“网络(luò)安全(quán)为人民��,网络安全(quán)靠人民���。”9月(yuè)16日��,卫(wèi)士通多位网络(luò)安全专家已“奔赴”各(gè)级网络安全宣传(chuán)周活动���,通过线上与线下(xià)相结合的(de)方式���,兼顾(gù)行业人士与(yǔ)普通大(dà)众的不同关注点���,从密(mì)码在(zài)网络安全中的核心作用����、泛在化应用��、以及创新服务(wù)方式进行了多方位(wèi)���、多层(céng)级的观点分(fèn)享��。
核心(xīn) | 夯实新型基础设施(shī)网络安全底座(zuò)
中国电科集(jí)团网络安全(quán)领域(yù)首席专家����、中(zhōng)国网安副(fù)总工程师��、卫(wèi)士通总工程师董贵山出席第七(qī)届国家(jiā)网络安全宣(xuān)传周新型(xíng)基础设施(shī)网络(luò)安全高峰论坛���,并作(zuò)“保障工业(yè)互联网(wǎng)安全(quán)��,服务制造业高质量发展(zhǎn)”主题(tí)演(yǎn)讲��,系统地(dì)阐述和分析了我国工业(yè)互联网的发展背景(jǐng)���、潜(qián)在安全风险(xiǎn)及相关政策要求��,并提出(chū)了构建体(tǐ)系(xì)化安(ān)全(quán)防(fáng)护能力(lì)�����,夯实以工业(yè)互联网为代表的新(xīn)型基础设施网络(luò)安(ān)全底座的三点(diǎn)建议����。
▲图 董贵山作主题演(yǎn)讲
一(yī)是���,建议借鉴企业工业(yè)信息安全整体保障实施原则���。企业工业信息(xī)安全整体保(bǎo)障(zhàng)是中(zhōng)国网安基于正确的(de)网络安全观提出(chū)的“整体安全���、动态安全���、相对安全��、合(hé)规与赋能(néng)���、技术与(yǔ)管理”的企业工(gōng)业信息安(ān)全整体保障实施原(yuán)则��,并在中(zhōng)国网安(ān)相关(guān)工(gōng)作中广泛应用���,对(duì)其他企(qǐ)业开展工业信息(xī)安全保障(zhàng)将起(qǐ)到借鉴作用��。
二是���,严格履行(háng)“七项义务����,四类防护”的基本要(yào)求����。《网络安全法》对网络运营者的(de)最(zuì)基本义(yì)务和安全要求做了明确规定(dìng)����,各工业企(qǐ)业应履行网络运行安(ān)全义务(wù)��、网络(luò)产(chǎn)品和(hé)服(fú)务安(ān)全(quán)义务���、关键信息基础设施安全保护义务����、公(gōng)民个人信息保护义务�����、网(wǎng)络信(xìn)息安全管(guǎn)理义务���、对监管机关的执(zhí)法协助义(yì)务和其他法定义务�����,实现网页防篡改(gǎi)��、服(fú)务防中断���、系统防病(bìng)毒��、数据防泄漏��。
三是���,利用(yòng)密码(mǎ)算(suàn)法保障工(gōng)业互联网数据的多(duō)方安(ān)全共享���,达到工业(yè)数据安(ān)全的价值流(liú)动(dòng)���。密码技术在网络安全防护体系中位(wèi)居核(hé)心和基础地位����,其提供的可信数据(jù)汇聚���、数据加密存(cún)储��、安全数据共享���、安全(quán)多方计算���、数据流转确权能够实现数据的(de)全生命周期安全(quán)��,并针对敏感(gǎn)数据���、企业核心数据提供针对性的数据脱敏��、数据(jù)加密和数据隐藏(cáng)能(néng)力�����,将防护能力深(shēn)入到业务流转之中��,能够(gòu)有效的保护安全隐私��,维护(hù)企(qǐ)业利益����,在数据(jù)可用不可见的基础(chǔ)上实现数(shù)据价(jià)值的流转和(hé)交互���。
广度 | 拓展密码泛在(zài)化应用
国家网(wǎng)络安全宣传周同(tóng)期�����,成都市的相关(guān)活动也在火(huǒ)热进行���,卫(wèi)士通结合现(xiàn)场展示���、专家(jiā)演讲����、互动游戏�����,从“密(mì)码的内(nèi)涵与意(yì)义”���、“密码泛在化内涵与(yǔ)意义”��、“密码领域典型实践与(yǔ)应(yīng)用(yòng)”三方(fāng)面向成都(dōu)市民普及了“密码泛在化”进(jìn)程���、应(yīng)用及意义���。
▲图 周阳作主题演(yǎn)讲
卫(wèi)士(shì)通方案中心(xīn)技术(shù)专家周阳在演讲中特(tè)别选取大众最常接触的生活场景���,通俗易懂的向成都市民进行分享���。周阳(yáng)通过诸如黑客(kè)攻击政府网站(zhàn)窃取公民(mín)和企业信(xìn)息��,就医人员医疗(liáo)信息遭泄(xiè)露导致个人敏感信(xìn)息被窃(qiè)取��,12306遭泄(xiè)露数据(jù)撞库攻击����,考生(shēng)网上报考(kǎo)信息泄露��,伪造印(yìn)章���,虚开发票���,伪造文件造(zào)成(chéng)国家财产(chǎn)损失等(děng)大众在日(rì)常生(shēng)活(huó)中(zhōng)接触到(dào)的场景(jǐng)案例(lì)引入�����,带(dài)领听众一起总(zǒng)结了数字(zì)生活正面四大主要痛点����,临(lín)时身份鉴别有“短板”��、个人(rén)信息缺“保(bǎo)护” ��、数据安全有“欠缺”���、文(wén)件(jiàn)印章缺“可信”����。
而解决这些(xiē)痛点的一大法宝��,便是“密码”���!经过20多年的发展���,我国商用密码已(yǐ)经应用到社会生产生活的各个方面����,在网络和信(xìn)息(xī)安(ān)全中发挥着(zhe)越来越重要的基础(chǔ)支(zhī)撑(chēng)作用����。在(zài)政务服务(wù)����,基(jī)于商用密码技(jì)术����,防止政务服(fú)务(wù)����、防疫健康信息(xī)码(mǎ)使用过程中的公众隐私(sī)数据(jù)泄露��,电子证(zhèng)照���、电子印章真实有效���,保障市民(mín)数字生活安全����。在社会保障�����,密钥管理系统作为社(shè)保卡制卡体系的核心(xīn)����,主要负责各类密钥的(de)生成���、存储与分发���,密(mì)钥(yào)管理(lǐ)系统中的密钥按密(mì)钥类型(xíng)���、应用类型和(hé)交易种类进行(háng)定义����,并通过(guò)分散变化等机制进行分级管理�����,避免单个密钥被攻破之(zhī)后影响整体系统的密钥安全��。在医疗(liáo)卫生方(fāng)面���,密(mì)码技(jì)术的应用保障了新形势(shì)下的(de)医疗(liáo)电子体系稳定(dìng)发展���,其(qí)中安(ān)全可信的电子(zǐ)病历以电子认证和电子(zǐ)签名为手(shǒu)段(duàn)���,形成完善的技(jì)术保障(zhàng)体系��,营(yíng)运安全可信的电子病历应用环境����,等(děng)等���。
深度(dù) | 创新密码服务方式
卫士通(tōng)方案中心(xīn)商(shāng)用密码(mǎ)专(zhuān)家周君平在国家网络安全(quán)宣(xuān)传周内蒙分会场(chǎng)的(de)线上论(lùn)坛上�����,作“推动商用密码应用��,创新密码服(fú)务能力”主题演讲��。她表示���,随着(zhe)密码技术的深度����、广度融合发(fā)展趋势����,不仅促进了产业(yè)链全生态(tài)的建(jiàn)立(lì)健(jiàn)全����,而且还(hái)催生了(le)密码服务(wù)“平台化”创新应用(yòng)模式��。
▲图 周君平
该模(mó)式通过构(gòu)建一体化的密码(mǎ)服务平台����,将为(wéi)各行业(yè)重要信(xìn)息(xī)系统(tǒng)提供统一(yī)���、弹性���、高(gāo)效���、规模化的密(mì)码应用服务����。一体化密码(mǎ)服务平台将采用微服务架构对密(mì)码服务基础(chǔ)支(zhī)撑设备����、系统的能力进行(háng)抽象(xiàng)封(fēng)装���,形(xíng)成(chéng)密码服务能力���,并通过API网关将密码服(fú)务(wù)的能力采用标准统一的(de)接口����,以API的形式或(huò)SDK的形式向安全应用提供����。同时基于平台管控(kòng)实现(xiàn)对平台的应(yīng)用接入管理(lǐ)��,密码资(zī)源��、资产的统计管理���,基于密(mì)码(mǎ)监管服务实(shí)现对密码设备����、密码(mǎ)资源���、密码(mǎ)服务调用情况的统一监管��,基于安全运营(yíng)服(fú)务使用����,实现租(zū)户管理���、平台运营状态监控���、资源可用性监(jiān)控等����。这(zhè)种商用密码创新服务方式(shì)有以下(xià)几个(gè)特点����:
1.服务(wù)化 以服务替代(dài)产品���,降低采购(gòu)成本和运(yùn)维成本����,提(tí)升(shēng)信息化建设敏捷性(xìng)���,缓解安(ān)全建设(shè)的困扰���。
2.精准(zhǔn)化 将(jiāng)密(mì)码业务深植(zhí)于业务之中����,由专业的密码厂商提供服务���,实(shí)时跟踪学界和(hé)业(yè)界的前沿(yán)进(jìn)展���,着力开(kāi)展技术演进和(hé)模式创新����,保持服务能力的持(chí)续(xù)迭代(dài)和更新����。
3.泛在化 面向目前数(shù)字政府建设的多(duō)云部署趋势��,提供支持不(bú)同云服务平台(tái)的泛在接(jiē)入能力�����。
4.合规化 以商用密码和等级保护(hù)相关规(guī)定为指导(dǎo)����,以安全合(hé)规(guī)为底线��,避免业(yè)务应用的(de)合规风险��。
5.简略化 为业务应用提(tí)供(gòng)便捷的密码服务接(jiē)口���,缓解(jiě)现在(zài)业务应用开(kāi)发(fā)商的密码研(yán)发(fā)难度���,弥补安全(quán)应用短板���。依托密钥管理���、密(mì)码应用等服务能(néng)力����,联通前端业务服务(wù)商(shāng)和后(hòu)端基础服务(wù)商����,结合密(mì)钥管理(lǐ)和身份(fèn)服务入口��,形成以密码服务为核心(xīn)的互联网(wǎng)信任(rèn)服务生态��,支撑网络(luò)空间安全�����。
