01 宏观政策为密码泛在化保驾护航
密(mì)码(mǎ)是保障网(wǎng)络空间安全的(de)核(hé)心技术和基础支撑����。过去����,密码主要用来保护(hù)重要IT系统(tǒng)的通信与存储安全问题����,普通老百姓很少和它打交(jiāo)道���。如今����,密码已经应用到各行各业(yè)���,影响我们生活的方方面面���。密码产品(pǐn)也从传统的密码机���、密(mì)钥管理系统等整机形(xíng)态��,衍生发(fā)展为安全芯(xīn)片���、软件密(mì)码模块���、IP核(hé)�����、密码板卡(kǎ)等不同形态��,密(mì)码和IT技术呈现融合发展的趋势(shì)���,密码的服务(wù)化(huà)更(gèng)是打破了密码产品的形态限制��。密码应用已经呈现出多元化���、融合化��、泛在(zài)化(huà)等新特点���。
近年来��,我国不(bú)断健全密码相(xiàng)关的政策法规(guī)���,先后制(zhì)定和实施了网络安(ān)全法��、密码法����、36号文����、GM/T0054��、等保 2.0标(biāo)准等(děng)系列法规政策标(biāo)准�����,从(cóng)顶层构建(jiàn)了密码(mǎ)与网信事业的宏伟(wěi)蓝图(tú)���。在宏观政策的指引下���,我国密(mì)码事业经历了从无到有���、从初创到规范完(wán)善的阶段����,取得了跨越式的发展���,这(zhè)也为全面推进密码工作和密码泛(fàn)在化应用奠定了坚实有力(lì)的基础���。
02 安全风险呈现泛在(zài)化趋势
物联网���、云计算���、5G���、大数据����、人工智能等创新技(jì)术正在加速(sù)驱动物理世界(jiè)与信息世界的融合���。我(wǒ)们在享受(shòu)高新技术带来的(de)信息红利(lì)的(de)同时����,也无形中(zhōng)打破了固有的网络(luò)边界(jiè)����,加剧了(le)信息泛(fàn)在化的发展趋势���。物理世界与信息空间的(de)泛在融合���,也将物(wù)理空间(jiān)的违法破坏行为引入虚拟世界���,网络(luò)空间变得更加复杂����。
信息技术的融合(hé)���,既加(jiā)速了信息化进程��,也增大了网(wǎng)络攻击的可能性���,网络安全问题(tí)异常严峻����。近年来网络安全事件层出不穷��、形式各(gè)异����,涉(shè)及到物联(lián)网安全��、数据安(ān)全���、虚拟化安全等方方面(miàn)面���。比(bǐ)如(rú)���,在物联网领域��,视频监控弱密码(mǎ)���、偷拍��、DDoS攻击等事件屡见不鲜(xiān)����;大(dà)量(liàng)智能门锁存在通信监听���、门卡(kǎ)复制�����、APP攻击等安全风(fēng)险����;传感器网络等无人值(zhí)守设备分布广(guǎng)泛��,被攻(gōng)破而不被发(fā)现的(de)事件也(yě)时常被事后(hòu)报道��。随着信息技术的发(fā)展���,网(wǎng)络安全风险加(jiā)速扩(kuò)散���,网络安全问题已然泛化����。
03 密码技术的泛在化应用思路(lù)
面对快速发展(zhǎn)的信息技(jì)术(shù)及泛在多变的网络安全需求��,需(xū)要对(duì)网络空(kōng)间进行体系(xì)性的安全防护(hù)��。密码是网络(luò)信(xìn)息(xī)安全(quán)的核心技术��,是整(zhěng)个网络信任体系的(de)基础支(zhī)撑�����,依托密码技术在认证���、加密等方面的重要作用���,构(gòu)建以(yǐ)密码为基石的网络安全体系���,能够有力(lì)解(jiě)决网络与信息安全问题����。我们(men)在开展具体密码工作时���,需注意密(mì)码技术与业务应(yīng)用的结合���。在不同(tóng)的业务场景中���,应当采用不同的密码技术路线(xiàn)或者(zhě)组(zǔ)合���。总的来说�����,包(bāo)括经典密码技术����、创(chuàng)新密码技术����、前沿(yán)密码技术三(sān)个方面���。
经典(diǎn)密码技术指的是(shì)常见的对称密码��、PKI/CA公(gōng)钥密码及标识密码技术����。这类密码技术(shù)属于基石性技术����,已经被广泛应用��,能(néng)够解决传统信息系统安全认(rèn)证与(yǔ)数据加密等(děng)问题��。
我们(men)重(chóng)点想(xiǎng)提一(yī)些创新密码应用的工作思路����。我们在实(shí)践过程(chéng)中����,发现诸如工业控(kòng)制�����、移动办公����、智能家(jiā)居等(děng)新兴场(chǎng)景都存在密(mì)码应用需求����,然而受限于具体(tǐ)场(chǎng)景和环境��,传统的密码技术往往无法(fǎ)直接应用����。此时����,我(wǒ)们就需要转变思路����,对密码应用的方法进(jìn)行创(chuàng)新和调整���。第一种思路是“融(róng)”���,即(jí)密码融合设计���,在设(shè)计之(zhī)初将密(mì)码流程融(róng)入到业务应(yīng)用及通信协(xié)议中��,避免(miǎn)后(hòu)期堆叠密码设备带来(lái)的性能开销���、系统损害等影响����。第二(èr)种思路是(shì)“变”��,我们对传统(tǒng)密码技(jì)术(shù)进行场景化的适配改(gǎi)造(zào)���,以应对差异化的密码需(xū)求(qiú)�����,如轻量化密码协议��、短证书等���。第(dì)三种(zhǒng)思路是“合”���,我们可以(yǐ)对加密(mì)���、认证���、授权��、安全管理等功(gōng)能进行整合����,以能力打包的形式对接应用系统(tǒng)����,提供“一揽子”的密(mì)码解(jiě)决方案��,减轻应(yīng)用的(de)密码集(jí)成难(nán)度����,快速实现密码赋能(néng)���。
密(mì)码技术在不断发展��,学(xué)术界(jiè)对零信任��、区块链���、安全多方计算����、同态加密����、格密码��、抗(kàng)量子密(mì)码等前沿密码技术进行了广泛的研(yán)究��,部分成果(guǒ)已经应用到信息系统(tǒng)中���,相信未来(lái)前沿密码技(jì)术会得到更加广泛和(hé)全面的应用�����。
04 终端侧的密码产品部署(shǔ)
终端种类众(zhòng)多����、形态各异(yì)��。不同种类的(de)终端在价(jià)格成本(běn)����、网络(luò)数据能力��、软硬(yìng)件架(jià)构等方面存在着巨大区别(bié)��,终端侧(cè)的密码(mǎ)产品(pǐn)部署需(xū)求也(yě)存(cún)在着差异性����,需(xū)要因地(dì)制宜����。
终端侧的密(mì)码产品部署主要涵盖三(sān)种形式(shì)���:安装(zhuāng)软件密码模块���、内嵌硬件(jiàn)密码模(mó)块以及(jí)外接安全网关��。对于(yú)PC����、手机���、高性能嵌入式设(shè)备����,我们可以部署软件密码模块��,借助CPU的强大运算能力���,实现高(gāo)性(xìng)能的密码运(yùn)算(suàn)��,无需额外增加硬件成本(běn)���。面向智能门锁���、车载(zǎi)控制器等安全(quán)性较高的终端�����,我(wǒ)们(men)可(kě)以采用设备内嵌密码(mǎ)硬件的方(fāng)式����,包(bāo)括板载安全芯片��、内接密码模(mó)块����、使用基(jī)于密码的安全通信模组等��,提供硬件级安全防护能力���,保障设备安全(quán)����。针对微(wēi)型传(chuán)感器����、大型进口设备����、老旧IT设备等难以施行密码改造(zào)的场景���,我们可(kě)以接入安(ān)全网关��,通过门卫式安(ān)全防护�����,保证设(shè)备(bèi)的接入安全与通信(xìn)安全问题���。
05 密码的服务化(huà)之道
近(jìn)年来���,越来越多的(de)应(yīng)用迁移上云���。我们如果要(yào)分别对不同的(de)信息系统进行密码应(yīng)用��,工作量巨大��,密码资源浪费(fèi)严(yán)重����。此时��,我们可(kě)以借助云化��、虚拟化的思想(xiǎng)将密码能力服(fú)务(wù)化����,按(àn)需提供密码资(zī)源(yuán)���,不同应用系统只需通过(guò)服务调用的方式即可安全地获取密码能力���,从而快速实现密码应用改造��。
一(yī)个可行的实践路线是(shì)构建(jiàn)密码(mǎ)服(fú)务(wù)平台���。我所在的卫(wèi)士通公司作为综合实力(lì)较强的密码企业���,正(zhèng)在(zài)从传统(tǒng)密码产品提(tí)供(gòng)商向平台型(xíng)安(ān)全服务提供商(shāng)转型���,密码(mǎ)服务平(píng)台便是一个重(chóng)要的抓手���。密码服务平台不(bú)直接提供密码产品����,面向应(yīng)用提供场景化的密码服务(wù)����,提升(shēng)合规的密码(mǎ)应用效(xiào)率(lǜ)����,降低应用(yòng)与密码(mǎ)对接的难度���。我们(men)看到����,越来越多的(de)政务云正在采(cǎi)用密(mì)码服务平台�����,实(shí)现(xiàn)云上(shàng)应用的快速(sù)对接���。可以预(yù)见��,密码服务是(shì)促进密码(mǎ)泛在化落地的重要(yào)且(qiě)有效的技术路径��。
06 基础(chǔ)软硬件(jiàn)的内生安全机制
长久(jiǔ)以来���,计(jì)算(suàn)机系统基(jī)础(chǔ)软硬件(jiàn)的安全及密码措施都是各自为政����,较为独立���。如果要做一个(gè)安全(quán)浏览器��,我们可能会在浏览器内部集成OpenSSL算法库���;如(rú)果(guǒ)要做一个(gè)加密数据库��,我们可(kě)能为数据库配用密码(mǎ)硬件���;如果要(yào)做安全启动���,我们需要为计算机配(pèi)置TPCM���、TCM等可信计算(suàn)芯片���。计算机系统(tǒng)各个软(ruǎn)硬件之间的(de)密码能力(lì)缺乏协同�����,烟囱式存在���。另外��,各类软硬件(jiàn)厂商自行(háng)建设密码(mǎ)���,也存在着合规性的问题���。
我(wǒ)们(men)在构建(jiàn)自主信息系(xì)统时��,可以从系(xì)统体系的角度出(chū)发(fā)���,使用一套密码(mǎ)方(fāng)案(àn)�����,贯(guàn)通计算机基础(chǔ)软硬件的各个环节(jiē)����,实现密码运(yùn)算和(hé)可信(xìn)计(jì)算(suàn)���。基(jī)础此种思想(xiǎng)��,如卫士通与龙芯联(lián)合推出的内嵌安全SE的国产处(chù)理器(qì)��,打通了CPU����、Bioses��、操作(zuò)系统���、中间件���、数据库���、浏览器等各环节��,构建了(le)内生安全(quán)的基础(chǔ)软(ruǎn)硬件密码(mǎ)应用生态���。
07 典(diǎn)型案例(lì)
分享两(liǎng)个场景化案例��。一是视(shì)频(pín)融(róng)合(hé)通信���,包含(hán)视频监(jiān)控���、直(zhí)播��、会商等多种业务模式���。我们可以采用端(duān)到端的安全方(fāng)式对视频终(zhōng)端���、服(fú)务端进行(háng)密码改造����,对大带宽(kuān)���、高清(qīng)�����、多(duō)路(lù)���、实时音视频进行加解密���。GB35114便(biàn)是此类方式的标准化落地(dì)��,未来也将会有更多音(yīn)视频密码应用的标准指导相关工作����。二是(shì)物联网密码应用����,我们(men)可以建立覆盖物联网“端-边-网(wǎng)-云(yún)”的密(mì)码应用体系�����。端(duān)���,指的是物联(lián)网终(zhōng)端侧部署安全(quán)芯片(piàn)/软件密码模(mó)块等密(mì)码产(chǎn)品���,实现终端安全防护�����;边�����,指的是提(tí)供(gòng)安全边缘网关(guān)����,安全接(jiē)入物联网(wǎng)终端����;网���,指的是基于密码技术保障(zhàng)物联网通信(xìn)安全���;云����,指的是物联(lián)网平台具备(bèi)密码与安全能力��。
08 密码应用推进(jìn)思(sī)考(kǎo)
密码事业(yè)的政策性较强��,我们密码工(gōng)作者要(yào)时刻关注国(guó)家(jiā)政(zhèng)策法(fǎ)规���,尤(yóu)其是(shì)中央����、地方���、大型机关单位的商密规划����,这(zhè)将带来大量的密(mì)码泛在化建设项目���。另外�����,随着等保2.0���、密评工作(zuò)的广泛��、有序开展���,更多的细(xì)分领域(yù)将会开展密码工作��,密码市场规模迅速扩大���。我们在专注既有(yǒu)业(yè)务领(lǐng)域的同时��,应不断开拓(tuò)新(xīn)的行(háng)业用(yòng)户和业务(wù)领域����,拓展密码应(yīng)用的范围����。
密码应(yīng)用和改造需要达到(dào)什么程度���?是否密码措(cuò)施越多(duō)越好���?如何让更多(duō)的行(háng)业用户���、企业单位放下对密码(mǎ)或安全的固有成见���,愿意用密码��?这些问(wèn)题都值得我们(men)思考���。我们在做密码应(yīng)用和推广的(de)时候���,一定要结合行业政策(cè)与应用实际���,按(àn)需地开展密码应用���,密码应用的强度不能单一(yī)量化���,做(zuò)到(dào)合规的同时���,保(bǎo)证相当(dāng)的(de)安全性����。
09 从业(yè)者建议
在密码泛在化的背景(jǐng)环境下(xià)����,我们从(cóng)业者需要哪些方面(miàn)的能力素养���?我认为���,至少需要(yào)三方面的能力��。第一(yī)�����,完备的(de)密码知识���。密码技术不断(duàn)发展����,我(wǒ)们需要广泛涉猎密码知识(shí)���,同时(shí)也(yě)应当潜心钻研一(yī)些重点的(de)密码(mǎ)知识��,尤(yóu)其是我(wǒ)们(men)工(gōng)作中可能用到的密(mì)码技术����。第二���,全栈的密码设计能力���。包括密码算法���、产品化设计����、接口对(duì)接����、协议优化等等(děng)��,只有具备了全(quán)栈的设计能力����,才(cái)能(néng)应对复杂多变的情况��,准确地对(duì)密(mì)码方案进行优化和改造���。第三��,快(kuài)速理(lǐ)解业务应用的能力��。密(mì)码和业务不能是“两(liǎng)张皮”���,密码的设计必须基于业务实际����,密(mì)码工作者应当理解(jiě)业务流程(chéng)并(bìng)梳理出安全(quán)痛点(diǎn)及密(mì)码应用需求���,才能做好(hǎo)密码(mǎ)建设的实际工作����。
1月15日���,人社部发文拟新增“密码技(jì)术(shù)应(yīng)用员”职业��,并将(jiāng)其定义为运用密码技术����,从(cóng)事信息系统(tǒng)安(ān)全密码保障的架构设计���、系统集成(chéng)���、检测评估����、运维管理�����、密码(mǎ)咨询等(děng)相关密(mì)码服(fú)务的人员����。“密码技术应用员”作为密码(mǎ)泛在化的一个专门(mén)职业被正式提出���,这无疑会促进密码(mǎ)泛(fàn)在化的(de)应用与(yǔ)推广(guǎng)工(gōng)作(zuò)����。同时��,作为密(mì)码从业者的(de)我们(men)���,也应当参照“密码技术应用员”的要求积(jī)极提升个(gè)人能力����。
10 密码泛在化的未来
传统信(xìn)息行业���、新技术业务(wù)领(lǐng)域快速发展并(bìng)交相辉映����,信息世界正朝着相互渗透�����、多元发展的方向演进���。我们有理(lǐ)由(yóu)相(xiàng)信����,未来����,密码就是(shì)信息世(shì)界(jiè)不(bú)可(kě)或缺(quē)的组件(jiàn)����,密码(mǎ)也将作为泛化信息世界的安(ān)全基石����,有力保障信息世界的(de)安全持续发展���。密码人���,大有可为(wéi)�����。
