10月11日，由陕（shǎn）西省委网信办、西（xī）安市委（wěi）网信办指导，中国网络安全（quán）产业联盟、中国电子技术标（biāo）准化研究（jiū）院联合主办（bàn）的2021年国家网络安全（quán）宣传周“网络安全产（chǎn）业发展论坛（tán）”在陕西西安成功召开。卫士通资深（shēn）专家、天津（jīn）网安总经理洪新受邀出席论坛（tán）并作主（zhǔ）题演讲，分享了卫士通“第（dì）三方密码服务”在保障数据（jù）安全方面的探索。

会议现场

洪新在题为《建立多方信任模型的第三方（fāng）数据加密服（fú）务研究》主（zhǔ）题演讲（jiǎng）中提出安（ān）全问题不仅是（shì）技术层面的（de）问题，还（hái）有信任层面的（de）问题，即人的问题，并引述IBM的报告（gào）指出95%的安（ān）全问题是由人引起的（de）问题。

洪新（xīn）

他分析（xī）到，之所（suǒ）以说技术只是（shì）解决网络安全（quán）的（de）一个层面，是因为即（jí）使是技术最先进的企（qǐ）业（yè），技（jì）术并不完（wán）全解（jiě）决用户安全能力的（de）提（tí）升，也并不解决平台应用厂商对用户数据权力过（guò）大，没有制约这样的（de）问题，故而近几（jǐ）年爆发（fā）的（de）安全事（shì）件不断（duàn），而且越来越多，越来越大（dà）。另（lìng）外，也同（tóng）时（shí）造成了用户对IT基础（chǔ）设施（shī）和应用厂商的信任（rèn）感不断地被消费，不是对他（tā）们技术（shù）的怀疑，而是（shì）对他们提供的信任感（gǎn）的（de）怀疑。

关于信（xìn）任，国内（nèi）外（wài）对（duì）于互联（lián）网（wǎng）网络（luò）安全信任上的探（tàn）索（suǒ），最终都指向第三方的信任（rèn）模式，所谓“第三方的模式（shì）”。当天洪新重点介绍的“第三方（fāng）密码服务（wù）”是指（zhǐ）用户和互联网平台运营者之外，引入了一个独立（lì）的密码服务运（yùn）营者，帮助用户管理密码支（zhī）撑（chēng）用（yòng）户数据的（de）加密，这个模式下（xià），互联（lián）网运营商和平台运营商他们所见，所管（guǎn），所存的用（yòng）户数据只有密文（wén），从而有效防止明文信息的泄露。应用和平台的运营者（zhě）、密码服务运营者互（hù）相制衡，共同（tóng）确保用户数据的安全。由于密码和加密（mì）数（shù）据的分离，各个（gè）服务运营者都不（bú）能存取用户明（míng）文信息，极大增加了（le）用（yòng）户对运（yùn）营（yíng）者（zhě）服务的信任（rèn）。第三方模式（shì）已成（chéng）功（gōng）地在各（gè）个领域得到广泛的应用，安全领（lǐng）域的CA就是（shì）很典型的（de）应用。

如（rú）图（tú）所示，第三方加（jiā）密服务商会提供在（zài）线的密钥服务，加密密钥安全的存（cún）储分发，第三方加（jiā）密服务商不接（jiē）触也不保存任何的数据，通过密钥和（hé）安全策略控制用（yòng）户，保（bǎo）护（hù）用户的实际安全。在此同时，这个服（fú）务又对应用服务（wù）商提供密码（mǎ）安全（quán）的组件适（shì）配服务，让组件提供应用（yòng）服务（wù）的同时，所有的信（xìn）息都能通过第三方加密再储存和传输，即使有人（rén）非法获取（qǔ）用（yòng）户（hù）的数（shù）据，也会（huì）因为没有密钥（yào），没（méi）有办法真正获取用户的明文信息。数据和（hé）密码的分离（lí），有（yǒu）效避免因运营者信任问题造成的数据泄露。而用户本身（shēn）则能通过第三方密钥服务所（suǒ）得到的密钥和安全策略，完（wán）成（chéng）信息在本地（dì）的加解密。

这个原理已（yǐ）被作为最佳（jiā）实践应用于卫（wèi）士通和众多（duō）合作伙伴的合作当中，如华为，曙（shǔ）光云，企业（yè）微信，国产（chǎn）数据库和（hé）OA企业（yè）等。