01 宏观政策为(wéi)密码(mǎ)泛在化保驾护航
密码是保障(zhàng)网络空间安全的核心技术和基础支撑��。过(guò)去(qù)��,密码主要用来保护(hù)重(chóng)要(yào)IT系统的(de)通信与存储安全问题����,普(pǔ)通老(lǎo)百姓很少和它打交道����。如今����,密码已经应用到各(gè)行(háng)各业(yè)���,影响(xiǎng)我们生(shēng)活的方方面面���。密码产(chǎn)品(pǐn)也从传统(tǒng)的密码机����、密钥管理系统等整机(jī)形(xíng)态���,衍生(shēng)发展为安全芯片����、软(ruǎn)件密码(mǎ)模块�����、IP核(hé)�����、密码(mǎ)板卡等不同形态(tài)����,密码和IT技术呈现融合发(fā)展的趋势���,密码的(de)服务化更(gèng)是打破了(le)密码产品的形态限制���。密码应用已经呈(chéng)现出多元(yuán)化����、融合化���、泛在化等新特(tè)点����。
近年来���,我国不断健全密(mì)码相关的政(zhèng)策法(fǎ)规���,先后制定(dìng)和实施了网络(luò)安(ān)全法���、密(mì)码法(fǎ)��、36号文(wén)���、GM/T0054���、等(děng)保 2.0标准等系列法规政策标准���,从顶层构建了密(mì)码与网信事业的(de)宏伟蓝图��。在宏观政策的指引下��,我国密码事(shì)业经历了从无到有���、从(cóng)初创到规范完善的阶段���,取得了跨越式的发展����,这(zhè)也为全面推进(jìn)密(mì)码工(gōng)作(zuò)和(hé)密码泛在化(huà)应用奠定了坚实有力(lì)的基础�����。
02 安全风险呈现泛在化(huà)趋势
物联网��、云计算(suàn)���、5G���、大数据���、人工智能(néng)等创新技(jì)术正在加速驱动物理世(shì)界与信息世界的融合����。我们在享受(shòu)高新技术(shù)带(dài)来的信息红利的(de)同时�����,也无(wú)形中打(dǎ)破了固有(yǒu)的(de)网络边界����,加剧了信息泛(fàn)在化的发展趋势����。物(wù)理世界与信息空(kōng)间的泛在融合�����,也将物理空间的违(wéi)法破坏行为引入虚拟世界��,网(wǎng)络空间变得更加复杂(zá)����。
信息技术的融合���,既(jì)加速了信息化进程(chéng)����,也增大了(le)网络(luò)攻击的可(kě)能性���,网络安全问题(tí)异(yì)常(cháng)严峻����。近年(nián)来网(wǎng)络(luò)安全事(shì)件层出不穷(qióng)��、形式各异����,涉及到物联网安全���、数据安(ān)全�����、虚拟化(huà)安全等方方面面���。比(bǐ)如(rú)��,在物联网(wǎng)领域����,视(shì)频监控弱密码��、偷拍����、DDoS攻击(jī)等事件屡见不鲜���;大量智能门锁存在通信监听���、门卡复制�����、APP攻击等安(ān)全(quán)风险(xiǎn)��;传感器网络等无人值守(shǒu)设(shè)备分布广泛���,被攻破(pò)而不被发现(xiàn)的事件(jiàn)也时常被事后报道��。随着信息技术的(de)发展��,网络安(ān)全风(fēng)险加速(sù)扩散���,网络安全问题已然泛化�����。
03 密码技术的泛在化应用思路
面对快速(sù)发展的信(xìn)息技术及泛在多变的网络安(ān)全需求(qiú)����,需要对网(wǎng)络空间进行体系(xì)性的安全防护���。密码是网(wǎng)络信(xìn)息安全(quán)的核心(xīn)技术���,是整个(gè)网络(luò)信任体系的基(jī)础支撑����,依托密码技术在认(rèn)证(zhèng)�����、加密(mì)等方面的重(chóng)要作用����,构建以密码为基石的网络(luò)安全体系����,能够有力解(jiě)决网络与(yǔ)信息安全问(wèn)题����。我们在开(kāi)展具体密码工作时���,需注意密码技术与(yǔ)业务应用的结合��。在不同的业务场景中���,应当采(cǎi)用不同的密码(mǎ)技术路线(xiàn)或(huò)者组合����。总(zǒng)的来说���,包括经典密码技术����、创新密(mì)码(mǎ)技术���、前沿密(mì)码技术三个(gè)方面��。
经典密码(mǎ)技术指的是常见的(de)对称密码����、PKI/CA公钥密码及标(biāo)识密码技术��。这类密码(mǎ)技术属于基石(shí)性技术����,已经被广泛应用����,能够解决传(chuán)统信息系统安全认证(zhèng)与数据加密等(děng)问题���。
我(wǒ)们重点想提一些创新(xīn)密码应用的工作思路���。我们在实(shí)践(jiàn)过程(chéng)中��,发现诸(zhū)如(rú)工业控(kòng)制����、移动办公����、智能家居等(děng)新(xīn)兴场景都存在(zài)密码应用需(xū)求��,然(rán)而受限于具(jù)体场(chǎng)景和环境����,传(chuán)统的密码技(jì)术(shù)往(wǎng)往无(wú)法直接应用����。此时��,我们就需(xū)要转变思(sī)路���,对密码应用(yòng)的(de)方法进行创新和调整����。第一种思路是“融”����,即(jí)密(mì)码融合设(shè)计���,在设计之(zhī)初(chū)将密码流程融入到业务应用及通(tōng)信协议中���,避(bì)免后期堆叠密码设备带来的性能开销(xiāo)���、系统损害等影响(xiǎng)���。第(dì)二种思路(lù)是“变”����,我们对(duì)传统(tǒng)密码技术进行(háng)场景化的适配改(gǎi)造�����,以应对差异化的密码需求����,如轻量(liàng)化密码协(xié)议����、短证(zhèng)书等����。第三种思路是“合”���,我们可以对加(jiā)密��、认证��、授权����、安全(quán)管(guǎn)理等(děng)功能进行整合���,以(yǐ)能力打(dǎ)包的形式(shì)对接应用(yòng)系统��,提供(gòng)“一揽子”的密码解决方(fāng)案(àn)�����,减轻应(yīng)用的密码集成难(nán)度����,快速实现密码(mǎ)赋能�����。
密码技术在不断发展����,学术界对(duì)零信(xìn)任����、区块链���、安全多方计算���、同态(tài)加(jiā)密��、格(gé)密码���、抗量子密码等前沿(yán)密码技术进行了广(guǎng)泛的研究(jiū)���,部分(fèn)成(chéng)果已经应用到信(xìn)息系统中����,相信未来(lái)前沿密码(mǎ)技术会得到更加广泛和全面的应用��。
04 终端(duān)侧(cè)的密码(mǎ)产(chǎn)品部署
终端种类众多��、形态(tài)各异���。不同种类的终端在(zài)价(jià)格成本�����、网(wǎng)络数据能力���、软硬件架构等方面存在着巨大区别���,终(zhōng)端侧的密码产品(pǐn)部署需求也(yě)存(cún)在着差异(yì)性���,需要因地制宜(yí)��。
终端侧的密码产品部署主要涵盖三(sān)种(zhǒng)形式����:安装软件(jiàn)密码模块(kuài)��、内(nèi)嵌硬(yìng)件密码模块以及外接安全网关���。对(duì)于PC����、手机(jī)���、高性能(néng)嵌(qiàn)入式设备���,我们可以(yǐ)部署软件(jiàn)密码(mǎ)模块���,借(jiè)助CPU的强大运算能力����,实现高性能(néng)的密码运算���,无需额外增加硬件成本���。面向智(zhì)能(néng)门锁���、车载控制器等(děng)安(ān)全性较高的终(zhōng)端����,我们(men)可以采用设备内嵌密(mì)码硬件的方(fāng)式�����,包(bāo)括板载安全(quán)芯片���、内(nèi)接密码(mǎ)模块(kuài)���、使(shǐ)用基于密码的安全通信模组等��,提供硬件级(jí)安全防护能力����,保(bǎo)障设备安全����。针对微(wēi)型传(chuán)感器�����、大型(xíng)进口设(shè)备����、老旧IT设备等难以施行密码改造的场(chǎng)景��,我们可以接入安(ān)全网关(guān)���,通过门(mén)卫式(shì)安全防护���,保证设备的(de)接入(rù)安全与通信(xìn)安全问(wèn)题����。
05 密码的服务化之(zhī)道
近年来����,越来越多的应用(yòng)迁移上云����。我(wǒ)们如果要分别对不同的信(xìn)息系统进行密码应用����,工作(zuò)量巨大��,密码资源浪费严重��。此(cǐ)时��,我们(men)可以借助(zhù)云(yún)化���、虚(xū)拟化的思想将(jiāng)密码能力服务化(huà)��,按需提供密码资源���,不同(tóng)应用系(xì)统只需通过(guò)服务调用(yòng)的方式即可安(ān)全地获取密(mì)码能力���,从而快速实(shí)现密(mì)码应用改造��。
一个可行的实(shí)践路线是构建密码(mǎ)服务(wù)平台����。我所在的卫(wèi)士通(tōng)公司作为综(zōng)合实力(lì)较强的密码企业����,正在从(cóng)传统密码(mǎ)产品提(tí)供商向平台(tái)型安全服务提(tí)供商转型(xíng)��,密码服务平台便是一(yī)个(gè)重要的抓手��。密(mì)码服务平台不直(zhí)接提供密码产品�����,面向(xiàng)应用(yòng)提(tí)供场景(jǐng)化的密码服务����,提升(shēng)合规的密码应用效率��,降低应用与密码对接的难度���。我(wǒ)们看到�����,越来越(yuè)多的政(zhèng)务云正(zhèng)在采用密码服务平台�����,实现云上应用的(de)快速对接����。可(kě)以预(yù)见���,密码服(fú)务是促进密码(mǎ)泛在化落地的重要且(qiě)有效的(de)技术路径���。
06 基础软硬件(jiàn)的内生安全机制
长久以来���,计算机系统基础软硬件的安全及密码措施都是(shì)各自为政���,较为(wéi)独立��。如果要(yào)做一个(gè)安全(quán)浏览(lǎn)器��,我们可能会在浏览(lǎn)器内(nèi)部集成OpenSSL算法库��;如(rú)果要做一(yī)个加密数(shù)据库��,我(wǒ)们(men)可能为(wéi)数据库配用密码硬件����;如果要做安全启动����,我们需要为计算机配置TPCM����、TCM等可(kě)信计算芯片����。计算机系统各(gè)个软硬件之间的密(mì)码能力缺乏协(xié)同�����,烟囱式存在���。另外����,各类软硬件厂(chǎng)商自(zì)行建设(shè)密码��,也存在着合规性的问题��。
我们在构建自主信息系(xì)统(tǒng)时(shí)�����,可以从系统体系的(de)角度出(chū)发�����,使(shǐ)用一套密码方案����,贯通(tōng)计算(suàn)机基础(chǔ)软硬件的各个环节��,实现密码运算和可信计算���。基础此种(zhǒng)思想��,如卫(wèi)士通与龙芯联合(hé)推出(chū)的内嵌(qiàn)安全SE的国产(chǎn)处理(lǐ)器��,打通了CPU���、Bioses�����、操作系统(tǒng)��、中间(jiān)件���、数据库���、浏览器等各环节���,构建了内(nèi)生安(ān)全的基础软硬(yìng)件密码应用生态(tài)��。
07 典型案例(lì)
分享两个(gè)场景化案(àn)例��。一是视频融合通信���,包含(hán)视频监控��、直播�����、会商(shāng)等(děng)多种业(yè)务模(mó)式��。我们可以(yǐ)采用端(duān)到端的安全方式对视(shì)频终端�����、服务端进行(háng)密码改造���,对大带宽���、高(gāo)清���、多路����、实时音视频进行加解密�����。GB35114便是此类方式的标准化落地���,未来(lái)也将会有更多音视频密码应用的标准指导相关工作��。二是物联网密码应用����,我们可(kě)以建立(lì)覆盖物联(lián)网“端-边(biān)-网-云(yún)”的密码应用(yòng)体系�����。端���,指的(de)是物联网(wǎng)终端(duān)侧部署安全芯片/软件密(mì)码(mǎ)模块等密码产品�����,实现终端安(ān)全防护��;边��,指的(de)是提(tí)供安全边缘网关(guān)����,安(ān)全接入物联网终端��;网����,指的是基于(yú)密码技术保障物联(lián)网(wǎng)通信安全�����;云����,指的是物联网平台具备密码与安全(quán)能力��。
08 密码应用推进思考(kǎo)
密码事业的政(zhèng)策性较强(qiáng)���,我们密码(mǎ)工作者要时刻关(guān)注国家政策(cè)法规(guī)�����,尤(yóu)其(qí)是中央���、地方��、大型机关(guān)单(dān)位的商密规划���,这将带来大量的(de)密码泛在化(huà)建设项目��。另外���,随着(zhe)等保2.0��、密评工作的广泛(fàn)���、有序开展���,更多的细分领域将会开展(zhǎn)密码工作���,密码市场规模迅速扩(kuò)大��。我(wǒ)们(men)在专(zhuān)注既有业务领(lǐng)域的同时���,应不断开拓新的行业用户和业务领域����,拓展密码应用的范围���。
密码应用和改造(zào)需要达到(dào)什么程度����?是否密(mì)码(mǎ)措施越(yuè)多越好���?如(rú)何让更多(duō)的(de)行业用(yòng)户����、企业单(dān)位放下对密码或安全的固有成见���,愿意(yì)用密(mì)码��?这些问题都值得我们思考����。我们(men)在做密码(mǎ)应用和推广的时候��,一定要结合行(háng)业政策与(yǔ)应用(yòng)实际���,按需地开(kāi)展密码应用���,密码应(yīng)用的强度不能单一量化���,做到合规的同时(shí)����,保证相当的安全性(xìng)����。
09 从业(yè)者建议
在密码泛在(zài)化的背景环(huán)境下���,我们(men)从(cóng)业者需要哪些(xiē)方面(miàn)的能力素养���?我(wǒ)认为(wéi)��,至少需要三(sān)方(fāng)面的能力����。第一����,完备的密码知识(shí)��。密码技术不(bú)断发展���,我们需要(yào)广泛涉猎密码知识����,同时也应当潜心钻研一些重点的密码知(zhī)识(shí)����,尤其是我们工(gōng)作中可能用到的密码技(jì)术����。第(dì)二(èr)��,全栈的密码(mǎ)设计能力�����。包括密码算法����、产品化设计��、接口对接���、协议优化等等���,只有具备了全栈的(de)设计能(néng)力���,才(cái)能应对复杂多变的情况�����,准(zhǔn)确地对密码方(fāng)案进(jìn)行优化和改造����。第三����,快速理(lǐ)解业务应用的(de)能力����。密码和业务不能是“两张皮”��,密(mì)码的设计必须基于业务实际���,密码工(gōng)作(zuò)者应当理解(jiě)业务(wù)流程并梳(shū)理出(chū)安全痛点及密码应(yīng)用需求���,才能做好密码建设的实(shí)际工(gōng)作���。
1月15日���,人社部发文拟新增“密码技术应用员”职业����,并将其(qí)定义(yì)为运用密码技术�����,从(cóng)事信息系统安(ān)全密码保障的架(jià)构设(shè)计���、系(xì)统集成��、检(jiǎn)测(cè)评估��、运维管(guǎn)理��、密码咨(zī)询等相关密码服(fú)务(wù)的人员���。“密码技(jì)术应用员”作为(wéi)密码泛在化的一个专门职业(yè)被正式提出�����,这无疑会促进(jìn)密码泛在化的应用与推广工作��。同时����,作(zuò)为密码(mǎ)从业者的我们���,也应当参照(zhào)“密码技(jì)术(shù)应用员”的要求积极提升个人能力��。
10 密码泛在(zài)化的未来(lái)
传统信息行业��、新技术业务(wù)领域快(kuài)速发展并(bìng)交相辉映���,信息(xī)世界正(zhèng)朝着相互渗透��、多元发展的方向(xiàng)演进����。我们有理由相信���,未来�����,密码就是(shì)信息世界不(bú)可(kě)或缺的组件��,密码也将作为泛化信息世(shì)界的安全基(jī)石��,有力保障信息世界的安(ān)全持续发展��。密码人(rén)����,大(dà)有可为�����。
