董贵(guì)山(shān),男,工学博士,研究员,中国电子科技集(jí)团公司网络(luò)安全领域首席专家,国(guó)务院(yuàn)特殊津贴专家(2016),中国网(wǎng)安副总工程师、卫士(shì)通(tōng)公(gōng)司(sī)总工程师,国家密(mì)码标准化委员会委员,政府治(zhì)理国(guó)家工(gōng)程实验室副(fù)主任和专(zhuān)委会委员,科技部(bù)网(wǎng)络安(ān)全重点研发计划(huá)首席专家,长期承担过党政信(xìn)息安全(quán)和密码应用领域(yù)的装备与系统研制、技术标准制定、系统建(jiàn)设方案设计等工作,曾(céng)获得中办颁发(fā)的党政信(xìn)息(xī)安全先进工(gōng)作者称(chēng)号,累计获得省部(bù)级科技进(jìn)步一等奖2次,二等奖2次,三等奖4次(cì)。
董(dǒng)贵(guì)山:密码服务云(yún)构建数(shù)字中国网络安全服务新生态 卫士通公司(sī)20多年来以密码与安(ān)全保障(zhàng)为业务核心,一直在(zài)党政和重要行业领域支撑着国家的信(xìn)息安全建(jiàn)设(shè)和运(yùn)行,经(jīng)历了国(guó)家信息化的密码(mǎ)与安全建设的(de)全过程。结合(hé)云(yún)计算、大数据等新技术的(de)演进,卫士(shì)通对整(zhěng)个过程中以密(mì)码(mǎ)与安全保障为核心的业务变(biàn)迁(qiān)和(hé)模(mó)式发(fā)展有一些(xiē)思考。在2019年中国it市场年(nián)会上,中(zhōng)国电(diàn)科集团首席专家、中国网安副总(zǒng)工程师、卫士通总工程师董贵山作了(le)题为“基于密码服务云的安全应(yīng)用新模式”的主题演讲,阐述(shù)了卫士通以(yǐ)密(mì)码(mǎ)服务云的方式提供安全(quán)服务的新模式(shì)。 一、数字社会驱动安全发展 国家战略引(yǐn)领着数(shù)字社会的有(yǒu)序发展,国家多次强调了网络强(qiáng)国、数字中(zhōng)国和智慧社会(huì)建设(shè)的重要性(xìng)和意义,国家(jiā)信(xìn)息化的发展(zhǎn)以逐步步入3.0时代,即以数据的深度挖(wā)掘与融合应用为特征的智慧化阶(jiē)段(duàn),随着(zhe)信(xìn)息化建设与云计算、大数(shù)据(jù)和移动(dòng)互联网等关(guān)键技术的深(shēn)度融合,网络空间对国(guó)家和社会的发展带来(lái)了极大的价值和可观的(de)收(shōu)益。总结来说,信息化建设呈现了三大(dà)趋势(shì),一是驱动了网络、资(zī)源、终端的多(duō)维度融合,二是数据逐步(bù)成为业务发展的核心和驱动力(lì),三是对密码和(hé)安全服务(wù)化的需(xū)求(qiú)日渐(jiàn)迫切。 信息化建(jiàn)设(shè)趋势的(de)演进及与新兴(xìng)技(jì)术的(de)融(róng)合(hé)利用对我们的安全技术(shù)、安全(quán)管理能力都提出了新的要求,网络空间(jiān)各类安全事件在个人(rén)、企业、社(shè)会(huì)乃至(zhì)国家安全等层(céng)面(miàn)产生了重大的影响和损(sǔn)失,如基于大数据分析干(gàn)涉政企选举、海量(liàng)数(shù)据泄(xiè)露、网站攻击、网络(luò)欺诈等等,这些大(dà)家都已耳熟能(néng)详。面临(lín)目前安全风险(xiǎn)泛在复杂多(duō)样的态势,密(mì)码作为应对安全(quán)风险(xiǎn)的关键支撑(chēng)技术,能(néng)够有效的完善网络安全生态,充分发挥它(tā)在网络安全(quán)中的机(jī)密、完(wán)整、真(zhēn)实、不可否认的作(zuò)用,有力的支撑(chēng)数据安全防护和(hé)网络安(ān)全体(tǐ)系可信。从网络、身份、数据、业务等角度,基(jī)于密码重构网(wǎng)络安(ān)全边界(jiè),构(gòu)建网络安全的保障体系,并对安全(quán)保障模(mó)式进行(háng)创(chuàng)新发展。 二、密(mì)码服务(wù)化必然趋势下的技(jì)术挑战 信息化(huà)建设的发展逐步深入(rù),如今(jīn)各种政务云、数据中心、大(dà)数据平(píng)台(tái)建(jiàn)设此起彼伏,催生(shēng)了公有(yǒu)云、私(sī)有云、混合(hé)云(yún)等不同的业务应用方式,纷繁复杂的业务部署方式导致了原有的安全保障体系和密(mì)码应用模式无法完(wán)全的适应安全风险和需求。尤其是在公有(yǒu)云模式下,对业务应用的安全(quán)防护需(xū)要依赖云平台运营商的设(shè)备能力、技术能力和运维(wéi)能力,同(tóng)时其数据(jù)安全和密钥安全也(yě)存在极大的(de)安全隐患。结合云服务(wù)的(de)发展路(lù)线,将密码及安全能力以服务的方式(shì)输出可以有效(xiào)的适应云场景下(xià)的网络和(hé)信息安全保障需(xū)求。以专业(yè)的安全厂商提供的专业(yè)服务模式替代传统的产(chǎn)品交(jiāo)付的“交钥匙”模(mó)式,一方面可以降低用户保障安全和(hé)密码应用的(de)采购、建设和运维成本;另一方面可以实(shí)时获得持续迭代(dài)更(gèng)新(xīn)的安全服务保(bǎo)障,以(yǐ)应对复杂多样且不断演(yǎn)化的(de)网络风险(xiǎn)和(hé)攻击模式,并以此为基础带来更加精准合规的安全保障能力(lì),为(wéi)数(shù)字中国所面临的社会治理、惠民服务(wù)和产业(yè)数字经济(jì)发展提出(chū)基础支撑(chēng)。应该说密码服务化、专业化、精(jīng)准化、泛在化、合规性是数字中国信息化建设的一个必然趋势。 在数字(zì)社会(huì)复杂的网(wǎng)络空(kōng)间中(zhōng),业务(wù)交互复(fù)杂多样,并与云计算、大数据、移动互联网等新(xīn)兴技术深度融合,带来了一系列技术挑战,如(rú)泛在接入的海量实(shí)体在数字空间的认证(zhèng)互(hù)信、多云接入场景下(xià)的一体化安全支撑、跨平台密钥(yào)管理能(néng)力按(àn)需(xū)应用、个人隐私及商业秘密(mì)信息的保护、网络空间信任的构建(jiàn)等(děng),诸如此类都(dōu)需要(yào)我们(men)基于(yú)传统的(de)技术进一步思考和突(tū)破,也是我们密(mì)码服务研(yán)究的初(chū)衷。希望通过密码服务的研究(jiū)和推进,构建以(yǐ)密码服务平台为总枢纽的全国一体化密(mì)码服务能力体系,支撑国(guó)家商用(yòng)密码应用的有序推(tuī)进,为推动政(zhèng)府治理现代(dài)化、强化国家监管能力提供强劲助力。
三、卫士通基于云(yún)模式(shì)实(shí)施密码服(fú)务新模式(shì) 基于此,卫士通提出了基于(yú)安全可信的(de)云基础设(shè)施构建密码服务(wù)平台的(de)可行思路(lù)。密码服务平台提供便捷易(yì)用的密(mì)码调用服务(wù)接口,便于(yú)业务应用开发商快(kuài)速使(shǐ)用密码(mǎ),并(bìng)有效联通多(duō)个云(yún)服务平台(tái),按需提供密(mì)钥管理(lǐ)和服务入口,实现(xiàn)平台间(jiān)联(lián)动,在用(yòng)户保有密钥的前提下避免用(yòng)户使用密钥的复杂操作。以(yǐ)密码(mǎ)服务(wù)平台为基础打造完善的(de)密码(mǎ)应(yīng)用(yòng)服务体系。基于密码服务云的(de)密(mì)码运算资源(yuán)提供扩(kuò)展(zhǎn)的密码应用服务(wù),直接为云平台(tái)及业务应用(yòng)提供密码(mǎ)应用支撑,并以此为枢纽拓展(zhǎn)以密码服务为核心的互联网信任服务(wù)生态,支撑网络空间安全。 卫士(shì)通密码服务云是(shì)基于商用(yòng)密码和自主可控(kòng)技术、服务(wù)于政务、行(háng)业(yè)等国家重要领域(yù)及(jí)广泛(fàn)互(hù)联网(wǎng)应(yīng)用的服务平台,密码服务云(yún)依托敏捷弹性的云(yún)计算密(mì)码资(zī)源和安全基础设(shè)施,为用户终端、物联网终(zhōng)端等网络(luò)实体以及业务应(yīng)用提供了层次化(huà)的密码服务体系(xì),包(bāo)括基于(yú)商用密码算法的(de)基(jī)础密码服务、面向业务需求(qiú)的应用密码服务和数据安全密码服务,并提(tí)供了统一身份认证(zhèng)、电子印章服(fú)务、移动安(ān)全服务(wù)等基(jī)于密码的(de)运(yùn)营服务平(píng)台。 卫(wèi)士通对密码服务(wù)云的服务模式进行了探索和应用,在各(gè)个层次形成了具体的应用(yòng)案例,如以统一认证为(wéi)基(jī)础的互联网信任服务平台、以安全接入服务商提供了(le)吉林某地(dì)区(qū)的安全移(yí)动(dòng)办公接入服务、以第三方密钥管理(lǐ)服务提供商提(tí)供(gòng)了企(qǐ)业(yè)微信加(jiā)密服(fú)务(wù)以及以商用密(mì)码为核心的即时通信及安全邮件应用(yòng)等等。
四、总结(jié) 基于卫士(shì)通密码服(fú)务云(yún)的探(tàn)索和实践,我们现在认识到,数字转型期需要大力发展密码与安全服务,打造密码服务云,通过云服务的(de)模式面向(xiàng)互联网、移(yí)动互联网、大数据、物联网乃至更多公共服务领域提供更加丰(fēng)富多(duō)样的服务,为智慧城市、政(zhèng)务云和大(dà)数据平(píng)台提供安全的资源访问和完善的数据(jù)防(fáng)护,支撑数字中国的建设。 为此,我们也提出几点建(jiàn)议,首先在(zài)国家(jiā)层面,推(tuī)进顶层(céng)规(guī)划,制定完善密码服(fú)务云平台相关等标准规范、应用指(zhǐ)南。其次,针对(duì)密(mì)码服(fú)务云,制定相关科(kē)技专项支(zhī)撑,通过专项的牵引(yǐn)对有待突破的技术问题(tí)进行(háng)进(jìn)一(yī)步(bù)的研究,攻克相(xiàng)关(guān)的难点。另(lìng)外,结合国家近期发布(bù)的(de)36号文,在智慧城市、政务、互联网、物联网(wǎng)等(děng)不同应(yīng)用领域,选取(qǔ)典(diǎn)型(xíng)应用进行密码服务云试点示范(fàn),积(jī)极探索和发展密码服务保障的新模式,为数字中国发展、网(wǎng)络空间信任服(fú)务(wù)体系建(jiàn)设及面(miàn)向政务、行业、企业以及公众(zhòng)服务等领域(yù)的密码安(ān)全(quán)保(bǎo)障(zhàng)奠定(dìng)基础。
