01 宏(hóng)观政策为密码泛在化保驾护航
密码是保(bǎo)障网络(luò)空间安全的核心技(jì)术和基础支撑(chēng)���。过去����,密码主要用来(lái)保护重要(yào)IT系统的(de)通信与存储安(ān)全问题����,普通老(lǎo)百姓很少和它打交(jiāo)道����。如今(jīn)����,密码已经应用到(dào)各行各业��,影响(xiǎng)我们生活的(de)方方面面��。密码(mǎ)产品也从传统的密码(mǎ)机���、密钥管理(lǐ)系统等整机形态��,衍生发(fā)展为安全(quán)芯片(piàn)����、软件(jiàn)密码模块��、IP核���、密码(mǎ)板卡等不同(tóng)形态��,密码和(hé)IT技术呈现融合发展的趋势���,密码的服务化更是打破了密码产品的形态(tài)限制����。密码(mǎ)应用已(yǐ)经呈(chéng)现出多元化���、融(róng)合化����、泛在化等新特点���。
近年来����,我(wǒ)国(guó)不断健全密码相(xiàng)关的政策(cè)法规����,先后制定和实施(shī)了网络安全法����、密码(mǎ)法��、36号文����、GM/T0054��、等保 2.0标准等系列法规(guī)政策(cè)标准���,从顶层(céng)构建了密码与网信事业(yè)的(de)宏伟蓝图���。在宏观政策的指引下��,我国密码事业经历了从无(wú)到有���、从初创(chuàng)到规(guī)范完善的(de)阶段��,取得(dé)了跨越式的发展����,这(zhè)也为全面推进密码(mǎ)工作和密码泛在化应(yīng)用奠定了(le)坚实有力的基础���。
02 安全风险(xiǎn)呈现泛在化趋势
物(wù)联网���、云计算��、5G����、大数据(jù)����、人工智能等创新(xīn)技术(shù)正在加速驱动物理世(shì)界(jiè)与信息世界的融合�����。我们在享受高新(xīn)技(jì)术带来(lái)的信息红利的同(tóng)时��,也无形(xíng)中打破了固有的网络边界����,加剧了信息泛在化的发展趋势����。物理世界与信息空(kōng)间的(de)泛在融合����,也将物理(lǐ)空间的违法破(pò)坏行为引入虚(xū)拟世界��,网(wǎng)络空间变得更(gèng)加复(fù)杂��。
信息技(jì)术的融合����,既加速了(le)信息化进程��,也增大了网(wǎng)络(luò)攻击的可(kě)能性(xìng)��,网络安全问题异常严峻���。近年来网络安全事件(jiàn)层出(chū)不穷(qióng)����、形式各异���,涉及到物联(lián)网安全��、数据安全���、虚拟化安全等方方面面��。比如��,在物联(lián)网(wǎng)领域����,视(shì)频监控弱(ruò)密码��、偷(tōu)拍���、DDoS攻击等事(shì)件屡见不鲜��;大(dà)量智能门锁存在通信监听���、门卡复制���、APP攻击等安全风险��;传感器(qì)网络等无人值守设(shè)备分布广泛���,被攻(gōng)破而不被发现的(de)事件也时常被事后报道��。随(suí)着信息(xī)技术(shù)的(de)发展��,网络安全风险加速扩散����,网(wǎng)络安全问(wèn)题(tí)已然泛化���。
03 密码技术的泛在化(huà)应(yīng)用思路
面(miàn)对快(kuài)速发展的信(xìn)息(xī)技术及泛在多变的网络安全需求����,需要对网络空间进行体系性的安全防护(hù)��。密码(mǎ)是(shì)网络(luò)信息安全的核心技术���,是(shì)整个网络信任体系(xì)的基础支撑���,依托密(mì)码技术在认证(zhèng)�����、加密等方面的重要(yào)作用����,构建以密码为基石的网络安(ān)全体系����,能够有力(lì)解(jiě)决(jué)网络与信息安全问题���。我们在开展具(jù)体密码工作时(shí)���,需注意密(mì)码技(jì)术与业务应用的(de)结合���。在不同的业务场景(jǐng)中����,应当采用不同(tóng)的密码技术路线或者组合���。总的(de)来说���,包括经典密码技术�����、创新密码技术���、前(qián)沿(yán)密码技术三个方面(miàn)��。
经典密码技术指的是常见(jiàn)的对称密码�����、PKI/CA公钥密码及标识密(mì)码技术����。这类密码技术(shù)属于基石性技术����,已经被广泛应用��,能够解决传统信息系统安(ān)全认证与数据加密等问题���。
我(wǒ)们重点想提一些创新密码应用的(de)工作思(sī)路���。我们在实践过程中���,发现(xiàn)诸如(rú)工业控制����、移动办公���、智能家(jiā)居等新兴(xìng)场景都存在密(mì)码应用需求����,然而受限于(yú)具体场景(jǐng)和环境��,传统的密码技术往往无法(fǎ)直接(jiē)应用��。此时���,我们就需(xū)要转变思路����,对密码应用的方法进行创新和调整(zhěng)���。第一种思路是“融”���,即(jí)密码(mǎ)融合设计��,在设(shè)计之(zhī)初(chū)将密码(mǎ)流程融入到业务应(yīng)用及通信协议中(zhōng)��,避免后(hòu)期堆叠(dié)密码设备带来(lái)的性能开销�����、系统损害等影响��。第二种(zhǒng)思路是(shì)“变”���,我(wǒ)们对传统密码技(jì)术进行场景化的适配改造����,以应对差异化的密(mì)码需求���,如轻量(liàng)化密(mì)码协(xié)议���、短证书等���。第三种思(sī)路是(shì)“合”�����,我们可以对(duì)加(jiā)密��、认(rèn)证��、授权����、安全(quán)管理(lǐ)等功能进行整合(hé)����,以能力打包的形式对接应用(yòng)系统(tǒng)��,提供“一揽子”的密码(mǎ)解(jiě)决方案����,减轻应用的(de)密码集成难度(dù)�����,快速实现密码赋(fù)能����。
密码技术在不断发(fā)展��,学术(shù)界对零信任����、区块链�����、安全多方(fāng)计(jì)算����、同态加密���、格密码(mǎ)���、抗量子密码等(děng)前沿密码技术进行了(le)广泛的研究���,部(bù)分成(chéng)果已经应用到信息系统中��,相信未来(lái)前沿密码技术会(huì)得到(dào)更加广(guǎng)泛和全面(miàn)的(de)应用���。
04 终端侧的密码产品部署
终端(duān)种类众多(duō)����、形态各(gè)异(yì)����。不同种类(lèi)的终端在价格成本(běn)��、网络数据能力(lì)����、软硬件架构等方(fāng)面存在着(zhe)巨(jù)大区别��,终端侧的密码产品部署需求也存在(zài)着差异性���,需要因地制宜���。
终端侧(cè)的密码产品部署(shǔ)主(zhǔ)要涵盖三种形式���:安装软(ruǎn)件密码模(mó)块����、内嵌硬件密码模块以及外接安全网关����。对于PC����、手机���、高性能嵌入式设(shè)备���,我们(men)可以(yǐ)部署软件(jiàn)密码(mǎ)模块���,借助CPU的强(qiáng)大运算能力����,实现高性能的(de)密码运算�����,无需(xū)额外增(zēng)加硬件成(chéng)本���。面向(xiàng)智(zhì)能(néng)门锁��、车载控制器等安全性(xìng)较高的(de)终端���,我(wǒ)们可以采用设备内嵌密码硬件的(de)方式(shì)���,包括板载安全芯片��、内接密码模块��、使用基于密码的安全通(tōng)信(xìn)模组等�����,提(tí)供硬件级安全防护能力(lì)����,保障设备安全��。针对(duì)微型传感器����、大型进口设备����、老旧IT设(shè)备等难以施行密码改(gǎi)造的场景(jǐng)��,我们可以接入安全(quán)网关(guān)���,通(tōng)过门卫(wèi)式安全防护���,保证设备的接入(rù)安全(quán)与通信(xìn)安全问题����。
05 密码的服务化之道
近年来��,越来(lái)越多的(de)应用迁移(yí)上云(yún)����。我们(men)如果要分别对不(bú)同的信息系统进行密码(mǎ)应用����,工作量巨大���,密码资源浪费(fèi)严重(chóng)����。此时���,我们可以借助云化����、虚拟化(huà)的思想将密码能力服务(wù)化���,按需提供密码资(zī)源����,不同应用系统只需通过服务调用的(de)方式即可安全地获取密码能力���,从而快速实现密码(mǎ)应用(yòng)改(gǎi)造��。
一个(gè)可行的实践路线(xiàn)是构建(jiàn)密码服(fú)务平台��。我所(suǒ)在的卫士通公司作为综合实力较强的密(mì)码企业���,正在从传统密码(mǎ)产品提供(gòng)商向(xiàng)平台型安全服务提供商(shāng)转(zhuǎn)型��,密码服务平台便是一个重要的抓手(shǒu)����。密(mì)码服(fú)务平台不直接提(tí)供密码产品��,面(miàn)向应用(yòng)提供(gòng)场景化的密码服务����,提升合规的密码应(yīng)用效率����,降低应(yīng)用与密码对接的难度��。我们看到���,越(yuè)来(lái)越多的政务云(yún)正在(zài)采用密(mì)码服务平台��,实现云上应用的快速对接����。可以预见��,密码服务是促(cù)进(jìn)密(mì)码泛在化(huà)落地的重要且有效的技术路径����。
06 基础(chǔ)软硬件的内生(shēng)安全机制
长(zhǎng)久以(yǐ)来��,计算机系统基础软硬件的(de)安全及密码措施都是(shì)各自为政��,较(jiào)为独立��。如(rú)果要做一个安全浏览器����,我们可(kě)能会在浏览器内部集成OpenSSL算法库�����;如(rú)果要做一个加密数据库���,我们可(kě)能为数据库配(pèi)用密(mì)码硬件�����;如果要做安(ān)全(quán)启动����,我们需要为计算机(jī)配(pèi)置(zhì)TPCM��、TCM等可信计算芯(xīn)片����。计(jì)算(suàn)机(jī)系统(tǒng)各个软硬件之间的密码能力缺(quē)乏协同(tóng)���,烟囱式存在��。另(lìng)外���,各类软硬(yìng)件厂商自行(háng)建设密码���,也存在着合规性的问题��。
我们在构建自主信(xìn)息系统时���,可(kě)以从系统体系的(de)角度出发(fā)���,使(shǐ)用一套密码方(fāng)案(àn)���,贯通计算机基础软硬件的各(gè)个环节��,实现密码运算和(hé)可信计算����。基(jī)础此种思想����,如(rú)卫士通与龙(lóng)芯(xīn)联(lián)合推出的内嵌安(ān)全SE的国(guó)产处理器(qì)���,打通了CPU���、Bioses���、操作(zuò)系统���、中间件��、数据(jù)库����、浏览器等各环节���,构建了内生安全(quán)的基础软硬件密(mì)码(mǎ)应(yīng)用生态���。
07 典型案例
分享两个场景化案例��。一是视频融合通信����,包含视频监(jiān)控���、直播(bō)���、会商等多种业务模式��。我们可以采用(yòng)端到端的安全方式对视频终端����、服务端进行(háng)密码改(gǎi)造�����,对(duì)大带宽����、高清���、多路���、实时音视频进行加解密���。GB35114便是此类方式的标准化落地���,未来也将会有更(gèng)多音视(shì)频密码应用的标准指导相关工(gōng)作�����。二是物联(lián)网密码应用���,我们可以建立覆(fù)盖物联网(wǎng)“端-边(biān)-网-云”的(de)密码应用体系���。端��,指的是物联网(wǎng)终端侧(cè)部署安全芯片/软件密码(mǎ)模(mó)块等密码产品���,实现终端安全防护��;边���,指的是提供安全边缘(yuán)网关����,安全接入物联网终端����;网����,指(zhǐ)的是(shì)基于(yú)密码技术(shù)保(bǎo)障物联网通信安全����;云���,指(zhǐ)的是物联网(wǎng)平台(tái)具备密码与安全(quán)能力��。
08 密码应(yīng)用(yòng)推进思考
密码事业的政(zhèng)策(cè)性较强���,我们密码工作(zuò)者要时刻关注(zhù)国家政策法规��,尤(yóu)其是中央��、地方����、大型机关单位的商密规划���,这将带来大量的密码泛在化建(jiàn)设项目���。另外���,随着(zhe)等保2.0���、密评(píng)工作的(de)广(guǎng)泛��、有序开展���,更多的细分领域将(jiāng)会开展密码工作��,密码市场规模(mó)迅速扩大����。我们(men)在专注既(jì)有业务(wù)领域的同(tóng)时(shí)����,应不断开拓新的行业用户和业(yè)务领域�����,拓展密码应用的范围��。
密码应(yīng)用和改造需要达到什么程度���?是否(fǒu)密码措施越多越好��?如何让更多的行业(yè)用(yòng)户(hù)��、企业单位放下对密(mì)码或安全的固有(yǒu)成见���,愿意(yì)用密码���?这(zhè)些问题都值(zhí)得我们思考����。我们在做(zuò)密码应用和推(tuī)广的(de)时候��,一(yī)定(dìng)要结合行业政(zhèng)策与应用实际(jì)���,按需地开展密码应用���,密码应用的强度不能单一量化(huà)���,做到合规的(de)同时����,保证(zhèng)相当(dāng)的(de)安(ān)全性���。
09 从(cóng)业者建议(yì)
在密码泛在化的背景环境下���,我们从业者需(xū)要哪些方面的能力素养���?我认为��,至少需要(yào)三方(fāng)面的能力���。第一�����,完(wán)备的密码知识���。密码技(jì)术(shù)不断发展���,我们需要广泛涉猎密码知(zhī)识(shí)��,同时也(yě)应当潜心钻研一些重点的密码知识����,尤其是我们工作(zuò)中(zhōng)可能用到的密码技术����。第二���,全栈的密码(mǎ)设计能力���。包括密码算法�����、产品化设计(jì)��、接口对接���、协议优化等等���,只有具备了全栈的(de)设计(jì)能力(lì)����,才能应对复杂多变(biàn)的情况����,准确地对密码方案进行优化(huà)和改造���。第三��,快速(sù)理解业务应用的(de)能(néng)力����。密(mì)码和业(yè)务不能是“两张(zhāng)皮”����,密(mì)码的设(shè)计(jì)必(bì)须基(jī)于业务实际(jì)���,密码工作者(zhě)应当(dāng)理解业务流程并(bìng)梳(shū)理出安全痛点及密码应用需求�����,才能做好密码建设的实际工作���。
1月15日��,人社部发文拟新增“密(mì)码技术应用(yòng)员”职(zhí)业��,并将其定义为运用(yòng)密码技术���,从事信(xìn)息系统安(ān)全密码保障的架构设计(jì)���、系统集(jí)成���、检测评估����、运维管理(lǐ)����、密(mì)码咨询等(děng)相关密码服务的人员����。“密(mì)码技术应用(yòng)员”作为密码泛(fàn)在化的一(yī)个专门职(zhí)业被正式提出(chū)�����,这无疑会(huì)促进密码泛在化的应用与推广工(gōng)作���。同(tóng)时�����,作为密码从业者的我们����,也应当(dāng)参照“密(mì)码技术应用员”的要求积(jī)极提升个人能力���。
10 密(mì)码泛在化的(de)未来
传(chuán)统信息行业��、新技术(shù)业务领域快速发展并交相辉映����,信(xìn)息世界正朝着相互(hù)渗(shèn)透(tòu)����、多元发展的(de)方向演进���。我们有理由相信���,未来��,密码就是信(xìn)息世界不可或缺的组件����,密(mì)码也将作为泛化(huà)信(xìn)息世界的安全基石��,有力保障信息世界的(de)安全持续(xù)发(fā)展���。密码人(rén)����,大有可为�����。
