800-8861133
返回
返回

安全研究

前沿研究 科技创新

董贵山:密码在关键信息基础设施中的应用与发展

发布时间:2019-09-18

9月17日,在2019国家网络安全宣传周期间,由全国信息安全标准化技术委员会和中国网络安全产业联盟承办的“网络安全标准与产业高峰论坛”同步召开,结合关键信息基础设施网络安全防护形势和密码泛在化应用趋势,中国电科首席专家、卫士通总工程师董贵山受邀在论坛上发表了《密码在关键信息基础设施防护中的应用与发展》主题演讲。                           

640.jpeg

董贵山发表主题演讲

关键信息基础设施是社会运行的神经中枢,一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生和公共利益。董贵山表示,当前我们需要了解关键信息基础设施安全形势,认识使用密码的重要性,认清面临的机遇和挑战,以密码应用为核心,构建关键信息基础设施网络安全防护的基石。

新技术、新应用带来关键信息基础设施安全新挑战

新技术新应用带来新挑战。云计算、大数据、物联网等新兴技术使得网络边界模糊,单一领域的安全向彼此互联的安全转变;人工智能发展的不确定性对个人隐私保护、公共安全等带来新挑战;5G将开启万物互联、人机深度交互的新时代,将使关键基础设施保护面临更加复杂的局面。日新月异的新技术和相关应用的发展,对关键信息基础设施网络安全防护带来严峻的挑战。

近些年,关键信息基础设施遭遇的安全事件层出不穷、网络安全形势严峻,如何应对新技术新应用带来的新挑战,保障关键信息基础设施网络安全已成为全球关注的重点。

关键信息基础设施保护成为法规要求,密码赋能铸基石。

保障关键信息基础设施网络安全,最重要的是要保障数据资产和信息系统的安全。董贵山认为,密码作为内生安全的一个必要核心,基于其在身份认证、信息加密,完整性保护和抗抵赖等方面的突出“能力”,能够通过为数字空间的“可信”、“免疫”和“鉴别”三大安全基因赋能,来保障网络空间实体的真实、行为的可信以及网络空间安全的可治理、可管控,切实保障数据资产和信息系统安全。因此,董贵山提出应该以密码为核心来构建关键信息基础设施的防护基石。

与此同时,我国商用密码正逐步由行政推进向依法规范应用转变。在《商用密码管理条例》和《关键信息基础设施的保护条例》的修订上,体现了商用密码应用将更加深入的围绕网络信息建设展开。国家也专门制定了相应的密码评估检测机构和密码产品测评的机构,对密码在关键信息基础设施测评起到很大的促进作用。同时,等保2.0提出的“一个中心、三重体系”,深度融合运用了密码解决身份鉴别、数据完整性、保密性和应用的安全性等问题。无论是密码应用作为一个重要环节,还是密码应用合规性监管体系的建立,都对关键信息基础设施合规使用密码和安全评估提供了重要依据。

密码在关键信息基础设施领域中的泛在化应用。

董贵山表示,泛在化应用是密码保障的特点,密码技术正在以前所未有的广度和深度与信息技术相互促进、融合发展,为网络空间的云计算、大数据、人工智能、物联网等应用保驾护航。密码服务广泛覆盖政府、企业、组织和民众,密码技术不断地向低成本、易使用逼近,密码服务已逐步成为全民服务。

在金融领域,我们国家的金融体系已经全面深度的应用了密码。从无卡渠道,就是银行客户端、微信到有卡渠道,以及第三方支付机构的对接,以及银行的中心节点系统的安全运行都广泛使用了密码,满足了用户的实体身份管理、可信验证、访问控制、传输存储加密需求。当前比较重要的是在核心业务系统这方面要进一步推进基础软硬件自主可控和国产商用密码的应用,来增强我们整个金融领域,以密码构建安全保障体系的能力。

在电力调度领域,我们国家的网点系统已经全面使用加密装置,形成了一个完整的信任链,确保电力调度的安全。同时,基于密码构建泛在电力物联生态的工程正在推进。

在移动通信领域,我们广泛的推出一些加密手机,结合4G、5G时代解决语音、信息的加密问题。

在社会保障服务领域,基于部级和省级密码管理系统,以密码管理服务为核心,可以构建了社保卡的全国社保服务安全互联互通,同时保护用户隐私。

在医疗卫生领域,互联网智慧医疗是发展趋势,个人电子病历卡数据安全保障至关重要。通过密码技术实现电子病例数据的身份真实、数据完整、访问行为规范、使用责任明确和隐私保护,实现医疗健康网络化服务的同时,保证医疗数据的合规使用。

在智能网联汽车领域,各个厂商都基于云平台构建数据中心,来推荐智能网联汽车的后台服务系统,在这个过程中,车、人以及车商的服务都需要密码来保障人对车的认证,保障车中的娱乐系统和控制系统之间的隔离,以及保障网联汽车到服务平台的安全、可信的接入,和获取各种服务数据的安全。

在工业互联网领域,关键是生态的建立,生态的建立最关键的就是与工业互联网智能制造相关的所有实体具备可信生态。这里面有两个要素,一个是标识,一个是信任,标识是我们国家工信部已经通过专项牵引构建的基于密码的工业互联网可信标识体系,它能够为工业互联网的各相关方提供规范的标识管理。另外,通过专项牵引,正在开展工业互联网信任服务支撑平台的构建,解决跨行业、跨企业互信、互操作的信任支撑需求。进行订单的管理、上下游供应链的管理、在线的生产管理,形成一个跨领域、跨行业的协作能力。

在广电领域,不管是版权保护,还是防插播,密码已经成为一个主流的技术手段。基于商用密码技术,保护媒体内容数字版权,并能够有效抵御恶意插播行为,切实提高广播电视无线覆盖系统的安全播出保障能力。

在工业控制领域,我们基于密码平台也做了一系列的规划,因为我们的工控系统目前很多都是国外的,有系统本身的数据安全保障要求,这个情况下利用密码结合工业防火墙,可形成协议上的安全、控制指令的安全,还有工业互联网数据上的安全。

我们国家现在在大力度开展政务云建设,不管是广东、四川、宁夏,各个省份都围绕着数字中国建设在规划建设省一级的政务云,并构建相应的数据平台。我们针对政务云也提出了基于密码管理和电子认证,提供云平台化的密码服务和网络信任服务,并以密码为基础进一步为政务云上的接入端和可信接入区提供相应产品,确保应用云化迁移和数据共享交换安全

携手以密码技术应对这个时代安全的刚需。

今后,5G和人工智能是影响我们未来关键信息基础设施以及国家数字中国建设的重大驱动力,5G时代的特点就是高带宽和海量的数据接入,对于边缘计算、物联感知和新的IT架构应用和设计都提供了很大的想象空间。在这种情况下,我们面临的挑战更加复杂。董贵山认为,还是要以密码技术做好内生安全的保障,解决实体身份可信、网络行为可信以及数据安全问题,利用密码技术解决关键信息基础设施安全保障的刚需。

最后,董贵山倡议,密码泛在化时代,让我们一同携起手来,共建新时代密码保障泛在,共享密码保障成果并提出了相关建议:

一是推动密码和密码的合规使用。密码使用立法需要与时俱进,进一步规范密码的使用,尤其是加密数据的跨境流动规范管理。同时要细分密码的应用场景和密码强度使用等级,推广密码使用备案制度等。

二是勇于担当、夯实密码生态。企业是促进发展的主体,我们将以应用为牵引促进密码高质量供给,加大核心技术研发,打造符合人民群众生产、生活的密码产品和生态体系,营造网络空间安全、可信、有获得感的良好氛围与环境,实现密码“能用”、“好用”、“用好”的总体目标。

三是引导打造产业体系。在社会组织层面搭建平台、引入走出,如通过中国密码学会,繁荣密码学术研究,开展国际交流、专业培训等,通过密码行业标准化技术委员会促进开放共融、互联互通等,通过密码行业协会、产业联盟整合产业力量,形成优势互补、布局合理的产业体系。

四是通过国家专项牵引,建立分层级、分领域、全覆盖、泛在服务的关键信息基础设施密码基础支撑平台,并打造国家对关键基础设施密码应用态势及合规性的监管系统。