董贵山,男,工(gōng)学博士,研究员,中国(guó)电子(zǐ)科技集团公(gōng)司网络(luò)安全领域首席专家,国务院特殊津(jīn)贴专家(2016),中国网安(ān)副总工(gōng)程(chéng)师、卫士通公司总工(gōng)程师,国家密码标(biāo)准化委员会(huì)委员,政府治理国家(jiā)工程实验室副主(zhǔ)任和专委(wěi)会委(wěi)员(yuán),科技部网(wǎng)络安全重(chóng)点研发(fā)计划(huá)首席专家,长期承担过党政信息安全和密码应用领域(yù)的装备与系统研制、技术标准(zhǔn)制(zhì)定(dìng)、系统建设方案设计等工作,曾(céng)获得中办(bàn)颁发(fā)的党政信息安(ān)全(quán)先(xiān)进工作(zuò)者(zhě)称号,累计获得(dé)省部(bù)级科(kē)技进(jìn)步一等奖(jiǎng)2次,二等奖2次,三(sān)等奖4次。
董贵山:密码(mǎ)服务云构建(jiàn)数字中国网络安全服务新生态 卫士(shì)通公司20多(duō)年来(lái)以密(mì)码与安全保障为业务(wù)核心,一直在党(dǎng)政(zhèng)和(hé)重要行业领域(yù)支撑着(zhe)国家的信息安全建设(shè)和运行,经(jīng)历(lì)了国家信息化的密码与安全建设的全过程。结(jié)合云(yún)计算、大数(shù)据等新技术(shù)的演进,卫士通对整个过程中以密码与安全(quán)保障为核心(xīn)的(de)业务变迁和模式发展有一(yī)些思(sī)考。在(zài)2019年(nián)中国it市场年会(huì)上,中国电科集团(tuán)首席专(zhuān)家、中(zhōng)国网安副总(zǒng)工(gōng)程师(shī)、卫士通(tōng)总工(gōng)程师董贵山作了题为“基于密(mì)码服务云的安(ān)全(quán)应用新模式”的主题演讲,阐述了卫士通以密码服务云的方(fāng)式提供安全服务的(de)新(xīn)模式。 一、数字社会驱(qū)动安(ān)全发(fā)展 国家战略引领着数(shù)字社会的(de)有序发展,国家多次强调了网络强国、数字中国和(hé)智慧社会建设的重要(yào)性和(hé)意义,国(guó)家信息化的(de)发展以逐步步入3.0时代,即以数据的深(shēn)度挖掘(jué)与(yǔ)融合应用为特(tè)征的智慧化(huà)阶段,随着信息化(huà)建设与云计算、大数据和移(yí)动(dòng)互联网等(děng)关键技术的深度融合,网络(luò)空间对国家(jiā)和社会的发展带来了极大的(de)价(jià)值(zhí)和可观(guān)的收益(yì)。总结来说(shuō),信息化建(jiàn)设呈(chéng)现了三大趋势,一是驱动了网(wǎng)络、资源、终(zhōng)端的(de)多维度融(róng)合,二是数据逐(zhú)步(bù)成为业务发展的核心和驱(qū)动力(lì),三是对密码和安全服务(wù)化的需求日渐迫(pò)切。 信(xìn)息化建设趋势的演进及与(yǔ)新兴(xìng)技术的融(róng)合利(lì)用对我们的安全技术、安全管理能(néng)力(lì)都提出了新的要求,网络空间各(gè)类安(ān)全事件在个人、企业、社会乃至国家安全(quán)等(děng)层面产生了重大的(de)影响和(hé)损失,如基(jī)于大数据分析干(gàn)涉(shè)政企选举、海(hǎi)量数据泄(xiè)露、网站攻击、网络欺诈等(děng)等,这些(xiē)大家(jiā)都已耳(ěr)熟(shú)能详。面临目前安全风险泛(fàn)在复杂多样的态(tài)势,密码作(zuò)为(wéi)应对安全风险的关键支撑技术,能够有(yǒu)效的完善网络安全生态,充分发挥它在网络安全中的(de)机密、完(wán)整、真实、不可否认的(de)作用,有力的支(zhī)撑(chēng)数据安全防护(hù)和(hé)网络安(ān)全体系可信。从网络、身(shēn)份(fèn)、数(shù)据、业务等(děng)角度,基于(yú)密码重构网络安全边(biān)界,构建网络安全的保障体系,并对安(ān)全保障模式进(jìn)行(háng)创新发(fā)展。 二、密码(mǎ)服务化必然趋势下的技术挑战 信息化建设的发(fā)展逐步深(shēn)入(rù),如今各(gè)种政务(wù)云(yún)、数据中(zhōng)心、大数(shù)据平台建设此(cǐ)起彼伏(fú),催生(shēng)了公有云、私有云、混合云等不同的业务应用方式(shì),纷繁(fán)复杂的业(yè)务(wù)部署方式导致了原有的安全保障体系和密码应用(yòng)模(mó)式无法完全(quán)的(de)适应安全风险和需求。尤其是在公有云模式下,对(duì)业(yè)务应用的安全防(fáng)护需要依赖云平台运营商的设备能力、技术能力和运维能(néng)力,同时其(qí)数据安(ān)全(quán)和密钥安全也存在极大的安全隐患。结合云服务(wù)的发展路线(xiàn),将密码(mǎ)及安全能力(lì)以服务的方式输出(chū)可以有效的适应云场景下的网络和信息安全保(bǎo)障需求。以专业的安全厂商提供的(de)专(zhuān)业服务模(mó)式(shì)替代传统的产品交付的“交(jiāo)钥匙(shí)”模(mó)式,一方面可(kě)以降低(dī)用户保(bǎo)障安(ān)全和密码应用(yòng)的采购、建设和运维成本;另一方面可以实时获得持续迭代更新(xīn)的(de)安(ān)全服务保障,以(yǐ)应(yīng)对复杂多样且(qiě)不断(duàn)演化的网(wǎng)络风险和攻击模式(shì),并以此为(wéi)基础(chǔ)带来更加(jiā)精准合(hé)规(guī)的安(ān)全保障能力,为(wéi)数(shù)字中国所面临(lín)的社会(huì)治理、惠民服(fú)务和产(chǎn)业数(shù)字经济发展提出基(jī)础支撑。应该说密码服务化、专(zhuān)业化、精准化、泛在化、合规性是数字中(zhōng)国信(xìn)息化建设(shè)的一个(gè)必然(rán)趋势。 在数字社会复杂的网络空间中(zhōng),业务交互复杂(zá)多样,并与云计(jì)算、大数据、移(yí)动(dòng)互(hù)联网等新兴技术深度融合(hé),带(dài)来了(le)一系列技(jì)术挑战,如泛(fàn)在接入的海(hǎi)量实(shí)体在数字空(kōng)间的认证互信(xìn)、多云(yún)接入(rù)场景下(xià)的一体化安全支(zhī)撑(chēng)、跨平(píng)台密钥管理能力按需应(yīng)用、个人(rén)隐私及商业秘密信息的保(bǎo)护、网络空间信任的构(gòu)建等,诸如(rú)此类(lèi)都需要我们基于传统的技(jì)术进(jìn)一步思(sī)考和突破,也是我们(men)密码服务研究的初(chū)衷。希望通过密码服务的研究和推进,构建以密码(mǎ)服务平(píng)台为总枢纽的全国一体化密码服务(wù)能(néng)力体系,支(zhī)撑国家商用密码应(yīng)用的有序推(tuī)进(jìn),为推动政府治理现代化、强化国家监管能力提供强劲助力。
三、卫士通基于云模式(shì)实施密码服务新模式 基于此,卫士通提出了基于安全可信的云基础设施构(gòu)建密(mì)码服务平台的可行思路。密码服务平台提供(gòng)便捷(jié)易用的(de)密码调用服务接口,便于业务(wù)应用开(kāi)发(fā)商(shāng)快速使用密码(mǎ),并有效联通多个云服(fú)务平台,按需(xū)提供密钥管理和服务入口,实现平台间联动,在用户保有密钥的前提下避(bì)免用户使用密钥(yào)的复杂操作。以密码服务平台为基础打(dǎ)造完善的密码应用服务(wù)体(tǐ)系。基于密码(mǎ)服务(wù)云(yún)的密码(mǎ)运算资源提供扩展的密码应用服(fú)务,直接为云平台及业务应用提(tí)供密码应用支撑,并以此为(wéi)枢纽拓展以(yǐ)密码服务(wù)为核心的(de)互(hù)联网信任服(fú)务生(shēng)态,支撑(chēng)网络空间安全。 卫士通密(mì)码服务云是(shì)基(jī)于商用密码和自主可(kě)控技术、服务于(yú)政务、行业等国家(jiā)重(chóng)要(yào)领(lǐng)域及广泛互联(lián)网(wǎng)应用(yòng)的(de)服务(wù)平(píng)台,密码服务云依(yī)托敏捷弹性的云计算密码资源和安全基(jī)础设施,为用(yòng)户终端、物联网终端等网络实体(tǐ)以及业务应用提供了层(céng)次化(huà)的密码服务体系,包括基(jī)于商(shāng)用密码算(suàn)法的基础密(mì)码服务、面向业务需求的应用密码(mǎ)服务(wù)和数据安全密码服务,并提供了统(tǒng)一身份认证、电子印章(zhāng)服务、移动安全服务等基于(yú)密码的运营服务平台。 卫(wèi)士通对密码服(fú)务云的服务模式进行了探索和应用(yòng),在各个层次形(xíng)成了具体的应用(yòng)案例,如以统一认证为基础的(de)互联网信任服务平台、以安全接入服务商(shāng)提供了吉林(lín)某地区(qū)的安全(quán)移动办公接入服务、以第三方密钥管理服务提供(gòng)商提供了企业微信加密服务以及以商用密(mì)码为核心的即时通信及安(ān)全邮件应用等(děng)等。
四、总结 基于卫士通密(mì)码服务(wù)云的探索和实践,我们现在认识到(dào),数字转型期需要大(dà)力发展密码与安全(quán)服务,打造密码服务(wù)云(yún),通过云服务(wù)的模式面向互联网、移动互联(lián)网、大数(shù)据(jù)、物联网乃(nǎi)至(zhì)更多公共服务领(lǐng)域提供(gòng)更加丰富(fù)多样的服务,为智慧(huì)城市、政务云(yún)和大数据(jù)平台提供(gòng)安全的资源访问和(hé)完善的数据防(fáng)护,支撑数字中(zhōng)国的建设。 为此,我们也提出几点建议,首先在国(guó)家层面,推进顶层规(guī)划,制定完善密码服务(wù)云平台相关(guān)等标准规范(fàn)、应用指南。其次,针对密码服务云(yún),制定(dìng)相关科技专项(xiàng)支撑,通过专项的牵引对有待突破的技术(shù)问(wèn)题进行进一步的研究(jiū),攻克相关的难(nán)点(diǎn)。另(lìng)外(wài),结合国家近期发布的36号文,在智慧城市、政务、互联网、物联网等不同应用领域,选取典型应(yīng)用进(jìn)行密码(mǎ)服务云试点示范,积极探索和(hé)发(fā)展密(mì)码服务保障的新模式,为数字(zì)中(zhōng)国(guó)发展、网络空(kōng)间信任(rèn)服务体(tǐ)系建设及面向政务、行(háng)业、企(qǐ)业以及公(gōng)众(zhòng)服务等领域的(de)密码安全保障奠(diàn)定基础(chǔ)。
