董贵山,男,工学博士,研究员,中国电子科技集团公司网络安全领域首席专家,国务院特殊津贴专家(2016),中国网安副总工程师、卫士通公司总工程师,国家密码标准化委员会委员,政府治理国家工程实验室副主任和专委会委员,科技部网络安全重点研发计划首席专家,长期承担过党政信息安全和密码应用领域的装备与系统研制、技术标准制定、系统建设方案设计等工作,曾获得中办颁发的党政信息安全先进工作者称号,累计获得省部级科技进步一等奖2次,二等奖2次,三等奖4次。
董贵山:密码服务云构建数字中国网络安全服务新生态 卫士通公司20多年来以密码与安全保障为业务核心,一直在党政和重要行业领域支撑着国家的信息安全建设和运行,经历了国家信息化的密码与安全建设的全过程。结合云计算、大数据等新技术的演进,卫士通对整个过程中以密码与安全保障为核心的业务变迁和模式发展有一些思考。在2019年中国it市场年会上,中国电科集团首席专家、中国网安副总工程师、卫士通总工程师董贵山作了题为“基于密码服务云的安全应用新模式”的主题演讲,阐述了卫士通以密码服务云的方式提供安全服务的新模式。 一、数字社会驱动安全发展 国家战略引领着数字社会的有序发展,国家多次强调了网络强国、数字中国和智慧社会建设的重要性和意义,国家信息化的发展以逐步步入3.0时代,即以数据的深度挖掘与融合应用为特征的智慧化阶段,随着信息化建设与云计算、大数据和移动互联网等关键技术的深度融合,网络空间对国家和社会的发展带来了极大的价值和可观的收益。总结来说,信息化建设呈现了三大趋势,一是驱动了网络、资源、终端的多维度融合,二是数据逐步成为业务发展的核心和驱动力,三是对密码和安全服务化的需求日渐迫切。 信息化建设趋势的演进及与新兴技术的融合利用对我们的安全技术、安全管理能力都提出了新的要求,网络空间各类安全事件在个人、企业、社会乃至国家安全等层面产生了重大的影响和损失,如基于大数据分析干涉政企选举、海量数据泄露、网站攻击、网络欺诈等等,这些大家都已耳熟能详。面临目前安全风险泛在复杂多样的态势,密码作为应对安全风险的关键支撑技术,能够有效的完善网络安全生态,充分发挥它在网络安全中的机密、完整、真实、不可否认的作用,有力的支撑数据安全防护和网络安全体系可信。从网络、身份、数据、业务等角度,基于密码重构网络安全边界,构建网络安全的保障体系,并对安全保障模式进行创新发展。 二、密码服务化必然趋势下的技术挑战 信息化建设的发展逐步深入,如今各种政务云、数据中心、大数据平台建设此起彼伏,催生了公有云、私有云、混合云等不同的业务应用方式,纷繁复杂的业务部署方式导致了原有的安全保障体系和密码应用模式无法完全的适应安全风险和需求。尤其是在公有云模式下,对业务应用的安全防护需要依赖云平台运营商的设备能力、技术能力和运维能力,同时其数据安全和密钥安全也存在极大的安全隐患。结合云服务的发展路线,将密码及安全能力以服务的方式输出可以有效的适应云场景下的网络和信息安全保障需求。以专业的安全厂商提供的专业服务模式替代传统的产品交付的“交钥匙”模式,一方面可以降低用户保障安全和密码应用的采购、建设和运维成本;另一方面可以实时获得持续迭代更新的安全服务保障,以应对复杂多样且不断演化的网络风险和攻击模式,并以此为基础带来更加精准合规的安全保障能力,为数字中国所面临的社会治理、惠民服务和产业数字经济发展提出基础支撑。应该说密码服务化、专业化、精准化、泛在化、合规性是数字中国信息化建设的一个必然趋势。 在数字社会复杂的网络空间中,业务交互复杂多样,并与云计算、大数据、移动互联网等新兴技术深度融合,带来了一系列技术挑战,如泛在接入的海量实体在数字空间的认证互信、多云接入场景下的一体化安全支撑、跨平台密钥管理能力按需应用、个人隐私及商业秘密信息的保护、网络空间信任的构建等,诸如此类都需要我们基于传统的技术进一步思考和突破,也是我们密码服务研究的初衷。希望通过密码服务的研究和推进,构建以密码服务平台为总枢纽的全国一体化密码服务能力体系,支撑国家商用密码应用的有序推进,为推动政府治理现代化、强化国家监管能力提供强劲助力。
三、卫士通基于云模式实施密码服务新模式 基于此,卫士通提出了基于安全可信的云基础设施构建密码服务平台的可行思路。密码服务平台提供便捷易用的密码调用服务接口,便于业务应用开发商快速使用密码,并有效联通多个云服务平台,按需提供密钥管理和服务入口,实现平台间联动,在用户保有密钥的前提下避免用户使用密钥的复杂操作。以密码服务平台为基础打造完善的密码应用服务体系。基于密码服务云的密码运算资源提供扩展的密码应用服务,直接为云平台及业务应用提供密码应用支撑,并以此为枢纽拓展以密码服务为核心的互联网信任服务生态,支撑网络空间安全。 卫士通密码服务云是基于商用密码和自主可控技术、服务于政务、行业等国家重要领域及广泛互联网应用的服务平台,密码服务云依托敏捷弹性的云计算密码资源和安全基础设施,为用户终端、物联网终端等网络实体以及业务应用提供了层次化的密码服务体系,包括基于商用密码算法的基础密码服务、面向业务需求的应用密码服务和数据安全密码服务,并提供了统一身份认证、电子印章服务、移动安全服务等基于密码的运营服务平台。 卫士通对密码服务云的服务模式进行了探索和应用,在各个层次形成了具体的应用案例,如以统一认证为基础的互联网信任服务平台、以安全接入服务商提供了吉林某地区的安全移动办公接入服务、以第三方密钥管理服务提供商提供了企业微信加密服务以及以商用密码为核心的即时通信及安全邮件应用等等。
四、总结 基于卫士通密码服务云的探索和实践,我们现在认识到,数字转型期需要大力发展密码与安全服务,打造密码服务云,通过云服务的模式面向互联网、移动互联网、大数据、物联网乃至更多公共服务领域提供更加丰富多样的服务,为智慧城市、政务云和大数据平台提供安全的资源访问和完善的数据防护,支撑数字中国的建设。 为此,我们也提出几点建议,首先在国家层面,推进顶层规划,制定完善密码服务云平台相关等标准规范、应用指南。其次,针对密码服务云,制定相关科技专项支撑,通过专项的牵引对有待突破的技术问题进行进一步的研究,攻克相关的难点。另外,结合国家近期发布的36号文,在智慧城市、政务、互联网、物联网等不同应用领域,选取典型应用进行密码服务云试点示范,积极探索和发展密码服务保障的新模式,为数字中国发展、网络空间信任服务体系建设及面向政务、行业、企业以及公众服务等领域的密码安全保障奠定基础。