01 宏观政(zhèng)策(cè)为(wéi)密码泛在(zài)化保驾护航
密码是保障网络空间安全的核心技(jì)术(shù)和基础(chǔ)支撑(chēng)��。过去����,密码主(zhǔ)要用来保护重要IT系统的通(tōng)信与(yǔ)存储(chǔ)安全(quán)问题��,普(pǔ)通(tōng)老百姓很少和它打交道��。如今(jīn)���,密码(mǎ)已(yǐ)经应用(yòng)到各行各业��,影响我们生活的(de)方方面面���。密码产品也从传统的(de)密(mì)码机����、密钥管(guǎn)理系统等整(zhěng)机(jī)形态���,衍生发展(zhǎn)为安全(quán)芯片��、软件密码模块���、IP核��、密码(mǎ)板卡(kǎ)等不(bú)同形(xíng)态��,密码和IT技术呈现(xiàn)融合发展的趋势�����,密码的服务化(huà)更是打破了密码产(chǎn)品的形态限制��。密码应用已经呈(chéng)现出多元化���、融合化(huà)���、泛在(zài)化等新(xīn)特点��。
近年(nián)来���,我国不断(duàn)健全密码相关的政策法规���,先后制定和实施(shī)了网络安全(quán)法(fǎ)��、密码法����、36号(hào)文��、GM/T0054���、等(děng)保 2.0标准等系列法(fǎ)规政策标准���,从顶层构建了密码与网(wǎng)信事业的宏伟蓝图���。在宏观政策的指引(yǐn)下�����,我(wǒ)国(guó)密码事业(yè)经历了从无(wú)到有����、从初创到规范完善的阶段���,取得了跨越式的发(fā)展(zhǎn)���,这也(yě)为全面推进密码(mǎ)工作(zuò)和密(mì)码泛在化应用奠定了坚实有力的基础���。
02 安全(quán)风险呈现泛在化趋势
物联网(wǎng)���、云(yún)计算���、5G��、大(dà)数据���、人工智能等创新技(jì)术正在加速驱动物理(lǐ)世界与信(xìn)息(xī)世界的(de)融(róng)合�����。我们在享受高新技(jì)术带来的信息红利(lì)的同时����,也无形中打破(pò)了固有的网络边界���,加(jiā)剧了信息泛在化的发展(zhǎn)趋势��。物(wù)理世界与信息空间的泛在融(róng)合���,也将物理空间(jiān)的违法破坏行为引入(rù)虚(xū)拟世界(jiè)���,网络空间变(biàn)得更(gèng)加复杂���。
信息技术(shù)的(de)融合����,既加速了信(xìn)息化(huà)进程���,也(yě)增大了(le)网络攻击的可(kě)能性��,网络安全问题(tí)异常(cháng)严峻��。近年来网(wǎng)络安全事件层出不穷��、形式各(gè)异���,涉(shè)及到物联网(wǎng)安全��、数据(jù)安全����、虚拟化安全(quán)等方(fāng)方面面���。比如(rú)���,在物联网领域(yù)���,视频监控弱密码��、偷拍����、DDoS攻击等事件屡见(jiàn)不鲜����;大量智能门(mén)锁存在(zài)通信(xìn)监听���、门卡复制���、APP攻击等安(ān)全风险����;传感(gǎn)器网络(luò)等(děng)无人值守设备分布广泛��,被攻破而(ér)不被发(fā)现的事件也时常(cháng)被事后报道��。随着信息技术(shù)的发展���,网(wǎng)络安全风(fēng)险(xiǎn)加速(sù)扩散(sàn)����,网络安全问题已然泛化�����。
03 密(mì)码技术的泛在化应用思路
面对快速发展的信息技(jì)术及泛在多变的网络(luò)安全需求����,需要对(duì)网络空间进(jìn)行体系性的(de)安全防护(hù)���。密码是(shì)网络信息安(ān)全(quán)的核心技术(shù)����,是整个网(wǎng)络信(xìn)任体系的基础支撑���,依托(tuō)密码技术在认证(zhèng)���、加密等方面的重要作用���,构建以密码(mǎ)为(wéi)基石的网络(luò)安(ān)全体系����,能够有力解决网络与(yǔ)信息(xī)安全问题���。我们在开展具体密码工(gōng)作时��,需注意密(mì)码技术与(yǔ)业务应用的结合���。在不同(tóng)的业务场景中���,应当(dāng)采用不同的密码技术(shù)路线或者组(zǔ)合��。总的来(lái)说��,包括经典密码技术��、创新(xīn)密码技术��、前沿密(mì)码技术三个(gè)方(fāng)面��。
经典密码技术指(zhǐ)的(de)是常见的(de)对称密码���、PKI/CA公钥密码及标识密(mì)码技术�����。这类密码技(jì)术属于基石性技术����,已经被广泛应用����,能(néng)够解决传(chuán)统(tǒng)信息(xī)系统安(ān)全认证与数据加密等问(wèn)题���。
我们(men)重点想提(tí)一(yī)些创新密码应用的工作思路����。我们在实践过程(chéng)中��,发现诸如工业控(kòng)制(zhì)��、移(yí)动办公����、智(zhì)能家居等新兴场(chǎng)景(jǐng)都存在密码应用需求���,然而受(shòu)限于(yú)具体场景和环(huán)境��,传统的密码技术往往(wǎng)无(wú)法直(zhí)接应用(yòng)���。此(cǐ)时(shí)����,我们(men)就需要转变(biàn)思路���,对密码应(yīng)用的方(fāng)法进(jìn)行创新和调整���。第(dì)一种思路是“融”���,即密码(mǎ)融(róng)合设计(jì)����,在设计(jì)之初将密码流程融入到业务应用及(jí)通信(xìn)协(xié)议中(zhōng)��,避免后期堆(duī)叠(dié)密码设备带来的性能(néng)开销���、系统损害等影响���。第二种(zhǒng)思路是“变”���,我们对传统(tǒng)密码技(jì)术(shù)进行场景化的适配(pèi)改(gǎi)造���,以应对(duì)差异化的密码(mǎ)需求(qiú)����,如轻量化密码协议(yì)��、短证书(shū)等(děng)�����。第三种思(sī)路(lù)是“合”���,我们可以对加密����、认证���、授权���、安全管理等功能进行(háng)整合���,以(yǐ)能力打包的形式(shì)对接应用(yòng)系统��,提供“一揽子”的密码解决方案(àn)����,减轻应用(yòng)的密码(mǎ)集成难(nán)度��,快速(sù)实现密码赋能��。
密码(mǎ)技术在不断发(fā)展��,学术界对零(líng)信任�����、区块链�����、安(ān)全多(duō)方(fāng)计算(suàn)����、同态加密��、格密码(mǎ)����、抗(kàng)量子密(mì)码等(děng)前沿密码技术进行(háng)了广泛的研究(jiū)���,部(bù)分成果已经应用(yòng)到信息系统中�����,相信未来(lái)前沿密码技术会得到更加(jiā)广泛(fàn)和全面(miàn)的(de)应用����。
04 终端(duān)侧的密码产(chǎn)品(pǐn)部署
终端种类众多���、形态各异��。不同种类的终端在价格成本��、网络数据能力��、软硬(yìng)件架构等方面存在(zài)着(zhe)巨(jù)大区(qū)别���,终端侧的密码产品部(bù)署(shǔ)需求也存在着差异性(xìng)���,需要(yào)因地制宜��。
终端(duān)侧的(de)密码产品部署主要(yào)涵盖三(sān)种(zhǒng)形式���:安装软件密(mì)码模块��、内嵌硬(yìng)件密码模块以及外接(jiē)安全网关����。对于PC���、手机���、高性能嵌入式设备���,我们可以部署(shǔ)软件密码模(mó)块���,借助(zhù)CPU的强大(dà)运算(suàn)能力���,实现高性能的密(mì)码(mǎ)运算�����,无需额外增(zēng)加硬件成本���。面向智能门锁����、车载控制器(qì)等安全性较(jiào)高(gāo)的(de)终(zhōng)端���,我们(men)可以采用设备内嵌密码硬件的(de)方式���,包括板(bǎn)载安全(quán)芯片����、内(nèi)接密码模(mó)块(kuài)���、使用基于(yú)密(mì)码(mǎ)的安全通信模组等(děng)���,提供硬(yìng)件级安全防护能力(lì)�����,保障设备安全��。针对微型传感器����、大型进口设备���、老旧IT设(shè)备(bèi)等难以施行密码改造的场景��,我们可以接入(rù)安(ān)全网(wǎng)关����,通(tōng)过门卫式安全防护���,保(bǎo)证设备的接入安全与(yǔ)通信安全问题���。
05 密码(mǎ)的服务(wù)化之道
近年来��,越来越(yuè)多(duō)的应用迁移上云���。我(wǒ)们(men)如果要分(fèn)别对不同的信(xìn)息系统进行密码应用����,工作量巨(jù)大(dà)��,密(mì)码资源浪费严重�����。此时���,我们可以借助云化����、虚拟化的思想将密码能力(lì)服务(wù)化����,按(àn)需提供密码资源����,不同应(yīng)用(yòng)系统只需通过服(fú)务调用的方式即可安全地获(huò)取密码(mǎ)能力�����,从而快速实(shí)现密码应用改造��。
一个可行(háng)的实践路线(xiàn)是构建(jiàn)密码服(fú)务平(píng)台���。我(wǒ)所在的卫士通(tōng)公(gōng)司作(zuò)为综合实力较(jiào)强的(de)密码企业(yè)���,正在从传统密(mì)码产(chǎn)品(pǐn)提供商向平台型安全服务(wù)提供商转型����,密码(mǎ)服务平台(tái)便(biàn)是一个重要的抓手���。密(mì)码服务(wù)平台不(bú)直接提供密码产品���,面向应(yīng)用提供场景化(huà)的(de)密(mì)码服务����,提升合规的密码应用效率���,降低应用与密码对接(jiē)的(de)难(nán)度(dù)���。我们看到���,越来越多的政务云正在采用密码服务平(píng)台(tái)����,实现(xiàn)云上应用的(de)快(kuài)速对(duì)接����。可以(yǐ)预见(jiàn)��,密码(mǎ)服务是促进密码泛(fàn)在化落地的重要且有效的技术路径(jìng)���。
06 基础软(ruǎn)硬件的内生安全机制
长久以来����,计算机系统基础软(ruǎn)硬件的安全(quán)及密码措施都是各自为政���,较(jiào)为独立���。如果要做一个安全浏览器���,我们可能(néng)会在浏览器内部集成OpenSSL算法库���;如果(guǒ)要做一个加密数据库��,我们可能为数据库(kù)配用密(mì)码(mǎ)硬件���;如果要做安全启动���,我们(men)需要为计算机配置(zhì)TPCM���、TCM等可信计(jì)算芯片(piàn)���。计算机系统各个(gè)软硬件之间的密码能力(lì)缺乏(fá)协同(tóng)���,烟囱式(shì)存在���。另(lìng)外���,各类软硬件厂商自行建(jiàn)设密码����,也存(cún)在着合规性的问(wèn)题����。
我们在构建自主信(xìn)息系统时��,可(kě)以从(cóng)系统(tǒng)体系的(de)角度出发���,使用一套密码方案����,贯通计算机基础软硬件的各个环(huán)节��,实现密码运算(suàn)和(hé)可信计算��。基础此种思想���,如卫士通与龙芯联合(hé)推出的内嵌安(ān)全(quán)SE的国产处(chù)理器����,打通了(le)CPU����、Bioses��、操作系统��、中间件���、数据库(kù)��、浏览器等各环节(jiē)�����,构建(jiàn)了内生安全的基础软硬件密码(mǎ)应用生态���。
07 典型案(àn)例(lì)
分享两个场景(jǐng)化(huà)案例��。一(yī)是视频(pín)融合通信(xìn)���,包含视频监控(kòng)�����、直播����、会商等多种业务模式��。我(wǒ)们可(kě)以采用端到端的(de)安全(quán)方式(shì)对视频终端���、服务端进(jìn)行(háng)密(mì)码改造�����,对大带宽���、高清(qīng)���、多路��、实时音视频进行加解密��。GB35114便是此类方式的(de)标准化落地(dì)����,未来也将会有更多音视频密码(mǎ)应用的标(biāo)准指(zhǐ)导相关工作(zuò)����。二是物联网密码(mǎ)应用����,我们(men)可以建立覆盖物联网“端-边-网(wǎng)-云”的密码应用体系���。端��,指的是物联网终端侧部署(shǔ)安全芯片/软件密码模块等密码产(chǎn)品��,实现终端安全防护��;边����,指的是提供安全(quán)边缘网(wǎng)关��,安(ān)全接(jiē)入物联网(wǎng)终端��;网���,指(zhǐ)的是基于密码技术保障物联网(wǎng)通信安(ān)全����;云����,指的是物联网(wǎng)平台具备密码与安(ān)全(quán)能力��。
08 密码应用推进思考
密码(mǎ)事业的政策性较强��,我们(men)密(mì)码工作(zuò)者要时(shí)刻(kè)关注国家(jiā)政策法规��,尤其是中央��、地(dì)方��、大(dà)型机(jī)关单位的(de)商密规划����,这(zhè)将带(dài)来大量的密(mì)码泛在化建设项(xiàng)目���。另(lìng)外����,随(suí)着等保2.0���、密评工作的(de)广泛(fàn)��、有序开展��,更多的细分领域将会开展密(mì)码工(gōng)作����,密码市场规模迅速扩(kuò)大����。我们在(zài)专注既有业务(wù)领域(yù)的同时���,应不断开拓(tuò)新的行业用户和业务(wù)领(lǐng)域��,拓展密(mì)码应用的范围���。
密码应用(yòng)和改(gǎi)造(zào)需要(yào)达(dá)到什么程(chéng)度�����?是否密码措施(shī)越多越好����?如何(hé)让更多的行(háng)业用户���、企(qǐ)业单位放下对密(mì)码或安全的固有成见(jiàn)���,愿意用密码��?这些问题都值得我们思考��。我们在做密(mì)码应用(yòng)和推广的时候(hòu)����,一定要结合行业(yè)政策(cè)与应用(yòng)实际���,按需(xū)地开展密(mì)码应用���,密码应用的(de)强度不能单(dān)一量化��,做到合规的同时�����,保证相当的安全性�����。
09 从业(yè)者建(jiàn)议
在密码泛(fàn)在化的背景(jǐng)环境(jìng)下����,我们从业者需要哪(nǎ)些方面的能力素养���?我认为(wéi)����,至少需要三方面的能力���。第一����,完备(bèi)的密码知识���。密码(mǎ)技术不断发展�����,我们需要(yào)广泛涉猎密码知识(shí)����,同时也应当潜心钻研一些重(chóng)点的(de)密码知(zhī)识��,尤其是我们工作中可能用到的密码技术���。第(dì)二(èr)���,全(quán)栈的密码设计能力��。包括密码(mǎ)算法�����、产品(pǐn)化设计�����、接口对接��、协(xié)议优化(huà)等等��,只有具备了(le)全栈的设计能力���,才能应对复杂多变的情况�����,准确地对密码(mǎ)方案进行优(yōu)化(huà)和改(gǎi)造���。第三�����,快速理解业(yè)务应用的(de)能(néng)力�����。密码和业务(wù)不能是“两张皮”����,密码的(de)设计必(bì)须(xū)基于业务实际���,密码工作者应当理解(jiě)业务流程并梳理出(chū)安(ān)全痛点及密码应(yīng)用(yòng)需求���,才能做好(hǎo)密码建设(shè)的实际工作���。
1月(yuè)15日���,人社(shè)部发文拟新增“密码技术应用员(yuán)”职业��,并(bìng)将其定义为运用密码技术(shù)����,从事信息系统安全密码保障的(de)架构设计�����、系统集成����、检测(cè)评估(gū)��、运维管理��、密码(mǎ)咨询等(děng)相关密码服务(wù)的人员�����。“密码技术应用员”作为(wéi)密码泛在化的一个专门职业被正式提出����,这无(wú)疑(yí)会(huì)促进密码泛在化的应用与推(tuī)广工作����。同(tóng)时���,作为密码从业者的我们���,也应当(dāng)参(cān)照“密码技术应用员(yuán)”的(de)要求积极(jí)提升个人(rén)能力���。
10 密码泛在化的未来
传(chuán)统信息行业���、新(xīn)技术(shù)业务领域快速发展并交相辉映����,信息世界正朝着相互(hù)渗透�����、多元发展的方向演进��。我们有理由相信�����,未来����,密码(mǎ)就是(shì)信息(xī)世界不可或缺的(de)组件(jiàn)����,密码也将作为泛(fàn)化信息世界的安全基石���,有力(lì)保障信息世界的安(ān)全(quán)持续发展(zhǎn)����。密码(mǎ)人���,大有可为�����。
