董貴山,男,工學(xué)博士,研究員,中國電子科技集團(tuán)公司網(wǎng)絡(luò)安全領(lǐng)域首席專家,國務(wù)院特殊津貼專家(2016),中國網(wǎng)安副總工程師、衛(wèi)士通公司總工程師,國家密碼標(biāo)準(zhǔn)化委員會委員,政府治理國家工程實(shí)驗(yàn)室副主任和專委會委員,科技部網(wǎng)絡(luò)安全重點(diǎn)研發(fā)計劃首席專家,長期承擔(dān)過黨政信息安全和密碼應(yīng)用領(lǐng)域的裝備與系統(tǒng)研制、技術(shù)標(biāo)準(zhǔn)制定、系統(tǒng)建設(shè)方案設(shè)計等工作,曾獲得中辦頒發(fā)的黨政信息安全先進(jìn)工作者稱號,累計獲得省部級科技進(jìn)步一等獎2次,二等獎2次,三等獎4次。
董貴山:密碼服務(wù)云構(gòu)建數(shù)字中國網(wǎng)絡(luò)安全服務(wù)新生態(tài) 衛(wèi)士通公司20多年來以密碼與安全保障為業(yè)務(wù)核心,一直在黨政和重要行業(yè)領(lǐng)域支撐著國家的信息安全建設(shè)和運(yùn)行,經(jīng)歷了國家信息化的密碼與安全建設(shè)的全過程。結(jié)合云計算、大數(shù)據(jù)等新技術(shù)的演進(jìn),衛(wèi)士通對整個過程中以密碼與安全保障為核心的業(yè)務(wù)變遷和模式發(fā)展有一些思考。在2019年中國it市場年會上,中國電科集團(tuán)首席專家、中國網(wǎng)安副總工程師、衛(wèi)士通總工程師董貴山作了題為“基于密碼服務(wù)云的安全應(yīng)用新模式”的主題演講,闡述了衛(wèi)士通以密碼服務(wù)云的方式提供安全服務(wù)的新模式。 一、數(shù)字社會驅(qū)動安全發(fā)展 國家戰(zhàn)略引領(lǐng)著數(shù)字社會的有序發(fā)展,國家多次強(qiáng)調(diào)了網(wǎng)絡(luò)強(qiáng)國、數(shù)字中國和智慧社會建設(shè)的重要性和意義,國家信息化的發(fā)展以逐步步入3.0時代,即以數(shù)據(jù)的深度挖掘與融合應(yīng)用為特征的智慧化階段,隨著信息化建設(shè)與云計算、大數(shù)據(jù)和移動互聯(lián)網(wǎng)等關(guān)鍵技術(shù)的深度融合,網(wǎng)絡(luò)空間對國家和社會的發(fā)展帶來了極大的價值和可觀的收益??偨Y(jié)來說,信息化建設(shè)呈現(xiàn)了三大趨勢,一是驅(qū)動了網(wǎng)絡(luò)、資源、終端的多維度融合,二是數(shù)據(jù)逐步成為業(yè)務(wù)發(fā)展的核心和驅(qū)動力,三是對密碼和安全服務(wù)化的需求日漸迫切。 信息化建設(shè)趨勢的演進(jìn)及與新興技術(shù)的融合利用對我們的安全技術(shù)、安全管理能力都提出了新的要求,網(wǎng)絡(luò)空間各類安全事件在個人、企業(yè)、社會乃至國家安全等層面產(chǎn)生了重大的影響和損失,如基于大數(shù)據(jù)分析干涉政企選舉、海量數(shù)據(jù)泄露、網(wǎng)站攻擊、網(wǎng)絡(luò)欺詐等等,這些大家都已耳熟能詳。面臨目前安全風(fēng)險泛在復(fù)雜多樣的態(tài)勢,密碼作為應(yīng)對安全風(fēng)險的關(guān)鍵支撐技術(shù),能夠有效的完善網(wǎng)絡(luò)安全生態(tài),充分發(fā)揮它在網(wǎng)絡(luò)安全中的機(jī)密、完整、真實(shí)、不可否認(rèn)的作用,有力的支撐數(shù)據(jù)安全防護(hù)和網(wǎng)絡(luò)安全體系可信。從網(wǎng)絡(luò)、身份、數(shù)據(jù)、業(yè)務(wù)等角度,基于密碼重構(gòu)網(wǎng)絡(luò)安全邊界,構(gòu)建網(wǎng)絡(luò)安全的保障體系,并對安全保障模式進(jìn)行創(chuàng)新發(fā)展。 二、密碼服務(wù)化必然趨勢下的技術(shù)挑戰(zhàn) 信息化建設(shè)的發(fā)展逐步深入,如今各種政務(wù)云、數(shù)據(jù)中心、大數(shù)據(jù)平臺建設(shè)此起彼伏,催生了公有云、私有云、混合云等不同的業(yè)務(wù)應(yīng)用方式,紛繁復(fù)雜的業(yè)務(wù)部署方式導(dǎo)致了原有的安全保障體系和密碼應(yīng)用模式無法完全的適應(yīng)安全風(fēng)險和需求。尤其是在公有云模式下,對業(yè)務(wù)應(yīng)用的安全防護(hù)需要依賴云平臺運(yùn)營商的設(shè)備能力、技術(shù)能力和運(yùn)維能力,同時其數(shù)據(jù)安全和密鑰安全也存在極大的安全隱患。結(jié)合云服務(wù)的發(fā)展路線,將密碼及安全能力以服務(wù)的方式輸出可以有效的適應(yīng)云場景下的網(wǎng)絡(luò)和信息安全保障需求。以專業(yè)的安全廠商提供的專業(yè)服務(wù)模式替代傳統(tǒng)的產(chǎn)品交付的“交鑰匙”模式,一方面可以降低用戶保障安全和密碼應(yīng)用的采購、建設(shè)和運(yùn)維成本;另一方面可以實(shí)時獲得持續(xù)迭代更新的安全服務(wù)保障,以應(yīng)對復(fù)雜多樣且不斷演化的網(wǎng)絡(luò)風(fēng)險和攻擊模式,并以此為基礎(chǔ)帶來更加精準(zhǔn)合規(guī)的安全保障能力,為數(shù)字中國所面臨的社會治理、惠民服務(wù)和產(chǎn)業(yè)數(shù)字經(jīng)濟(jì)發(fā)展提出基礎(chǔ)支撐。應(yīng)該說密碼服務(wù)化、專業(yè)化、精準(zhǔn)化、泛在化、合規(guī)性是數(shù)字中國信息化建設(shè)的一個必然趨勢。 在數(shù)字社會復(fù)雜的網(wǎng)絡(luò)空間中,業(yè)務(wù)交互復(fù)雜多樣,并與云計算、大數(shù)據(jù)、移動互聯(lián)網(wǎng)等新興技術(shù)深度融合,帶來了一系列技術(shù)挑戰(zhàn),如泛在接入的海量實(shí)體在數(shù)字空間的認(rèn)證互信、多云接入場景下的一體化安全支撐、跨平臺密鑰管理能力按需應(yīng)用、個人隱私及商業(yè)秘密信息的保護(hù)、網(wǎng)絡(luò)空間信任的構(gòu)建等,諸如此類都需要我們基于傳統(tǒng)的技術(shù)進(jìn)一步思考和突破,也是我們密碼服務(wù)研究的初衷。希望通過密碼服務(wù)的研究和推進(jìn),構(gòu)建以密碼服務(wù)平臺為總樞紐的全國一體化密碼服務(wù)能力體系,支撐國家商用密碼應(yīng)用的有序推進(jìn),為推動政府治理現(xiàn)代化、強(qiáng)化國家監(jiān)管能力提供強(qiáng)勁助力。
三、衛(wèi)士通基于云模式實(shí)施密碼服務(wù)新模式 基于此,衛(wèi)士通提出了基于安全可信的云基礎(chǔ)設(shè)施構(gòu)建密碼服務(wù)平臺的可行思路。密碼服務(wù)平臺提供便捷易用的密碼調(diào)用服務(wù)接口,便于業(yè)務(wù)應(yīng)用開發(fā)商快速使用密碼,并有效聯(lián)通多個云服務(wù)平臺,按需提供密鑰管理和服務(wù)入口,實(shí)現(xiàn)平臺間聯(lián)動,在用戶保有密鑰的前提下避免用戶使用密鑰的復(fù)雜操作。以密碼服務(wù)平臺為基礎(chǔ)打造完善的密碼應(yīng)用服務(wù)體系。基于密碼服務(wù)云的密碼運(yùn)算資源提供擴(kuò)展的密碼應(yīng)用服務(wù),直接為云平臺及業(yè)務(wù)應(yīng)用提供密碼應(yīng)用支撐,并以此為樞紐拓展以密碼服務(wù)為核心的互聯(lián)網(wǎng)信任服務(wù)生態(tài),支撐網(wǎng)絡(luò)空間安全。 衛(wèi)士通密碼服務(wù)云是基于商用密碼和自主可控技術(shù)、服務(wù)于政務(wù)、行業(yè)等國家重要領(lǐng)域及廣泛互聯(lián)網(wǎng)應(yīng)用的服務(wù)平臺,密碼服務(wù)云依托敏捷彈性的云計算密碼資源和安全基礎(chǔ)設(shè)施,為用戶終端、物聯(lián)網(wǎng)終端等網(wǎng)絡(luò)實(shí)體以及業(yè)務(wù)應(yīng)用提供了層次化的密碼服務(wù)體系,包括基于商用密碼算法的基礎(chǔ)密碼服務(wù)、面向業(yè)務(wù)需求的應(yīng)用密碼服務(wù)和數(shù)據(jù)安全密碼服務(wù),并提供了統(tǒng)一身份認(rèn)證、電子印章服務(wù)、移動安全服務(wù)等基于密碼的運(yùn)營服務(wù)平臺。 衛(wèi)士通對密碼服務(wù)云的服務(wù)模式進(jìn)行了探索和應(yīng)用,在各個層次形成了具體的應(yīng)用案例,如以統(tǒng)一認(rèn)證為基礎(chǔ)的互聯(lián)網(wǎng)信任服務(wù)平臺、以安全接入服務(wù)商提供了吉林某地區(qū)的安全移動辦公接入服務(wù)、以第三方密鑰管理服務(wù)提供商提供了企業(yè)微信加密服務(wù)以及以商用密碼為核心的即時通信及安全郵件應(yīng)用等等。
四、總結(jié) 基于衛(wèi)士通密碼服務(wù)云的探索和實(shí)踐,我們現(xiàn)在認(rèn)識到,數(shù)字轉(zhuǎn)型期需要大力發(fā)展密碼與安全服務(wù),打造密碼服務(wù)云,通過云服務(wù)的模式面向互聯(lián)網(wǎng)、移動互聯(lián)網(wǎng)、大數(shù)據(jù)、物聯(lián)網(wǎng)乃至更多公共服務(wù)領(lǐng)域提供更加豐富多樣的服務(wù),為智慧城市、政務(wù)云和大數(shù)據(jù)平臺提供安全的資源訪問和完善的數(shù)據(jù)防護(hù),支撐數(shù)字中國的建設(shè)。 為此,我們也提出幾點(diǎn)建議,首先在國家層面,推進(jìn)頂層規(guī)劃,制定完善密碼服務(wù)云平臺相關(guān)等標(biāo)準(zhǔn)規(guī)范、應(yīng)用指南。其次,針對密碼服務(wù)云,制定相關(guān)科技專項(xiàng)支撐,通過專項(xiàng)的牽引對有待突破的技術(shù)問題進(jìn)行進(jìn)一步的研究,攻克相關(guān)的難點(diǎn)。另外,結(jié)合國家近期發(fā)布的36號文,在智慧城市、政務(wù)、互聯(lián)網(wǎng)、物聯(lián)網(wǎng)等不同應(yīng)用領(lǐng)域,選取典型應(yīng)用進(jìn)行密碼服務(wù)云試點(diǎn)示范,積極探索和發(fā)展密碼服務(wù)保障的新模式,為數(shù)字中國發(fā)展、網(wǎng)絡(luò)空間信任服務(wù)體系建設(shè)及面向政務(wù)、行業(yè)、企業(yè)以及公眾服務(wù)等領(lǐng)域的密碼安全保障奠定基礎(chǔ)。