“网络安全为人民,网络安全(quán)靠人民(mín)。”9月(yuè)16日(rì),卫士(shì)通多(duō)位网(wǎng)络安全专家已“奔赴”各级(jí)网络安全(quán)宣传周活动,通过线(xiàn)上与线下相结合的方式,兼(jiān)顾行业人士与普通大众的不同关注(zhù)点(diǎn),从密码在(zài)网络安全中的核心作(zuò)用、泛在化应用(yòng)、以及创新(xīn)服(fú)务方式进行(háng)了多方位(wèi)、多层级的观(guān)点分享(xiǎng)。
核心(xīn) | 夯(bèn)实新型基(jī)础设施(shī)网(wǎng)络安(ān)全底座
中国(guó)电科集团网络安全(quán)领域首席专家、中国网安副总(zǒng)工程师、卫士(shì)通总工(gōng)程师董贵山出席第七届(jiè)国(guó)家(jiā)网络安全宣(xuān)传周(zhōu)新型基础设施网络安全高峰论坛,并(bìng)作“保障工业(yè)互(hù)联网安全(quán),服务制造业高质量发展”主(zhǔ)题演讲,系统地阐述(shù)和(hé)分(fèn)析了我国工业互联网的(de)发展背景(jǐng)、潜在(zài)安(ān)全风险及相关政策要求,并(bìng)提出了(le)构建体系化安全防护能力,夯实以工业(yè)互联网为代表的新型基础设施网络安全底座的三点(diǎn)建议。
▲图 董贵山作主题演(yǎn)讲
一是,建(jiàn)议借鉴(jiàn)企业工(gōng)业信(xìn)息安全(quán)整体保障实施原则。企业工业(yè)信息安全整体保(bǎo)障是中国(guó)网安基于正确的网络安全观提(tí)出的“整体安全、动态安全(quán)、相对(duì)安全、合(hé)规与赋能(néng)、技术与(yǔ)管(guǎn)理”的企业工业信息(xī)安全(quán)整体保障实施原则,并在中(zhōng)国(guó)网(wǎng)安(ān)相关工作中广泛应用,对其他企业开展工业信息安全保障将起到借鉴(jiàn)作用。
二是,严(yán)格履行“七项义务,四类防护”的基本要求。《网络安全法》对网络运(yùn)营者的最基本义务(wù)和安全要求做了明(míng)确(què)规定,各(gè)工业企(qǐ)业应履(lǚ)行网络运行安全义(yì)务、网络产(chǎn)品和服务安(ān)全(quán)义务、关键信(xìn)息基础设施安(ān)全保护义务、公(gōng)民个人信息保护义务(wù)、网络(luò)信息安全管理义务、对监管机关的执法协助义务和其(qí)他(tā)法定义务,实(shí)现网页防篡(cuàn)改(gǎi)、服务防中断、系(xì)统防病(bìng)毒(dú)、数(shù)据防泄漏。
三是,利用(yòng)密码(mǎ)算法保障(zhàng)工业互联网数据的多方(fāng)安全共享,达到工业数据安全的价(jià)值流动。密码技术在网络安全(quán)防护体系(xì)中位(wèi)居核心和基础地位,其提(tí)供(gòng)的可信数(shù)据汇聚、数据加密存储、安全(quán)数据共享、安(ān)全多(duō)方(fāng)计算、数据流转确(què)权能(néng)够实现数据的全(quán)生命(mìng)周期安全,并针(zhēn)对敏感数(shù)据(jù)、企业核心(xīn)数据提供(gòng)针(zhēn)对性的数据脱敏、数据加密(mì)和数据隐藏能力,将防护能(néng)力深(shēn)入(rù)到业(yè)务(wù)流(liú)转之中,能够有效的保护(hù)安(ān)全(quán)隐私,维护企业利(lì)益,在数据可用不可见的基础上实现数据价(jià)值的(de)流转和交互。
广度(dù) | 拓(tuò)展密码(mǎ)泛在化应用
国家网络安全宣传周(zhōu)同期,成都市的相关活动(dòng)也在火热进行,卫士通结合现场展示、专家(jiā)演讲、互动游戏,从“密码的内涵与(yǔ)意义”、“密码泛在化内涵与意(yì)义(yì)”、“密(mì)码领域(yù)典型实践与应用”三方面向成都(dōu)市民普及了“密码(mǎ)泛(fàn)在化(huà)”进程、应用及(jí)意义。
▲图(tú) 周(zhōu)阳作主题演讲(jiǎng)
卫士通方(fāng)案中心技术专家(jiā)周阳在演(yǎn)讲中(zhōng)特(tè)别选取大众最常接触的(de)生活场景,通俗易懂的向成都市民进(jìn)行分享。周阳通过诸如黑客攻击政(zhèng)府网站窃取公民(mín)和(hé)企业信息,就(jiù)医人员(yuán)医疗信息(xī)遭泄露导(dǎo)致(zhì)个人(rén)敏(mǐn)感信息被(bèi)窃取,12306遭泄露(lù)数据撞库攻击,考(kǎo)生网上报考(kǎo)信息泄(xiè)露,伪造印(yìn)章,虚开发票,伪造文件造成国家财产(chǎn)损失等大众在日(rì)常生活中接触到的(de)场景(jǐng)案例引入(rù),带领(lǐng)听众一起(qǐ)总结了(le)数字生活正面四(sì)大主要痛点,临时身份鉴(jiàn)别(bié)有“短板”、个人信息缺“保护” 、数(shù)据安(ān)全有“欠缺”、文件印章缺“可信”。
而解决这些痛(tòng)点的一大法宝,便(biàn)是(shì)“密码”!经过(guò)20多年的发(fā)展,我(wǒ)国商用密码已经应用到社会生产生活(huó)的各个方(fāng)面,在网络和信息安全中发挥着越来(lái)越重要(yào)的基础(chǔ)支撑作(zuò)用。在政务服务,基于商用密码技术,防止政(zhèng)务服务、防疫健(jiàn)康信息码使用过程(chéng)中的公众隐私数据泄露,电子证照、电子印章真实(shí)有效(xiào),保障市民数字生活安(ān)全。在社会保障,密钥(yào)管理系统(tǒng)作为社(shè)保卡(kǎ)制(zhì)卡体系(xì)的核心,主要负(fù)责(zé)各类密钥的生(shēng)成、存储与分发,密(mì)钥管理系统中的密钥按密钥(yào)类型、应用类型和交易种类进行定义(yì),并通(tōng)过分散变化等机制进行分级管理,避(bì)免单个密钥被(bèi)攻破之后影响整体(tǐ)系统的(de)密钥安全(quán)。在(zài)医(yī)疗卫生方(fāng)面,密码技术(shù)的应用保障(zhàng)了新形势(shì)下的医疗电子体(tǐ)系(xì)稳定发展(zhǎn),其中安(ān)全可信的电子病(bìng)历以(yǐ)电(diàn)子认证和电子签名(míng)为(wéi)手(shǒu)段(duàn),形成完善的技术保障体系,营运安全可信(xìn)的电子病历(lì)应用环境,等等。
深度 | 创新(xīn)密码(mǎ)服务(wù)方(fāng)式
卫士通方案中心商用密码专家周君平在国家网(wǎng)络安全宣传周内蒙(méng)分会场(chǎng)的线上论坛上,作“推动商用密码应用,创新密码服务能(néng)力”主(zhǔ)题演讲。她表示,随着(zhe)密(mì)码技(jì)术的深度、广(guǎng)度融合发展趋势,不仅促(cù)进(jìn)了(le)产(chǎn)业链全生态的建立健全,而且还催生了密码服务“平(píng)台化”创新应用模(mó)式。
▲图 周君平
该模式通过构建一体(tǐ)化的(de)密码(mǎ)服务平台(tái),将为各行业重要信息系统提供统(tǒng)一(yī)、弹性、高效、规模化的(de)密码应用(yòng)服(fú)务。一体化密码服(fú)务平台将采用微服务架构对密码服务(wù)基础支撑设备、系统的能力进行抽象封装,形成密(mì)码(mǎ)服务能力,并通过API网关(guān)将密码服务(wù)的能力(lì)采用标准(zhǔn)统一的接口,以API的形式(shì)或SDK的形(xíng)式向安(ān)全应用提供。同时基(jī)于(yú)平(píng)台(tái)管控实现对(duì)平台的应用接(jiē)入(rù)管理,密(mì)码(mǎ)资源(yuán)、资产的统计管理,基于密码监管服(fú)务实现对密码设备、密(mì)码资源、密码服务(wù)调用(yòng)情况的统(tǒng)一监管(guǎn),基于安全运营服(fú)务(wù)使用(yòng),实现租(zū)户(hù)管理(lǐ)、平台运营状态监控、资源可用性监控等。这种商用密码创新服务方(fāng)式有以(yǐ)下(xià)几个特点:
1.服务化 以服务替代产品,降低采购(gòu)成本和运维成(chéng)本,提升(shēng)信息化建设敏(mǐn)捷(jié)性,缓解安全建设的困(kùn)扰。
2.精(jīng)准化 将密码业务深植于业务之中,由专业的密(mì)码厂商提供服务,实(shí)时跟踪学(xué)界和(hé)业(yè)界的前(qián)沿进(jìn)展,着力开展技术演进和模式创新,保持服务能力(lì)的持续迭代(dài)和(hé)更新。
3.泛在(zài)化 面向(xiàng)目(mù)前(qián)数字政府建设(shè)的多云部署趋(qū)势(shì),提供支持不同云服务(wù)平台的泛在接入能力。
4.合规化 以商(shāng)用密码和等级保护相关规(guī)定(dìng)为(wéi)指导,以安全合规为(wéi)底线,避免业务(wù)应用的合规风险。
5.简(jiǎn)略(luè)化 为业务应用提供(gòng)便捷的密码(mǎ)服务接口,缓解现在(zài)业务应用(yòng)开发商的密码研发难度,弥补(bǔ)安全应用短板(bǎn)。依托(tuō)密钥(yào)管(guǎn)理(lǐ)、密码应用等服务能力,联通前端业务(wù)服(fú)务商和后端基础服务商,结合(hé)密钥管理和(hé)身份服务入(rù)口,形成以密(mì)码服务为核心的互联(lián)网信任服(fú)务生态,支撑网络空间安全。
