01  宏观（guān）政策为密码泛在化保驾护航

密码是（shì）保障网（wǎng）络（luò）空间安全的核心（xīn）技术和基础支撑。过去，密码（mǎ）主要用（yòng）来保护重要IT系统的通信与存储安全问题，普通老百姓很少和它打交道（dào）。如今，密（mì）码已经应用到各行各业，影响（xiǎng）我们生活的（de）方方面面（miàn）。密码产品也从（cóng）传统（tǒng）的密码机（jī）、密钥管理系（xì）统等整机形态，衍（yǎn）生发展为安全芯（xīn）片、软件密码模块、IP核、密码板卡等（děng）不同形态，密码和IT技术呈（chéng）现（xiàn）融合发展的趋势，密码（mǎ）的服务化更是（shì）打破了密码产品的形态限制。密码（mǎ）应用已经呈现出多元化、融合（hé）化、泛在化等（děng）新特点。

近年来，我国不断健（jiàn）全密码相关的政策法规（guī），先后制定（dìng）和实施了网络安全法（fǎ）、密（mì）码法（fǎ）、36号（hào）文、GM/T0054、等保 2.0标准（zhǔn）等系列法规政（zhèng）策标准（zhǔn），从顶层构（gòu）建了密码与网（wǎng）信事业的（de）宏伟蓝图。在（zài）宏观政策的指引下（xià），我国密码事（shì）业经历了从无（wú）到有、从初创到规范完善的（de）阶段（duàn），取得了跨越式（shì）的发展，这也为（wéi）全面推进密码（mǎ）工作（zuò）和（hé）密码泛在化应用奠定了（le）坚实（shí）有力的基础。

02  安全（quán）风险呈现（xiàn）泛在化趋势

物联网、云计（jì）算（suàn）、5G、大数（shù）据、人工智能等创新技术正（zhèng）在加速驱动（dòng）物理世界与信息世界（jiè）的融（róng）合。我（wǒ）们（men）在享受高新技术带来的信息（xī）红利的同时，也无形中打（dǎ）破了固有的网络边界，加剧了信息泛在（zài）化的发展趋势。物理（lǐ）世界与信息（xī）空间的泛（fàn）在融（róng）合，也将（jiāng）物理（lǐ）空间（jiān）的违法破坏（huài）行为引入虚拟世（shì）界，网络（luò）空间变得更加（jiā）复杂。

信息技术的融合，既加速了信息化进（jìn）程，也增大了网络攻（gōng）击（jī）的可能性，网络安全问题（tí）异常严峻。近年来网络安全事件层出不穷、形式各异（yì），涉及到物联网安（ān）全、数据安全、虚拟化安全等（děng）方方（fāng）面面（miàn）。比如（rú），在物（wù）联网领域，视频监（jiān）控弱（ruò）密码、偷（tōu）拍、DDoS攻击等事（shì）件屡见不鲜；大量智能门锁存在通信监（jiān）听、门（mén）卡（kǎ）复（fù）制、APP攻击等安全风险；传感（gǎn）器网络等无人值守（shǒu）设（shè）备分布广泛（fàn），被攻破而（ér）不被（bèi）发（fā）现的事件也时（shí）常被（bèi）事后报（bào）道。随着信息技术的发展，网络安全（quán）风险加（jiā）速扩散（sàn），网络安全问题已然（rán）泛化。

03  密码技（jì）术的（de）泛在化应用思（sī）路

面对快速发展的信息技术及泛（fàn）在多（duō）变的网络（luò）安全需求，需要对网络空间进行体系性的安全防护。密（mì）码是网（wǎng）络信息安全的核心技术（shù），是整个网络信任（rèn）体系（xì）的基础支撑（chēng），依托密码技术在（zài）认证、加密等方（fāng）面（miàn）的重要作用，构建以密码为基石的网（wǎng）络（luò）安（ān）全体系，能够有力（lì）解决网络与（yǔ）信息安（ān）全问题。我们在开（kāi）展具体密码工作时，需（xū）注意（yì）密码技术与业务应用（yòng）的（de）结合。在不同的业务场景（jǐng）中，应当采用不同的密码技术路线或者组合。总的来（lái）说，包括经典密（mì）码技术、创新密（mì）码（mǎ）技（jì）术、前沿密码技术三个方面。

经典密码技（jì）术指的是常见（jiàn）的对称密码（mǎ）、PKI/CA公钥密码及标识（shí）密码（mǎ）技术（shù）。这类（lèi）密（mì）码（mǎ）技（jì）术属于（yú）基（jī）石性技术，已经（jīng）被广泛（fàn）应（yīng）用（yòng），能够解（jiě）决传统（tǒng）信息系统安全（quán）认证与数据加密等问题。

我们重点想提一些创新密（mì）码应用（yòng）的（de）工（gōng）作思路。我们在（zài）实践过程中，发现（xiàn）诸如（rú）工业控（kòng）制（zhì）、移动办公、智能家居等新兴场景都存（cún）在密码应（yīng）用需求，然（rán）而受限于具体场景和环（huán）境，传统的密码技（jì）术往（wǎng）往（wǎng）无法直接应（yīng）用（yòng）。此时，我（wǒ）们就需要转（zhuǎn）变思路，对密码应用的方（fāng）法进行创（chuàng）新和调整。第（dì）一种思路是（shì）“融”，即密码融合设计，在（zài）设计之初将密码（mǎ）流程（chéng）融入到业务应用及通信协议中，避免后期堆叠（dié）密码设备（bèi）带来的性（xìng）能开销、系统（tǒng）损害等影（yǐng）响。第二种思路（lù）是“变”，我们（men）对传统（tǒng）密码技（jì）术进行（háng）场景化的（de）适配改造，以应对差异化的密码需（xū）求，如轻量化密码协议、短证书等。第三（sān）种（zhǒng）思路是“合”，我们可以对加密、认证、授权（quán）、安全管理（lǐ）等功能进行整合，以（yǐ）能力打包的形式对接应用（yòng）系（xì）统，提供“一揽子”的密码解决方（fāng）案（àn），减轻应用（yòng）的密（mì）码集成（chéng）难度，快速实现密码赋能。

密码（mǎ）技术在不断发展，学术界（jiè）对零信任（rèn）、区块链、安全多方计算、同态加密、格密码、抗（kàng）量子密码（mǎ）等前（qián）沿密码技术进行了广泛（fàn）的研究，部分成（chéng）果已经应用（yòng）到信息系统中，相（xiàng）信未来前（qián）沿密码技术会得到更加（jiā）广泛（fàn）和全面的应（yīng）用。

04  终端侧的（de）密码产品部署

终端种（zhǒng）类众（zhòng）多、形态（tài）各异。不同种类的（de）终端在价格（gé）成本、网络数据能力、软硬件（jiàn）架构等方面存在着（zhe）巨大区别，终端侧的密码产（chǎn）品部署需（xū）求也（yě）存在着差异性，需要因地制宜。

终端侧的密码产品部（bù）署主要涵盖三种形式（shì）：安装软件密码模（mó）块（kuài）、内嵌硬件密码（mǎ）模（mó）块（kuài）以（yǐ）及外接安全网关。对于PC、手机、高性能嵌（qiàn）入式设备，我们（men）可（kě）以部署软件密码模块，借助（zhù）CPU的强大（dà）运（yùn）算能力，实现高性能的密码（mǎ）运算，无（wú）需（xū）额外增加硬（yìng）件成本。面向智能门锁（suǒ）、车载（zǎi）控制器等安全性（xìng）较高的终（zhōng）端，我们可以采（cǎi）用设备内（nèi）嵌密码硬件的方式，包括板载安全芯（xīn）片、内接密码模块、使用基于密码（mǎ）的安全通信模（mó）组等（děng），提（tí）供硬件级安（ān）全防护（hù）能力，保障设（shè）备（bèi）安（ān）全（quán）。针对微型传感器、大型进口设备、老旧IT设备（bèi）等难以施行密码改造（zào）的场景，我们可以接入安全（quán）网关（guān），通过门卫式安全防护，保证设备的接入安全与通信安（ān）全（quán）问题。

05  密码的服务化之道（dào）

近年来，越来越（yuè）多的应（yīng）用（yòng）迁（qiān）移上（shàng）云。我们如果要分别对（duì）不同的信息系统进行（háng）密（mì）码应用（yòng），工作量巨大（dà），密码资源浪（làng）费严重（chóng）。此时，我们可以借助云化、虚拟化的思想将（jiāng）密码能（néng）力服务化（huà），按（àn）需提供密码资源，不（bú）同应用系统只需通过服务调用的方式即可安全地获取密码（mǎ）能力，从（cóng）而快速实（shí）现密码应用（yòng）改（gǎi）造。

一个可行的实践路线是构建密码服务（wù）平台（tái）。我所在（zài）的卫（wèi）士通公（gōng）司作为综合实力（lì）较强的密码企业（yè），正在从传统（tǒng）密码产品提供商向平台型安全服务提供商转（zhuǎn）型，密码（mǎ）服（fú）务平台便是一个重要的抓（zhuā）手。密码（mǎ）服（fú）务平（píng）台不直接提供密码产品（pǐn），面向应（yīng）用（yòng）提供场景（jǐng）化的密码服务，提升合规的密码应用效率（lǜ），降（jiàng）低应用与密码对接（jiē）的（de）难度。我们看（kàn）到，越来（lái）越多的政务云正（zhèng）在采用（yòng）密码服务平台，实现云上应用的快速对（duì）接。可以预见，密码服务（wù）是促进密码泛（fàn）在化落地的重要且有（yǒu）效的技术路径。

06  基础软（ruǎn）硬件的（de）内生安全机制

长久以（yǐ）来，计算机系统（tǒng）基础软硬件的（de）安（ān）全及密码措施都（dōu）是各自为政，较为独立。如（rú）果要做一个（gè）安全浏览器（qì），我们可能会在（zài）浏览器（qì）内部集成OpenSSL算法库；如果要做一个加密数据库，我们可能为数据库配用密码硬件（jiàn）；如果（guǒ）要做安（ān）全启动，我们需要为计算机配置TPCM、TCM等可信计算芯片。计算（suàn）机系统各个（gè）软硬件之间（jiān）的密码能力缺乏（fá）协同，烟（yān）囱式存在。另外，各（gè）类软（ruǎn）硬件厂商自行建设密码，也（yě）存在（zài）着合规性的问题。

我们在（zài）构建自主信息系统（tǒng）时，可以从系统体系的角度出发（fā），使用一（yī）套密（mì）码方案，贯通计（jì）算（suàn）机基础软硬件（jiàn）的各个环节，实现（xiàn）密（mì）码运算（suàn）和（hé）可（kě）信计（jì）算。基础此种（zhǒng）思想，如卫士通（tōng）与龙芯联（lián）合推出（chū）的内嵌安全SE的国产处理器，打通了CPU、Bioses、操作系统、中（zhōng）间（jiān）件（jiàn）、数据（jù）库、浏览器等各环节，构建（jiàn）了内（nèi）生安全的（de）基础软硬（yìng）件（jiàn）密码应用生（shēng）态（tài）。

07  典型案例

分享两个（gè）场景化案例。一是视频融合（hé）通（tōng）信（xìn），包含视频监控、直播、会商等（děng）多种业务模式。我们可（kě）以采用端（duān）到端的安全（quán）方式对（duì）视频终端、服务（wù）端进行密码（mǎ）改（gǎi）造，对大带宽、高（gāo）清、多路、实时音视频进行加解密。GB35114便是此类方式的标准化落地，未来也将会（huì）有更（gèng）多（duō）音视频密码应用的标（biāo）准指导相关工作。二（èr）是物联网密码应用，我们（men）可以建立覆盖物联网“端-边-网-云”的密码（mǎ）应（yīng）用体系。端，指的是物联网终端侧部（bù）署安全（quán）芯片/软件密码模块等密（mì）码产（chǎn）品，实现终端安全防护；边，指的是（shì）提供安全边（biān）缘网关，安全接入（rù）物（wù）联网终端；网（wǎng），指的是基于密码（mǎ）技术保障物（wù）联网通信（xìn）安全；云，指的是物联网（wǎng）平台具备密码与安全能（néng）力。

08  密码应用推进思考

密码事业的政策（cè）性较强，我们密码（mǎ）工作（zuò）者要时刻（kè）关注国家政策法规，尤（yóu）其是（shì）中央、地方（fāng）、大（dà）型机关单（dān）位的商（shāng）密规划，这将带来大量的密码泛（fàn）在化建设项目。另外，随着等保2.0、密评（píng）工作的广泛、有序开展，更（gèng）多的细分领（lǐng）域将会（huì）开展（zhǎn）密码工作，密码（mǎ）市场规模迅速扩大。我们在（zài）专注既有业（yè）务（wù）领域的同（tóng）时，应（yīng）不断开拓新的（de）行（háng）业用户和业（yè）务领域，拓展密码应用的范围。

密码应用和改造需要达（dá）到什（shí）么（me）程度？是否（fǒu）密码措施越多越好（hǎo）？如何让更多的（de）行业用户、企业单位放下对密码或安全（quán）的（de）固有成见，愿意用密码？这些（xiē）问题（tí）都值得我（wǒ）们思考。我（wǒ）们在做密码应（yīng）用和（hé）推广的（de）时候，一定要结合（hé）行业政策与应（yīng）用（yòng）实际，按（àn）需地（dì）开展密码应用，密码应用的强度不能（néng）单（dān）一量（liàng）化，做到合规的（de）同时，保证相当的（de）安全性。

09  从业者（zhě）建（jiàn）议

在（zài）密（mì）码泛（fàn）在化的背景环（huán）境（jìng）下，我们从业者需要哪些方面的（de）能力素（sù）养？我认为，至少需要（yào）三方（fāng）面的（de）能力。第一，完备的密码知识。密码技术不断（duàn）发展，我们（men）需要广（guǎng）泛（fàn）涉猎密（mì）码知识，同时（shí）也应（yīng）当潜心（xīn）钻（zuàn）研一些重点的（de）密（mì）码知（zhī）识，尤其是我们（men）工作中可能用到的密码（mǎ）技术。第二，全（quán）栈的密码（mǎ）设计（jì）能力。包括密码算法、产（chǎn）品（pǐn）化（huà）设计、接（jiē）口对接、协议优（yōu）化等（děng）等，只有具备了全栈的设（shè）计能力（lì），才能应对复杂多变（biàn）的（de）情况，准（zhǔn）确地对密（mì）码方案进行优化和（hé）改造（zào）。第三，快速理解业务应（yīng）用的能力。密码和（hé）业务不能是“两张皮”，密码的设计必（bì）须基于业务实际，密（mì）码工作者应（yīng）当理解业务流程并梳理出安全（quán）痛点及密码（mǎ）应用需求，才能做好密码建设（shè）的实际工作。

1月15日，人（rén）社部发文拟新（xīn）增“密码技术应用（yòng）员”职业，并将其定义为运用密码技术，从事信（xìn）息系统（tǒng）安全密码保障（zhàng）的架构设计、系（xì）统（tǒng）集成、检（jiǎn）测评估（gū）、运维管理、密码咨询等相（xiàng）关密码（mǎ）服务（wù）的（de）人员。“密码技术应用员”作为密码泛在化（huà）的一（yī）个（gè）专门职业被正（zhèng）式提出，这（zhè）无（wú）疑（yí）会促进密（mì）码泛（fàn）在化的应用与推广工作。同时（shí），作为（wéi）密码从（cóng）业（yè）者（zhě）的我（wǒ）们，也应当参照“密码技术应用员”的要求（qiú）积极提升（shēng）个人能力。

10  密码泛在化的未来

传统信息行业（yè）、新技术业务（wù）领（lǐng）域快速发展并交（jiāo）相辉映（yìng），信息世（shì）界（jiè）正朝着相（xiàng）互（hù）渗透、多元发展的方向演（yǎn）进。我们有理由相信，未来，密码就是（shì）信息世界（jiè）不可或缺的组件，密码也（yě）将作为（wéi）泛（fàn）化信息世界的安全基石（shí），有（yǒu）力保障信息世界（jiè）的安（ān）全（quán）持（chí）续（xù）发展（zhǎn）。密（mì）码人（rén），大有（yǒu）可为。