01 宏觀政策為密碼泛在化保駕護(hù)航
密碼是保障網(wǎng)絡(luò)空間安全的核心技術(shù)和基礎(chǔ)支撐�����。過去��,密碼主要用來保護(hù)重要IT系統(tǒng)的通信與存儲(chǔ)安全問題����,普通老百姓很少和它打交道�。如今�����,密碼已經(jīng)應(yīng)用到各行各業(yè)���,影響我們生活的方方面面����。密碼產(chǎn)品也從傳統(tǒng)的密碼機(jī)�����、密鑰管理系統(tǒng)等整機(jī)形態(tài)���,衍生發(fā)展為安全芯片、軟件密碼模塊�����、IP核��、密碼板卡等不同形態(tài)�,密碼和IT技術(shù)呈現(xiàn)融合發(fā)展的趨勢�����,密碼的服務(wù)化更是打破了密碼產(chǎn)品的形態(tài)限制�����。密碼應(yīng)用已經(jīng)呈現(xiàn)出多元化、融合化�、泛在化等新特點(diǎn)。
近年來���,我國不斷健全密碼相關(guān)的政策法規(guī),先后制定和實(shí)施了網(wǎng)絡(luò)安全法�����、密碼法、36號(hào)文�、GM/T0054����、等保 2.0標(biāo)準(zhǔn)等系列法規(guī)政策標(biāo)準(zhǔn)��,從頂層構(gòu)建了密碼與網(wǎng)信事業(yè)的宏偉藍(lán)圖�。在宏觀政策的指引下���,我國密碼事業(yè)經(jīng)歷了從無到有、從初創(chuàng)到規(guī)范完善的階段���,取得了跨越式的發(fā)展�����,這也為全面推進(jìn)密碼工作和密碼泛在化應(yīng)用奠定了堅(jiān)實(shí)有力的基礎(chǔ)����。
02 安全風(fēng)險(xiǎn)呈現(xiàn)泛在化趨勢
物聯(lián)網(wǎng)�、云計(jì)算���、5G、大數(shù)據(jù)��、人工智能等創(chuàng)新技術(shù)正在加速驅(qū)動(dòng)物理世界與信息世界的融合��。我們在享受高新技術(shù)帶來的信息紅利的同時(shí),也無形中打破了固有的網(wǎng)絡(luò)邊界��,加劇了信息泛在化的發(fā)展趨勢�����。物理世界與信息空間的泛在融合,也將物理空間的違法破壞行為引入虛擬世界��,網(wǎng)絡(luò)空間變得更加復(fù)雜��。
信息技術(shù)的融合����,既加速了信息化進(jìn)程,也增大了網(wǎng)絡(luò)攻擊的可能性�,網(wǎng)絡(luò)安全問題異常嚴(yán)峻。近年來網(wǎng)絡(luò)安全事件層出不窮�����、形式各異�,涉及到物聯(lián)網(wǎng)安全����、數(shù)據(jù)安全����、虛擬化安全等方方面面。比如�����,在物聯(lián)網(wǎng)領(lǐng)域,視頻監(jiān)控弱密碼�����、偷拍��、DDoS攻擊等事件屢見不鮮��;大量智能門鎖存在通信監(jiān)聽���、門卡復(fù)制����、APP攻擊等安全風(fēng)險(xiǎn)�;傳感器網(wǎng)絡(luò)等無人值守設(shè)備分布廣泛�,被攻破而不被發(fā)現(xiàn)的事件也時(shí)常被事后報(bào)道����。隨著信息技術(shù)的發(fā)展�����,網(wǎng)絡(luò)安全風(fēng)險(xiǎn)加速擴(kuò)散�,網(wǎng)絡(luò)安全問題已然泛化���。
03 密碼技術(shù)的泛在化應(yīng)用思路
面對(duì)快速發(fā)展的信息技術(shù)及泛在多變的網(wǎng)絡(luò)安全需求����,需要對(duì)網(wǎng)絡(luò)空間進(jìn)行體系性的安全防護(hù)�。密碼是網(wǎng)絡(luò)信息安全的核心技術(shù)����,是整個(gè)網(wǎng)絡(luò)信任體系的基礎(chǔ)支撐����,依托密碼技術(shù)在認(rèn)證、加密等方面的重要作用����,構(gòu)建以密碼為基石的網(wǎng)絡(luò)安全體系,能夠有力解決網(wǎng)絡(luò)與信息安全問題�����。我們在開展具體密碼工作時(shí)���,需注意密碼技術(shù)與業(yè)務(wù)應(yīng)用的結(jié)合��。在不同的業(yè)務(wù)場景中����,應(yīng)當(dāng)采用不同的密碼技術(shù)路線或者組合��。總的來說��,包括經(jīng)典密碼技術(shù)����、創(chuàng)新密碼技術(shù)����、前沿密碼技術(shù)三個(gè)方面��。
經(jīng)典密碼技術(shù)指的是常見的對(duì)稱密碼、PKI/CA公鑰密碼及標(biāo)識(shí)密碼技術(shù)�����。這類密碼技術(shù)屬于基石性技術(shù)�����,已經(jīng)被廣泛應(yīng)用�����,能夠解決傳統(tǒng)信息系統(tǒng)安全認(rèn)證與數(shù)據(jù)加密等問題。
我們重點(diǎn)想提一些創(chuàng)新密碼應(yīng)用的工作思路����。我們在實(shí)踐過程中,發(fā)現(xiàn)諸如工業(yè)控制�����、移動(dòng)辦公��、智能家居等新興場景都存在密碼應(yīng)用需求����,然而受限于具體場景和環(huán)境,傳統(tǒng)的密碼技術(shù)往往無法直接應(yīng)用�。此時(shí),我們就需要轉(zhuǎn)變思路���,對(duì)密碼應(yīng)用的方法進(jìn)行創(chuàng)新和調(diào)整����。第一種思路是“融”����,即密碼融合設(shè)計(jì)��,在設(shè)計(jì)之初將密碼流程融入到業(yè)務(wù)應(yīng)用及通信協(xié)議中�����,避免后期堆疊密碼設(shè)備帶來的性能開銷���、系統(tǒng)損害等影響����。第二種思路是“變”,我們對(duì)傳統(tǒng)密碼技術(shù)進(jìn)行場景化的適配改造�,以應(yīng)對(duì)差異化的密碼需求����,如輕量化密碼協(xié)議���、短證書等。第三種思路是“合”�,我們可以對(duì)加密、認(rèn)證���、授權(quán)、安全管理等功能進(jìn)行整合����,以能力打包的形式對(duì)接應(yīng)用系統(tǒng)�����,提供“一攬子”的密碼解決方案����,減輕應(yīng)用的密碼集成難度���,快速實(shí)現(xiàn)密碼賦能。
密碼技術(shù)在不斷發(fā)展����,學(xué)術(shù)界對(duì)零信任����、區(qū)塊鏈����、安全多方計(jì)算�、同態(tài)加密�、格密碼����、抗量子密碼等前沿密碼技術(shù)進(jìn)行了廣泛的研究��,部分成果已經(jīng)應(yīng)用到信息系統(tǒng)中,相信未來前沿密碼技術(shù)會(huì)得到更加廣泛和全面的應(yīng)用����。
04 終端側(cè)的密碼產(chǎn)品部署
終端種類眾多���、形態(tài)各異。不同種類的終端在價(jià)格成本����、網(wǎng)絡(luò)數(shù)據(jù)能力、軟硬件架構(gòu)等方面存在著巨大區(qū)別��,終端側(cè)的密碼產(chǎn)品部署需求也存在著差異性,需要因地制宜��。
終端側(cè)的密碼產(chǎn)品部署主要涵蓋三種形式:安裝軟件密碼模塊����、內(nèi)嵌硬件密碼模塊以及外接安全網(wǎng)關(guān)。對(duì)于PC���、手機(jī)�����、高性能嵌入式設(shè)備���,我們可以部署軟件密碼模塊����,借助CPU的強(qiáng)大運(yùn)算能力,實(shí)現(xiàn)高性能的密碼運(yùn)算���,無需額外增加硬件成本。面向智能門鎖���、車載控制器等安全性較高的終端,我們可以采用設(shè)備內(nèi)嵌密碼硬件的方式���,包括板載安全芯片��、內(nèi)接密碼模塊、使用基于密碼的安全通信模組等���,提供硬件級(jí)安全防護(hù)能力,保障設(shè)備安全���。針對(duì)微型傳感器、大型進(jìn)口設(shè)備��、老舊IT設(shè)備等難以施行密碼改造的場景�����,我們可以接入安全網(wǎng)關(guān),通過門衛(wèi)式安全防護(hù)��,保證設(shè)備的接入安全與通信安全問題�。
05 密碼的服務(wù)化之道
近年來��,越來越多的應(yīng)用遷移上云����。我們?nèi)绻謩e對(duì)不同的信息系統(tǒng)進(jìn)行密碼應(yīng)用�,工作量巨大,密碼資源浪費(fèi)嚴(yán)重����。此時(shí),我們可以借助云化���、虛擬化的思想將密碼能力服務(wù)化��,按需提供密碼資源,不同應(yīng)用系統(tǒng)只需通過服務(wù)調(diào)用的方式即可安全地獲取密碼能力�,從而快速實(shí)現(xiàn)密碼應(yīng)用改造�。
一個(gè)可行的實(shí)踐路線是構(gòu)建密碼服務(wù)平臺(tái)�����。我所在的衛(wèi)士通公司作為綜合實(shí)力較強(qiáng)的密碼企業(yè)�����,正在從傳統(tǒng)密碼產(chǎn)品提供商向平臺(tái)型安全服務(wù)提供商轉(zhuǎn)型��,密碼服務(wù)平臺(tái)便是一個(gè)重要的抓手�����。密碼服務(wù)平臺(tái)不直接提供密碼產(chǎn)品,面向應(yīng)用提供場景化的密碼服務(wù)���,提升合規(guī)的密碼應(yīng)用效率���,降低應(yīng)用與密碼對(duì)接的難度����。我們看到��,越來越多的政務(wù)云正在采用密碼服務(wù)平臺(tái)�����,實(shí)現(xiàn)云上應(yīng)用的快速對(duì)接��?�?梢灶A(yù)見,密碼服務(wù)是促進(jìn)密碼泛在化落地的重要且有效的技術(shù)路徑�。
06 基礎(chǔ)軟硬件的內(nèi)生安全機(jī)制
長久以來�����,計(jì)算機(jī)系統(tǒng)基礎(chǔ)軟硬件的安全及密碼措施都是各自為政��,較為獨(dú)立�����。如果要做一個(gè)安全瀏覽器���,我們可能會(huì)在瀏覽器內(nèi)部集成OpenSSL算法庫;如果要做一個(gè)加密數(shù)據(jù)庫�,我們可能為數(shù)據(jù)庫配用密碼硬件;如果要做安全啟動(dòng)���,我們需要為計(jì)算機(jī)配置TPCM、TCM等可信計(jì)算芯片����。計(jì)算機(jī)系統(tǒng)各個(gè)軟硬件之間的密碼能力缺乏協(xié)同�����,煙囪式存在���。另外����,各類軟硬件廠商自行建設(shè)密碼���,也存在著合規(guī)性的問題。
我們在構(gòu)建自主信息系統(tǒng)時(shí)���,可以從系統(tǒng)體系的角度出發(fā)��,使用一套密碼方案�,貫通計(jì)算機(jī)基礎(chǔ)軟硬件的各個(gè)環(huán)節(jié),實(shí)現(xiàn)密碼運(yùn)算和可信計(jì)算����。基礎(chǔ)此種思想����,如衛(wèi)士通與龍芯聯(lián)合推出的內(nèi)嵌安全SE的國產(chǎn)處理器��,打通了CPU、BIOS�����、操作系統(tǒng)��、中間件�、數(shù)據(jù)庫��、瀏覽器等各環(huán)節(jié)��,構(gòu)建了內(nèi)生安全的基礎(chǔ)軟硬件密碼應(yīng)用生態(tài)�。
07 典型案例
分享兩個(gè)場景化案例。一是視頻融合通信�����,包含視頻監(jiān)控�����、直播����、會(huì)商等多種業(yè)務(wù)模式�����。我們可以采用端到端的安全方式對(duì)視頻終端����、服務(wù)端進(jìn)行密碼改造�����,對(duì)大帶寬�、高清����、多路��、實(shí)時(shí)音視頻進(jìn)行加解密���。GB35114便是此類方式的標(biāo)準(zhǔn)化落地��,未來也將會(huì)有更多音視頻密碼應(yīng)用的標(biāo)準(zhǔn)指導(dǎo)相關(guān)工作�。二是物聯(lián)網(wǎng)密碼應(yīng)用���,我們可以建立覆蓋物聯(lián)網(wǎng)“端-邊-網(wǎng)-云”的密碼應(yīng)用體系�。端,指的是物聯(lián)網(wǎng)終端側(cè)部署安全芯片/軟件密碼模塊等密碼產(chǎn)品����,實(shí)現(xiàn)終端安全防護(hù)�����;邊��,指的是提供安全邊緣網(wǎng)關(guān)�,安全接入物聯(lián)網(wǎng)終端;網(wǎng)�����,指的是基于密碼技術(shù)保障物聯(lián)網(wǎng)通信安全�;云�,指的是物聯(lián)網(wǎng)平臺(tái)具備密碼與安全能力。
08 密碼應(yīng)用推進(jìn)思考
密碼事業(yè)的政策性較強(qiáng),我們密碼工作者要時(shí)刻關(guān)注國家政策法規(guī)���,尤其是中央���、地方����、大型機(jī)關(guān)單位的商密規(guī)劃���,這將帶來大量的密碼泛在化建設(shè)項(xiàng)目。另外��,隨著等保2.0�����、密評(píng)工作的廣泛、有序開展����,更多的細(xì)分領(lǐng)域?qū)?huì)開展密碼工作���,密碼市場規(guī)模迅速擴(kuò)大��。我們在專注既有業(yè)務(wù)領(lǐng)域的同時(shí)���,應(yīng)不斷開拓新的行業(yè)用戶和業(yè)務(wù)領(lǐng)域���,拓展密碼應(yīng)用的范圍��。
密碼應(yīng)用和改造需要達(dá)到什么程度�����?是否密碼措施越多越好��?如何讓更多的行業(yè)用戶��、企業(yè)單位放下對(duì)密碼或安全的固有成見,愿意用密碼�����?這些問題都值得我們思考�。我們在做密碼應(yīng)用和推廣的時(shí)候,一定要結(jié)合行業(yè)政策與應(yīng)用實(shí)際��,按需地開展密碼應(yīng)用,密碼應(yīng)用的強(qiáng)度不能單一量化�����,做到合規(guī)的同時(shí)��,保證相當(dāng)?shù)陌踩浴?/p>
09 從業(yè)者建議
在密碼泛在化的背景環(huán)境下�,我們從業(yè)者需要哪些方面的能力素養(yǎng)?我認(rèn)為���,至少需要三方面的能力����。第一�,完備的密碼知識(shí)。密碼技術(shù)不斷發(fā)展���,我們需要廣泛涉獵密碼知識(shí)��,同時(shí)也應(yīng)當(dāng)潛心鉆研一些重點(diǎn)的密碼知識(shí)�����,尤其是我們工作中可能用到的密碼技術(shù)���。第二�����,全棧的密碼設(shè)計(jì)能力。包括密碼算法���、產(chǎn)品化設(shè)計(jì)、接口對(duì)接���、協(xié)議優(yōu)化等等����,只有具備了全棧的設(shè)計(jì)能力,才能應(yīng)對(duì)復(fù)雜多變的情況����,準(zhǔn)確地對(duì)密碼方案進(jìn)行優(yōu)化和改造。第三�,快速理解業(yè)務(wù)應(yīng)用的能力。密碼和業(yè)務(wù)不能是“兩張皮”���,密碼的設(shè)計(jì)必須基于業(yè)務(wù)實(shí)際�����,密碼工作者應(yīng)當(dāng)理解業(yè)務(wù)流程并梳理出安全痛點(diǎn)及密碼應(yīng)用需求,才能做好密碼建設(shè)的實(shí)際工作���。
1月15日,人社部發(fā)文擬新增“密碼技術(shù)應(yīng)用員”職業(yè)��,并將其定義為運(yùn)用密碼技術(shù)��,從事信息系統(tǒng)安全密碼保障的架構(gòu)設(shè)計(jì)����、系統(tǒng)集成�、檢測評(píng)估、運(yùn)維管理����、密碼咨詢等相關(guān)密碼服務(wù)的人員����。“密碼技術(shù)應(yīng)用員”作為密碼泛在化的一個(gè)專門職業(yè)被正式提出�,這無疑會(huì)促進(jìn)密碼泛在化的應(yīng)用與推廣工作��。同時(shí)���,作為密碼從業(yè)者的我們���,也應(yīng)當(dāng)參照“密碼技術(shù)應(yīng)用員”的要求積極提升個(gè)人能力����。
10 密碼泛在化的未來
傳統(tǒng)信息行業(yè)��、新技術(shù)業(yè)務(wù)領(lǐng)域快速發(fā)展并交相輝映�����,信息世界正朝著相互滲透��、多元發(fā)展的方向演進(jìn)。我們有理由相信���,未來,密碼就是信息世界不可或缺的組件�����,密碼也將作為泛化信息世界的安全基石��,有力保障信息世界的安全持續(xù)發(fā)展�。密碼人����,大有可為�����。
