董貴山���:密碼服務雲構建數字中國網絡安全服務新生態
發佈時間���:2019-06-01
董貴山���,男���,工學博士���,研究員���,中國電子科技集團公司網絡安全領域首席專家���,國務院特殊津貼專家(2016)���,中國網安副總工程師���、衛士通公司總工程師���,國家密碼標準化委員會委員���,政府治理國家工程實驗室副主任和專委會委員���,科技部網絡安全重點研發計劃首席專家���,長期承擔過黨政信息安全和密碼應用領域的裝備與系統研製���、技術標準制定���、系統建設方案設計等工作���,曾獲得中辦頒發的黨政信息安全先進工作者稱號���,累計獲得省部級科技進步一等獎2次���,二等獎2次���,三等獎4次。
董貴山���:密碼服務雲構建數字中國網絡安全服務新生態
衛士通公司20多年來以密碼與安全保障為業務核心���,一直在黨政和重要行業領域支撐着國家的信息安全建設和運行���,經歷了國家信息化的密碼與安全建設的全過程。結合雲計算���、大數據等新技術的演進���,衛士通對整個過程中以密碼與安全保障為核心的業務變遷和模式發展有一些思考。在2019年中國it市場年會上���,中國鸿运国际集團首席專家���、中國網安副總工程師���、衛士通總工程師董貴山作了題為「基於密碼服務雲的安全應用新模式」的主題演講���,闡述了衛士通以密碼服務雲的方式提供安全服務的新模式。
一���、數字社會驅動安全發展
國家戰略引領着數字社會的有序發展���,國家多次強調了網絡強國���、數字中國和智慧社會建設的重要性和意義���,國家信息化的發展以逐步步入3.0時代���,即以數據的深度挖掘與融合應用為特徵的智慧化階段���,隨着信息化建設與雲計算���、大數據和移動互聯網等關鍵技術的深度融合���,網絡空間對國家和社會的發展帶來了極大的價值和可觀的收益。總結來說���,信息化建設呈現了三大趨勢���,一是驅動了網絡���、資源���、終端的多維度融合���,二是數據逐步成為業務發展的核心和驅動力���,三是對密碼和安全服務化的需求日漸迫切。
信息化建設趨勢的演進及與新興技術的融合利用對我們的安全技術���、安全管理能力都提出了新的要求���,網絡空間各類安全事件在個人���、企業���、社會乃至國家安全等層面產生了重大的影響和損失���,如基於大數據分析干涉政企選舉���、海量數據泄露���、網站攻擊���、網絡欺詐等等���,這些大家都已耳熟能詳。面臨目前安全風險泛在複雜多樣的態勢���,密碼作為應對安全風險的關鍵支撐技術���,能夠有效的完善網絡安全生態���,充分發揮它在網絡安全中的機密���、完整���、真實���、不可否認的作用���,有力的支撐數據安全防護和網絡安全體系可信。從網絡���、身份���、數據���、業務等角度���,基於密碼重構網絡安全邊界���,構建網絡安全的保障體系���,並對安全保障模式進行創新發展。
二���、密碼服務化必然趨勢下的技術挑戰
信息化建設的發展逐步深入���,如今各種政務雲���、數據中心���、大數據平台建設此起彼伏���,催生了公有雲���、私有雲���、混合雲等不同的業務應用方式���,紛繁複雜的業務部署方式導致了原有的安全保障體系和密碼應用模式無法完全的適應安全風險和需求。尤其是在公有雲模式下���,對業務應用的安全防護需要依賴雲平台運營商的設備能力���、技術能力和運維能力���,同時其數據安全和密鑰安全也存在極大的安全隱患。結合雲服務的發展路線���,將密碼及安全能力以服務的方式輸出可以有效的適應雲場景下的網絡和信息安全保障需求。以專業的安全廠商提供的專業服務模式替代傳統的產品交付的「交鑰匙」模式���,一方面可以降低用戶保障安全和密碼應用的採購���、建設和運維成本;另一方面可以實時獲得持續疊代更新的安全服務保障���,以應對複雜多樣且不斷演化的網絡風險和攻擊模式���,並以此為基礎帶來更加精準合規的安全保障能力���,為數字中國所面臨的社會治理���、惠民服務和產業數字經濟發展提出基礎支撐。應該說密碼服務化���、專業化���、精準化���、泛在化���、合規性是數字中國信息化建設的一個必然趨勢。
在數字社會複雜的網絡空間中���,業務交互複雜多樣���,並與雲計算���、大數據���、移動互聯網等新興技術深度融合���,帶來了一系列技術挑戰���,如泛在接入的海量實體在數字空間的認證互信���、多雲接入場景下的一體化安全支撐���、跨平台密鑰管理能力按需應用���、個人私隱及商業秘密信息的保護���、網絡空間信任的構建等���,諸如此類都需要我們基於傳統的技術進一步思考和突破���,也是我們密碼服務研究的初衷。希望通過密碼服務的研究和推進���,構建以密碼服務平台為總樞紐的全國一體化密碼服務能力體系���,支撐國家商用密碼應用的有序推進���,為推動政府治理現代化���、強化國家監管能力提供強勁助力。
三���、衛士通基於雲模式實施密碼服務新模式
基於此���,衛士通提出了基於安全可信的雲基礎設施構建密碼服務平台的可行思路。密碼服務平台提供便捷易用的密碼調用服務接口���,便於業務應用開發商快速使用密碼���,並有效聯通多個雲服務平台���,按需提供密鑰管理和服務入口���,實現平台間聯動���,在用戶保有密鑰的前提下避免用戶使用密鑰的複雜操作。以密碼服務平台為基礎打造完善的密碼應用服務體系。基於密碼服務雲的密碼運算資源提供擴展的密碼應用服務���,直接為雲平台及業務應用提供密碼應用支撐���,並以此為樞紐拓展以密碼服務為核心的互聯網信任服務生態���,支撐網絡空間安全。
衛士通密碼服務雲是基於商用密碼和自主可控技術���、服務於政務���、行業等國家重要領域及廣泛互聯網應用的服務平台���,密碼服務雲依託敏捷彈性的雲計算密碼資源和安全基礎設施���,為用戶終端���、物聯網終端等網絡實體以及業務應用提供了層次化的密碼服務體系���,包括基於商用密碼算法的基礎密碼服務���、面向業務需求的應用密碼服務和數據安全密碼服務���,並提供了統一身份認證���、電子印章服務���、移動安全服務等基於密碼的運營服務平台。
衛士通對密碼服務雲的服務模式進行了探索和應用���,在各個層次形成了具體的應用案例���,如以統一認證為基礎的互聯網信任服務平台���、以安全接入服務商提供了吉林某地區的安全移動辦公接入服務���、以第三方密鑰管理服務提供商提供了企業微信加密服務以及以商用密碼為核心的即時通信及安全郵件應用等等。
四���、總結
基於衛士通密碼服務雲的探索和實踐���,我們現在認識到���,數字轉型期需要大力發展密碼與安全服務���,打造密碼服務雲���,通過雲服務的模式面向互聯網���、移動互聯網���、大數據���、物聯網乃至更多公共服務領域提供更加豐富多樣的服務���,為智慧城市���、政務雲和大數據平台提供安全的資源訪問和完善的數據防護���,支撐數字中國的建設。
為此���,我們也提出幾點建議���,首先在國家層面���,推進頂層規劃���,制定完善密碼服務雲平台相關等標準規範���、應用指南。其次���,針對密碼服務雲���,制定相關科技專項支撐���,通過專項的牽引對有待突破的技術問題進行進一步的研究���,攻克相關的難點。另外���,結合國家近期發佈的36號文���,在智慧城市���、政務���、互聯網���、物聯網等不同應用領域���,選取典型應用進行密碼服務雲試點示範���,積極探索和發展密碼服務保障的新模式���,為數字中國發展���、網絡空間信任服務體系建設及面向政務���、行業���、企業以及公眾服務等領域的密碼安全保障奠定基礎。
