在新基建（jiàn）的大背景下，随着网（wǎng）络安全与密码技术的不断演进（jìn），融合密码技术的（de）网络安全体系框架逐渐成为网络安全建设的新趋势。

在（zài） 2020 国家网络安（ān）全周举（jǔ）行之（zhī）际，记者有幸在现场（chǎng）采访到（dào）了中国电科集团网络安全领域首席（xí）专（zhuān）家、中（zhōng）国（guó）网安副总工程师、卫士通总工程师董贵山。就（jiù）密码（mǎ）在新基建中的应用、服务等（děng）问题，董（dǒng）贵山（shān）谈了他的看法（fǎ）。

董贵山：新型基（jī）础设施（shī）主要包括三个方面内容：一是信息（xī）基础设（shè）施。主要是（shì）指基于（yú）新一代信息技术演化生成（chéng）的基（jī）础设施，比（bǐ）如，以5G、物联网、工业（yè）互联网、卫星互联网为代表的通信网（wǎng）络基（jī）础（chǔ）设施，以人工智（zhì）能、云计算、区块链为代（dài）表的新技（jì）术基（jī）础设施，以（yǐ）数据中（zhōng）心、智能计算中心为代表的算力基础设施等（děng）；二（èr）是融合基础设（shè）施。主（zhǔ）要是（shì）指深度应用互联网（wǎng）、大（dà）数据、人（rén）工智（zhì）能等技术，支撑传统基础设施（shī）转型升级，进而（ér）形成的融合基础设施，比如，智能交通基（jī）础设（shè）施、智慧能源基础设（shè）施等；三是创新（xīn）基础设施。主要（yào）是指支（zhī）撑科学（xué）研究（jiū）、技术开发、产品研（yán）制（zhì）的具有公益属性的基础设施（shī），比如，重大（dà）科技（jì）基础设施、科教基础（chǔ）设施、产业技术（shù）创新基础设施等。

从以（yǐ）上三（sān）个方面的分（fèn）类来（lái）看，新型（xíng）基础设施是未来引领数字经济发展的关（guān）键载体和支柱，覆盖了（le）网络（luò）通信、信息计算、新兴技（jì）术领域、行业性融（róng）合平台（tái）以及（jí）科研（yán）支撑平（píng）台，将成为（wéi）数字中国在（zài）网络空间“数（shù）字（zì）孪生”的沃土和通路。网络安全作为（wéi）新基建、数字经济发展的基（jī）石， 也受（shòu）到了广泛的关注（zhù）与重视（shì）。

新型（xíng）基（jī）础设施具（jù）备基础平台支撑、海量（liàng）数（shù）据汇聚、广泛实体接入、泛在（zài）服务（wù）交付四大（dà）特性。“基础（chǔ）平台支撑”体现了新型基础设施的总体定位，不（bú）管是（shì）信息基础设施、融（róng）合基础设施（shī）还是创新（xīn）基础设施，都具有显著的（de）基础（chǔ）性和平台性（xìng），是网络通（tōng）信、信（xìn）息（xī）服（fú）务和科研创新的基础支（zhī）撑；“海量数据汇聚”“广泛实（shí）体接入”体（tǐ）现了（le）新型基（jī）础（chǔ）设施（shī）的平台价值（zhí），信息基础设施和融（róng）合基础设（shè）施汇（huì）聚了海量的通信数据、行业数据和科研数据（jù），提（tí）供网络互联平（píng）台，为（wéi）广泛（fàn）的网络实（shí）体提供网络接入和服务功能；“泛在服务交付”体现了新型基础设施（shī）的交（jiāo）付模（mó）式，不（bú）管是传统基础设（shè）施还是信息基础设施（shī），均（jun1）是采用服务化（huà）的价值交付模式，结合互联网泛在接入、网（wǎng）络（luò）互联的特点（diǎn），新型基础（chǔ）设施能够为广（guǎng）泛的网络实体提（tí）供泛在化的服务覆盖，最大化平台（tái）价（jià）值。这四大（dà）特性无一不代表着巨（jù）大的数据价值和平台价（jià）值，对网络攻击者具（jù）有极高的（de）诱惑力，存在极大的安全风险。

董贵山（shān）：“网络安全与信（xìn）息化是一（yī）体之两翼，驱（qū）动之双轮”。安全是发（fā）展的保障，发展是安全的目的，网络安全和信息化建设互相依存、协调（diào）共生。新型基础设施建设是“云大（dà）物移智”的有机聚合和结构化升级，网络安全风险也覆盖了信（xìn）息（xī）服（fú）务（wù）平台、IoT设备、PC端、移动端，这些（xiē）承载（zǎi）着（zhe）新基建业务、数据和服务（wù）的载（zǎi）体正（zhèng）在（zài）时（shí）刻接受海量网络攻击的考验，如何全面保障新型基（jī）础设施安全也受到了（le）业界（jiè）的广泛（fàn）关注。新型基础设施作为国家级的网络信（xìn）息服务平台、行业（yè）融合支撑平（píng）台和科研平台，应参考关键信（xìn）息基础设施的（de）相关（guān）要求进行安全防护设计和建设工作，同时针对（duì）新基建各领域特（tè）定场景进行定制化防护。传（chuán）统的网络（luò）安全防（fáng）护体系多（duō）具有通用性（xìng）和普适性，无法细（xì）粒度的（de）涵（hán）盖到（dào）特定场景和业务数（shù）据流转方面，而密码（mǎ）技术因（yīn）其技术特（tè）点和防护理（lǐ）念能够（gòu）深入到业（yè）务场景之中，与（yǔ）业务应用进行深入（rù）融合，像（xiàng）为士兵穿上“盔甲”一样（yàng），为防护对象提供“贴身防护”能力（lì）。

密码是保（bǎo）障网络和信息（xī）安全最（zuì）有效、最可靠、最经（jīng）济的（de）关（guān）键核心技术，是网（wǎng）络安全的最后一道防线，能够为新基建（jiàn）的“基础平台支撑、海（hǎi）量数据汇聚、广泛实体接入、泛在（zài）服务交付” 四（sì）大特性提供针对性的（de）防护。

（1）密码为“基础（chǔ）平台（tái）支（zhī）撑（chēng）”构（gòu）筑完善（shàn）的安全防（fáng）护（hù）体（tǐ）系。

新型基础设施（shī）为国家信息化建设提供（gòng）新一代的基础支撑平（píng）台，其平台价（jià）值极高，因此需要完善（shàn）的安全防（fáng）护能力。密码技术在（zài）网（wǎng）络（luò）安全防护（hù）体系中位（wèi）居核心和基础地位（wèi），依靠密码技（jì）术和网络安全技术（shù）能（néng）够打造（zào）集感知安全、传输安全、存（cún）储安全、计算安（ān）全、处理安全（quán）、应用安全于一体的安（ān）全防护（hù）能力，构（gòu）建以密码技术为核心（xīn）、多种技术相互融合（hé）的新网络安全体系， 构筑新（xīn）基建安全防护体系。

（2）密码为“海量数据汇（huì）聚”建立坚实的数据保（bǎo）护能（néng）力。

新型基础设施是基于（yú）多种功能、多种要素、多种（zhǒng）技术的体系化集成（chéng），支撑着跨领域、跨平台和跨系统的数据交换和信息共享，提供海量数（shù）据分析，实现（xiàn）数据的互操作和流程协（xié）同。密（mì）码技术提供的数据加密存储、可信数据汇聚、安全数据共享、数据流转确权能够实现数据的全生命周期安全，并对敏（mǐn）感数据、个人（rén）隐私数据提（tí）供针（zhēn）对（duì）性的数据脱敏（mǐn）、数（shù）据加密和数据隐藏能力（lì），将（jiāng）防护能力（lì）深入到业务流转之中（zhōng）。

（3）密码为（wéi）“广泛实体接入（rù）”提（tí）供安（ān）全（quán）的鉴别防护机制。

新型基础设施的部分重点领域如铁路、公路、电网、通（tōng）信（xìn）、管（guǎn）网等，为（wéi）规模化的网络实体接入建设网络互联平台（tái），实现实体的广（guǎng）泛接（jiē）入和（hé）互（hù）联通信。网络互（hù）联平台（tái）的安（ān）全稳定运行成为了新型基础设施（shī）建设实现价值的前提。基于密码（mǎ）技术为（wéi）网络实（shí）体建立安全的数据执（zhí）行和存储环境，基于密码（mǎ）技（jì）术建立平台侧与网络实体之间（jiān）的可信鉴别和（hé）安（ān）全传输机（jī）制，两者结合（hé）构建从终端（duān）侧到平台侧（cè）的（de）安全接入（rù）环境，有效的保（bǎo）护平台外延的（de）网络实体安（ān）全（quán），保（bǎo）障新型基础设（shè）施（shī）的（de）网络（luò）实体安全和边界接入安全。

（4）密码为“泛在服务交付”构（gòu）建（jiàn）泛在的密码服务能力。

从新型基础设施的（de）建设领域如智慧城（chéng）市、物联网、车联（lián）网、充电（diàn）桩可以看出，核心价（jià）值是为数字经济广大领域提供泛在化的（de）服务，将基（jī）础能力提供给更多的企业、组织和个（gè）人去使用，拓展服务范围，让更（gèng）多人享受数（shù）字（zì）经济发展的红利。泛（fàn）在的（de）服务能力一方面需要服务于各行（háng）业领（lǐng）域，密码技术需要依（yī）托各行业领域特（tè）性提供相适应的防护能力，另（lìng）一方面需要（yào）延伸到海量的网（wǎng）络（luò）实体（tǐ），这些网（wǎng）络（luò）实体（tǐ）是新（xīn）型基（jī）础设施建设的价值延伸和（hé）受益主体，同（tóng）时（shí）也（yě）会成为网络攻击的薄弱（ruò）点和攻（gōng）击点，成（chéng）为（wéi）攻击平台的跳板。为此，需要建立泛在化（huà）的密码保障（zhàng）机制（zhì）， 为广大行业领域提供泛在的密码服务接（jiē）入能力，为（wéi）移动终端、PC端（duān）、IoT终端提供体系化（huà）的（de）密码防护（hù）能力（lì），有力的支持新基建（jiàn）泛在服务（wù）的安全稳定和可（kě）管可控。

新型基础设施建（jiàn）设一方面兼具（jù）关键信息基础设施（shī）的价值定位，另（lìng）一方（fāng）面融（róng）合新（xīn）兴技术（shù）、新兴领域的（de）业务特（tè）点，具有较高的复杂性和先进性（xìng）。因（yīn）此需要基于密码（mǎ）技（jì）术为新型基（jī）础设施（shī）设（shè）计建设完善的网络安全防护体系（xì）。

董（dǒng）贵（guì）山：当前，密（mì）码的（de）价值得到了广泛的重视，2020年1月1日，《中华（huá）人民共和国密码法》正（zhèng）式实施，2020年成为（wéi）了“密码法（fǎ）元年（nián）”，密码法对密码进（jìn）行明确的定义，密码是（shì）指采用特定变换的方法对信息进（jìn）行加密保护、安全认（rèn）证的技术（shù）、产品和服务。其中，商用密码用于保护不属于国家秘密的信息，公民、法（fǎ）人（rén）和其（qí）他组织可以依（yī）法使用商用密码保护网（wǎng）络与信息安全。商用（yòng）密（mì）码具备机（jī）密性、完整性、真实（shí）性和不可否认性四大防护特性，能够应对（duì）网络安全（quán）的数据泄露、数据篡改、身份仿冒和（hé）行为否认（rèn）等风险。

商用密码是（shì）我国自主完善的技术体系，经过二十余年的发展和演进，提出了包含SM1、SM2、SM3、SM4、SM7、SM9和ZUC算法的一套完整自（zì）洽的商用密（mì）码算法体系，建（jiàn）立了覆盖密（mì）码（mǎ）算法、密码协议、密码功能接口、密（mì）码产（chǎn）品（pǐn）规格、密码应（yīng）用要求（qiú）和测评规（guī）范（fàn）的一套完善的标准体系，形成了（le）以（yǐ）密（mì）码（mǎ）芯片、密码板（bǎn）卡、密码整机和密码系统等传统产品为（wéi）主，多种产品形态和应用模式并现的产品体系。

商用（yòng）密码（mǎ）的（de）建设受到了政策、法规（guī）、标（biāo）准、规范的（de）全面推动（dòng）。以（yǐ）法规奠定密（mì）码法制基础，国家相继出台（tái）了网络安全法（fǎ）、密码法，加速（sù）数据安全法（fǎ）、个（gè）人信息保护法立法（fǎ）进（jìn）程，旨在规范网络安全，以（yǐ）法理（lǐ）奠定密码的核心定位（wèi）；以（yǐ）政策推动密码（mǎ）按需（xū）建设，国家在关键信息基（jī）础设施、政务信息化建设、信创产业等方（fāng）面均以政策（cè）文件的方式明确（què）了密码是网络（luò）安（ān）全（quán）和信（xìn）息化建设的重要组成部分；以标（biāo）准构（gòu）建密码使用（yòng）基线（xiàn），网（wǎng）络安全（quán）等级保护标准体系的升级明确了密码在等保定级和合（hé）规防（fáng）护方面的基本要求，密码行业标准体系（xì）的快（kuài）速增补也在全面（miàn）完善密码（mǎ）技术和产品的合（hé）规（guī）应（yīng）用；以测评保障（zhàng）密码应用合（hé）规（guī），参考（kǎo）网络（luò）安全等（děng）级保护的测评机制和测（cè）评要求，密码行（háng）业出台了（le）密码应用安全性评估制度，以测（cè）评来明确密（mì）码应用的合规性、正确性和（hé）有效性，从而（ér）保障密码应用设计的完备性和密码产品在各个环节的正确（què）有效使用（yòng）。

新型基础设施建设同样需要密码技（jì）术的保障，无论是从合法合规角度还是（shì）消除（chú）安（ān）全风险角度来看（kàn），密码技术都是新型基础设施网络安全的（de）最后一道防线。

从基础（chǔ）设施这个（gè）词汇来看，密（mì）码（mǎ）行（háng）业同样存在（zài）一个基础设施——公钥密码基础设施（Public Key Infrastructure，PKI），公钥密码（mǎ）基础设施是一（yī）个（gè）包括硬件、软件、人员、策略（luè）和规程的（de）集合（hé），用来实现基于公钥密码体制的密钥和证书的产（chǎn）生（shēng）、管理、存储、分发（fā）和撤销等功能，目前已（yǐ）广（guǎng）泛应（yīng）用于（yú）政务、金融、电力等构架关键（jiàn）信息基础设施领（lǐng）域，为其提供可信的密（mì）钥（yào）和（hé）证书管理，建立网（wǎng）络安（ān）全的（de）可信根。

新型基础设施继承了传统（tǒng）基础（chǔ）设施建设的（de）服务化特性（xìng），通过（guò）端到（dào）端的服务模（mó）式（shì）创（chuàng）造和交付价值，这一模（mó）式（shì）特性要求密（mì）码支撑（chēng）能力（lì）能够提供相匹（pǐ）配的能（néng）力，PKI更倾向于（yú）传统（tǒng）的（de）安（ān）全基础设（shè）施（shī），提供基础通用的（de）密（mì）码支撑能力，对新型（xíng）基础设施建设（shè）的密码需求的匹配性不（bú）高。

新型基础设施的基础（chǔ）平台支撑要（yào）求（qiú）密码支（zhī）撑提供灵活弹性可伸缩的服务能力，海量数（shù）据汇聚（jù）要求密码支撑（chēng）提供融合（hé）数据（jù）全生命周期的数（shù）据防护能力，广泛实（shí）体（tǐ）接入要求密码支撑提供平台化的通信保护和接入管控能力，泛（fàn）在（zài）服务交付（fù）要求（qiú）密码（mǎ）支撑提（tí）供服务（wù）化的密码交付能（néng）力（lì），让新（xīn）基（jī）建的受益者能够享受经过密码防护的安全新基建服务。这些能力都是（shì）传统的密码建设模式无法全（quán）面响（xiǎng）应的。为此我（wǒ）们提供建设以密码服（fú）务平台为核心的新型密码管理与服务基础设施，应（yīng）对新型基础设施泛在互联海量支撑的平台特（tè）性提供泛在（zài）化、平台化的密码服（fú）务能力和一窗式、多维度（dù）的（de）密码管理能力。

董贵山：基于我上述提到的目（mù）标，卫士通提出了集密码服务与密码管理为一体的密码服务平台的理（lǐ）念模型。在该模型的（de）服务侧，密码服务平台包括（kuò）层次化密码服务（wù）、通用密码中间件和API网关（guān），通过标准（zhǔn）化集成能力集成优秀的密码（mǎ）系统和（hé）密码设备；通过资源虚（xū）拟（nǐ）化和微服务（wù）化设计对外（wài）提供覆盖基础密码服务、通用（yòng）密码（mǎ）服务和安（ān）全应用服务的层次化密（mì）码服务能力；通过通用（yòng）密码（mǎ）中间件封装层次化密码服务接口为（wéi）应用提供一站（zhàn）式的密码集成能力；依（yī）托API 网关与管理侧协同实（shí）现对应用的接入认证和（hé）访问（wèn）控制。在管理侧，密码服务平（píng）台通（tōng）过密码设备与服务管理提供（gòng）统一的访问入口和管理（lǐ）界面，支（zhī）持租（zū）户、应用、设（shè）备、服务和订单（dān）的多维度管理，对使用情况进行信息（xī）统（tǒng）计（jì）和可（kě）视化展现，支撑外（wài）部的密（mì）码监管（guǎn）和安全运营；各类平（píng）台用户可以通过统一访（fǎng）问入（rù）口进行登录认证，完成各（gè）自的管理职责。

密码服务平台提出（chū）“密码可（kě）用、密码（mǎ）好用、密码能管、密（mì）码好管（guǎn）”的四大服（fú）务目标。在密码可用（yòng）方面，通过密（mì）码虚拟（nǐ）化、层次化密码服（fú）务应对（duì）目前密码资源（yuán）使（shǐ）用率低、密码技术使（shǐ）用不当、对（duì）新业务场景适应性不强的问题；在密码好用方面，通过（guò）通用密码中间件（jiàn）、标准化集成能力应对（duì）密码与应（yīng）用对接（jiē）困（kùn）难、密码服务接口不（bú）一致以及已建密码资源难以（yǐ）利旧的问题；在密码能管方面，通过（guò）API网关（guān）、密（mì）码设备（bèi）与服（fú）务（wù）管理应对业务应用情况不可控（kòng）、密码使用情（qíng）况（kuàng）不可见以及密码资源无法统一管理等问（wèn）题；在密码（mǎ）好管方面（miàn），通（tōng）过密码服务的使用计量和（hé）专业化技（jì）术团（tuán）队（duì）应（yīng）对密码整体态势无法（fǎ）获（huò）取（qǔ）、密（mì）码使用应急（jí）能力不足以及使用计量困难（nán）等问题。

针对新型基础（chǔ）设（shè）施的（de）场景要求，密码服务（wù）平台在基础密码服务（wù）方（fāng）面（miàn）能（néng）够提供海量密钥和证书服务能力、适应物联网（wǎng）、车联（lián）网的（de）多元化证书签发和管理能力以及覆盖（gài）全网的（de）密码监管和管理能（néng）力；在通用（yòng）密码服（fú）务方面能够提供联接人机（jī）物的异构统一（yī）身份认证服（fú）务能力、数据流转管控与追溯（sù）机制、物联网设备的统（tǒng）一标识管理能（néng）力、车联网平（píng）台的电子地图安全管控（kòng）服务和车端密码支撑能（néng）力等针对性的密码服务能力。

董贵山（shān）：新基建是数字中国发（fā）展的“新”阶段，密码服务是密码行业（yè）发展的（de）“新”模式，两“新”碰撞（zhuàng），迸发新机，以新的密码服（fú）务模式（shì）保障新基建的（de）“内生安全”。因此为保障密码（mǎ）在（zài）新基建（jiàn）中发挥更好的安全支撑作用，需从（cóng）多个角度推进新基建领域密码应用建设工作。

一是通过政策推动、业务驱动等推进密码在新基（jī）建领域的广泛（fàn）部署，立足密码作为网络安全的“内（nèi）置基因”定位（wèi），实现新基建（jiàn）的“内生（shēng）安（ān）全（quán）”，推动密码在新（xīn）基建（jiàn）的建设和示范，形成新基建各典型领域密码应用最佳实（shí）践（jiàn）。

二是从项目（mù）建设、场景需求中提炼业务场景和（hé）技（jì）术（shù）需求，开展密码技（jì）术突破和产品研制，从而能（néng）够实现密码技术与新基建（jiàn）各领（lǐng）域的深度融合，以密码服（fú）务支撑基础设（shè）施对外安（ān）全服务（wù）。三是落实国家网络（luò）安（ān）全等级保护（hù）相关（guān）要求和密码应用建设的（de）相关要（yào）求，在（zài）新型基础设施建（jiàn）设过程中（zhōng）要（yào）同步（bù）规划、同步建设、同（tóng）步运（yùn）行密码保（bǎo）障系统并定期进行评（píng）估。在规划过程（chéng）中，要（yào）立足新型基础设施（shī）安全（quán）要（yào）求，站在整体角度设（shè）计密码应用方案，在（zài）建设过程（chéng）中，把密码服务融入到整体架构中（zhōng），新型基础（chǔ）设施需与密码保（bǎo）障体系同步运行，并通过定期安全评估、密码应用安全性评估等手段，持续（xù）保持（chí）密（mì）码（mǎ）应用的有（yǒu）效性和（hé）安全性。