在新（xīn）基建（jiàn）的（de）大背（bèi）景下，随着网络安全与密码（mǎ）技术（shù）的不断演进，融合密（mì）码技术的（de）网络安全（quán）体系框架逐渐（jiàn）成为网（wǎng）络安全建设的新趋势。

在 2020 国家网络安全周举行之际（jì），记者（zhě）有幸（xìng）在现场（chǎng）采访到了中（zhōng）国电科集团网络（luò）安全领（lǐng）域首（shǒu）席专家、中国网安副总工程师（shī）、卫士通总（zǒng）工程师董贵（guì）山。就密（mì）码在新基（jī）建（jiàn）中的应用、服务等问题，董贵山谈（tán）了他的（de）看（kàn）法（fǎ）。

董贵（guì）山：新（xīn）型基础设施主要（yào）包括三（sān）个方面内容：一是信息基础设施。主要（yào）是指基于新一代信息技术演化（huà）生成的基础设施，比如，以5G、物（wù）联（lián）网、工业互联网、卫星互联网为代表（biǎo）的通信网络基础（chǔ）设施，以人工智能（néng）、云计（jì）算（suàn）、区（qū）块（kuài）链为代（dài）表（biǎo）的新技术基础设施，以数据中（zhōng）心、智能计算中心为（wéi）代表的算力基础设施等；二是（shì）融合基础设施。主（zhǔ）要是（shì）指深度应用互（hù）联网、大数（shù）据、人工智能（néng）等技术，支撑传统基础设（shè）施转型升级，进而形成的融（róng）合基（jī）础设施，比如，智能（néng）交通基础设（shè）施、智（zhì）慧（huì）能源基础设施等；三是创新基（jī）础（chǔ）设施。主要是指（zhǐ）支（zhī）撑科学研究、技术（shù）开发、产（chǎn）品研制（zhì）的具有公（gōng）益属性（xìng）的基础设施，比如，重大（dà）科技基础设施、科教基础设施、产业技术（shù）创新基础设施等（děng）。

从以上三（sān）个方面的（de）分类来看（kàn），新型基础设施是未来引领数字经济发展的关键（jiàn）载（zǎi）体和支柱，覆盖了网络（luò）通信、信（xìn）息计（jì）算、新兴技（jì）术领（lǐng）域、行业（yè）性融（róng）合平台以及科研（yán）支撑平台，将成为（wéi）数（shù）字中国在网络（luò）空间“数（shù）字孪生”的沃土和通路（lù）。网络安全（quán）作为新基建、数字经济发展的（de）基石， 也受到了广泛的关注（zhù）与重视。

新型基础设（shè）施具备基础平（píng）台（tái）支撑、海量数（shù）据汇聚、广泛实体接入、泛在服务（wù）交付四大特性。“基础（chǔ）平台（tái）支（zhī）撑”体现了新型基础设施的总体定位，不管是信息基础（chǔ）设施、融合基础设施（shī）还是创新基础设施，都具有显著的基础性和平（píng）台性，是网络（luò）通（tōng）信（xìn）、信息服务（wù）和科研创新的（de）基础支撑（chēng）；“海量数据汇聚”“广泛实体（tǐ）接（jiē）入”体现了新（xīn）型基础设施（shī）的平台价值，信息基础设施和融合（hé）基础设（shè）施（shī）汇聚（jù）了海量的通信数据、行业数据和科（kē）研数据，提供网络互联（lián）平台，为（wéi）广泛的网络实体提供（gòng）网络接入（rù）和服务功能（néng）；“泛在服务交（jiāo）付”体现了新型基础设施的交付（fù）模（mó）式，不（bú）管是传统基础设施还是信（xìn）息（xī）基础设施，均是采（cǎi）用服务化（huà）的价值交付模式，结合互联网泛在接（jiē）入、网络互联的特点（diǎn），新型基（jī）础设施能够（gòu）为广泛（fàn）的网络实体提供泛在化的服务覆盖，最大化平台价值。这四大特性无（wú）一不代（dài）表着巨大的数据（jù）价（jià）值和（hé）平台价值，对网络攻击者具有极高的诱惑力，存在极大的安（ān）全风险。

董贵山：“网络安（ān）全与（yǔ）信息化是一（yī）体之（zhī）两翼，驱动之双轮（lún）”。安（ān）全（quán）是发展的（de）保障，发展是安全的目（mù）的，网络安全和信息化建（jiàn）设互相依（yī）存、协（xié）调（diào）共生。新型基础（chǔ）设施建设是“云大物（wù）移智（zhì）”的有机（jī）聚（jù）合和结构化升级，网（wǎng）络安全风险也覆盖了信息服务平台、IoT设备、PC端、移动端，这些承（chéng）载着新基建（jiàn）业务（wù）、数据（jù）和服务的载体正在时刻接受海量网络攻击的考验，如（rú）何全面保障（zhàng）新型基础设（shè）施安全也受到了（le）业界的（de）广泛关注。新型基（jī）础设施（shī）作为国（guó）家级的网络信息服务平台、行（háng）业融合支撑平台和科研平台，应参考关（guān）键信（xìn）息基（jī）础（chǔ）设施的相关要（yào）求进行安全（quán）防护（hù）设计和建设工作，同时针对新基建各领（lǐng）域特（tè）定场景进（jìn）行定制化防护。传统的（de）网络安全防护体系多具有通用（yòng）性和普适（shì）性，无法细粒度的涵盖到特定场景和（hé）业务（wù）数据流转方面，而密（mì）码技（jì）术（shù）因其技术特（tè）点和防护理念能（néng）够深入到（dào）业务场景之中，与（yǔ）业务应用进行深入融合，像为（wéi）士兵穿上“盔甲”一样，为（wéi）防护（hù）对（duì）象提供“贴身防（fáng）护”能力。

密码是保障网络和信息安全最有（yǒu）效（xiào）、最可靠、最经（jīng）济的（de）关键核心技术，是网络（luò）安全（quán）的最后一（yī）道（dào）防线，能够为新基建的“基础平台支撑、海量数（shù）据汇（huì）聚、广泛实体接入（rù）、泛在服务交付” 四大特性提供针对（duì）性的防护。

（1）密（mì）码为“基础平台支撑”构筑完善的安全防护（hù）体系（xì）。

新型基础（chǔ）设施为（wéi）国家信息化建设提（tí）供（gòng）新一代的（de）基（jī）础支（zhī）撑平（píng）台，其平台价值极高，因此需要完善的（de）安全防护能力。密码技术在网络（luò）安全防护体系中位居核心和基础地位，依靠密码（mǎ）技术（shù）和网络安全技术能（néng）够打造集（jí）感知安全、传输安全、存（cún）储安全（quán）、计（jì）算安（ān）全、处理安全（quán）、应用安全于一体的安全防护能力（lì），构建以密码技术为核心、多种技术相互融合的新网络安全体系（xì）， 构筑新基（jī）建（jiàn）安（ān）全防护体系。

（2）密码为“海量（liàng）数据汇聚”建立（lì）坚（jiān）实的数据保护能力。

新型基（jī）础（chǔ）设施是基于多种功（gōng）能、多种要素、多种技术（shù）的体系（xì）化集成，支撑着跨领域、跨平台和（hé）跨系统的（de）数据交换和信息共享，提供海（hǎi）量数据分析（xī），实（shí）现数（shù）据（jù）的互操作和流程协同。密码技术提供的数据加密存储、可信数据（jù）汇聚、安（ān）全数据共享、数据流（liú）转确权能（néng）够实现数据（jù）的全生命周期（qī）安全，并（bìng）对（duì）敏感数据（jù）、个人（rén）隐私数据提（tí）供针对性的数（shù）据脱敏、数据加密和数据隐（yǐn）藏能力（lì），将防护能力深入到业（yè）务流转（zhuǎn）之中。

（3）密码为“广泛实体接入”提供安全的鉴别防护机制（zhì）。

新型基（jī）础设施的部分重点领（lǐng）域如铁路、公路、电网、通（tōng）信、管网等，为规模化的网络实体接入建设网络互联（lián）平台，实现实体（tǐ）的广泛接入和（hé）互联通信（xìn）。网络互联（lián）平台的安全稳定运行成为了新型基础设施建设实现（xiàn）价值的前提（tí）。基（jī）于密码技术为网（wǎng）络实体建立（lì）安全的（de）数据执行和存储环境，基于（yú）密码技术建（jiàn）立平台侧与（yǔ）网络（luò）实体（tǐ）之间的可（kě）信鉴（jiàn）别和安全传输（shū）机制，两者结合构（gòu）建（jiàn）从终端（duān）侧到平台侧的安全（quán）接入环境（jìng），有效的保护平（píng）台外延的网络实体安（ān）全，保障新型基础设施的（de）网络实体安全和边（biān）界（jiè）接入安全。

（4）密（mì）码为（wéi）“泛在（zài）服务交付”构建（jiàn）泛在（zài）的密码服务能力。

从新型基础（chǔ）设施的建设领域如智慧城市、物联网、车联网、充电桩可以看出，核（hé）心价值是为数（shù）字经济广大领域提供泛在化的服务，将基础能力提供（gòng）给更多（duō）的企业、组织和（hé）个人去使用，拓展服务（wù）范围，让更多人享受（shòu）数字经济发展的（de）红（hóng）利。泛在的服务能力一方面需要服（fú）务于各行业领（lǐng）域，密码技术需要依托（tuō）各行业（yè）领域（yù）特（tè）性提（tí）供（gòng）相适应的防（fáng）护能（néng）力，另一方面（miàn）需要延伸到海量的网络实体，这（zhè）些网络实体是（shì）新型基础设（shè）施建设（shè）的价值延伸和受（shòu）益主体，同时也会（huì）成（chéng）为网络攻击的薄弱点和（hé）攻击点，成（chéng）为攻击（jī）平（píng）台（tái）的跳板。为（wéi）此，需要建立泛在（zài）化的（de）密（mì）码保（bǎo）障机（jī）制， 为（wéi）广（guǎng）大行业（yè）领（lǐng）域提供泛在的密码服务接入能力，为移动终端、PC端（duān）、IoT终（zhōng）端提供体系化的密码防护能力（lì），有力的支持新基（jī）建泛（fàn）在服务的安全稳定（dìng）和可（kě）管可控。

新型基（jī）础设施建设一方面兼具关键信（xìn）息基础设施的价值（zhí）定位，另（lìng）一方面（miàn）融合（hé）新兴技术（shù）、新兴领（lǐng）域的业务特点，具有较高的复杂性和先进性。因此需（xū）要基于密码技（jì）术为新型（xíng）基础设施（shī）设（shè）计（jì）建设完善的网（wǎng）络（luò）安（ān）全防护体系。

董贵山：当前，密码的（de）价（jià）值（zhí）得到（dào）了广泛的（de）重视，2020年（nián）1月（yuè）1日（rì），《中华人民共和国（guó）密（mì）码法》正式（shì）实施，2020年（nián）成为了（le）“密码法元年”，密（mì）码法对密码进行明确的定义，密码是指采用（yòng）特定变换的（de）方法对信息进行加密保护、安全认证的技术、产（chǎn）品（pǐn）和服务。其中，商（shāng）用密码用于保护不属于国家秘密的（de）信息，公民、法（fǎ）人（rén）和其他（tā）组织可（kě）以依法使用商用（yòng）密码（mǎ）保护网络（luò）与信（xìn）息安全。商用密码具备机密性、完整（zhěng）性、真实性和不可否认（rèn）性四大防护特性，能够（gòu）应对网（wǎng）络安全（quán）的数据（jù）泄露、数据篡改、身（shēn）份仿冒和行为否认等风险。

商（shāng）用密码是我国（guó）自（zì）主完善的技（jì）术体系，经过二十余年的发展和演进，提出（chū）了包含SM1、SM2、SM3、SM4、SM7、SM9和（hé）ZUC算法的一套（tào）完整自洽的商用密（mì）码（mǎ）算法体系（xì），建立了覆盖密码算法、密码协（xié）议、密码功（gōng）能（néng）接口、密码产品规格、密码应用（yòng）要求和测评（píng）规范的一套完善（shàn）的标准体（tǐ）系（xì），形成了以密码（mǎ）芯片、密码板卡、密码（mǎ）整机和（hé）密码系统（tǒng）等传统（tǒng）产品为主，多种产品形（xíng）态和（hé）应用（yòng）模式并现的产品体系。

商用密码的建设受（shòu）到了政策、法规（guī）、标准（zhǔn）、规范的（de）全面推动。以法（fǎ）规奠定密码法制基础，国家相继出（chū）台（tái）了（le）网络安全（quán）法、密码法，加（jiā）速（sù）数据安全法、个（gè）人信息保（bǎo）护（hù）法立法进程（chéng），旨在规范（fàn）网络（luò）安全，以法理奠定密码的核心定位；以政策推动密码按需建设（shè），国（guó）家在关键信息基础设施、政（zhèng）务（wù）信息化建设、信创产（chǎn）业等方面均以政（zhèng）策文件的方式明确了密码（mǎ）是网络安全和信（xìn）息化建设的重要组成部分；以标准构（gòu）建（jiàn）密码（mǎ）使用（yòng）基（jī）线，网络（luò）安全等级保护标准体系的（de）升级明确了密码在等（děng）保（bǎo）定级和合规防护方面（miàn）的（de）基本（běn）要求，密码行业（yè）标准体系的快速增补也在全面完善（shàn）密（mì）码技术和产品的合规应用；以（yǐ）测评保障（zhàng）密码应用（yòng）合规，参考（kǎo）网络安全等级保护的测（cè）评机制和测（cè）评要求，密码行业（yè）出台了密码应用安全（quán）性（xìng）评估制（zhì）度，以测评来明确密码应（yīng）用的合规性、正确性和有效性，从而保障密码应用设（shè）计的完（wán）备性和密码产品在各（gè）个环节的正确有效使用。

新型基础设施（shī）建（jiàn）设同样（yàng）需要密码（mǎ）技术的保（bǎo）障，无论是（shì）从合法（fǎ）合规角度（dù）还是消除安（ān）全风险角度（dù）来（lái）看，密码（mǎ）技（jì）术都是新型基础设施网络安（ān）全的最后一（yī）道防（fáng）线。

从基础（chǔ）设施这个词汇来看，密码行业同样存在一个（gè）基础（chǔ）设施——公钥密码基础设施（Public Key Infrastructure，PKI），公钥密码基础（chǔ）设施是一个（gè）包（bāo）括硬件、软件、人员、策（cè）略和规程的集（jí）合，用来实（shí）现基于公钥密码体制的（de）密钥和证（zhèng）书的产（chǎn）生、管理、存储、分发和撤销等功能，目（mù）前已（yǐ）广泛应用于政务、金融、电力（lì）等构架关（guān）键信息基础设施领（lǐng）域，为其提供可信的密钥和证书管理，建立网络安全的可信根。

新型基础设施继承了传统基础设施（shī）建设的服务化特性，通过端到端（duān）的服（fú）务模式创造和交付价值，这一模式特性要求密码支撑能力能够提供相匹配的能力（lì），PKI更倾向于传统（tǒng）的安全基（jī）础设（shè）施（shī），提供基础通用的密码支撑能力，对新（xīn）型基础（chǔ）设施建设的密码需求（qiú）的匹配性不高。

新型基础设（shè）施（shī）的基础平（píng）台支撑要（yào）求密码支撑提供灵活弹性可伸缩的服务能力（lì），海量数据汇聚要求（qiú）密码支撑提供融合数据全生（shēng）命周期的数据防护能力，广泛实体接入要求密码支撑提供平台化的通（tōng）信保护和接入（rù）管控能力，泛在服务交（jiāo）付要求密码支撑提供服（fú）务化（huà）的（de）密码交付能力（lì），让新基建的受益者能够享受（shòu）经（jīng）过（guò）密码（mǎ）防护（hù）的（de）安全新基建服务。这（zhè）些能力都（dōu）是传统（tǒng）的密码建设（shè）模式无（wú）法全面响应（yīng）的。为（wéi）此我们提供建设以密码服务平台为（wéi）核心的新（xīn）型（xíng）密码管理与服务基础设施，应（yīng）对新（xīn）型基（jī）础设施泛在互（hù）联海量支撑的平台特性提供泛（fàn）在（zài）化、平台（tái）化的密码服务能力和一窗式、多维（wéi）度（dù）的密码管理能力。

董贵山：基（jī）于我上述提到（dào）的（de）目标，卫士通提出了（le）集（jí）密码服务与密码管理为一体的密码服务平台的理念模（mó）型。在该（gāi）模型的（de）服务侧，密码服务（wù）平台包括层次化密（mì）码（mǎ）服务、通（tōng）用密码中间（jiān）件（jiàn）和（hé）API网关，通过标准化集（jí）成能力集（jí）成优秀的密码系统和密码（mǎ）设备（bèi）；通过资源虚拟化和微服（fú）务化设计（jì）对外提供覆（fù）盖基础密码服务、通用密码服务和安全应（yīng）用（yòng）服务的层次化密码服务能力；通过通用（yòng）密码（mǎ）中间件（jiàn）封（fēng）装层次化密码服务接（jiē）口为应（yīng）用提（tí）供一站式的密码集成能力（lì）；依托API 网关与管理侧协同实现（xiàn）对应用的接（jiē）入认（rèn）证和（hé）访问控制。在管理侧，密码（mǎ）服务（wù）平台通（tōng）过（guò）密码设备与服务管理提供统一的（de）访（fǎng）问入口和（hé）管理界面，支持（chí）租户、应（yīng）用、设备、服（fú）务和订单的多（duō）维（wéi）度管（guǎn）理，对使用（yòng）情（qíng）况进（jìn）行信（xìn）息统计和可视化展现，支撑（chēng）外部（bù）的密码监管和安（ān）全（quán）运（yùn）营；各类平台用户（hù）可以通过统一访（fǎng）问入（rù）口进（jìn）行（háng）登录认证，完（wán）成各（gè）自的管理职（zhí）责。

密码服（fú）务平台提出“密码可用、密码好用、密码（mǎ）能管、密码好（hǎo）管”的四大服务目标。在密码可用方面，通过密码虚拟化、层次化密码服务应（yīng）对目前密码资源使（shǐ）用（yòng）率低、密码技（jì）术使用不当、对新业务（wù）场（chǎng）景适应性不强的问题（tí）；在（zài）密码（mǎ）好用方面（miàn），通（tōng）过通用密码中间件、标准化集（jí）成（chéng）能力应（yīng）对密码与应用（yòng）对接困（kùn）难、密码（mǎ）服务接口不一致（zhì）以及已建密（mì）码资源难以（yǐ）利旧的问题；在密码能管方面，通过API网关（guān）、密码设备（bèi）与服务（wù）管理应对业务应用（yòng）情（qíng）况不可控、密码使用情况（kuàng）不可（kě）见以及密码资源无法（fǎ）统一管理等问题；在密（mì）码好管方面（miàn），通（tōng）过密码服（fú）务的使用（yòng）计量和（hé）专（zhuān）业化（huà）技术团队应对密码整体态势无法获取、密码使用（yòng）应（yīng）急能力不（bú）足以及（jí）使用计量困难等问题。

针对（duì）新型（xíng）基础（chǔ）设施（shī）的场景要求，密码服务平台在基础（chǔ）密（mì）码服务方（fāng）面能够提供海量密（mì）钥和证书服务（wù）能（néng）力、适应物联网、车（chē）联网的多元化证书签发和管理能力（lì）以及覆（fù）盖全（quán）网的密码监管（guǎn）和管理能力；在通（tōng）用密（mì）码服（fú）务方面能够提（tí）供联（lián）接人机（jī）物的（de）异构统（tǒng）一（yī）身份认（rèn）证服务能力、数（shù）据流（liú）转管控与追溯（sù）机制、物联网（wǎng）设备的（de）统（tǒng）一（yī）标（biāo）识（shí）管理能力（lì）、车联网平台的（de）电子地图安全管控服务和车端密码（mǎ）支撑能力等针对性的（de）密码服务能力。

董贵山（shān）：新基建（jiàn）是数字中国发展的“新”阶段，密码（mǎ）服（fú）务是密码行业发展（zhǎn）的“新”模式，两（liǎng）“新”碰撞，迸发新机，以新的密码服务模式保（bǎo）障新基（jī）建的“内生安（ān）全”。因（yīn）此（cǐ）为保障密码在（zài）新基建中发挥更好的安（ān）全支撑作用，需从多个角度推进（jìn）新基（jī）建领域密码应用建（jiàn）设工作。

一是（shì）通过政策推动、业务驱动等（děng）推进（jìn）密码在新基（jī）建（jiàn）领域的广泛部署，立足密码作为网络安全的“内置基因”定位，实现新基建的“内生安全”，推动（dòng）密码在新基建的建设和示范（fàn），形成新基（jī）建各典（diǎn）型领域（yù）密（mì）码（mǎ）应用（yòng）最佳实践（jiàn）。

二是从项目（mù）建（jiàn）设、场景需（xū）求中提炼业务场景和技术（shù）需求，开展密码技术突破（pò）和产（chǎn）品研制，从（cóng）而能够实现密码技术与（yǔ）新（xīn）基建各（gè）领域的（de）深度融合，以密码服务支撑基础设施对外（wài）安（ān）全服务。三是落实国家网络安全等级保护相关要求和密码应用建设的（de）相关要求，在新型基础设施建（jiàn）设过程（chéng）中要同步规划（huá）、同步（bù）建设、同步（bù）运行（háng）密码（mǎ）保障（zhàng）系统并定（dìng）期进行评估（gū）。在规划过程中，要（yào）立足新型基础设施安全要求，站在整（zhěng）体角度设计密码应用方案（àn），在建（jiàn）设过程中，把密（mì）码服务融入到整（zhěng）体架构中，新（xīn）型基础设施需与（yǔ）密（mì）码保障体系同步（bù）运（yùn）行，并通过定期（qī）安全评估、密码应（yīng）用（yòng）安全性评估等手段，持续（xù）保持密码（mǎ）应用的有效性和安全性。