董贵山,男,工学博士,研究员,中国电子(zǐ)科技集团公司网(wǎng)络安全领(lǐng)域首席专家,国务院特殊津贴专家(2016),中国网安副总工(gōng)程师、卫士通公司总工程师(shī),国家(jiā)密(mì)码标准化委员(yuán)会(huì)委员(yuán),政(zhèng)府治(zhì)理国家(jiā)工程实(shí)验(yàn)室副(fù)主任和专委会委员,科技部(bù)网络安(ān)全重点研发计(jì)划首席专家,长期承(chéng)担过党政信息安全和密码应用领域的装备与系统研制、技术标准制(zhì)定、系统建设方案设计等工作,曾获(huò)得中办颁发的党政信息安全先进(jìn)工作者称号,累计获得省部级(jí)科技进步一等奖2次,二等奖2次,三等奖4次(cì)。
董贵山:密码服务云构建数字中国(guó)网络安(ān)全服务新(xīn)生态 卫士通公司20多年来以密码(mǎ)与安全保障为业务(wù)核心,一直在党政(zhèng)和重要行业领域支撑着国家的信息安全建设和运行,经历了国家信息化的密码与安(ān)全建设的全过程。结合云计算、大数(shù)据等新(xīn)技术的演进,卫士通对整个过程中以密码与安全保(bǎo)障为核心(xīn)的业务变(biàn)迁和模式发(fā)展有一些思(sī)考。在2019年中(zhōng)国it市(shì)场年会上,中国电科集团首席专家、中(zhōng)国网安(ān)副总工程师(shī)、卫士(shì)通总工程(chéng)师董贵山作了题为“基于(yú)密码服务(wù)云(yún)的安全应用新模式”的主题演讲,阐述(shù)了卫士通(tōng)以密码服务云的方(fāng)式提供安全(quán)服(fú)务的新模式。 一、数字社(shè)会(huì)驱动安全发(fā)展(zhǎn) 国家战略(luè)引领(lǐng)着数字社会的有序发(fā)展,国家多次(cì)强调了(le)网络(luò)强国、数(shù)字中国和智(zhì)慧社会建设的重要性和意义(yì),国(guó)家(jiā)信息化(huà)的发展以逐(zhú)步步入3.0时代,即以数据的(de)深度(dù)挖掘与融合应用(yòng)为特征的智(zhì)慧化阶段,随着信息化建(jiàn)设与云计算、大数据和移动互联网等(děng)关键(jiàn)技术的深度融(róng)合(hé),网络空间对国家和(hé)社会的发(fā)展带来(lái)了极大的价值和可观的收益。总结(jié)来说,信息化建设(shè)呈现了三大(dà)趋势,一是驱(qū)动了网络、资源、终端的(de)多维度(dù)融(róng)合,二是(shì)数据逐步成为业务发展的核(hé)心和驱(qū)动力,三是对(duì)密码和安全服务化的需求日渐迫(pò)切。 信息化(huà)建设趋势的演进及与(yǔ)新兴技术的融合利(lì)用对我们(men)的安全技术、安全管理能力(lì)都提出了新的要求,网络空间各类安全事件在个(gè)人、企业、社会乃至国家安全等(děng)层(céng)面产生了(le)重大的(de)影响(xiǎng)和损失,如(rú)基(jī)于大数据分析干涉政企选举、海量数据泄露(lù)、网站攻击、网络欺诈等等,这些大家都(dōu)已耳熟能(néng)详。面临(lín)目前安全风险(xiǎn)泛在(zài)复杂多样的态(tài)势(shì),密码作为(wéi)应对(duì)安全(quán)风险的(de)关键支撑技(jì)术,能够有效(xiào)的(de)完善网络安全生态,充分发挥它在网络(luò)安全中的机(jī)密、完(wán)整(zhěng)、真实、不可否认的(de)作用,有力的支(zhī)撑(chēng)数据安全防护和网络(luò)安全体系(xì)可信。从网络、身份、数据、业务等角(jiǎo)度,基于密码重构网络安全(quán)边(biān)界,构建网络安全的保障体系,并对安全保障模(mó)式进行创新发(fā)展。 二、密码服(fú)务(wù)化必然趋势下的技术挑战 信息化建(jiàn)设的(de)发展逐步深入,如今(jīn)各种政务(wù)云、数据中心、大数据平台(tái)建设此起彼伏,催生(shēng)了公有云(yún)、私有云、混合云等不同的业务(wù)应用(yòng)方(fāng)式,纷繁复(fù)杂的业务(wù)部署方式导致了原(yuán)有的安全保障(zhàng)体系和密码应用模(mó)式(shì)无法(fǎ)完全的适应安全风险和需求(qiú)。尤其是(shì)在公有云(yún)模式下,对业务应用的安(ān)全防护需(xū)要依赖(lài)云平台(tái)运营商的设备(bèi)能力(lì)、技术能力和运维能力,同时其数据安全和密(mì)钥安全也存在极大的安全隐患。结合(hé)云服务的发展路(lù)线,将(jiāng)密(mì)码及安全能(néng)力以服务的方式输出可以有效的适应云场景(jǐng)下的网络和信(xìn)息安全保(bǎo)障需求。以专业的安全厂商(shāng)提供的专(zhuān)业服务模式替代传(chuán)统的产品交(jiāo)付的(de)“交钥匙”模式,一方(fāng)面可以降低用户(hù)保障安(ān)全和密码应用的采(cǎi)购、建(jiàn)设和运维成本(běn);另(lìng)一方面(miàn)可以实时获得(dé)持续迭(dié)代更(gèng)新的安全服务保障,以应(yīng)对复杂(zá)多样且不断演(yǎn)化的网络风险和攻击模式,并(bìng)以此为基础带来更加精准合规的安全保障能力,为数字中国所(suǒ)面临的社会治(zhì)理、惠民服(fú)务和产业(yè)数字经济发展(zhǎn)提出(chū)基础(chǔ)支撑。应该说密码(mǎ)服务(wù)化(huà)、专业化(huà)、精准(zhǔn)化、泛在化、合(hé)规性(xìng)是数字中(zhōng)国信息化建设的一个必然趋势。 在数字社会复杂的网络空间中,业务交互复杂多样,并与云计(jì)算、大数(shù)据、移(yí)动互联网(wǎng)等新兴技术(shù)深度融合,带来了(le)一系(xì)列技术挑战,如(rú)泛在(zài)接入的(de)海量(liàng)实体在数字空间的(de)认证互(hù)信、多云(yún)接入场景下的一体化安全(quán)支(zhī)撑、跨平(píng)台密钥(yào)管理能(néng)力按(àn)需应用、个人隐私及商业秘(mì)密信息的保护、网(wǎng)络空间信任的构(gòu)建等,诸如此(cǐ)类都需要我们基于传统的技术进一步思考和(hé)突破,也是我们密码(mǎ)服务研究的初衷。希望(wàng)通过密码服务(wù)的研究和推(tuī)进,构(gòu)建以密码(mǎ)服务(wù)平台为总枢纽的全(quán)国一体(tǐ)化密码服务能力体系,支撑国家商用密码应用(yòng)的有序推进,为推动政府治理现代(dài)化、强化国家监管能力提供强劲助力。
三(sān)、卫士通(tōng)基于云模式实施密(mì)码服务新模式 基(jī)于此,卫士(shì)通提出了基(jī)于安(ān)全可信的云基础设施构建密(mì)码(mǎ)服务平(píng)台的(de)可行思路。密码(mǎ)服务平(píng)台提供便(biàn)捷易用的密码(mǎ)调用服(fú)务接口,便于业务应用开发(fā)商快速使用密码,并有效联通多个(gè)云服务平台,按需提供密钥管(guǎn)理和(hé)服务入口,实现平台间联动,在用(yòng)户保有密钥的前提(tí)下避免用户使用密钥的复(fù)杂操作(zuò)。以密码服务平台为基础(chǔ)打(dǎ)造完善的(de)密码应用服务体系。基于密码服务(wù)云的密码(mǎ)运算资源提供扩展的密(mì)码应用服(fú)务,直接(jiē)为云平台及业务(wù)应用提供密码应用(yòng)支撑,并以此(cǐ)为(wéi)枢纽拓展以密码服务为(wéi)核心(xīn)的互联网信任服务生态,支撑(chēng)网(wǎng)络空间安全。 卫士通密码服务云是(shì)基于商用密码和(hé)自主可控技术、服务于政务、行业等(děng)国(guó)家重要领域及广泛互联网(wǎng)应用的(de)服务平台,密码服务云依托敏捷弹性的云计(jì)算(suàn)密码资(zī)源和安全基础设(shè)施,为用户终端(duān)、物联网终端等网(wǎng)络实(shí)体以及业务(wù)应(yīng)用(yòng)提供了层次化的(de)密(mì)码服(fú)务体系,包括基于商用密码算(suàn)法(fǎ)的(de)基(jī)础密(mì)码服务、面向业务需求的应用(yòng)密码服务和数据安全(quán)密码服务,并提供了统一身份认证、电子印(yìn)章服务、移动安(ān)全(quán)服(fú)务(wù)等(děng)基于密码的(de)运营服务平(píng)台。 卫士通对密码服务云(yún)的服务模式进行了探索和应(yīng)用,在各(gè)个层次形成了具体的应用案例,如以统(tǒng)一(yī)认(rèn)证为(wéi)基础的互联网信任服务平(píng)台、以安全接入服务商提供了吉林某地区的安全移动办公接入服务(wù)、以第三方密钥管理(lǐ)服务提供商提供了企业微信加密服务(wù)以及以商用密码为(wéi)核心的即时通信及(jí)安全(quán)邮(yóu)件应用等等。
四、总结 基于卫士通密码服务(wù)云的探索和实践,我(wǒ)们现在认识到,数字转(zhuǎn)型期需要大(dà)力发(fā)展密码(mǎ)与(yǔ)安全服(fú)务(wù),打造(zào)密码服务云,通过云服务的模式(shì)面向互(hù)联网、移动互联(lián)网、大数据、物联网乃至更多公(gōng)共服务领域提供更加丰富多样的服务,为(wéi)智慧城市、政务云和大数据平台(tái)提供安全的资源(yuán)访问和完善(shàn)的(de)数据防护(hù),支撑(chēng)数字中国的建设。 为此,我(wǒ)们也提出几点建议(yì),首先(xiān)在国家(jiā)层面,推进顶层规划,制定完(wán)善(shàn)密码服务云平台相关等标准(zhǔn)规范(fàn)、应用指南。其次(cì),针对密(mì)码服务云,制(zhì)定相(xiàng)关科(kē)技专项支撑(chēng),通过(guò)专(zhuān)项(xiàng)的(de)牵引(yǐn)对有待突破的技术问题(tí)进行进(jìn)一步的研究,攻克相关的难点。另外,结合国(guó)家近期发布的(de)36号文,在智慧城市、政(zhèng)务、互(hù)联(lián)网、物联网等不同应(yīng)用领(lǐng)域(yù),选取典(diǎn)型应用进行密码(mǎ)服务云(yún)试点示(shì)范,积(jī)极探索(suǒ)和发展密码服务保障的(de)新模式,为数字中(zhōng)国发展(zhǎn)、网络空间信任服务体系建设及面向政务、行业、企业以(yǐ)及公(gōng)众服务(wù)等(děng)领域的密码安全保障(zhàng)奠定基础(chǔ)。
