ)奠定密码的核心定位��;以政策推动(dòng)密码按需建设���,国家在关键信息基(jī)础设施����、政务信息化建设���、信创产业(yè)等(děng)方面均以政(zhèng)策文件(jiàn)的方式明确了密(mì)码是网络安全和信息化建设的(de)重(chóng)要(yào)组成部(bù)分���;以标准构建密(mì)码使用基线���,网络(luò)安全等级保护标准体系(xì)的升级明确了密码在(zài)等保(bǎo)定级和(hé)合规防护方面(miàn)的基本要(yào)求�����,密码行业标准体系的快速增(zēng)补也在(zài)全面完善密码技术和(hé)产品的合规应用�����;以测评保障密码应(yīng)用合规��,参考网络(luò)安全等级保护的(de)测评机制和测评要求���,密码行业出台了密码应用安全性评估制度���,以(yǐ)测评来(lái)明确密码应用的合规性��、正确性和有(yǒu)效性(xìng)��,从而(ér)保障密码应用设计(jì)的(de)完备性和密码产品在各个(gè)环(huán)节(jiē)的正确有效使(shǐ)用����。
新型基(jī)础设施建(jiàn)设(shè)同样需要密码(mǎ)技术的保障��,无论是(shì)从(cóng)合法合规角(jiǎo)度还是消除安全风险角度来看���,密码技术(shù)都是新(xīn)型基础设(shè)施(shī)网络安全的最后一道防线����。
从基(jī)础设施这个词汇来(lái)看��,密(mì)码行业同样(yàng)存在一(yī)个基础设施——公钥密(mì)码基础设(shè)施(shī)(Public Key Infrastructure���,PKI)��,公钥密码基础设施是一个(gè)包括硬件���、软件���、人员��、策略和规程的集合���,用来实现基于公钥密码体制(zhì)的密钥和证书的产生�����、管(guǎn)理��、存储��、分(fèn)发和撤销等功能���,目前已广泛应用于政务�����、金融��、电力(lì)等构架关键信息基础设施领域���,为其提供可(kě)信(xìn)的密钥和证(zhèng)书管理��,建立网络安(ān)全的可信根���。
新型基(jī)础设(shè)施继(jì)承了(le)传(chuán)统基础设施(shī)建设的服务化(huà)特性(xìng)��,通(tōng)过端到(dào)端的(de)服务模式创造和交付(fù)价值���,这一模式特性(xìng)要(yào)求密(mì)码支撑能力能(néng)够提供相匹(pǐ)配的能(néng)力���,PKI更倾(qīng)向于传统的安(ān)全基础(chǔ)设施(shī)��,提供基础通用的密(mì)码支(zhī)撑能力����,对新型基础设施建设的密码需求的匹配性不高���。
新(xīn)型基(jī)础设施(shī)的基(jī)础平(píng)台(tái)支撑要求密码支撑提供(gòng)灵活弹性可伸缩的服(fú)务能(néng)力(lì)��,海量数据(jù)汇聚要求密码(mǎ)支撑提供融合数据全(quán)生命(mìng)周(zhōu)期的数据防(fáng)护能(néng)力��,广泛实体接入要求密码(mǎ)支撑提供(gòng)平台化的通信保护和(hé)接入管控能力���,泛(fàn)在(zài)服务交付要求密码支撑提供服务化的密码交付能力�����,让新基(jī)建的受益(yì)者(zhě)能(néng)够享受经过密码防护的安全新基建(jiàn)服务(wù)����。这些能力都(dōu)是传统的密码(mǎ)建设模式无法全(quán)面响(xiǎng)应的�����。为(wéi)此我(wǒ)们提供建设以密码服务平台为(wéi)核(hé)心的新型密码管理与服务基础设施��,应对新型基础设(shè)施泛(fàn)在互联海量支撑的平(píng)台特性提供泛在化��、平台化的密码服务能力和(hé)一窗(chuāng)式�����、多维度的(de)密码(mǎ)管理能(néng)力����。
记者�����:新基建场景中��,您认为这种新(xīn)的密码服务(wù)模(mó)式能够带来什么价(jià)值���?
董贵山���:基于我上(shàng)述(shù)提到的目标�����,卫士通提出了集密码服务与(yǔ)密码管理为(wéi)一体的密(mì)码服务平台的理念模型����。在该模型(xíng)的服务侧����,密码服(fú)务平台包括层次化密码(mǎ)服务���、通用(yòng)密码中间件和API网(wǎng)关(guān)��,通过标准化集成能力(lì)集成优秀(xiù)的密码系(xì)统和密码设备�����;通过资源虚拟化和微(wēi)服务化设计对(duì)外(wài)提供覆盖基(jī)础密码服务���、通用密码服务和安全应用服务的层(céng)次化密(mì)码服(fú)务能力��;通过通用(yòng)密码中间件封装(zhuāng)层次化密(mì)码服务接口为应用(yòng)提供一站式的密码集成能力���;依托API 网(wǎng)关与管(guǎn)理侧协同实现对应用(yòng)的接入认证和访问控制�����。在(zài)管理侧���,密码服务平台通(tōng)过密码设备(bèi)与服务管理提供统一的访问(wèn)入口和(hé)管理界面(miàn)��,支持租户���、应用����、设(shè)备����、服务和订单的多维度管(guǎn)理��,对使用(yòng)情况进行信息统计(jì)和可视化展现(xiàn)���,支撑外部(bù)的密码监管和安全运营���;各类平(píng)台用(yòng)户可以(yǐ)通过统一访问入口进行登录(lù)认证��,完成(chéng)各自的管理职责���。
密码服务平台提出(chū)“密(mì)码(mǎ)可(kě)用����、密码好(hǎo)用���、密码能管���、密码好管”的四大服(fú)务目(mù)标����。在密码可(kě)用(yòng)方面���,通过密码虚拟化����、层次化密码服务应对目(mù)前(qián)密码(mǎ)资源使(shǐ)用率低��、密(mì)码技术使用不当���、对新业务场景适应性(xìng)不强的问(wèn)题���;在密码好用方面�����,通过(guò)通用密码中间件����、标准化集成能力应对密码与应用(yòng)对接困难���、密码服务接口不(bú)一致以(yǐ)及已建密码资源(yuán)难以(yǐ)利旧的问题���;在密码能管方面���,通过(guò)API网关���、密(mì)码设备与服务管理应对业务应用情况不可控���、密码使用情况不可(kě)见以及密码资源(yuán)无法统一(yī)管理(lǐ)等问题����;在密码好管方(fāng)面���,通(tōng)过密码服务的使用计(jì)量和(hé)专业化技术(shù)团队应对密码整体态势无法获取(qǔ)���、密码(mǎ)使用应急能(néng)力不足以及使用(yòng)计量困难等(děng)问题(tí)����。
针对新型基础设施的场景要求���,密码(mǎ)服务(wù)平台(tái)在基础密码服务方面能够提供海量密钥和(hé)证书服务能力(lì)���、适应物联网��、车联(lián)网的多元化(huà)证(zhèng)书签(qiān)发和(hé)管(guǎn)理能(néng)力以及覆盖全(quán)网的密码监管和管理能力(lì)���;在通用密码服务方面(miàn)能够(gòu)提供联接人(rén)机(jī)物的异构统一身份认证服务能力��、数(shù)据流转管控与追溯机制���、物联网设备的统一标识管理能(néng)力(lì)���、车联网平台的电子地图安全管控服务和车(chē)端密码支撑(chēng)能力等(děng)针对性的密码(mǎ)服务(wù)能力��。
记者����:您认为(wéi)应(yīng)该从哪些方面推(tuī)进新基(jī)建(jiàn)领域(yù)密码应用建设(shè)工作(zuò)��。
董贵(guì)山����:新基建是数字中国发(fā)展的“新”阶段��,密(mì)码(mǎ)服务(wù)是密码行业发展的“新”模式����,两“新”碰撞����,迸发新机���,以新的密码服务模式保障新基(jī)建的“内生安全”����。因(yīn)此为保障(zhàng)密(mì)码在(zài)新基建中发挥更好的安全支撑作用���,需从多个角度(dù)推进新基建(jiàn)领(lǐng)域密码应用建(jiàn)设工作����。
一是(shì)通过(guò)政策推(tuī)动��、业务驱(qū)动等推进(jìn)密码在新基建领域的(de)广泛部署����,立(lì)足(zú)密码作为网络安全的“内置基因”定位(wèi)���,实现新基(jī)建的“内生安全(quán)”��,推动密码在新(xīn)基建的建设和示(shì)范���,形成(chéng)新基建各典型领域密码(mǎ)应用最佳(jiā)实践���。
二是从项目建设(shè)����、场(chǎng)景需求(qiú)中提炼业务(wù)场景和技术需求���,开展密码技术突破和产品研(yán)制���,从而能够实现密码技术与新(xīn)基(jī)建各领(lǐng)域(yù)的深(shēn)度融合(hé)���,以密码(mǎ)服务(wù)支撑(chēng)基础设(shè)施对外安全(quán)服务����。三是落(luò)实(shí)国家网络安全(quán)等(děng)级(jí)保护(hù)相(xiàng)关(guān)要求和密码应用(yòng)建(jiàn)设的(de)相(xiàng)关要求�����,在新型基础设施建设过程中要同步规划��、同步建设���、同步运行密码保障系统并定期进行评估(gū)���。在规划过程中��,要(yào)立足新型基础设(shè)施(shī)安全要(yào)求(qiú)��,站在整体角度设计(jì)密码(mǎ)应用方案����,在建设过程中���,把密码(mǎ)服务融入到(dào)整(zhěng)体架(jià)构中���,新型基(jī)础(chǔ)设施需与密码(mǎ)保障(zhàng)体系(xì)同步运行���,并通(tōng)过定期安全评估�����、密码应用安全性评(píng)估等(děng)手段���,持续保持密码应用的(de)有效性和安全性���。
