董贵山,男,工学博士,研究员,中国电子科技集(jí)团公司网络安全(quán)领域首席(xí)专家,国务院特殊津贴(tiē)专家(2016),中国网安副总工程师、卫士通公司总工程师,国家密码标准(zhǔn)化(huà)委员会委员,政(zhèng)府治理国(guó)家工(gōng)程实(shí)验室副主任和专委会委员,科技部网络安全重点研(yán)发计划首(shǒu)席专家(jiā),长期承(chéng)担过党政信(xìn)息安全和(hé)密码(mǎ)应(yīng)用(yòng)领域的装(zhuāng)备与系(xì)统(tǒng)研制(zhì)、技术标(biāo)准制定、系(xì)统建设方案设计等工作,曾(céng)获得中办(bàn)颁发的党(dǎng)政信(xìn)息安全先进工作者称号(hào),累计(jì)获得省部级科技进步一(yī)等奖2次,二等奖2次,三等(děng)奖4次。
董贵山:密码服务云构建(jiàn)数字中国网络安全服务(wù)新(xīn)生态(tài) 卫士(shì)通公司20多(duō)年来以密码与安全(quán)保障(zhàng)为业务(wù)核心,一直在(zài)党政和重(chóng)要行业领(lǐng)域支撑(chēng)着国家的信息安全建设(shè)和(hé)运行,经历了国家信(xìn)息化的密码与安全建设的全过程(chéng)。结(jié)合云计算(suàn)、大数(shù)据等新技术的演进,卫(wèi)士通对整个(gè)过程中(zhōng)以密码与安全保障(zhàng)为核(hé)心的业务变迁和(hé)模(mó)式发展有一些思(sī)考(kǎo)。在2019年中(zhōng)国it市场年会上,中国电科集(jí)团首(shǒu)席专(zhuān)家(jiā)、中国网(wǎng)安副总工程师(shī)、卫(wèi)士通总工程师(shī)董贵山作了题(tí)为(wéi)“基于密码服(fú)务(wù)云的安全应用新模式”的主题演讲,阐述了卫士通以密码服务(wù)云的方式提供(gòng)安全服务的新模式。 一、数(shù)字社会驱动安全发展 国家战略引领(lǐng)着(zhe)数字社会的有(yǒu)序发展,国家多次强调了网络强国、数字中国和智慧社会(huì)建设的重要性和(hé)意义,国家信息化的发(fā)展以逐(zhú)步步入3.0时代,即以数据的深度挖(wā)掘与融合应用为特征的智慧化阶段,随着信息化建设与云计算、大数据(jù)和移动互(hù)联网等关键技术的深(shēn)度融合,网络空(kōng)间对国家和社会(huì)的发(fā)展带来了极大(dà)的价值和可观的收益。总(zǒng)结来说,信息化建设呈现了(le)三(sān)大趋(qū)势,一是驱(qū)动了(le)网络、资源、终端的多(duō)维度融合(hé),二是数据(jù)逐步(bù)成为业务发展的(de)核心和驱(qū)动力,三是对密码和安(ān)全服务化的需求日渐迫切。 信息化建设趋势的演进及与新兴技(jì)术(shù)的融合利用对我们的安(ān)全技(jì)术、安全管(guǎn)理能力都提出了(le)新(xīn)的要求,网络空间各类安全事件(jiàn)在个人、企(qǐ)业、社会乃至国家(jiā)安全等层面产生了(le)重大的(de)影(yǐng)响和损失,如基(jī)于大数据分析干涉(shè)政(zhèng)企选(xuǎn)举(jǔ)、海量数据泄露、网站攻击、网络欺(qī)诈(zhà)等等,这些(xiē)大家都(dōu)已(yǐ)耳熟能详。面(miàn)临目前(qián)安(ān)全风险泛在复杂多样的态(tài)势(shì),密码(mǎ)作为应对安全风(fēng)险(xiǎn)的关键(jiàn)支撑技术,能(néng)够有效的完善网络(luò)安全(quán)生态,充(chōng)分发挥它在网络安全中的机密、完(wán)整、真实、不可否认的(de)作用,有力的(de)支撑数(shù)据安全防护和网络安全(quán)体(tǐ)系(xì)可信。从网(wǎng)络、身份、数据、业(yè)务(wù)等角度,基于密码(mǎ)重构(gòu)网络安(ān)全边界,构建网(wǎng)络(luò)安全的保(bǎo)障体系,并对安全保障模式进行创新发展。 二(èr)、密(mì)码服(fú)务化必然趋势(shì)下的技术挑战 信息化建(jiàn)设(shè)的发展逐步深入,如(rú)今各种(zhǒng)政务云、数据中心(xīn)、大数据平台建设此起彼伏,催(cuī)生了公有云、私有云、混合(hé)云等不同(tóng)的业务应(yīng)用方式,纷(fēn)繁复(fù)杂的业务(wù)部署方式导致了原有的安(ān)全(quán)保障(zhàng)体系和密码(mǎ)应(yīng)用(yòng)模式无法完全(quán)的适应安全风险(xiǎn)和需求。尤其(qí)是(shì)在(zài)公有云模式下(xià),对业务应用的安(ān)全防护需要(yào)依赖云平(píng)台(tái)运营商(shāng)的设(shè)备能力(lì)、技术能(néng)力和(hé)运维能力,同时其数据安全和密(mì)钥(yào)安全也存在极大的(de)安(ān)全(quán)隐患。结合云(yún)服务的发展(zhǎn)路(lù)线,将密码及(jí)安全(quán)能力以服务的方式输出可(kě)以有效的(de)适(shì)应云(yún)场(chǎng)景下的网络和(hé)信息安全保障需求。以专业的安全厂商提供的专业(yè)服务(wù)模式替代传统的产品交付的“交钥匙”模(mó)式,一方面可以降(jiàng)低用(yòng)户保障安全和密码应用的采购、建(jiàn)设和运维成本;另一方面可以实时获得持续迭代更新的安全服务保障,以应对复(fù)杂多样且不断(duàn)演化(huà)的(de)网(wǎng)络风险和攻击模(mó)式(shì),并以此为(wéi)基础带(dài)来更加(jiā)精准合(hé)规的(de)安全保(bǎo)障能力(lì),为数字中国所面(miàn)临的社会治理、惠民服务(wù)和产业数字经济发(fā)展提出基础支撑。应该说(shuō)密码服(fú)务化、专(zhuān)业(yè)化、精准(zhǔn)化、泛(fàn)在(zài)化、合规性是数字中国信息化建设的一个必然趋势。 在(zài)数字社会复杂的网络(luò)空间中,业务交互复杂多样,并与云计算、大(dà)数据、移(yí)动互联网等新兴技术深度融合,带来了一系列(liè)技术挑战,如泛在(zài)接入的(de)海量实体在数(shù)字空间的认证互信、多云接入(rù)场景下的一体化安全支撑、跨平台密钥(yào)管理能(néng)力按需应用、个人隐私及商业秘密信息的保护、网络空间信任(rèn)的构建等(děng),诸如此类都需要(yào)我(wǒ)们基于传(chuán)统的技术(shù)进(jìn)一步思考和突(tū)破(pò),也是我们密码服务研究的初衷。希望通过密(mì)码服务的研(yán)究和推(tuī)进,构建以密码服务平台为总枢纽的(de)全国一(yī)体化密码服务能力体系,支(zhī)撑(chēng)国家商用密码应用的(de)有序推进,为(wéi)推动政府治理现(xiàn)代化、强化国家监管(guǎn)能力提供强劲助力。
三、卫士通(tōng)基于云模式实施密码(mǎ)服(fú)务新模式 基于此,卫士(shì)通提出了基于安全可信的(de)云基(jī)础设施构建(jiàn)密码服务平台的可行思路。密码服务平台提(tí)供便捷易用的(de)密码调用服务接口,便于业务应用开发(fā)商快速使用密码,并有效(xiào)联通多(duō)个云服务平(píng)台,按(àn)需提供密钥管(guǎn)理和(hé)服务(wù)入口,实现平(píng)台间联动,在(zài)用户(hù)保有密钥的前提下避免用户使用密钥的复杂操作。以密码服务平台为基础打造完善的密码应用服务体系。基于密(mì)码服务云的密码运算资源提供扩(kuò)展的密码应用服务,直接为云(yún)平台及业务应用提供密(mì)码应用(yòng)支(zhī)撑,并以此为枢纽拓展以密码服务为核心(xīn)的互联网(wǎng)信任服(fú)务生态,支(zhī)撑网络空间安全。 卫士通密码服务云是基于(yú)商用(yòng)密码和自(zì)主可控技术、服务(wù)于政务、行业(yè)等国家重要(yào)领域及(jí)广泛互(hù)联网应用的服务平台,密码(mǎ)服务云依托敏捷弹(dàn)性(xìng)的云计算密码(mǎ)资源和安全基础设施,为用户终(zhōng)端、物联网(wǎng)终(zhōng)端等网络实体以及(jí)业务(wù)应用提供了层次化的密码服务体系,包括基于商用密码(mǎ)算(suàn)法的基础密码服务、面向业务需求的应用密码服务和数据安全密码服(fú)务,并提(tí)供了(le)统(tǒng)一(yī)身份认(rèn)证、电子印章(zhāng)服(fú)务(wù)、移动安(ān)全服务等基于密码的运(yùn)营服务平台。 卫士通(tōng)对(duì)密码服务(wù)云的服务模式(shì)进(jìn)行了探索和应用,在各个层次(cì)形成了具体(tǐ)的应用案例(lì),如以统一认证为基础的互联网信任(rèn)服务(wù)平台、以(yǐ)安全接入服务商提供了吉林某地区的(de)安全移动办(bàn)公接入服务(wù)、以(yǐ)第三(sān)方密(mì)钥(yào)管理服(fú)务提供商提供(gòng)了企业微(wēi)信加密服务以及以商(shāng)用密码为(wéi)核心(xīn)的即时通信及安全邮件应用(yòng)等等。
四、总结 基于卫士通密码(mǎ)服务云的探索和实践,我(wǒ)们(men)现在(zài)认识到,数字(zì)转型期需要大力发展密码与安全服务,打造密码服务云,通过云服务的模式面向互联网、移动(dòng)互联网、大数据、物(wù)联网(wǎng)乃至更(gèng)多公共服务领域提供更加(jiā)丰富(fù)多样的服务(wù),为智(zhì)慧(huì)城市、政务云和大数据(jù)平台提供安全的资(zī)源访问和完善的数据防护,支撑数字中国(guó)的(de)建设。 为此,我们也提出几(jǐ)点建议,首先在国家层面,推进顶层规划,制(zhì)定完善密码(mǎ)服务(wù)云平台相(xiàng)关等标准规范(fàn)、应用指南(nán)。其次,针对密码服务云,制定相关科技专项(xiàng)支撑,通过专项的牵引对有待突破的(de)技(jì)术问题进行进(jìn)一步的(de)研究,攻克相关的(de)难点。另外,结合(hé)国(guó)家近期发布的36号(hào)文,在智慧城市、政(zhèng)务、互联网、物联(lián)网等不(bú)同(tóng)应用(yòng)领域,选取典型应用进行密码服务(wù)云试(shì)点示范,积极探索和发展密(mì)码服务(wù)保障的新模(mó)式(shì),为数字中国发展、网络空间(jiān)信任服务(wù)体系(xì)建设及面向政务、行业、企业以(yǐ)及公众服务等领域的密码安全保障(zhàng)奠定基础。
