“網(wǎng)絡安全為人民,網(wǎng)絡安全靠人民?!?月16日,衛(wèi)士通多位網(wǎng)絡安全專家已“奔赴”各級網(wǎng)絡安全宣傳周活動,通過線上與線下相結合的方式,兼顧行業(yè)人士與普通大眾的不同關注點,從密碼在網(wǎng)絡安全中的核心作用、泛在化應用、以及創(chuàng)新服務方式進行了多方位、多層級的觀點分享。
核心 | 夯實新型基礎設施網(wǎng)絡安全底座
中國電科集團網(wǎng)絡安全領域首席專家、中國網(wǎng)安副總工程師、衛(wèi)士通總工程師董貴山出席第七屆國家網(wǎng)絡安全宣傳周新型基礎設施網(wǎng)絡安全高峰論壇,并作“保障工業(yè)互聯(lián)網(wǎng)安全,服務制造業(yè)高質量發(fā)展”主題演講,系統(tǒng)地闡述和分析了我國工業(yè)互聯(lián)網(wǎng)的發(fā)展背景、潛在安全風險及相關政策要求,并提出了構建體系化安全防護能力,夯實以工業(yè)互聯(lián)網(wǎng)為代表的新型基礎設施網(wǎng)絡安全底座的三點建議。
▲圖 董貴山作主題演講
一是,建議借鑒企業(yè)工業(yè)信息安全整體保障實施原則。企業(yè)工業(yè)信息安全整體保障是中國網(wǎng)安基于正確的網(wǎng)絡安全觀提出的“整體安全、動態(tài)安全、相對安全、合規(guī)與賦能、技術與管理”的企業(yè)工業(yè)信息安全整體保障實施原則,并在中國網(wǎng)安相關工作中廣泛應用,對其他企業(yè)開展工業(yè)信息安全保障將起到借鑒作用。
二是,嚴格履行“七項義務,四類防護”的基本要求。《網(wǎng)絡安全法》對網(wǎng)絡運營者的最基本義務和安全要求做了明確規(guī)定,各工業(yè)企業(yè)應履行網(wǎng)絡運行安全義務、網(wǎng)絡產(chǎn)品和服務安全義務、關鍵信息基礎設施安全保護義務、公民個人信息保護義務、網(wǎng)絡信息安全管理義務、對監(jiān)管機關的執(zhí)法協(xié)助義務和其他法定義務,實現(xiàn)網(wǎng)頁防篡改、服務防中斷、系統(tǒng)防病毒、數(shù)據(jù)防泄漏。
三是,利用密碼算法保障工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)的多方安全共享,達到工業(yè)數(shù)據(jù)安全的價值流動。密碼技術在網(wǎng)絡安全防護體系中位居核心和基礎地位,其提供的可信數(shù)據(jù)匯聚、數(shù)據(jù)加密存儲、安全數(shù)據(jù)共享、安全多方計算、數(shù)據(jù)流轉確權能夠實現(xiàn)數(shù)據(jù)的全生命周期安全,并針對敏感數(shù)據(jù)、企業(yè)核心數(shù)據(jù)提供針對性的數(shù)據(jù)脫敏、數(shù)據(jù)加密和數(shù)據(jù)隱藏能力,將防護能力深入到業(yè)務流轉之中,能夠有效的保護安全隱私,維護企業(yè)利益,在數(shù)據(jù)可用不可見的基礎上實現(xiàn)數(shù)據(jù)價值的流轉和交互。
廣度 | 拓展密碼泛在化應用
國家網(wǎng)絡安全宣傳周同期,成都市的相關活動也在火熱進行,衛(wèi)士通結合現(xiàn)場展示、專家演講、互動游戲,從“密碼的內(nèi)涵與意義”、“密碼泛在化內(nèi)涵與意義”、“密碼領域典型實踐與應用”三方面向成都市民普及了“密碼泛在化”進程、應用及意義。
▲圖 周陽作主題演講
衛(wèi)士通方案中心技術專家周陽在演講中特別選取大眾最常接觸的生活場景,通俗易懂的向成都市民進行分享。周陽通過諸如黑客攻擊政府網(wǎng)站竊取公民和企業(yè)信息,就醫(yī)人員醫(yī)療信息遭泄露導致個人敏感信息被竊取,12306遭泄露數(shù)據(jù)撞庫攻擊,考生網(wǎng)上報考信息泄露,偽造印章,虛開發(fā)票,偽造文件造成國家財產(chǎn)損失等大眾在日常生活中接觸到的場景案例引入,帶領聽眾一起總結了數(shù)字生活正面四大主要痛點,臨時身份鑒別有“短板”、個人信息缺“保護” 、數(shù)據(jù)安全有“欠缺”、文件印章缺“可信”。
而解決這些痛點的一大法寶,便是“密碼”!經(jīng)過20多年的發(fā)展,我國商用密碼已經(jīng)應用到社會生產(chǎn)生活的各個方面,在網(wǎng)絡和信息安全中發(fā)揮著越來越重要的基礎支撐作用。在政務服務,基于商用密碼技術,防止政務服務、防疫健康信息碼使用過程中的公眾隱私數(shù)據(jù)泄露,電子證照、電子印章真實有效,保障市民數(shù)字生活安全。在社會保障,密鑰管理系統(tǒng)作為社??ㄖ瓶w系的核心,主要負責各類密鑰的生成、存儲與分發(fā),密鑰管理系統(tǒng)中的密鑰按密鑰類型、應用類型和交易種類進行定義,并通過分散變化等機制進行分級管理,避免單個密鑰被攻破之后影響整體系統(tǒng)的密鑰安全。在醫(yī)療衛(wèi)生方面,密碼技術的應用保障了新形勢下的醫(yī)療電子體系穩(wěn)定發(fā)展,其中安全可信的電子病歷以電子認證和電子簽名為手段,形成完善的技術保障體系,營運安全可信的電子病歷應用環(huán)境,等等。
深度 | 創(chuàng)新密碼服務方式
衛(wèi)士通方案中心商用密碼專家周君平在國家網(wǎng)絡安全宣傳周內(nèi)蒙分會場的線上論壇上,作“推動商用密碼應用,創(chuàng)新密碼服務能力”主題演講。她表示,隨著密碼技術的深度、廣度融合發(fā)展趨勢,不僅促進了產(chǎn)業(yè)鏈全生態(tài)的建立健全,而且還催生了密碼服務“平臺化”創(chuàng)新應用模式。
▲圖 周君平
該模式通過構建一體化的密碼服務平臺,將為各行業(yè)重要信息系統(tǒng)提供統(tǒng)一、彈性、高效、規(guī)?;拿艽a應用服務。一體化密碼服務平臺將采用微服務架構對密碼服務基礎支撐設備、系統(tǒng)的能力進行抽象封裝,形成密碼服務能力,并通過API網(wǎng)關將密碼服務的能力采用標準統(tǒng)一的接口,以API的形式或SDK的形式向安全應用提供。同時基于平臺管控實現(xiàn)對平臺的應用接入管理,密碼資源、資產(chǎn)的統(tǒng)計管理,基于密碼監(jiān)管服務實現(xiàn)對密碼設備、密碼資源、密碼服務調用情況的統(tǒng)一監(jiān)管,基于安全運營服務使用,實現(xiàn)租戶管理、平臺運營狀態(tài)監(jiān)控、資源可用性監(jiān)控等。這種商用密碼創(chuàng)新服務方式有以下幾個特點:
1.服務化 以服務替代產(chǎn)品,降低采購成本和運維成本,提升信息化建設敏捷性,緩解安全建設的困擾。
2.精準化 將密碼業(yè)務深植于業(yè)務之中,由專業(yè)的密碼廠商提供服務,實時跟蹤學界和業(yè)界的前沿進展,著力開展技術演進和模式創(chuàng)新,保持服務能力的持續(xù)迭代和更新。
3.泛在化 面向目前數(shù)字政府建設的多云部署趨勢,提供支持不同云服務平臺的泛在接入能力。
4.合規(guī)化 以商用密碼和等級保護相關規(guī)定為指導,以安全合規(guī)為底線,避免業(yè)務應用的合規(guī)風險。
5.簡略化 為業(yè)務應用提供便捷的密碼服務接口,緩解現(xiàn)在業(yè)務應用開發(fā)商的密碼研發(fā)難度,彌補安全應用短板。依托密鑰管理、密碼應用等服務能力,聯(lián)通前端業(yè)務服務商和后端基礎服務商,結合密鑰管理和身份服務入口,形成以密碼服務為核心的互聯(lián)網(wǎng)信任服務生態(tài),支撐網(wǎng)絡空間安全。