“网络(luò)安全为人民(mín),网(wǎng)络安全靠人(rén)民。”9月(yuè)16日,卫士通多位网络安全专家已“奔赴”各级网络(luò)安全宣传周活动,通过线上(shàng)与线(xiàn)下相结合的方式,兼顾行业人士与普(pǔ)通(tōng)大众的不同关注点,从密码(mǎ)在(zài)网络(luò)安全中(zhōng)的核心作用、泛在化应用、以及创新(xīn)服务方(fāng)式(shì)进行了多方位(wèi)、多(duō)层级的观点(diǎn)分享(xiǎng)。
核(hé)心 | 夯实新型基础设施网络安全底(dǐ)座(zuò)
中国电科集团网络安(ān)全领域首席专家、中(zhōng)国网安副总工程师、卫士通总工(gōng)程师董贵(guì)山出席第七届国家网络(luò)安全宣传周新型(xíng)基础设(shè)施网络安全高(gāo)峰论坛,并作“保(bǎo)障工业互联网安全,服务(wù)制造业高(gāo)质量(liàng)发展(zhǎn)”主题演讲(jiǎng),系统地阐述(shù)和分析了我国工业互联网(wǎng)的发展背景、潜(qián)在安全风(fēng)险及相关政策(cè)要求,并(bìng)提出了构(gòu)建体系化安全防护(hù)能力,夯实以工业(yè)互联网为代表的新型基础设(shè)施网络安全底座的三点(diǎn)建议。
▲图 董贵(guì)山作主题演讲
一是(shì),建议借(jiè)鉴企业(yè)工业信息安全整体保障实施原则。企业工业信息安(ān)全(quán)整体保障是(shì)中国网安基于正确(què)的网络安全观提出的“整体安全、动态(tài)安全、相对安全、合规与赋能、技术与管理”的企业工业信息安(ān)全整体保障(zhàng)实施(shī)原则,并在中(zhōng)国网安相(xiàng)关(guān)工作中广泛应用,对其他企业开展工业信(xìn)息安全(quán)保(bǎo)障将起(qǐ)到借鉴作用。
二是,严格履行“七(qī)项(xiàng)义务,四类防护”的基(jī)本要求。《网(wǎng)络(luò)安全(quán)法》对网络运营者的最基(jī)本义务(wù)和安全要求做了明确规定,各工业(yè)企业应履行网络运行安(ān)全义务、网络产品和服务(wù)安(ān)全义务、关键(jiàn)信(xìn)息基础设施安全保护义(yì)务、公民个人(rén)信息保护义务、网络信息安全管理义务、对监管机关的执法协(xié)助义务和(hé)其他法定义务,实现(xiàn)网页防篡改、服务防中断、系统防病毒、数据防泄(xiè)漏。
三是(shì),利用密码算法保障工业互联网数据的(de)多(duō)方安全共享,达到工业(yè)数据安(ān)全的价值流动(dòng)。密(mì)码技(jì)术在网(wǎng)络安全防护体系中位居核心和基础地位,其提供的可信数据汇(huì)聚、数据加密(mì)存(cún)储、安(ān)全数据共享、安(ān)全多(duō)方计算、数据流转确权能(néng)够实现数据的全生命周期安全(quán),并针对敏感(gǎn)数据、企业核心数据(jù)提供针对性的数据脱敏(mǐn)、数据加(jiā)密(mì)和数据隐藏能力,将防护能力(lì)深(shēn)入到业(yè)务流(liú)转(zhuǎn)之中,能够有效的(de)保(bǎo)护安全隐私,维(wéi)护(hù)企业利益(yì),在数据可用不可见的基础上实(shí)现数(shù)据(jù)价值的流转和交互(hù)。
广(guǎng)度(dù) | 拓展密码泛在化应用
国家(jiā)网络安全宣传周同期,成都市的相关(guān)活动(dòng)也(yě)在火热(rè)进行,卫士通结合现场展示、专家演(yǎn)讲(jiǎng)、互(hù)动游(yóu)戏,从“密码的内涵与意义(yì)”、“密码泛在化内涵与意义”、“密码领(lǐng)域典型实践与应用”三方面向成都市民普及了(le)“密码泛(fàn)在化”进程、应(yīng)用及意义。
▲图 周阳(yáng)作主题演讲
卫士通方(fāng)案中心技术(shù)专家周(zhōu)阳在演讲中特别(bié)选取大(dà)众最常接触的生活场景(jǐng),通(tōng)俗易懂的向(xiàng)成都市民进行分享。周阳通过诸如(rú)黑客攻击政(zhèng)府网站窃取公民和企业信息,就医人员医疗信息遭(zāo)泄(xiè)露导致个人敏感(gǎn)信息被(bèi)窃取,12306遭泄露(lù)数据撞库攻击(jī),考生网上报考信息泄露,伪造印章,虚(xū)开(kāi)发票,伪造文(wén)件造成(chéng)国家财产损失等大众(zhòng)在(zài)日常(cháng)生(shēng)活(huó)中接触到的场景案例引入,带领听众一起总结了数字生(shēng)活正面(miàn)四大主(zhǔ)要痛点,临(lín)时身(shēn)份鉴别有“短(duǎn)板(bǎn)”、个人信(xìn)息缺“保护” 、数据安全有“欠缺”、文件印章缺(quē)“可(kě)信”。
而(ér)解决这些痛点的一大法宝(bǎo),便是“密码”!经过20多年的发展(zhǎn),我国商用密码已经应(yīng)用到社会生产生活的各个方(fāng)面,在网(wǎng)络和(hé)信息安(ān)全中发挥着越来(lái)越重要的基础支撑作用(yòng)。在(zài)政务服务,基(jī)于商(shāng)用密码技(jì)术,防止政务服务(wù)、防疫健康(kāng)信(xìn)息码使用过程中的公众(zhòng)隐私数据泄露,电子证照(zhào)、电子印章真实有(yǒu)效,保障市民(mín)数(shù)字生活安全(quán)。在社会保障,密钥管理系统作为社保卡制卡(kǎ)体系的核心,主要负责各类密(mì)钥的生成(chéng)、存储与分发,密钥(yào)管理系统中的密钥按(àn)密钥类型、应用(yòng)类型和交易种类进行(háng)定义(yì),并通过分散变化等机制进行分级管理,避免单(dān)个密钥被攻破(pò)之后(hòu)影响整体系统的密钥(yào)安全。在医疗卫生方面,密(mì)码技(jì)术的应用保障了新形势下的医疗电(diàn)子体系稳定发展,其中安全可信的电子病历以电子(zǐ)认证和电子签名为手段,形成完善的技术保障体(tǐ)系(xì),营运安全可信(xìn)的电子病(bìng)历应用环境,等等。
深(shēn)度(dù) | 创新密(mì)码服务方(fāng)式
卫士通方(fāng)案中心商用(yòng)密(mì)码专家周君(jun1)平在国家网络(luò)安全宣传周内蒙分会场的线(xiàn)上论坛上,作“推动(dòng)商用密码应用,创新密码服务能力”主题(tí)演讲。她(tā)表示,随着密码(mǎ)技术的深度、广度融合发展趋(qū)势,不仅促进了产(chǎn)业链全生态的建立健全,而(ér)且(qiě)还催生(shēng)了(le)密码服务“平台化”创新应用模式。
▲图 周君平
该模(mó)式通过构(gòu)建一体化的密码服务平台,将为各行业重要信息系统提供统一、弹(dàn)性、高效、规模化(huà)的密码应用(yòng)服务。一体化密码服务平台将采用微服务架构对密码(mǎ)服务基(jī)础支撑设备、系统的能力(lì)进(jìn)行抽象封装,形成密(mì)码服务能力,并通过API网(wǎng)关将密码服务的能力采(cǎi)用(yòng)标准统一的接(jiē)口,以API的形式或SDK的形式向安全应用提(tí)供。同时基于平台管控实现对平台的应用接入管理(lǐ),密码(mǎ)资源、资产的统计管理,基于密码监管(guǎn)服务实现对密码设备(bèi)、密码资源、密码服务调用情况的(de)统一(yī)监(jiān)管(guǎn),基于安全运营服(fú)务使用,实现租户管理、平台(tái)运营状态监控、资源可用(yòng)性监控等。这种商用密码创新服务方式有以下几个特点:
1.服(fú)务化 以服务替代产品,降(jiàng)低采购成本和运维成本,提升信息化建设敏捷性,缓解(jiě)安全建设的困扰。
2.精准化 将密码业务深(shēn)植(zhí)于业务(wù)之中(zhōng),由(yóu)专业的密码(mǎ)厂(chǎng)商(shāng)提供(gòng)服(fú)务,实(shí)时跟踪学界和业界的(de)前沿进展,着力开展技术演进(jìn)和模式创(chuàng)新,保持服务能(néng)力的(de)持(chí)续迭代和更新。
3.泛在化 面向目前数字政府(fǔ)建设的多云部(bù)署趋势,提供支持(chí)不(bú)同云服(fú)务平(píng)台的泛在接(jiē)入能(néng)力。
4.合规(guī)化 以(yǐ)商用(yòng)密码和等级保护相关(guān)规定为指导,以安全合规为底线,避免业(yè)务应用的合规风险。
5.简略化 为业务应用提供便(biàn)捷的密码服(fú)务接(jiē)口,缓(huǎn)解现在业务应用开发商的密码(mǎ)研(yán)发难度,弥补安全应用(yòng)短板。依托密钥管理(lǐ)、密码应用等服务能(néng)力,联通前端业务(wù)服(fú)务商和后(hòu)端基础服务商(shāng),结合密钥管理和身(shēn)份服(fú)务入口,形成以密码服务为核心的(de)互联网信任服务生态,支撑网络空(kōng)间安全。
