董贵山,男,工学(xué)博士,研究(jiū)员(yuán),中国(guó)电子科技集团公司网络安全领域首席专家(jiā),国务院特(tè)殊津贴专家(2016),中国网(wǎng)安副总(zǒng)工程(chéng)师、卫士通公(gōng)司(sī)总工程师,国家密码标准化委员会(huì)委员,政府治理国家工程实验室副主任和(hé)专委会委员,科技部(bù)网络(luò)安全重(chóng)点研(yán)发计划首席专家,长期承担过党政信息安全和密码应(yīng)用领域的装备与系统研制、技术标(biāo)准(zhǔn)制定、系(xì)统建设(shè)方案设计等工作,曾获得中办颁(bān)发的党政信息(xī)安全先进(jìn)工作者称号,累计获得省(shěng)部级科(kē)技进步一(yī)等奖(jiǎng)2次,二等奖2次,三(sān)等(děng)奖4次(cì)。
董贵山:密码服(fú)务云构建数字(zì)中国(guó)网(wǎng)络安全服务新生态(tài) 卫士通公司20多年(nián)来以(yǐ)密码与安(ān)全保障为业务核心(xīn),一直在党政和重要行业领域支撑着(zhe)国家的(de)信(xìn)息安全建设和(hé)运(yùn)行,经历了国家信(xìn)息(xī)化的密码与安全建(jiàn)设的(de)全过程。结(jié)合云计算、大(dà)数据等新(xīn)技术的演(yǎn)进,卫士通对整个过程(chéng)中以密码与安全保障为核心的(de)业务变(biàn)迁和(hé)模式发展有(yǒu)一些思考。在(zài)2019年(nián)中国it市场年会(huì)上,中国电科集团首席专家、中国(guó)网安副总工程师、卫士(shì)通总工(gōng)程师(shī)董贵山(shān)作了题为“基于密码服务云的(de)安全应用新模式(shì)”的主题演讲,阐述了卫士通以密码服务云的(de)方式提供安(ān)全(quán)服务的新模(mó)式(shì)。 一、数字社会(huì)驱动安全发展 国家战略引领着数字(zì)社(shè)会的有序发展,国家多次强调了网络强国、数字中国和智慧社(shè)会建设(shè)的重要性和意义,国家信息(xī)化的发展(zhǎn)以逐(zhú)步步入3.0时代,即以数据(jù)的深度挖掘(jué)与融合应(yīng)用为特(tè)征的智慧化阶段,随着信息化建设与云计算(suàn)、大数据和移动互联(lián)网(wǎng)等关键技术(shù)的(de)深度融合,网络空间(jiān)对(duì)国家和社会的发展带来(lái)了极(jí)大(dà)的价(jià)值和可观的收益(yì)。总结来说,信(xìn)息化(huà)建设呈现了三(sān)大趋势,一是驱动了网络、资源(yuán)、终端的(de)多维度融(róng)合,二是数据逐步成(chéng)为业(yè)务发(fā)展的核心和驱(qū)动力,三是对密码(mǎ)和(hé)安全服务化的需求日渐迫切(qiē)。 信息化建设(shè)趋势(shì)的演进及与新兴技术的融合利用对我们的安全技(jì)术、安全管理能力都(dōu)提出了新的要求,网(wǎng)络空间各(gè)类(lèi)安(ān)全(quán)事件在(zài)个人、企业、社会(huì)乃至国家安全等层面产(chǎn)生了重大(dà)的(de)影响和损失(shī),如基于(yú)大数(shù)据分(fèn)析(xī)干涉政企(qǐ)选举、海量数(shù)据泄(xiè)露、网站攻(gōng)击(jī)、网络(luò)欺诈等等,这(zhè)些大(dà)家都已耳熟能详。面临目前安全风险泛在复杂多(duō)样的态势,密码作为应(yīng)对安全风险的关键支撑(chēng)技(jì)术,能够有效的完(wán)善网(wǎng)络安全生态(tài),充分发挥(huī)它(tā)在网络安全(quán)中的机密、完整、真实、不可否认的作用,有力的支撑数据(jù)安全防护和网络安全(quán)体系可信。从网络、身份、数据、业务(wù)等(děng)角(jiǎo)度,基于密码重(chóng)构网络(luò)安全边界,构(gòu)建网(wǎng)络(luò)安(ān)全的(de)保障体(tǐ)系,并对安全保障模(mó)式进行创新发(fā)展。 二、密码服务化必然趋势下的技术(shù)挑战(zhàn) 信息化建设的发展逐步深(shēn)入,如(rú)今各(gè)种政务(wù)云、数据中心(xīn)、大数据平台(tái)建设此(cǐ)起彼伏,催生了公有云、私有云、混合云(yún)等不(bú)同的(de)业务(wù)应用方式,纷繁复杂(zá)的业务(wù)部署(shǔ)方式导致了原有(yǒu)的安全保(bǎo)障体系和密码应用模式无法完(wán)全的适应安全风险和需求。尤其(qí)是在公(gōng)有云模式下,对(duì)业务应用的安(ān)全(quán)防护需要(yào)依(yī)赖云平台运营商的设备能(néng)力、技术能力和运(yùn)维能力,同时其数据安全和密(mì)钥安(ān)全也存在(zài)极(jí)大的安全隐(yǐn)患。结合云服务的发展路线,将密码(mǎ)及(jí)安(ān)全能(néng)力以服务的(de)方式输出可以有效的适(shì)应云(yún)场景(jǐng)下(xià)的网络和信息安全(quán)保障(zhàng)需求。以专业的安全厂商提供的专(zhuān)业服务模式替代传统(tǒng)的产品交付(fù)的“交钥匙(shí)”模式,一方面可(kě)以降低用(yòng)户保(bǎo)障安全和密码应用的采(cǎi)购、建(jiàn)设和运(yùn)维成本;另一方(fāng)面可以实时获得持续迭代更新的安全服务保障(zhàng),以应对复杂多(duō)样且不断演化(huà)的网络风险和攻击模式,并以此为(wéi)基础带来更加精准合规(guī)的安全保(bǎo)障能(néng)力,为数字(zì)中国所面临的(de)社会治理、惠民(mín)服务和产(chǎn)业数字经济发展提出基础支(zhī)撑。应该说密码服务化、专业化、精准化、泛在化(huà)、合规(guī)性(xìng)是(shì)数字中国信息化建设的一个必然(rán)趋势。 在(zài)数字社会复杂的网(wǎng)络空间中,业(yè)务交互复杂多样(yàng),并与云计(jì)算、大数(shù)据、移动(dòng)互联网等新(xīn)兴技术深度融合,带(dài)来了一系列(liè)技术挑战(zhàn),如泛在接入的海量实体在数(shù)字空间的认证互信、多云接入场景下的一(yī)体(tǐ)化安全支撑、跨平台密钥管理能力按需应用、个人隐私及商业秘密信息的保护(hù)、网络(luò)空(kōng)间信任的构建等,诸如此类(lèi)都需要我(wǒ)们(men)基于传统的技术进一步思考和突破,也是我们密码服务研究(jiū)的(de)初衷。希望通过(guò)密码服(fú)务的研究和推进,构建以密码服务平台为总枢纽的全国一体(tǐ)化(huà)密码服务能力体系,支撑国家商用密码应(yīng)用的(de)有(yǒu)序推进,为推(tuī)动政府治理(lǐ)现代(dài)化、强化(huà)国家监(jiān)管能力提供强劲助(zhù)力。
三(sān)、卫士通(tōng)基于云模式实施密码服务新(xīn)模(mó)式 基于此,卫士通提出了基于(yú)安全(quán)可信的云(yún)基础设施构建密(mì)码服(fú)务平台的可行思路。密码服务平台提(tí)供便捷易用的密码调用服(fú)务接口,便于业务应用开发商快速使用密码(mǎ),并有(yǒu)效联通多(duō)个(gè)云服务平台,按需提供密(mì)钥(yào)管理和(hé)服务入口,实现平台间联动,在用户保有密钥的前提下避免用户使(shǐ)用(yòng)密钥的复杂操作。以密码服务(wù)平台为基础打造完善的密码应用服务体(tǐ)系。基于密(mì)码服(fú)务云的密码运(yùn)算(suàn)资源提供扩展的密码应用服务,直接为云平(píng)台及业务应用提供(gòng)密码应用支撑,并以此为枢纽拓展(zhǎn)以密码服(fú)务为核心的互联网信任服务生态,支撑网络空间安全。 卫士通密(mì)码服务云是基于商用密码和自主可控技(jì)术、服务于政务、行业等国家重要领域及广(guǎng)泛互联(lián)网应用的服务平台(tái),密码(mǎ)服务(wù)云依托敏捷弹性的云计算密码资源和安全基(jī)础设(shè)施,为用户终端、物联网终端等网络实体以及业务应(yīng)用提供了层次化的密码(mǎ)服务体系,包(bāo)括基(jī)于商用密(mì)码算法的基础密码服务、面向业务需求的应用密码服务和数据(jù)安(ān)全(quán)密码服务,并提供了统一身份认证(zhèng)、电(diàn)子印章(zhāng)服务、移(yí)动安全服务等基于密码的运(yùn)营服(fú)务平台。 卫士(shì)通(tōng)对(duì)密码服务云的服(fú)务(wù)模式进行了探(tàn)索(suǒ)和应用,在各个层次形成了具(jù)体的(de)应(yīng)用案例,如以统(tǒng)一(yī)认证为基础的互联(lián)网信(xìn)任(rèn)服务平台、以安全接入服(fú)务商提供(gòng)了吉林某地区的(de)安全移动办公接入服务、以第三方密钥管理服务提(tí)供商提供了企业微信加密服务以及以商用密码为(wéi)核(hé)心的即时通信及安全邮件应用等等。
四、总结(jié) 基于卫士通密码服务云的(de)探索和实(shí)践,我们现在认识到,数字转型期需要大力(lì)发展密码与安全服(fú)务,打造(zào)密(mì)码服务云(yún),通过(guò)云服务(wù)的模式面向互(hù)联网、移动互联(lián)网、大数据、物联网乃至更多(duō)公共(gòng)服(fú)务领域(yù)提供更加丰富多样的服务,为(wéi)智(zhì)慧(huì)城市、政务云和大(dà)数据(jù)平台提(tí)供安全的资源(yuán)访问和(hé)完善(shàn)的(de)数据防护,支撑数字中国的建(jiàn)设。 为此,我(wǒ)们也(yě)提出几点建议,首先在国家层面,推进顶层规划,制(zhì)定完(wán)善(shàn)密码服(fú)务云平台相关等标(biāo)准规范、应用指南。其次,针(zhēn)对密码服务云(yún),制定相关科技专项支撑,通过专项的牵引对有(yǒu)待突破的技术问题进行进一步(bù)的研究,攻(gōng)克相关的难点。另(lìng)外,结合国(guó)家近期发布的36号文,在智慧城市(shì)、政务(wù)、互(hù)联(lián)网、物联网等不同应(yīng)用领(lǐng)域(yù),选取典型应用进行密码服(fú)务云试点示(shì)范,积极探(tàn)索和发展密码服务保障的(de)新(xīn)模式(shì),为(wéi)数字中(zhōng)国发展、网(wǎng)络空间信任服务体系建设及面(miàn)向政务、行(háng)业、企业以及公众服务等领域的密码安全保障奠(diàn)定(dìng)基础。
