董贵山,男,工(gōng)学博士,研究员,中国电(diàn)子科技集团公司网(wǎng)络安全(quán)领域首席专家,国(guó)务(wù)院特殊津(jīn)贴专家(2016),中国网安副(fù)总(zǒng)工(gōng)程(chéng)师、卫士通(tōng)公(gōng)司总(zǒng)工程师,国家密码标准(zhǔn)化委员会委员(yuán),政府治理国家工程实验(yàn)室(shì)副(fù)主(zhǔ)任和(hé)专委会委员,科技部网络安全重点研发计划首席专家,长期承担过党政信息安(ān)全和密(mì)码(mǎ)应用领域(yù)的(de)装备与系统(tǒng)研制、技(jì)术标准制定(dìng)、系(xì)统建设方案(àn)设计等工作,曾(céng)获得中办颁(bān)发的(de)党(dǎng)政(zhèng)信(xìn)息安(ān)全先进工作者称号,累计获(huò)得省部级科技进步一等奖2次(cì),二等奖2次,三等奖4次。
董贵山:密码服务云构建(jiàn)数(shù)字中国网络安(ān)全服务新生态 卫士通(tōng)公司20多年来(lái)以密(mì)码与安全保障为业务核心,一(yī)直在党政和重(chóng)要行业领域(yù)支(zhī)撑着(zhe)国家的信(xìn)息(xī)安全建设和运行,经历了国(guó)家信息化的密码与安全(quán)建设的(de)全(quán)过程。结合云(yún)计算、大(dà)数据等新技术的演进,卫士通对整(zhěng)个过程中以密(mì)码与安(ān)全保(bǎo)障(zhàng)为(wéi)核心的业(yè)务变迁和(hé)模式发展有一些(xiē)思考。在2019年中国it市场年会上,中国电科集团(tuán)首席(xí)专家、中国网安副总工程(chéng)师(shī)、卫士通总工程(chéng)师董贵山作了(le)题为(wéi)“基(jī)于密码服务云的安全应用新模式(shì)”的主题演讲,阐述了卫士通以(yǐ)密(mì)码服(fú)务云的(de)方式提供安全服务的(de)新模式。 一、数字社会驱动安全发展 国家战略引(yǐn)领(lǐng)着数字社(shè)会的有序发展(zhǎn),国家多次强调了网络强国、数字中国和智(zhì)慧社会建(jiàn)设(shè)的重要性和意义,国(guó)家信息(xī)化的发展以逐(zhú)步(bù)步入(rù)3.0时代(dài),即以数据(jù)的(de)深度挖掘与融(róng)合应(yīng)用为特征的(de)智慧化阶段(duàn),随着信息化建(jiàn)设与云计算、大数据和(hé)移动(dòng)互(hù)联(lián)网等关键技术的深度融(róng)合(hé),网络空间对国家(jiā)和社会(huì)的发展带来了极大的(de)价值和可(kě)观的收益。总(zǒng)结来说,信息(xī)化建设呈现了三大趋势(shì),一是驱动了网络、资源、终端的多维度融(róng)合,二(èr)是数据逐步成(chéng)为业务发展的核心和驱(qū)动(dòng)力,三是对密码和安全服(fú)务(wù)化的需求(qiú)日渐迫切。 信息化建设趋势的演进及与新兴技术的融合(hé)利用对我们的安全(quán)技术、安全管理能力都提出了新的要求,网络空(kōng)间各(gè)类安全(quán)事件在(zài)个人、企业、社会乃至国家安全等层面(miàn)产生了重大的影响(xiǎng)和损失,如(rú)基于(yú)大数据分(fèn)析(xī)干涉政企选举、海量数据泄露、网站(zhàn)攻击、网络欺诈(zhà)等等,这些大家都已耳熟(shú)能详。面临目前安全风险泛(fàn)在复杂多样(yàng)的态势,密码作(zuò)为应对(duì)安全风险(xiǎn)的关键(jiàn)支(zhī)撑技(jì)术,能够有效的完善网(wǎng)络安全生态,充分(fèn)发挥它在网络安全中的机密、完整、真实、不可否认的作用,有力的支(zhī)撑数据安全防护(hù)和网络安全体(tǐ)系可(kě)信。从网络、身份(fèn)、数据、业务等角度(dù),基(jī)于密码(mǎ)重构网(wǎng)络(luò)安全边界(jiè),构(gòu)建网络安全的保障体系,并对安全保(bǎo)障模式进行创(chuàng)新发展。 二、密码服(fú)务化必然趋势(shì)下的(de)技术挑(tiāo)战 信息化建(jiàn)设的(de)发展逐步深入,如今各种(zhǒng)政务(wù)云、数据中(zhōng)心、大数据平台建设(shè)此起彼(bǐ)伏,催生了公有(yǒu)云、私(sī)有云(yún)、混(hún)合云(yún)等不同的(de)业务应用方式(shì),纷繁复(fù)杂(zá)的(de)业务部署方式导致了(le)原(yuán)有的安全保障体系和密码应用模式无法完全(quán)的适应安全(quán)风(fēng)险(xiǎn)和(hé)需求。尤(yóu)其是在公有云模式(shì)下(xià),对(duì)业务(wù)应用的安全防护(hù)需要依(yī)赖云平台(tái)运营商的(de)设备(bèi)能力、技(jì)术(shù)能力和运维能力,同时其数据安全和密钥安全也存在极(jí)大(dà)的安全隐(yǐn)患(huàn)。结(jié)合云服务的发展(zhǎn)路(lù)线,将密码及安全能力以服(fú)务(wù)的(de)方(fāng)式(shì)输(shū)出(chū)可以(yǐ)有效的适应云场景下的网络和信息安全保障需求。以专(zhuān)业的安全厂商提供的专业服务模式替代(dài)传统的(de)产品交(jiāo)付(fù)的“交钥匙”模式(shì),一方面可以降低用户保障安全(quán)和密(mì)码应(yīng)用的采(cǎi)购、建设和运维(wéi)成(chéng)本;另一方面(miàn)可(kě)以(yǐ)实时获得持续迭代更(gèng)新的安全(quán)服(fú)务保障,以应对复杂(zá)多样(yàng)且不断演化的网络风险和(hé)攻击模式,并(bìng)以此为基础带来更加精准合规的(de)安全保障能力,为数字中国所面临的社会治理、惠民服务(wù)和产业数字经济发(fā)展提出基础支撑。应该(gāi)说密码服务(wù)化、专业化、精准(zhǔn)化、泛在化、合规性是数字中国信息化建设的(de)一个必(bì)然趋势。 在(zài)数字社会复杂的网络空间中,业务交(jiāo)互复杂多样,并与云计算、大(dà)数据、移动(dòng)互联网等新兴技术深度(dù)融合,带(dài)来了一系列技术挑战,如泛在接入的海量(liàng)实体在数字空(kōng)间的(de)认证互信、多(duō)云接入场(chǎng)景下的(de)一体化安(ān)全支撑(chēng)、跨平台密(mì)钥管(guǎn)理能力按需应用、个人隐私(sī)及(jí)商业秘(mì)密信息的保护(hù)、网络(luò)空间(jiān)信(xìn)任的构建等,诸如此(cǐ)类都需(xū)要(yào)我们基于传(chuán)统的技术进一步(bù)思(sī)考和(hé)突破,也是我们密码服务研究的初衷。希望(wàng)通过(guò)密码服(fú)务的研究和推进,构建以密码服务(wù)平台为总枢纽的全国(guó)一体化密码服务能力体系,支撑国(guó)家商用密(mì)码应用的有序推进,为推(tuī)动政府治理现代(dài)化、强化国家监管能力提供强劲助力。
三、卫士通基于云模式(shì)实施密(mì)码服务新模式(shì) 基于此,卫士通(tōng)提出了(le)基于安全可信的云基础设施构建密(mì)码服务平台的可行(háng)思(sī)路。密码(mǎ)服务(wù)平台提供便捷易用(yòng)的密码调用服务接口,便于业务(wù)应用开发商快(kuài)速使(shǐ)用密码,并有效(xiào)联通多个云服务平(píng)台,按需提(tí)供密钥管(guǎn)理和服务入口,实现平台间联动,在用户保(bǎo)有密(mì)钥的前提(tí)下避免用户使用(yòng)密钥的复杂操作。以密码服务平(píng)台为基础打造完(wán)善的密码应用服务体系。基于(yú)密码服务云的密码运(yùn)算资源提(tí)供扩展的密码应用服务,直接为云平台及业(yè)务应用提供密码应(yīng)用支撑,并以(yǐ)此为枢纽(niǔ)拓展以密码服(fú)务为核心的(de)互联网信任服务生态(tài),支撑网络空间安全(quán)。 卫士通密码(mǎ)服务云是(shì)基(jī)于商(shāng)用密码和(hé)自(zì)主(zhǔ)可控技术、服(fú)务于政务、行业(yè)等国(guó)家重要领域及(jí)广(guǎng)泛互联网应用(yòng)的服务平台,密码服务云依托敏捷弹性(xìng)的云计(jì)算密码资源和安全(quán)基础设施,为用(yòng)户(hù)终端、物联网终(zhōng)端等网络实体(tǐ)以及业务应(yīng)用提供了层次化的密(mì)码服务体系,包括基于商用密(mì)码算法的基础密码服(fú)务、面向业务需求的应用(yòng)密(mì)码(mǎ)服(fú)务和数据(jù)安全密码(mǎ)服务,并(bìng)提供(gòng)了统一身份认证、电子印章服务、移(yí)动(dòng)安全(quán)服务等(děng)基(jī)于密(mì)码的运营服务平台。 卫士(shì)通对(duì)密(mì)码服(fú)务云的服务模式进行了(le)探索(suǒ)和应用(yòng),在各个层次(cì)形成了具体(tǐ)的应用(yòng)案(àn)例,如(rú)以统一认证为基础的互(hù)联网信任服务平台、以安全接(jiē)入(rù)服务(wù)商提供了吉林某地区的安全移动办公接入服务、以第三方密钥(yào)管(guǎn)理服务提(tí)供商提供了(le)企业微信(xìn)加(jiā)密服务以及以商用密(mì)码(mǎ)为核心的即时通信及安全邮件应用等(děng)等。
四、总结 基于卫士通密码服务云的探索(suǒ)和实践,我们(men)现在(zài)认识到(dào),数字(zì)转型期需(xū)要大力发展(zhǎn)密(mì)码与安全服务(wù),打造密码服务云(yún),通过(guò)云服务的模式面(miàn)向互联网、移动互联网(wǎng)、大(dà)数据、物联网乃至更多公共服务领域提供更加丰富多(duō)样(yàng)的(de)服务,为(wéi)智慧(huì)城市、政(zhèng)务云和(hé)大数(shù)据平台提供安全的资源访问和完善(shàn)的数据(jù)防护,支撑(chēng)数字中国的建设。 为此,我们也提出几点建议(yì),首(shǒu)先在国家层面(miàn),推进顶层规(guī)划(huá),制定完善(shàn)密码服务云平台相关等(děng)标准规(guī)范、应用指南(nán)。其次,针对密码服务云(yún),制(zhì)定相关科技(jì)专项支撑(chēng),通过专项的牵(qiān)引对有(yǒu)待(dài)突破的技术问题(tí)进行进一步(bù)的(de)研究,攻克(kè)相关的难点。另(lìng)外,结合国家近期发布的36号(hào)文,在智慧(huì)城市、政(zhèng)务、互联(lián)网、物联网等不同应用领(lǐng)域,选取典型应用(yòng)进行密(mì)码(mǎ)服务云试点示范,积极探索和发展(zhǎn)密码服务保(bǎo)障的新模式,为数(shù)字(zì)中国(guó)发展、网络空间(jiān)信任(rèn)服务体系(xì)建设及(jí)面(miàn)向政(zhèng)务(wù)、行业、企业以及公众服务等领域的密码安(ān)全保(bǎo)障奠定基础。
