01 宏观政(zhèng)策为密(mì)码(mǎ)泛在化保驾护航
密码是保障网络空间安全的核心技术和基础(chǔ)支撑(chēng)���。过去�����,密码主要用来保护重(chóng)要IT系(xì)统的通(tōng)信与(yǔ)存储安(ān)全问(wèn)题(tí)��,普通老百姓很少和它打交道�����。如今��,密码已经应(yīng)用到(dào)各行(háng)各业����,影响(xiǎng)我(wǒ)们生活的方(fāng)方面面����。密码产(chǎn)品(pǐn)也(yě)从传统的密(mì)码机���、密钥管理系统等(děng)整机形(xíng)态��,衍生发展为安全芯片���、软件密码模(mó)块���、IP核�����、密码(mǎ)板卡等不同形态���,密(mì)码(mǎ)和IT技术(shù)呈(chéng)现融合(hé)发(fā)展的(de)趋势��,密(mì)码的服务化更是打破(pò)了密码(mǎ)产品(pǐn)的形态限制���。密(mì)码应用已经呈(chéng)现出多元化���、融(róng)合化���、泛在化(huà)等新(xīn)特点����。
近年来(lái)���,我国不断健(jiàn)全密码相关(guān)的政策法规����,先(xiān)后制(zhì)定和实施(shī)了网络(luò)安(ān)全法���、密(mì)码法���、36号文����、GM/T0054�����、等保 2.0标准等系列法规政(zhèng)策标(biāo)准���,从顶层构(gòu)建了密码与网信(xìn)事(shì)业的宏伟蓝图(tú)���。在宏观(guān)政策的(de)指引下����,我国密(mì)码事业(yè)经历了从无到(dào)有����、从初创(chuàng)到规范完善的阶段��,取得(dé)了(le)跨越式(shì)的发展(zhǎn)�����,这也为全面推进密码工作和密码泛在化应用奠定(dìng)了坚实有力的基础����。
02 安全风险呈(chéng)现(xiàn)泛在化趋势
物联网(wǎng)����、云计(jì)算���、5G��、大(dà)数据�����、人(rén)工智能等创新技术正在加速(sù)驱动物理世界与信息世界的融合��。我(wǒ)们(men)在享受高新技术带来的信(xìn)息红利的同时(shí)���,也无(wú)形中(zhōng)打破了(le)固有的网络边界����,加剧了(le)信息泛在化的发展趋势���。物理世界与(yǔ)信息空间的泛(fàn)在融合(hé)��,也将物理空间(jiān)的违法(fǎ)破(pò)坏行为(wéi)引入虚拟世界����,网络空(kōng)间变得更(gèng)加复杂���。
信(xìn)息技术的融合��,既加速了信息化进程(chéng)����,也(yě)增大(dà)了网络攻击(jī)的可能性��,网络安全(quán)问题异常严峻����。近年来网络安全事件层出不穷����、形式(shì)各(gè)异���,涉及到物联网(wǎng)安全(quán)����、数据安全(quán)����、虚拟(nǐ)化安全等方方面面���。比如(rú)����,在(zài)物联(lián)网领域���,视频(pín)监控弱(ruò)密码���、偷拍����、DDoS攻击等事件屡见不鲜(xiān)����;大(dà)量智能门锁存在(zài)通信监听�����、门卡复(fù)制���、APP攻(gōng)击等安(ān)全风(fēng)险��;传感器网络等无人值(zhí)守设备(bèi)分布广泛��,被(bèi)攻(gōng)破而(ér)不被(bèi)发现的事件也时常被事后报(bào)道����。随着信息(xī)技术的发展��,网(wǎng)络安全风(fēng)险加速扩散�����,网络安全问题已然泛化����。
03 密码技术的泛在化应用思路
面对快速发展的(de)信息技术及泛在多变的网络安(ān)全需求��,需要对网络(luò)空间进(jìn)行体系性的(de)安全防护�����。密(mì)码(mǎ)是网络信息安全的核心(xīn)技术��,是整个网络信任体系(xì)的基础支撑���,依托密码技(jì)术在(zài)认(rèn)证���、加密等方面的重要作用��,构建以(yǐ)密码为基石的(de)网络安全(quán)体系(xì)����,能够有力解决网(wǎng)络与信息(xī)安(ān)全(quán)问题����。我(wǒ)们在开展(zhǎn)具体密码工作时����,需注意密码技术与业务应用的结(jié)合���。在不同(tóng)的业务场(chǎng)景中���,应当(dāng)采用(yòng)不同的密码技术路线或者组合����。总的来说��,包括(kuò)经典密码技(jì)术��、创新密码技术���、前沿(yán)密码技术三个方面����。
经典密码技术指的是(shì)常见的对称密码���、PKI/CA公钥密码及(jí)标识(shí)密(mì)码技术���。这类密码技术属(shǔ)于基石(shí)性技术��,已经被广(guǎng)泛(fàn)应用���,能够解决传(chuán)统信息系统安全(quán)认(rèn)证与数据加密等问题����。
我们重点想提一些创新(xīn)密码应用的工作思路����。我们在(zài)实践(jiàn)过程中����,发现诸如工业(yè)控制(zhì)��、移(yí)动办公���、智(zhì)能(néng)家居等新兴场景都存在密(mì)码应用(yòng)需求����,然而受限于具体场(chǎng)景和环境��,传(chuán)统的密码技术往往无法直接应用(yòng)�����。此时���,我(wǒ)们就需要转变思路���,对密码应用的方(fāng)法进(jìn)行创新和调(diào)整���。第一种(zhǒng)思路是(shì)“融”��,即密码融合(hé)设(shè)计���,在设计之初将密码流(liú)程融入到业务应用及通信协议(yì)中���,避(bì)免后期堆叠密码设备(bèi)带来(lái)的性(xìng)能(néng)开(kāi)销��、系统损害等(děng)影响����。第二(èr)种思(sī)路是“变”���,我们(men)对传统密码技(jì)术(shù)进行场景化的适配改造��,以应对差异化的密(mì)码(mǎ)需求(qiú)���,如轻量化密(mì)码(mǎ)协议���、短证书等���。第三种思(sī)路是“合”��,我们可以对加密��、认证(zhèng)��、授(shòu)权����、安全管理(lǐ)等(děng)功能进(jìn)行整合(hé)��,以(yǐ)能力打包(bāo)的形式对接应用系统��,提供“一(yī)揽子”的密码解(jiě)决方案��,减轻应用的密码集成难(nán)度���,快速实(shí)现密(mì)码(mǎ)赋能�����。
密(mì)码(mǎ)技术(shù)在不断发展(zhǎn)�����,学术界对零信任��、区块链���、安全多方计算��、同态(tài)加(jiā)密��、格密(mì)码����、抗量子密码等前沿(yán)密(mì)码(mǎ)技术进行(háng)了广(guǎng)泛的研究����,部分成果已经应用到(dào)信息系(xì)统中���,相信未(wèi)来(lái)前沿密(mì)码技术会得到更加广泛(fàn)和全面的应用����。
04 终端侧的密码产品部署
终端种类众多���、形态各异(yì)�����。不(bú)同(tóng)种类的终端(duān)在价格成(chéng)本��、网络数据能力����、软(ruǎn)硬件架构等方(fāng)面存在(zài)着巨大区别����,终端侧的密码产品部署(shǔ)需(xū)求也存在着差(chà)异性��,需要因地制(zhì)宜��。
终端侧的(de)密码产品部署主要涵盖三种形(xíng)式�����:安装软件密码模块(kuài)��、内(nèi)嵌硬(yìng)件(jiàn)密码模块以及(jí)外(wài)接安全(quán)网关����。对于(yú)PC��、手机���、高性能嵌(qiàn)入式设备(bèi)���,我们可以部署(shǔ)软件(jiàn)密码模块����,借助(zhù)CPU的强大运算能力��,实现高(gāo)性能的密码(mǎ)运算����,无需额外(wài)增加硬件成本���。面向智能门(mén)锁����、车载控制器等(děng)安全(quán)性较高的终(zhōng)端���,我们可以采用设(shè)备内嵌密码硬件(jiàn)的方式��,包括(kuò)板载安全(quán)芯片��、内(nèi)接密码模块(kuài)���、使用基于密码的安(ān)全通信(xìn)模组等���,提供硬件级(jí)安全防护(hù)能力�����,保障设(shè)备安全(quán)�����。针对微型传感器���、大(dà)型进口(kǒu)设备��、老旧(jiù)IT设备(bèi)等(děng)难以施行密码改造的场景����,我们可以(yǐ)接入安全网(wǎng)关��,通过门卫式安全防护���,保证设(shè)备的接入安全与通信安全(quán)问题���。
05 密(mì)码(mǎ)的服务化之(zhī)道(dào)
近年来(lái)��,越来越多的应用迁移上云���。我们(men)如果要分别(bié)对不同的信息(xī)系统进行密码应(yīng)用��,工作(zuò)量巨大���,密(mì)码资源浪费严重����。此时����,我们可(kě)以借助云化����、虚拟化的思想将密码能力服务化��,按需提供密码资(zī)源(yuán)����,不同(tóng)应用系统(tǒng)只(zhī)需通过服务调用的方式(shì)即可安全地(dì)获取密码(mǎ)能力(lì)���,从而快速(sù)实现(xiàn)密码应用改造���。
一个(gè)可行的实践路线是构(gòu)建密码服务平台�����。我所在的卫士通(tōng)公司作为综合实力较强的密(mì)码企业(yè)�����,正在从传统密码产品(pǐn)提供商向平(píng)台型(xíng)安全(quán)服务提供商转型��,密码服务平(píng)台便是(shì)一个重要的抓手��。密(mì)码服(fú)务平台(tái)不直接提供密(mì)码产品��,面向应用提(tí)供场景化的(de)密码服务���,提升合规(guī)的密码应用(yòng)效(xiào)率����,降低(dī)应用(yòng)与(yǔ)密码对接的难度���。我们看到����,越来越多(duō)的政(zhèng)务(wù)云正在采(cǎi)用密码服务平台��,实(shí)现云上应(yīng)用的快速对接���。可(kě)以预见(jiàn)���,密码服(fú)务是促进密码泛在化落地的重要且有效的技(jì)术路径����。
06 基础软硬件的内生安全(quán)机制
长久以来���,计(jì)算(suàn)机系(xì)统基础软硬件的安全及密码措施都(dōu)是各自为政��,较为独立����。如果要做一个安(ān)全浏览(lǎn)器����,我们可能会(huì)在浏览器内部集成OpenSSL算法(fǎ)库���;如果(guǒ)要做一个(gè)加密数(shù)据库����,我们可能为数据(jù)库(kù)配用密(mì)码硬件����;如果要做安全(quán)启动���,我们需(xū)要为(wéi)计算(suàn)机配置TPCM���、TCM等可(kě)信(xìn)计算芯片���。计算(suàn)机系统各个软(ruǎn)硬(yìng)件之间的密码能力缺乏协同��,烟(yān)囱式存在����。另外���,各类软硬件厂商自行建设(shè)密码���,也存(cún)在着合(hé)规性的问(wèn)题��。
我们在(zài)构建自主信息系统(tǒng)时(shí)��,可以从系统体系(xì)的(de)角度(dù)出发����,使用一套密码方案(àn)�����,贯通计算机基础软(ruǎn)硬(yìng)件的各个环节��,实现密码运算和可(kě)信计算��。基(jī)础此种思想(xiǎng)����,如卫士通与龙(lóng)芯联合推出(chū)的内嵌安全SE的国产处(chù)理(lǐ)器���,打通了CPU���、Bioses��、操(cāo)作系统��、中间件���、数据(jù)库���、浏览器等各环节���,构(gòu)建了内生安全的基础软(ruǎn)硬件密码应用生态����。
07 典型案(àn)例(lì)
分享(xiǎng)两个场景化案例����。一(yī)是视频融合通(tōng)信���,包含视频监控����、直播���、会商等多种(zhǒng)业务模式���。我们可以采用端到端的安全方式对(duì)视频终端���、服务端进行密码改造(zào)���,对大带宽����、高清���、多路��、实时(shí)音视频进行加解密���。GB35114便是此类方式的标准化落地�����,未来也将会(huì)有更多音视频密码应用的标准指导相关工作���。二是物联(lián)网密码(mǎ)应用��,我(wǒ)们可以建立覆盖(gài)物联(lián)网“端-边-网-云”的密码应用(yòng)体系���。端����,指的是物联网终(zhōng)端侧部署安全芯(xīn)片/软件密码模块(kuài)等(děng)密码产品����,实现(xiàn)终端安全防护���;边(biān)����,指的是提供安全(quán)边缘网关(guān)���,安(ān)全(quán)接(jiē)入物联(lián)网终端����;网���,指的是基于密码技术保障物联网(wǎng)通信安全��;云����,指的是物联网平台(tái)具备密(mì)码与(yǔ)安(ān)全能力��。
08 密码应用推进(jìn)思(sī)考(kǎo)
密码事(shì)业(yè)的政策性较(jiào)强����,我(wǒ)们密码(mǎ)工作者要时刻关注国家政策法规��,尤其是中央(yāng)����、地方��、大(dà)型机关单(dān)位的商密(mì)规划���,这将(jiāng)带来大量的密(mì)码泛在化建设项目���。另外���,随着等(děng)保2.0���、密评工作的广泛���、有序开展(zhǎn)�����,更(gèng)多的细(xì)分领(lǐng)域将(jiāng)会开展密码工作����,密码(mǎ)市场规模迅速扩大(dà)����。我们在(zài)专注(zhù)既有业(yè)务领域的(de)同时���,应不断(duàn)开(kāi)拓(tuò)新的行业(yè)用户和业(yè)务领域���,拓展密码(mǎ)应用的范(fàn)围���。
密码(mǎ)应(yīng)用和改造需(xū)要达到什么(me)程度����?是否密码措施越多越(yuè)好����?如何让更多的(de)行业(yè)用户(hù)���、企业单位放下对密码或安(ān)全的(de)固有成见(jiàn)����,愿意用密码�����?这些问题(tí)都值得我们思考���。我们在做密码应用和推广的时候���,一定要结合行业政策与应用实际�����,按(àn)需地开(kāi)展密码应用(yòng)���,密码应用的强(qiáng)度不能单一量化��,做到合规的同时��,保证相当(dāng)的(de)安全性����。
09 从业者建议(yì)
在密码泛在化的背景环境下����,我们从(cóng)业者需(xū)要(yào)哪些方面的能力素养���?我认为����,至少需要三方面的能力(lì)����。第一����,完备(bèi)的(de)密码知识��。密码技术不断发(fā)展���,我们需要(yào)广泛涉猎密码知(zhī)识��,同时也应当潜心(xīn)钻研(yán)一些(xiē)重点的密码知识(shí)����,尤(yóu)其是我们工作(zuò)中(zhōng)可能用到(dào)的密(mì)码技术���。第二����,全栈的密码设计能力��。包括密码算法(fǎ)����、产品化设计����、接口(kǒu)对接����、协议优(yōu)化等(děng)等(děng)����,只有具备了全(quán)栈的设计(jì)能力����,才能应对复(fù)杂多(duō)变的情况����,准确地对密(mì)码方案进行(háng)优化和改造���。第(dì)三���,快速理(lǐ)解(jiě)业务应用的能力����。密码(mǎ)和业务不(bú)能是“两张皮”����,密码(mǎ)的设(shè)计必须基(jī)于业(yè)务实际��,密码工作者应当理解业务流(liú)程并梳(shū)理出安全痛点(diǎn)及密码应(yīng)用需求(qiú)����,才能做好密码建设的实际工作(zuò)��。
1月15日�����,人社(shè)部发文拟新增“密码技(jì)术应用员(yuán)”职(zhí)业�����,并将其定义为运用(yòng)密(mì)码技(jì)术���,从事信息系统安全密码保(bǎo)障的架构设计����、系统集(jí)成(chéng)����、检(jiǎn)测评(píng)估�����、运维管理(lǐ)��、密码(mǎ)咨询(xún)等相关密码服务的人员����。“密(mì)码技术(shù)应用员”作(zuò)为密(mì)码(mǎ)泛在化的(de)一(yī)个专(zhuān)门职(zhí)业(yè)被正式提(tí)出����,这无疑会促进密码(mǎ)泛在化的应用与推广工(gōng)作��。同时���,作(zuò)为密码(mǎ)从业(yè)者的我们��,也应当(dāng)参照“密码技术应(yīng)用员”的要求积极提升个人能力(lì)��。
10 密码泛在化(huà)的未来
传统信息行业(yè)���、新技术业务(wù)领域快速(sù)发展并交相辉映���,信(xìn)息世界正朝着相互(hù)渗透����、多元发展的方向演(yǎn)进����。我们(men)有(yǒu)理由相信���,未来�����,密(mì)码就是(shì)信息世界不可或缺的组件��,密(mì)码也将作为泛化信息(xī)世(shì)界(jiè)的安全基石����,有力保障信息(xī)世界的安全持续(xù)发展����。密(mì)码人(rén)���,大有可为����。
