记者����:2020年4月(yuè)20日国家发改委相关负责人首次明确新型基础(chǔ)设施的范围����,请问新型基础设施具体(tǐ)包括(kuò)哪些(xiē)内容���,又有哪些(xiē)特性���?
董贵山���:新型基础设施主要包括三(sān)个方面内容����:一是信息基(jī)础设施����。主(zhǔ)要是指(zhǐ)基于新一代(dài)信息技术演化(huà)生(shēng)成的基础设施��,比如���,以5G�����、物联网���、工业互联网(wǎng)�����、卫星互联网为(wéi)代表(biǎo)的(de)通信网络基础设施���,以人工智能�����、云计算����、区块链为代表的新技(jì)术基础设施(shī)�����,以数据中心���、智(zhì)能计(jì)算(suàn)中心为代表的算力基(jī)础(chǔ)设施等���;二是融合基础设施���。主要是指深度(dù)应用互联网(wǎng)����、大数(shù)据����、人工智(zhì)能等技术��,支撑传统基础设施转(zhuǎn)型升级��,进而(ér)形成的融合基础设施����,比如��,智(zhì)能交(jiāo)通基础(chǔ)设施��、智(zhì)慧能源基础设施等���;三是创新基础设施�����。主要是指支(zhī)撑科学研究����、技术开发����、产(chǎn)品(pǐn)研(yán)制的具有公(gōng)益属性的基础设(shè)施(shī)�����,比(bǐ)如����,重大(dà)科技(jì)基础设施����、科教基(jī)础设施���、产(chǎn)业技术创新基(jī)础设(shè)施等���。
从(cóng)以上三个方(fāng)面(miàn)的分(fèn)类来(lái)看����,新型(xíng)基础设施是未来引领数字经济发展的关键载(zǎi)体和支(zhī)柱���,覆(fù)盖了网络通信��、信息计(jì)算���、新(xīn)兴技术领域���、行业(yè)性融合平台以(yǐ)及科研支撑平(píng)台�����,将成为数字中国在网(wǎng)络(luò)空间“数字孪生(shēng)”的沃土和通路(lù)���。网络安全作为新基建(jiàn)�����、数字(zì)经济发展的基(jī)石��, 也受到(dào)了广泛的关(guān)注与(yǔ)重视���。
新型基础设施(shī)具备基础平台支撑��、海量(liàng)数据汇聚����、广(guǎng)泛实体接(jiē)入���、泛在服务交付四大特性(xìng)���。“基础平台支撑(chēng)”体(tǐ)现了新型基础(chǔ)设(shè)施的总体(tǐ)定位���,不(bú)管是信息基(jī)础设施��、融合基础设施还是创新(xīn)基础设施��,都具(jù)有显著的基础性和平台性���,是网络(luò)通信����、信息服(fú)务和(hé)科(kē)研(yán)创新的基(jī)础支撑����;“海量数据汇聚”“广泛实体接入(rù)”体现(xiàn)了新(xīn)型基础设施的平台价值(zhí)���,信息(xī)基础设(shè)施和融合基础(chǔ)设(shè)施汇(huì)聚(jù)了(le)海量的通信(xìn)数据���、行(háng)业数(shù)据和科研数据����,提供网络互联平台����,为(wéi)广泛的(de)网络实体提供网络接入和服务功能����;“泛在服(fú)务交(jiāo)付”体现了新型基础设施(shī)的交付模式(shì)���,不管是传统基础设施还是信息基础设施(shī)����,均是(shì)采用服务化的价值交付模式���,结合互联网泛在接入����、网络(luò)互(hù)联的特点��,新型基础设施(shī)能够为广泛的网(wǎng)络实体提(tí)供泛在化的服务(wù)覆盖���,最大化平台价值�����。这四大特性无(wú)一不代表着巨大的数据价值和平台价值����,对网络攻击(jī)者具有极高(gāo)的诱惑力���,存在(zài)极大(dà)的安全风险���。
记(jì)者��:密码技(jì)术在新基建中扮演什(shí)么样的角色��?
董贵山��:“网络(luò)安全与信息(xī)化是一体(tǐ)之两翼���,驱动之(zhī)双轮”�����。安全是发(fā)展(zhǎn)的保障��,发(fā)展是安全的目的��,网络安全和信息化建设互相(xiàng)依存(cún)����、协调共生���。新型基础设施建设是(shì)“云(yún)大物移智(zhì)”的(de)有机聚(jù)合和结构化升级����,网络(luò)安全风险(xiǎn)也覆盖了(le)信息服务平台���、IoT设(shè)备����、PC端���、移动端(duān)��,这些承载着新基建业务��、数据(jù)和服务的载体(tǐ)正在时刻接受海(hǎi)量网络攻(gōng)击的考验(yàn)���,如何(hé)全面保障(zhàng)新型(xíng)基(jī)础设(shè)施安(ān)全也受到了业界(jiè)的广泛关注���。新型基础设施作为国家级的网(wǎng)络(luò)信息服务平台��、行业融合支撑平台(tái)和(hé)科研平台����,应参考关键信息(xī)基础设(shè)施的(de)相关要求进行安全防护设计和建设工作���,同时(shí)针对新(xīn)基(jī)建各领域特定场景(jǐng)进行定制化防护(hù)��。传统的网络安全防护体系多具有通用性和普适(shì)性(xìng)���,无法(fǎ)细粒度的涵盖到特定场景和业务数据流转方面���,而密码(mǎ)技术(shù)因其技术特点和(hé)防护理念能够深入到业务场景(jǐng)之中�����,与业务应用进行深入融合��,像为士兵穿上“盔甲”一样���,为防护对象提供“贴身防护”能力���。
密码是保障网络和(hé)信息安全最有效���、最可靠(kào)��、最经济的关键(jiàn)核心技术(shù)�����,是网络(luò)安(ān)全的最后一道防(fáng)线���,能够(gòu)为新基(jī)建的“基础平台支撑(chēng)��、海量数据(jù)汇聚���、广泛(fàn)实体(tǐ)接入���、泛在服务交付” 四大特性提供针对性的防护���。
(1)密码(mǎ)为“基(jī)础(chǔ)平台支撑”构筑完善的(de)安全防护体系��。
新型(xíng)基础设施为国家(jiā)信息化(huà)建设提供新一代的基础支撑平台����,其平台价值(zhí)极高���,因此需(xū)要完(wán)善的安全防(fáng)护能力���。密码技术在网络安(ān)全防护体系中位居(jū)核心和基础地位���,依(yī)靠密码(mǎ)技术和网络安全(quán)技术能够打造集感知安全����、传(chuán)输安全���、存储(chǔ)安全����、计算安全��、处理安全(quán)����、应用安全于一体的安(ān)全(quán)防护能力�����,构建以密(mì)码技术为核心����、多种技术相(xiàng)互融合的新网(wǎng)络安全体系���, 构筑新基建安全(quán)防护体系���。
(2)密码为“海量数据汇聚”建(jiàn)立(lì)坚实的数据保护能力����。
新(xīn)型基础设施是基(jī)于(yú)多种功能����、多种要素����、多种技术的体系化集成�����,支撑着(zhe)跨领(lǐng)域���、跨平台和跨系统的数(shù)据交换和信息共享���,提供海量(liàng)数据分(fèn)析����,实现数据的互操(cāo)作和流程协同����。密(mì)码技(jì)术提(tí)供(gòng)的(de)数据加密(mì)存储��、可信数据汇聚��、安全数据共享���、数据流转确权能够实现(xiàn)数据的(de)全生命周期安全��,并(bìng)对(duì)敏感数据���、个人隐私数据提供针对性的(de)数据脱敏��、数据加密和数(shù)据隐藏(cáng)能力���,将防护能力深入(rù)到业务流转之中����。
(3)密(mì)码为“广(guǎng)泛实(shí)体接入”提(tí)供安全的(de)鉴(jiàn)别防(fáng)护机制���。
新型基(jī)础设(shè)施的(de)部(bù)分重点领域如(rú)铁路��、公(gōng)路����、电网��、通信����、管网(wǎng)等����,为规模化的(de)网络(luò)实体接入建设网(wǎng)络互联(lián)平台����,实现实体的广泛接入(rù)和互联通(tōng)信��。网络互(hù)联平台的安(ān)全稳定运行成(chéng)为了新型基础设施建设实现价值(zhí)的前提����。基于密码技术为网络实体(tǐ)建立安全(quán)的(de)数据执行和存储环境����,基于(yú)密码技(jì)术(shù)建立平台侧与网络(luò)实体之(zhī)间的(de)可信(xìn)鉴别和安全传输(shū)机制(zhì)�����,两(liǎng)者结合构建从终(zhōng)端侧到平(píng)台侧的安全接入环境�����,有效的保护平台(tái)外延的网(wǎng)络(luò)实体安全���,保(bǎo)障新(xīn)型基础设施(shī)的网络实体(tǐ)安全和(hé)边界接入安(ān)全���。
(4)密码为“泛在服务交付”构建泛(fàn)在的密码服务能力��。
从新型基础设施的(de)建设领域如智慧城市����、物联网���、车联网���、充电桩可以看出���,核心价(jià)值是(shì)为数字经济广大领域提供泛在化(huà)的服务���,将基础能力(lì)提供给更多(duō)的企业����、组织和个人去(qù)使用��,拓展服务(wù)范围(wéi)�����,让更多人(rén)享受数字经济发展的红利(lì)���。泛在的服务能力一方面需要服务(wù)于各行业领(lǐng)域(yù)����,密码技术需要(yào)依托各行业领域特性提供相适应的防(fáng)护能力��,另一方面需要延(yán)伸(shēn)到海量的(de)网络实体��,这些网络实体是(shì)新型基础设施建设的价值延(yán)伸(shēn)和受益主体���,同(tóng)时也会成为网络(luò)攻击的薄弱点和攻击(jī)点���,成为(wéi)攻击平(píng)台的跳板��。为此���,需(xū)要建立泛在化的(de)密码保障机制����, 为广大行业领(lǐng)域提(tí)供泛在(zài)的密码服务接入(rù)能力���,为移动终端(duān)���、PC端�����、IoT终端提供体系化(huà)的密码防护能力(lì)����,有力的支(zhī)持新基建泛在服务的安全稳定和可管可控��。
新型基础设施建设一方面兼具关键信息基础设施的(de)价值定位(wèi)����,另(lìng)一方面融合新(xīn)兴技术��、新兴(xìng)领(lǐng)域的业务特(tè)点(diǎn)���,具有(yǒu)较高的复(fù)杂性和先进性��。因此需要(yào)基于密(mì)码技术为(wéi)新型(xíng)基(jī)础设施设计建(jiàn)设完善(shàn)的网络安全(quán)防护体系���。
记(jì)者���:密码法的发布对新基建(jiàn)的推动工作有哪(nǎ)些影响��?
董贵山���:当前(qián)���,密码(mǎ)的价值得到(dào)了广泛的重视���,2020年1月(yuè)1日(rì)����,《中华人民(mín)共和国密码法》正式实施�����,2020年成(chéng)为(wéi)了“密(mì)码法元年(nián)”��,密码法对密码进行明确的定义���,密码是指采用特定变换的方法对(duì)信(xìn)息进行加(jiā)密保(bǎo)护��、安全认(rèn)证的技术�����、产品和服务���。其中(zhōng)���,商用(yòng)密码用于保护不(bú)属于国家秘密的信息����,公民���、法人和其他组织可以(yǐ)依法(fǎ)使用商用密码保(bǎo)护网络与信(xìn)息(xī)安全(quán)���。商用密码具备机密性���、完整(zhěng)性���、真实性和不可否认性四大防护特性���,能够应对网络安(ān)全的数据(jù)泄露���、数据篡改��、身份(fèn)仿冒和行为否认(rèn)等风险���。
商用密码是我国自主(zhǔ)完善的技(jì)术体系���,经(jīng)过(guò)二十余年的发展(zhǎn)和演(yǎn)进����,提出了包含SM1���、SM2���、SM3���、SM4�����、SM7����、SM9和ZUC算法(fǎ)的(de)一套完整自洽的商用(yòng)密码算法体系���,建立了覆盖密(mì)码算法����、密码协(xié)议����、密码功(gōng)能接口(kǒu)���、密码产品规格����、密码应用要(yào)求和测(cè)评规范的一套完善的标准体系����,形成了以密码芯片����、密(mì)码板(bǎn)卡�����、密码整(zhěng)机和密码系统等传统产品(pǐn)为主��,多种产(chǎn)品形态和(hé)应用模(mó)式并现的(de)产品体系����。
商(shāng)用(yòng)密码的建设(shè)受到了(le)政策����、法规���、标准�����、规范的全(quán)面推动��。以(yǐ)法规奠定(dìng)密码法制基础���,国家相继出台了网络(luò)安全法����、密码法���,加速数据(jù)安(ān)全法����、个人信息(xī)保护法立法进(jìn)程��,旨在规范网络安全����,以法理奠(diàn)定(dìng)密码的核心定位�����;以政策推动密码按需建设���,国家在关键信息基(jī)础设施(shī)���、政务信息化建(jiàn)设(shè)���、信创产(chǎn)业等方面均以政策文件的(de)方式(shì)明确了密码是网络安全和信息化建设的重要组(zǔ)成部分(fèn)����;以标准构建(jiàn)密码(mǎ)使用基线��,网络(luò)安全等级保护标准体(tǐ)系的升(shēng)级明确了密(mì)码在等保定级和合规防护方面的基本要求��,密(mì)码行(háng)业(yè)标准体系的快速增补也在(zài)全面完善(shàn)密码技(jì)术和产品(pǐn)的合规应用��;以测评保障密码应用(yòng)合(hé)规��,参考网络安全等级保(bǎo)护(hù)的测评机制和测评要(yào)求(qiú)�����,密码行(háng)业出台了密码应(yīng)用安全性评估制度����,以测评来明确密码(mǎ)应用的合规(guī)性����、正确性和有效性��,从而(ér)保障密码应用设计的完备性和密码产品在各个(gè)环(huán)节的正确有(yǒu)效使(shǐ)用���。
新型基础设施建设同(tóng)样需要(yào)密(mì)码技术的保(bǎo)障���,无(wú)论是从合法合规角(jiǎo)度还是消除安全风(fēng)险(xiǎn)角度来看����,密码技术都是新型基(jī)础设施网络安全的(de)最后一道(dào)防线�����。
从基础设施这个词汇(huì)来看����,密码(mǎ)行业同样存(cún)在一个基础设施——公(gōng)钥密(mì)码基础设施(Public Key Infrastructure����,PKI)���,公(gōng)钥密码基础设施(shī)是一(yī)个包括硬件���、软(ruǎn)件(jiàn)���、人员���、策略和(hé)规(guī)程的集合����,用(yòng)来实现基于公钥密码体制的密钥和(hé)证(zhèng)书的(de)产生���、管理���、存储����、分发和(hé)撤销(xiāo)等功能���,目前(qián)已广泛应用(yòng)于政务���、金融��、电力等构架关键信息基础设施领域���,为其提供可信(xìn)的(de)密钥(yào)和证书管(guǎn)理���,建立网络安全的可信(xìn)根(gēn)��。
新(xīn)型(xíng)基础设(shè)施继承了传统基础设施建设的服(fú)务化特(tè)性��,通过端到端(duān)的服务模式创造和交(jiāo)付价值����,这一模式特(tè)性要求(qiú)密码支(zhī)撑能(néng)力能够提供(gòng)相匹配的能力���,PKI更倾向于传统的安全基础设施���,提供基(jī)础通用的密码支撑能(néng)力��,对(duì)新型(xíng)基础设施建(jiàn)设的密码需求的匹配性不(bú)高����。
新型(xíng)基础设(shè)施的基(jī)础平台支撑要求密码支(zhī)撑提供灵(líng)活(huó)弹性(xìng)可伸(shēn)缩的服(fú)务能力���,海量数据汇聚要求密码(mǎ)支撑提供融(róng)合数据全生(shēng)命周期(qī)的数据防护能力���,广泛(fàn)实体接入要求密码支撑(chēng)提(tí)供(gòng)平(píng)台化的通信保护和接入(rù)管控(kòng)能力����,泛在服务(wù)交付要(yào)求(qiú)密码支(zhī)撑提供服务化(huà)的(de)密码交付能力(lì)���,让新基建的受益者能够享受经过(guò)密码防护的安(ān)全新基建服务���。这些(xiē)能力都是传统的密码建设(shè)模式无法全面响应的����。为此(cǐ)我们提供建(jiàn)设以密码服务平(píng)台为核心的新型密码管理(lǐ)与服(fú)务基础设施��,应(yīng)对新型(xíng)基础设施泛在(zài)互(hù)联海量支撑的平(píng)台特性(xìng)提供泛在(zài)化����、平台化的密码服务能力和一窗式����、多维度的密码(mǎ)管(guǎn)理能力(lì)���。
记者���:新基建场景中����,您(nín)认(rèn)为这种新(xīn)的密码服务模式能够带来什么价值����?
董贵山���:基于(yú)我(wǒ)上(shàng)述提到的目标����,卫士通提出了集密(mì)码服(fú)务与(yǔ)密码管理为(wéi)一体的密码服务平台(tái)的理念模(mó)型����。在该模型的服务侧���,密码服务平台包括层(céng)次化密码服务(wù)��、通(tōng)用(yòng)密码(mǎ)中间件和(hé)API网关���,通过标准化集(jí)成能力(lì)集成优秀的密码系(xì)统(tǒng)和密码设(shè)备��;通过资源(yuán)虚拟化(huà)和微服务化(huà)设计对外提供(gòng)覆盖基础密码服务���、通用密码服(fú)务和安全应用服务的(de)层次化密码服务能力��;通过通用密码中间件封装层(céng)次化密码服务(wù)接口为(wéi)应用提供(gòng)一站式(shì)的密(mì)码集成(chéng)能力���;依(yī)托API 网关与(yǔ)管理侧协同实现对应用(yòng)的接入认证和访(fǎng)问控(kòng)制���。在管(guǎn)理侧���,密码服务平台通过密码设备与(yǔ)服务管理(lǐ)提(tí)供统一的访问入口和管(guǎn)理界面����,支持租(zū)户����、应(yīng)用����、设备����、服务和订单的多维(wéi)度管理����,对(duì)使(shǐ)用情况进(jìn)行信息统计和可视化展现���,支撑(chēng)外部的密(mì)码(mǎ)监管和安全运营���;各类平台用(yòng)户(hù)可以通过(guò)统一(yī)访问(wèn)入口进行登录认(rèn)证�����,完(wán)成各自的(de)管理职责(zé)����。
密码服务平台提出“密码可用���、密码好用����、密码能管(guǎn)��、密码(mǎ)好管”的四大服务(wù)目标�����。在密码可用方(fāng)面���,通过密码虚拟化����、层(céng)次化密码服务应对目前密码资(zī)源使用率低��、密码技术(shù)使用不(bú)当��、对(duì)新业务场(chǎng)景适应性不(bú)强的问题��;在密(mì)码(mǎ)好用方面��,通(tōng)过(guò)通用密码(mǎ)中间件���、标准化(huà)集(jí)成能力应对密码与应用对接困难(nán)���、密码(mǎ)服务接(jiē)口不一致以及已(yǐ)建密码资源难以(yǐ)利旧的问题���;在(zài)密码能管(guǎn)方(fāng)面����,通过API网关����、密码设备(bèi)与服务管理应对业务应用(yòng)情(qíng)况(kuàng)不(bú)可(kě)控���、密码使用情况不可(kě)见以及密码资源无法统一管理等(děng)问题��;在密(mì)码好管方面����,通过密码服务(wù)的使(shǐ)用计量(liàng)和专业化技术团(tuán)队应对密码整体态势(shì)无法获取���、密码(mǎ)使(shǐ)用(yòng)应急(jí)能(néng)力不足以(yǐ)及使用计(jì)量(liàng)困难(nán)等问题����。
针对(duì)新型基础设施的场景要求���,密码服务平台在基础密码服务方面能够提供海量密钥和证书服务能力��、适应(yīng)物联(lián)网���、车联(lián)网的多元化证书签发和管(guǎn)理能力以及覆盖全网的密(mì)码监管和(hé)管理(lǐ)能(néng)力(lì)��;在通(tōng)用密(mì)码服务(wù)方(fāng)面能够提(tí)供联接(jiē)人机物的异构统一身份(fèn)认(rèn)证服务(wù)能力�����、数(shù)据流转(zhuǎn)管控(kòng)与追溯机制���、物联网设(shè)备的统一标识管理能力(lì)����、车联网平台的电(diàn)子地图安全管控服务和(hé)车端密码支撑能(néng)力(lì)等针对性(xìng)的密码服务能(néng)力��。
记者��:您(nín)认为应该(gāi)从哪些方面(miàn)推进新基建领域(yù)密码(mǎ)应用建设工作����。
董(dǒng)贵山����:新基建是数字中国发展的“新”阶段(duàn)��,密码服务是密码(mǎ)行业(yè)发展的“新”模(mó)式(shì)��,两“新”碰撞(zhuàng)����,迸(bèng)发新机����,以新(xīn)的密码服务模式保障新(xīn)基(jī)建的“内生安全”���。因此(cǐ)为保障密码(mǎ)在新基建中发挥更好的安全支撑作用���,需从多(duō)个角(jiǎo)度推进新基建领域(yù)密码应用建设工作(zuò)���。
一是通过政策推动�����、业务驱(qū)动等推进密码在新基建领域的广(guǎng)泛部署���,立足密码作为网络安全的(de)“内(nèi)置基(jī)因(yīn)”定位�����,实现新基建的“内生安全(quán)”����,推动密码在新(xīn)基建的建设和示(shì)范���,形(xíng)成新(xīn)基建各典型领域密码应用最佳(jiā)实(shí)践���。
二是从项(xiàng)目建设����、场景需求中提炼业务场景和技术需求����,开展密码(mǎ)技(jì)术突破和产品研制��,从而能够实现密码技术与(yǔ)新基建各领域的深(shēn)度融合(hé)���,以密码服务支撑基础设施对外安全服(fú)务���。三是落实国家网(wǎng)络安全等(děng)级保(bǎo)护相关要求和密码应用建设的(de)相关(guān)要求��,在新型基础设施建设过程中要(yào)同步规划��、同步建设(shè)��、同步运行密码保(bǎo)障系(xì)统并定期进行评估����。在规划过程中(zhōng)���,要(yào)立足新型基础设施安(ān)全要求����,站在整体角(jiǎo)度设计(jì)密码(mǎ)应用方案(àn)��,在建设(shè)过(guò)程中����,把密码服务融入到整体架构中���,新型基(jī)础设施(shī)需(xū)与密(mì)码保障(zhàng)体系同步运行(háng)��,并通过定期安全评估���、密码应用安全性评(píng)估等手段���,持续保持密码应用的有效性和安(ān)全性��。
