01 宏观政策为密码泛在化保驾护航
密码是保障网络空间安全的核心技术和基础支撑���。���。��。���。过去��,��,��,密码主要用来保护重要IT系统的通信与存储安全问题���,���,���,���,普通老百姓很少和它打交道���。���。如今���,���,��,���,密码已经应用到各行各业���,���,影响我们生活的方方面面���。���。密码产品也从传统的密码机���、���、密钥管理系统等整机形态���,��,衍生发展为安全芯片���、���、���、���、软件密码模块���、���、���、��、IP核���、���、���、密码板卡等不同形态��,���,密码和IT技术呈现融合发展的趋势���,��,���,密码的服务化更是打破了密码产品的形态限制���。���。���。���。密码应用已经呈现出多元化���、���、���、���、融合化���、���、��、���、泛在化等新特点���。��。
近年来���,���,我国不断健全密码相关的政策法规���,��,���,先后制定和实施了网络安全法���、���、��、密码法���、���、36号文��、���、��、��、GM/T0054���、���、等保 2.0标准等系列法规政策标准���,���,从顶层构建了密码与网信事业的宏伟蓝图���。���。���。在宏观政策的指引下���,���,我国密码事业经历了从无到有���、���、从初创到规范完善的阶段���,���,取得了跨越式的发展���,��,���,这也为全面推进密码工作和密码泛在化应用奠定了坚实有力的基础���。��。���。���。
02 安全风险呈现泛在化趋势
物联网��、���、云计算��、���、5G���、���、���、���、大数据���、���、人工智能等创新技术正在加速驱动物理世界与信息世界的融合���。���。���。���。我们在享受高新技术带来的信息红利的同时���,��,���,���,也无形中打破了固有的网络边界���,���,加剧了信息泛在化的发展趋势���。��。���。���。物理世界与信息空间的泛在融合���,���,���,��,也将物理空间的违法破坏行为引入虚拟世界���,���,���,��,网络空间变得更加复杂���。��。���。���。
信息技术的融合���,���,���,既加速了信息化进程���,���,也增大了网络攻击的可能性��,���,���,网络安全问题异常严峻��。���。近年来网络安全事件层出不穷���、���、形式各异���,���,涉及到物联网安全���、���、数据安全���、���、���、虚拟化安全等方方面面���。���。���。���。比如��,���,���,��,在物联网领域���,���,���,视频监控弱密码��、���、���、��、偷拍���、��、���、���、DDoS攻击等事件屡见不鲜��;大量智能门锁存在通信监听���、���、���、���、门卡复制��、���、APP攻击等安全风险���;传感器网络等无人值守设备分布广泛���,���,被攻破而不被发现的事件也时常被事后报道���。���。���。���。随着信息技术的发展��,���,���,网络安全风险加速扩散��,���,���,网络安全问题已然泛化��。���。���。
03 密码技术的泛在化应用思路
面对快速发展的信息技术及泛在多变的网络安全需求���,���,��,需要对网络空间进行体系性的安全防护��。���。���。���。密码是网络信息安全的核心技术���,���,是整个网络信任体系的基础支撑���,���,���,依托密码技术在认证���、���、���、��、加密等方面的重要作用���,���,构建以密码为基石的网络安全体系��,���,��,���,能够有力解决网络与信息安全问题���。��。���。��。我们在开展具体密码工作时���,���,需注意密码技术与业务应用的结合��。���。���。���。在不同的业务场景中���,���,���,��,应当采用不同的密码技术路线或者组合���。���。���。��。总的来说���,���,包括经典密码技术���、���、创新密码技术���、��、��、���、前沿密码技术三个方面��。���。
经典密码技术指的是常见的对称密码���、��、��、PKI/CA公钥密码及标识密码技术���。��。这类密码技术属于基石性技术��,���,���,��,已经被广泛应用��,���,能够解决传统信息系统安全认证与数据加密等问题���。��。
我们重点想提一些创新密码应用的工作思路���。���。���。我们在实践过程中��,��,发现诸如工业控制���、���、���、���、移动办公��、���、智能家居等新兴场景都存在密码应用需求��,��,然而受限于具体场景和环境��,���,传统的密码技术往往无法直接应用���。��。此时���,���,���,��,我们就需要转变思路���,���,���,对密码应用的方法进行创新和调整���。���。��。���。第一种思路是“融”���,���,即密码融合设计��,���,���,在设计之初将密码流程融入到业务应用及通信协议中���,���,避免后期堆叠密码设备带来的性能开销��、���、���、系统损害等影响���。���。第二种思路是“变”��,���,我们对传统密码技术进行场景化的适配改造���,��,���,以应对差异化的密码需求���,���,���,���,如轻量化密码协议���、���、短证书等���。��。第三种思路是“合”���,���,���,���,我们可以对加密��、���、认证���、���、���、授权���、���、���、���、安全管理等功能进行整合���,���,以能力打包的形式对接应用系统���,��,���,提供“一揽子”的密码解决方案���,���,减轻应用的密码集成难度���,���,快速实现密码赋能���。���。���。
密码技术在不断发展��,��,���,学术界对零信任���、��、区块链���、���、��、���、安全多方计算���、��、���、同态加密��、���、格密码���、��、抗量子密码等前沿密码技术进行了广泛的研究���,��,���,��,部分成果已经应用到信息系统中���,���,相信未来前沿密码技术会得到更加广泛和全面的应用���。��。
04 终端侧的密码产品部署
终端种类众多��、���、���、形态各异���。��。��。���。不同种类的终端在价格成本���、���、���、���、网络数据能力���、���、���、���、软硬件架构等方面存在着巨大区别���,���,终端侧的密码产品部署需求也存在着差异性���,���,��,���,需要因地制宜���。���。��。
终端侧的密码产品部署主要涵盖三种形式���:安装软件密码模块���、��、���、内嵌硬件密码模块以及外接安全网关���。��。对于PC���、��、���、��、手机���、���、���、高性能嵌入式设备��,���,���,我们可以部署软件密码模块���,��,借助CPU的强大运算能力���,���,实现高性能的密码运算��,���,���,无需额外增加硬件成本���。���。���。面向智能门锁���、��、���、��、车载控制器等安全性较高的终端��,���,���,我们可以采用设备内嵌密码硬件的方式��,���,包括板载安全芯片���、���、内接密码模块���、���、���、���、使用基于密码的安全通信模组等���,���,���,提供硬件级安全防护能力���,���,���,���,保障设备安全���。���。针对微型传感器��、��、���、大型进口设备��、���、老旧IT设备等难以施行密码改造的场景���,���,我们可以接入安全网关���,���,��,���,通过门卫式安全防护��,���,保证设备的接入安全与通信安全问题���。���。���。
05 密码的服务化之道
近年来��,���,越来越多的应用迁移上云���。���。���。���。我们如果要分别对不同的信息系统进行密码应用��,���,工作量巨大���,���,密码资源浪费严重���。��。���。此时���,���,��,我们可以借助云化���、���、虚拟化的思想将密码能力服务化���,���,��,���,按需提供密码资源���,���,不同应用系统只需通过服务调用的方式即可安全地获取密码能力���,���,从而快速实现密码应用改造���。���。���。��。
一个可行的实践路线是构建密码服务平台���。���。���。我所在的卫士通公司作为综合实力较强的密码企业���,���,���,正在从传统密码产品提供商向平台型安全服务提供商转型���,���,���,���,密码服务平台便是一个重要的抓手��。���。��。密码服务平台不直接提供密码产品���,���,面向应用提供场景化的密码服务��,��,提升合规的密码应用效率��,��,���,降低应用与密码对接的难度���。��。��。我们看到���,��,���,越来越多的政务云正在采用密码服务平台���,��,��,���,实现云上应用的快速对接���。���。���。可以预见���,���,密码服务是促进密码泛在化落地的重要且有效的技术路径���。���。���。
06 基础软硬件的内生安全机制
长久以来��,���,��,计算机系统基础软硬件的安全及密码措施都是各自为政��,��,���,���,较为独立���。���。���。���。如果要做一个安全浏览器���,��,��,���,我们可能会在浏览器内部集成OpenSSL算法库��;如果要做一个加密数据库���,���,���,我们可能为数据库配用密码硬件���;如果要做安全启动��,���,��,���,我们需要为计算机配置TPCM���、���、TCM等可信计算芯片���。���。���。计算机系统各个软硬件之间的密码能力缺乏协同���,���,���,���,烟囱式存在���。���。���。另外���,���,���,各类软硬件厂商自行建设密码���,���,也存在着合规性的问题���。���。
我们在构建自主信息系统时���,���,���,可以从系统体系的角度出发��,��,���,��,使用一套密码方案���,���,贯通计算机基础软硬件的各个环节���,���,���,���,实现密码运算和可信计算���。���。��。基础此种思想���,��,��,如卫士通与龙芯联合推出的内嵌安全SE的国产处理器���,���,���,打通了CPU���、��、���、Bioses���、���、操作系统��、��、��、中间件��、���、���、���、数据库���、���、���、���、浏览器等各环节���,���,构建了内生安全的基础软硬件密码应用生态���。���。
07 典型案例
分享两个场景化案例���。��。���。一是视频融合通信���,���,���,包含视频监控���、��、��、直播���、���、���、��、会商等多种业务模式���。���。我们可以采用端到端的安全方式对视频终端���、���、服务端进行密码改造��,���,��,���,对大带宽���、���、���、���、高清���、���、���、多路���、��、���、���、实时音视频进行加解密���。���。���。��。GB35114便是此类方式的标准化落地���,���,未来也将会有更多音视频密码应用的标准指导相关工作��。���。��。二是物联网密码应用��,���,���,我们可以建立覆盖物联网“端-边-网-云”的密码应用体系���。���。���。端���,���,��,指的是物联网终端侧部署安全芯片/软件密码模块等密码产品���,���,���,实现终端安全防护���;边��,���,指的是提供安全边缘网关���,���,���,安全接入物联网终端��;网���,���,��,指的是基于密码技术保障物联网通信安全���;云���,���,���,���,指的是物联网平台具备密码与安全能力���。��。
08 密码应用推进思考
密码事业的政策性较强���,��,我们密码工作者要时刻关注国家政策法规��,���,尤其是中央���、���、���、地方���、���、大型机关单位的商密规划���,��,���,���,这将带来大量的密码泛在化建设项目���。���。另外���,���,��,���,随着等保2.0���、���、���、���、密评工作的广泛���、��、���、有序开展���,���,更多的细分领域将会开展密码工作���,���,��,密码市场规模迅速扩大���。���。��。���。我们在专注既有业务领域的同时���,���,应不断开拓新的行业用户和业务领域���,��,���,拓展密码应用的范围���。���。��。��。
密码应用和改造需要达到什么程度��?��?是否密码措施越多越好���?��?���?如何让更多的行业用户���、���、���、企业单位放下对密码或安全的固有成见��,���,��,��,愿意用密码���?���?���?这些问题都值得我们思考���。���。���。我们在做密码应用和推广的时候��,���,一定要结合行业政策与应用实际���,���,���,���,按需地开展密码应用���,���,��,���,密码应用的强度不能单一量化���,��,���,���,做到合规的同时���,���,保证相当的安全性���。���。
09 从业者建议
在密码泛在化的背景环境下���,��,我们从业者需要哪些方面的能力素养���?���?���?���?我认为���,���,��,��,至少需要三方面的能力���。���。第一���,���,���,���,完备的密码知识���。���。密码技术不断发展���,���,��,���,我们需要广泛涉猎密码知识��,��,���,��,同时也应当潜心钻研一些重点的密码知识���,���,��,���,尤其是我们工作中可能用到的密码技术���。���。第二��,���,���,��,全栈的密码设计能力���。���。��。包括密码算法���、���、���、产品化设计���、���、接口对接���、���、协议优化等等���,��,���,只有具备了全栈的设计能力���,��,才能应对复杂多变的情况���,���,���,��,准确地对密码方案进行优化和改造���。���。���。第三���,���,���,快速理解业务应用的能力���。���。密码和业务不能是“两张皮”���,���,���,���,密码的设计必须基于业务实际���,���,密码工作者应当理解业务流程并梳理出安全痛点及密码应用需求���,���,��,才能做好密码建设的实际工作���。���。
1月15日���,���,���,人社部发文拟新增“密码技术应用员”职业���,���,并将其定义为运用密码技术���,���,从事信息系统安全密码保障的架构设计���、���、系统集成���、���、���、检测评估���、���、运维管理���、���、���、密码咨询等相关密码服务的人员��。���。���。“密码技术应用员”作为密码泛在化的一个专门职业被正式提出���,���,这无疑会促进密码泛在化的应用与推广工作���。���。���。���。同时���,���,作为密码从业者的我们���,���,也应当参照“密码技术应用员”的要求积极提升个人能力���。���。���。
10 密码泛在化的未来
传统信息行业���、���、新技术业务领域快速发展并交相辉映���,���,���,��,信息世界正朝着相互渗透���、���、���、多元发展的方向演进���。���。��。��。我们有理由相信���,���,��,未来���,���,密码就是信息世界不可或缺的组件���,��,密码也将作为泛化信息世界的安全基石���,���,���,有力保障信息世界的安全持续发展���。���。��。���。密码人���,��,���,大有可为��。���。���。
