01 宏觀政策為密碼泛在化保駕護航
密碼是保障網絡空間安全的核心技術和基礎支撐。過去��,密碼主要用來保護重要IT系統(tǒng)的通信與存儲安全問題,普通老百姓很少和它打交道��。如今��,密碼已經應用到各行各業(yè),影響我們生活的方方面面��。密碼產品也從傳統(tǒng)的密碼機��、密鑰管理系統(tǒng)等整機形態(tài)��,衍生發(fā)展為安全芯片、軟件密碼模塊��、IP核��、密碼板卡等不同形態(tài)��,密碼和IT技術呈現融合發(fā)展的趨勢,密碼的服務化更是打破了密碼產品的形態(tài)限制��。密碼應用已經呈現出多元化��、融合化��、泛在化等新特點。
近年來��,我國不斷健全密碼相關的政策法規(guī)��,先后制定和實施了網絡安全法��、密碼法��、36號文��、GM/T0054、等保 2.0標準等系列法規(guī)政策標準,從頂層構建了密碼與網信事業(yè)的宏偉藍圖。在宏觀政策的指引下��,我國密碼事業(yè)經歷了從無到有��、從初創(chuàng)到規(guī)范完善的階段��,取得了跨越式的發(fā)展,這也為全面推進密碼工作和密碼泛在化應用奠定了堅實有力的基礎。
02 安全風險呈現泛在化趨勢
物聯網、云計算��、5G��、大數據��、人工智能等創(chuàng)新技術正在加速驅動物理世界與信息世界的融合。我們在享受高新技術帶來的信息紅利的同時,也無形中打破了固有的網絡邊界,加劇了信息泛在化的發(fā)展趨勢��。物理世界與信息空間的泛在融合��,也將物理空間的違法破壞行為引入虛擬世界��,網絡空間變得更加復雜。
信息技術的融合,既加速了信息化進程��,也增大了網絡攻擊的可能性��,網絡安全問題異常嚴峻��。近年來網絡安全事件層出不窮、形式各異,涉及到物聯網安全��、數據安全��、虛擬化安全等方方面面��。比如��,在物聯網領域,視頻監(jiān)控弱密碼��、偷拍��、DDoS攻擊等事件屢見不鮮;大量智能門鎖存在通信監(jiān)聽、門卡復制��、APP攻擊等安全風險��;傳感器網絡等無人值守設備分布廣泛��,被攻破而不被發(fā)現的事件也時常被事后報道。隨著信息技術的發(fā)展,網絡安全風險加速擴散��,網絡安全問題已然泛化��。
03 密碼技術的泛在化應用思路
面對快速發(fā)展的信息技術及泛在多變的網絡安全需求��,需要對網絡空間進行體系性的安全防護。密碼是網絡信息安全的核心技術,是整個網絡信任體系的基礎支撐��,依托密碼技術在認證��、加密等方面的重要作用��,構建以密碼為基石的網絡安全體系,能夠有力解決網絡與信息安全問題。我們在開展具體密碼工作時��,需注意密碼技術與業(yè)務應用的結合��。在不同的業(yè)務場景中��,應當采用不同的密碼技術路線或者組合?�?偟膩碚f��,包括經典密碼技術��、創(chuàng)新密碼技術、前沿密碼技術三個方面。
經典密碼技術指的是常見的對稱密碼、PKI/CA公鑰密碼及標識密碼技術。這類密碼技術屬于基石性技術��,已經被廣泛應用��,能夠解決傳統(tǒng)信息系統(tǒng)安全認證與數據加密等問題��。
我們重點想提一些創(chuàng)新密碼應用的工作思路。我們在實踐過程中,發(fā)現諸如工業(yè)控制、移動辦公��、智能家居等新興場景都存在密碼應用需求��,然而受限于具體場景和環(huán)境,傳統(tǒng)的密碼技術往往無法直接應用��。此時��,我們就需要轉變思路��,對密碼應用的方法進行創(chuàng)新和調整。第一種思路是“融”��,即密碼融合設計��,在設計之初將密碼流程融入到業(yè)務應用及通信協(xié)議中��,避免后期堆疊密碼設備帶來的性能開銷、系統(tǒng)損害等影響��。第二種思路是“變”��,我們對傳統(tǒng)密碼技術進行場景化的適配改造��,以應對差異化的密碼需求,如輕量化密碼協(xié)議��、短證書等��。第三種思路是“合”��,我們可以對加密、認證��、授權��、安全管理等功能進行整合��,以能力打包的形式對接應用系統(tǒng),提供“一攬子”的密碼解決方案��,減輕應用的密碼集成難度��,快速實現密碼賦能��。
密碼技術在不斷發(fā)展,學術界對零信任��、區(qū)塊鏈��、安全多方計算��、同態(tài)加密、格密碼��、抗量子密碼等前沿密碼技術進行了廣泛的研究��,部分成果已經應用到信息系統(tǒng)中��,相信未來前沿密碼技術會得到更加廣泛和全面的應用。
04 終端側的密碼產品部署
終端種類眾多��、形態(tài)各異��。不同種類的終端在價格成本��、網絡數據能力、軟硬件架構等方面存在著巨大區(qū)別��,終端側的密碼產品部署需求也存在著差異性��,需要因地制宜��。
終端側的密碼產品部署主要涵蓋三種形式:安裝軟件密碼模塊、內嵌硬件密碼模塊以及外接安全網關��。對于PC��、手機��、高性能嵌入式設備,我們可以部署軟件密碼模塊��,借助CPU的強大運算能力��,實現高性能的密碼運算��,無需額外增加硬件成本。面向智能門鎖��、車載控制器等安全性較高的終端��,我們可以采用設備內嵌密碼硬件的方式,包括板載安全芯片、內接密碼模塊��、使用基于密碼的安全通信模組等��,提供硬件級安全防護能力��,保障設備安全。針對微型傳感器、大型進口設備��、老舊IT設備等難以施行密碼改造的場景��,我們可以接入安全網關��,通過門衛(wèi)式安全防護,保證設備的接入安全與通信安全問題。
05 密碼的服務化之道
近年來��,越來越多的應用遷移上云��。我們如果要分別對不同的信息系統(tǒng)進行密碼應用��,工作量巨大,密碼資源浪費嚴重。此時��,我們可以借助云化��、虛擬化的思想將密碼能力服務化��,按需提供密碼資源,不同應用系統(tǒng)只需通過服務調用的方式即可安全地獲取密碼能力,從而快速實現密碼應用改造��。
一個可行的實踐路線是構建密碼服務平臺��。我所在的衛(wèi)士通公司作為綜合實力較強的密碼企業(yè)��,正在從傳統(tǒng)密碼產品提供商向平臺型安全服務提供商轉型,密碼服務平臺便是一個重要的抓手。密碼服務平臺不直接提供密碼產品,面向應用提供場景化的密碼服務��,提升合規(guī)的密碼應用效率��,降低應用與密碼對接的難度��。我們看到,越來越多的政務云正在采用密碼服務平臺,實現云上應用的快速對接?�?梢灶A見��,密碼服務是促進密碼泛在化落地的重要且有效的技術路徑。
06 基礎軟硬件的內生安全機制
長久以來��,計算機系統(tǒng)基礎軟硬件的安全及密碼措施都是各自為政��,較為獨立��。如果要做一個安全瀏覽器,我們可能會在瀏覽器內部集成OpenSSL算法庫��;如果要做一個加密數據庫��,我們可能為數據庫配用密碼硬件��;如果要做安全啟動��,我們需要為計算機配置TPCM、TCM等可信計算芯片。計算機系統(tǒng)各個軟硬件之間的密碼能力缺乏協(xié)同,煙囪式存在��。另外��,各類軟硬件廠商自行建設密碼��,也存在著合規(guī)性的問題。
我們在構建自主信息系統(tǒng)時,可以從系統(tǒng)體系的角度出發(fā)��,使用一套密碼方案��,貫通計算機基礎軟硬件的各個環(huán)節(jié)��,實現密碼運算和可信計算。基礎此種思想��,如衛(wèi)士通與龍芯聯合推出的內嵌安全SE的國產處理器��,打通了CPU��、BIOS、操作系統(tǒng)、中間件��、數據庫��、瀏覽器等各環(huán)節(jié)��,構建了內生安全的基礎軟硬件密碼應用生態(tài)��。
07 典型案例
分享兩個場景化案例��。一是視頻融合通信,包含視頻監(jiān)控��、直播��、會商等多種業(yè)務模式��。我們可以采用端到端的安全方式對視頻終端、服務端進行密碼改造��,對大帶寬��、高清��、多路、實時音視頻進行加解密��。GB35114便是此類方式的標準化落地��,未來也將會有更多音視頻密碼應用的標準指導相關工作��。二是物聯網密碼應用,我們可以建立覆蓋物聯網“端-邊-網-云”的密碼應用體系��。端��,指的是物聯網終端側部署安全芯片/軟件密碼模塊等密碼產品��,實現終端安全防護;邊��,指的是提供安全邊緣網關��,安全接入物聯網終端��;網,指的是基于密碼技術保障物聯網通信安全��;云��,指的是物聯網平臺具備密碼與安全能力��。
08 密碼應用推進思考
密碼事業(yè)的政策性較強��,我們密碼工作者要時刻關注國家政策法規(guī)��,尤其是中央、地方、大型機關單位的商密規(guī)劃��,這將帶來大量的密碼泛在化建設項目��。另外��,隨著等保2.0、密評工作的廣泛��、有序開展��,更多的細分領域將會開展密碼工作��,密碼市場規(guī)模迅速擴大��。我們在專注既有業(yè)務領域的同時,應不斷開拓新的行業(yè)用戶和業(yè)務領域��,拓展密碼應用的范圍��。
密碼應用和改造需要達到什么程度��?是否密碼措施越多越好?如何讓更多的行業(yè)用戶��、企業(yè)單位放下對密碼或安全的固有成見��,愿意用密碼��?這些問題都值得我們思考。我們在做密碼應用和推廣的時候��,一定要結合行業(yè)政策與應用實際��,按需地開展密碼應用��,密碼應用的強度不能單一量化,做到合規(guī)的同時��,保證相當的安全性��。
09 從業(yè)者建議
在密碼泛在化的背景環(huán)境下,我們從業(yè)者需要哪些方面的能力素養(yǎng)��?我認為��,至少需要三方面的能力��。第一,完備的密碼知識。密碼技術不斷發(fā)展,我們需要廣泛涉獵密碼知識��,同時也應當潛心鉆研一些重點的密碼知識��,尤其是我們工作中可能用到的密碼技術��。第二,全棧的密碼設計能力。包括密碼算法��、產品化設計��、接口對接��、協(xié)議優(yōu)化等等,只有具備了全棧的設計能力,才能應對復雜多變的情況,準確地對密碼方案進行優(yōu)化和改造��。第三��,快速理解業(yè)務應用的能力��。密碼和業(yè)務不能是“兩張皮”,密碼的設計必須基于業(yè)務實際,密碼工作者應當理解業(yè)務流程并梳理出安全痛點及密碼應用需求��,才能做好密碼建設的實際工作��。
1月15日��,人社部發(fā)文擬新增“密碼技術應用員”職業(yè),并將其定義為運用密碼技術��,從事信息系統(tǒng)安全密碼保障的架構設計��、系統(tǒng)集成��、檢測評估、運維管理、密碼咨詢等相關密碼服務的人員��?�!懊艽a技術應用員”作為密碼泛在化的一個專門職業(yè)被正式提出,這無疑會促進密碼泛在化的應用與推廣工作��。同時��,作為密碼從業(yè)者的我們��,也應當參照“密碼技術應用員”的要求積極提升個人能力。
10 密碼泛在化的未來
傳統(tǒng)信息行業(yè)��、新技術業(yè)務領域快速發(fā)展并交相輝映��,信息世界正朝著相互滲透��、多元發(fā)展的方向演進。我們有理由相信��,未來��,密碼就是信息世界不可或缺的組件��,密碼也將作為泛化信息世界的安全基石,有力保障信息世界的安全持續(xù)發(fā)展��。密碼人��,大有可為��。
