密碼作為保護(hù)網(wǎng)絡(luò)與信息安全的重要手段，在身份識(shí)別、安全隔離、信息加密、完整性保護(hù)和抗抵賴等方面發(fā)揮著不可替代的重要作用，廣泛運(yùn)用于金融、政務(wù)、通信等領(lǐng)域。隨著我國(guó)大力開展新型信息基礎(chǔ)設(shè)施建設(shè)，以及《網(wǎng)絡(luò)安全法》、《密碼法》的頒布實(shí)施，極大推動(dòng)了密碼應(yīng)用的發(fā)展與創(chuàng)新。在新基建的大背景下，隨著網(wǎng)絡(luò)安全與密碼技術(shù)的不斷演進(jìn)，基于內(nèi)生安全框架的密碼與網(wǎng)絡(luò)安全融合發(fā)展逐漸成為新的趨勢(shì)。

在上周剛結(jié)束的2020北京網(wǎng)絡(luò)安全大會(huì)（簡(jiǎn)稱：BCS）上，奇安信集團(tuán)副總裁陳華平發(fā)表了“面向新基建的密碼應(yīng)用框架與創(chuàng)新”主題演講，系統(tǒng)性闡述了密碼應(yīng)用作為支撐新基建內(nèi)生安全框架的基石、以及密碼與網(wǎng)絡(luò)安全融合發(fā)展成為大趨勢(shì)的精彩觀點(diǎn)。

以下是奇安信集團(tuán)副總裁陳華平演講內(nèi)容的記錄：

1． 密碼應(yīng)用是支撐新基建內(nèi)生安全框架的基石

新基建的內(nèi)核是數(shù)字基建，包括5G、工業(yè)互聯(lián)網(wǎng)、AI和數(shù)據(jù)中心等核心要素。在此基礎(chǔ)之上依次進(jìn)行傳統(tǒng)基礎(chǔ)設(shè)施的數(shù)字化改造及新型基礎(chǔ)設(shè)施的數(shù)字化建設(shè)，由此帶來(lái)場(chǎng)景化的行業(yè)應(yīng)用，包括5G應(yīng)用場(chǎng)景、物聯(lián)網(wǎng)、車聯(lián)網(wǎng)、工業(yè)互聯(lián)網(wǎng)、智慧城市、智慧醫(yī)療、智慧教育，以及云計(jì)算中心應(yīng)用等場(chǎng)景。

場(chǎng)景化的行業(yè)應(yīng)用要求安全能力與基礎(chǔ)設(shè)施融合，要求安全能力與行業(yè)應(yīng)用融合。這些內(nèi)生化的安全需求是傳統(tǒng)網(wǎng)絡(luò)安全框架無(wú)法滿足的，因此必須建立新一代網(wǎng)絡(luò)安全框架，推動(dòng)新基建的內(nèi)生安全建設(shè)。

（1）密碼是內(nèi)生安全的基石

新一代網(wǎng)絡(luò)安全框架的建設(shè)，安全由內(nèi)而外，需要穩(wěn)固的基礎(chǔ)支撐。密碼應(yīng)用嵌入信息系統(tǒng)內(nèi)核，與業(yè)務(wù)應(yīng)用緊密耦合，是建設(shè)內(nèi)生安全框架的基石。

對(duì)應(yīng)于內(nèi)生安全的一個(gè)中心、五張過(guò)濾網(wǎng)，密碼應(yīng)用在網(wǎng)絡(luò)層面通過(guò)加密機(jī)、VPN、加密專用模塊實(shí)現(xiàn)傳輸加密，在身份層面通過(guò)多因子認(rèn)證、可信標(biāo)識(shí)、認(rèn)證網(wǎng)關(guān)實(shí)現(xiàn)認(rèn)證鑒權(quán)，在應(yīng)用層面通過(guò)可信模塊、完整性校驗(yàn)、簽名驗(yàn)簽實(shí)現(xiàn)平臺(tái)和應(yīng)用可信，在數(shù)據(jù)層面通過(guò)多種加密和訪問(wèn)授權(quán)實(shí)現(xiàn)多重防護(hù)，在行為層面通過(guò)電子簽章、電子存證實(shí)現(xiàn)行為鑒別，在安全運(yùn)營(yíng)中心通過(guò)建設(shè)密碼應(yīng)用管理平臺(tái)，實(shí)現(xiàn)密鑰管理、證書管理、策略管理、統(tǒng)一認(rèn)證。因此，密碼應(yīng)用是內(nèi)生安全的重要組成部分，是安全由內(nèi)而外的橋梁。

（2）在內(nèi)生安全框架下建設(shè)密碼應(yīng)用支撐能力

為了適應(yīng)內(nèi)生安全需求，我們需要建設(shè)密碼應(yīng)用支撐能力。本著基礎(chǔ)性、系統(tǒng)性、前瞻性的原則，積極發(fā)展創(chuàng)新領(lǐng)域的新型密碼應(yīng)用，以適應(yīng)新基建數(shù)字化轉(zhuǎn)型與業(yè)務(wù)發(fā)展的需要。重點(diǎn)布局硬件設(shè)備、軟件模塊、密碼系統(tǒng)、密碼應(yīng)用、密碼支撐、密碼測(cè)評(píng)、應(yīng)用創(chuàng)新等領(lǐng)域，形成密碼應(yīng)用技術(shù)體系。

●硬件設(shè)備

重點(diǎn)布局具有國(guó)密資質(zhì)的加密機(jī)、加密卡、可信密碼模塊、密碼卡等硬件產(chǎn)品，滿足密鑰管理、高性能加解密、可信接入，以及輕量級(jí)密碼應(yīng)用的需要，滿足標(biāo)準(zhǔn)化、高性能要求，并與密碼系統(tǒng)和軟件有良好的適配性。

●軟件模塊

重點(diǎn)布局具有國(guó)密資質(zhì)的軟加密、軟可信、密碼SDK、手機(jī)盾等軟件產(chǎn)品，滿足應(yīng)用透明加解密、桌面及移動(dòng)和物聯(lián)網(wǎng)終端軟件可信環(huán)境、虛擬化及分布式平臺(tái)環(huán)境需要，具備定制開發(fā)能力，具備面向密碼應(yīng)用環(huán)境的高適應(yīng)性和靈活性。

●密碼系統(tǒng)

重點(diǎn)布局具有國(guó)密資質(zhì)的密碼認(rèn)證系統(tǒng)、密鑰管理系統(tǒng)、數(shù)字證書系統(tǒng)、簽名驗(yàn)簽系統(tǒng)等基礎(chǔ)密碼系統(tǒng)，為我司網(wǎng)絡(luò)安全產(chǎn)品和系統(tǒng)提供底層密碼支撐。

●密碼應(yīng)用

重點(diǎn)布局密碼技術(shù)在身份識(shí)別、保密傳輸、隱私保護(hù)、可信認(rèn)證等領(lǐng)域的應(yīng)用，與我司業(yè)務(wù)相結(jié)合，形成統(tǒng)一的網(wǎng)絡(luò)安全解決方案。

●密碼支撐

重點(diǎn)促進(jìn)密碼技術(shù)與我司身份管理、信息系統(tǒng)安全、大數(shù)據(jù)安全、應(yīng)用開發(fā)安全等業(yè)務(wù)的融合，并以密碼技術(shù)為核心實(shí)現(xiàn)網(wǎng)絡(luò)安全與信息化和業(yè)務(wù)的融合，形成以密碼為核心的內(nèi)生安全支撐能力。

●密碼測(cè)評(píng)

重點(diǎn)布局密碼應(yīng)用測(cè)評(píng)工具開發(fā)、密評(píng)規(guī)范制定、密評(píng)與等保、關(guān)基保護(hù)相結(jié)合的綜合測(cè)評(píng)類廠商，實(shí)現(xiàn)密碼應(yīng)用測(cè)評(píng)能力，并對(duì)接密碼產(chǎn)品測(cè)評(píng)。

●應(yīng)用創(chuàng)新

重點(diǎn)布局密碼技術(shù)在云密碼應(yīng)用、物聯(lián)網(wǎng)與5G、區(qū)塊鏈、數(shù)據(jù)流通等領(lǐng)域的創(chuàng)新應(yīng)用，并與我司在上述領(lǐng)域的創(chuàng)新網(wǎng)絡(luò)安全技術(shù)相結(jié)合，依托密碼應(yīng)用在網(wǎng)絡(luò)安全創(chuàng)新應(yīng)用中取得突破。

（3）在內(nèi)生安全框架下實(shí)現(xiàn)網(wǎng)絡(luò)安全與密碼應(yīng)用融合

在內(nèi)生安全框架下，密碼應(yīng)用向平臺(tái)化和服務(wù)化方向發(fā)展。通過(guò)對(duì)信息基礎(chǔ)設(shè)施的全面覆蓋和與業(yè)務(wù)應(yīng)用的聚合，提供全面的身份認(rèn)證、數(shù)據(jù)加密、傳輸安全和完整性保護(hù)能力與服務(wù)，并與網(wǎng)絡(luò)安全系統(tǒng)實(shí)現(xiàn)全面的對(duì)接。

●建設(shè)密碼基礎(chǔ)設(shè)施平臺(tái)

形成對(duì)密碼算法、協(xié)議以及軟硬件實(shí)現(xiàn)的統(tǒng)一部署和對(duì)云安全、工業(yè)安全、物聯(lián)網(wǎng)密碼模塊的統(tǒng)一支撐，并根據(jù)身份安全、數(shù)據(jù)安全、應(yīng)用安全等領(lǐng)域需要進(jìn)行功能開發(fā)和性能優(yōu)化；

●建設(shè)密碼中間件平臺(tái)

面向企業(yè)辦公網(wǎng)和生產(chǎn)網(wǎng)，以及虛擬化、輕量級(jí)、低延時(shí)等新興應(yīng)用場(chǎng)景的需求，開展密碼應(yīng)用適配與國(guó)產(chǎn)化替代，為數(shù)據(jù)安全、身份安全提供密碼應(yīng)用接口；

●建設(shè)應(yīng)用開發(fā)密碼支撐服務(wù)體系

為應(yīng)用開發(fā)的密碼需求、架構(gòu)設(shè)計(jì)和開發(fā)過(guò)程提供開發(fā)套件，并為應(yīng)用測(cè)試與運(yùn)營(yíng)提供密碼服務(wù)支撐；

●建設(shè)密碼應(yīng)用管理平臺(tái)

統(tǒng)一管理上述平臺(tái)與體系，面向密鑰、證書、簽名等關(guān)鍵元素進(jìn)行全生命周期的結(jié)構(gòu)化管理；

●建設(shè)密碼應(yīng)用測(cè)評(píng)服務(wù)體系

對(duì)接等保和關(guān)鍵基礎(chǔ)設(shè)施防護(hù)，依據(jù)密碼法和密碼應(yīng)用測(cè)評(píng)規(guī)范，對(duì)密碼應(yīng)用的正確性、有效性和合規(guī)性開展持續(xù)的測(cè)評(píng)與改進(jìn)。

2． 以密碼應(yīng)用為支撐的內(nèi)生安全框架是保障新基建網(wǎng)絡(luò)安全的起點(diǎn)

新基建對(duì)密碼應(yīng)用來(lái)說(shuō)是龐大的增量市場(chǎng)，既包括對(duì)現(xiàn)有密碼基礎(chǔ)設(shè)施和應(yīng)用的改造，也包括全新的密碼體系建設(shè)。不論是改造還是新建，密碼技術(shù)在新一代網(wǎng)絡(luò)安全框下，應(yīng)用于5G、大數(shù)據(jù)、云、車聯(lián)網(wǎng)、工業(yè)互聯(lián)網(wǎng)等領(lǐng)域，在實(shí)現(xiàn)加密和認(rèn)證功能的同時(shí)，從網(wǎng)絡(luò)、身份、應(yīng)用、數(shù)據(jù)、行為、管理等方面推進(jìn)新型數(shù)字化基礎(chǔ)設(shè)施安全的內(nèi)生和融合。在面向內(nèi)生安全的密碼技術(shù)和應(yīng)用框架基礎(chǔ)上，我們需要進(jìn)一步開展面向新基建的密碼應(yīng)用創(chuàng)新，拓展新興應(yīng)用領(lǐng)域的增量市場(chǎng)，實(shí)現(xiàn)高質(zhì)量發(fā)展。

（1）密碼應(yīng)用是5G通信與IT網(wǎng)絡(luò)安全融合的關(guān)鍵

5G是我國(guó)正在重點(diǎn)建設(shè)的新一代關(guān)鍵信息基礎(chǔ)設(shè)施，在CT層面，5G標(biāo)準(zhǔn)使用了包括我國(guó)祖沖之算法在內(nèi)的多種密碼算法實(shí)現(xiàn)設(shè)備入網(wǎng)認(rèn)證和用戶隱私信息保護(hù)。在IT層面，虛擬化的基礎(chǔ)設(shè)施和多樣化的業(yè)務(wù)應(yīng)用同樣需要使用密碼技術(shù)。一方面，5G網(wǎng)絡(luò)運(yùn)行在IT化的基礎(chǔ)設(shè)施上，需要密碼技術(shù)保障基礎(chǔ)設(shè)施軟硬件平臺(tái)的安全可信以及虛擬機(jī)與容器的可信，另一方面，面向行業(yè)的業(yè)務(wù)應(yīng)用需要基于密碼技術(shù)實(shí)現(xiàn)對(duì)數(shù)據(jù)和平臺(tái)訪問(wèn)的持續(xù)認(rèn)證以實(shí)現(xiàn)對(duì)訪問(wèn)行為的細(xì)粒度管控。

更重要的是，密碼技術(shù)是連接5G CT安全與IT安全的紐帶和橋梁；通過(guò)零信任打通IT與CT認(rèn)證機(jī)制，比如零信任安全平臺(tái)可以通過(guò)運(yùn)營(yíng)商的4A系統(tǒng)獲取5G用戶入網(wǎng)和漫游認(rèn)證信息，并將其作為零信任架構(gòu)下基礎(chǔ)環(huán)境安全的重要參考要素，這些信息在IT層面是無(wú)法獲得的；同時(shí)零信任安全平臺(tái)可以將IT層面持續(xù)認(rèn)證和行為分析結(jié)果反饋給CT網(wǎng)絡(luò)，作為移動(dòng)通信網(wǎng)絡(luò)安全態(tài)勢(shì)感知和用戶入網(wǎng)控制的決策依據(jù)。實(shí)現(xiàn)5G網(wǎng)絡(luò)安全的聯(lián)動(dòng)乃至一體化，對(duì)CT安全和IT安全能力都將是一次巨大的提升。而密碼的應(yīng)用在其中起到關(guān)鍵作用。

（2）密碼應(yīng)用是數(shù)據(jù)安全從封閉走向共享開放的關(guān)鍵

在大數(shù)據(jù)安全防護(hù)和共享開放方面，密碼技術(shù)起到關(guān)鍵作用。不但應(yīng)用于數(shù)據(jù)的存儲(chǔ)、傳輸安全，在大數(shù)據(jù)的分析和共享領(lǐng)域也將起到越來(lái)越重要的作用。數(shù)據(jù)是數(shù)字經(jīng)濟(jì)的核心資產(chǎn)，隨著我國(guó)數(shù)據(jù)安全法草案的公布，全面的數(shù)據(jù)安全保障能力是新一代網(wǎng)絡(luò)安全框架不可缺少的組成部分。密碼技術(shù)不但可以用于數(shù)據(jù)的加密傳輸，如VPN網(wǎng)關(guān)、應(yīng)用層數(shù)據(jù)傳輸加密網(wǎng)關(guān)（HTTP）；以及數(shù)據(jù)存儲(chǔ)加密，如數(shù)據(jù)庫(kù)加密統(tǒng)、文件加密；還能夠用于大數(shù)據(jù)密態(tài)分析，如關(guān)鍵字段加密、同態(tài)加密；并通過(guò)區(qū)塊鏈、多方計(jì)算等應(yīng)用推動(dòng)數(shù)據(jù)共享與交換。

（3）新一代云基礎(chǔ)設(shè)施安全框架整合密碼服務(wù)能力

在云安全方面，云密碼服務(wù)是一種新的安全功能交付模式，是云計(jì)算技術(shù)與身份認(rèn)證、授權(quán)訪問(wèn)、傳輸加密、存儲(chǔ)加密等密碼技術(shù)的深度融合。如何實(shí)現(xiàn)密碼能力的虛擬化、資源化、服務(wù)化成為密碼發(fā)展的重要挑戰(zhàn)。與此同時(shí)，在新一代網(wǎng)絡(luò)安全框架整合了面向政務(wù)云、行業(yè)云及公有云的密碼產(chǎn)品、密碼使用策略、密碼服務(wù)接口和服務(wù)流程，密碼服務(wù)作為云基礎(chǔ)結(jié)構(gòu)安全的重要組件，實(shí)現(xiàn)統(tǒng)一的云安全服務(wù)交付。

（4）密碼應(yīng)用打通車聯(lián)網(wǎng)多網(wǎng)融合的安全認(rèn)證與數(shù)據(jù)加密

車聯(lián)網(wǎng)是工業(yè)互聯(lián)網(wǎng)及物聯(lián)網(wǎng)領(lǐng)域中比較特殊的一個(gè)細(xì)分領(lǐng)域，一方面車輛是一個(gè)高度集成的信息物理系統(tǒng)，涉及生命財(cái)產(chǎn)安全有很高的安全需求；另一方面車聯(lián)網(wǎng)的網(wǎng)絡(luò)非常復(fù)雜，它是高速移動(dòng)的環(huán)境，涉及到車內(nèi)網(wǎng)、車際網(wǎng)和車云網(wǎng)，其安全措施需要打通端、網(wǎng)、云，并保證高實(shí)時(shí)性和可靠性。密碼技術(shù)的應(yīng)用可以很好的滿足車聯(lián)網(wǎng)的關(guān)鍵安全需求。

對(duì)于端系統(tǒng)，主要涉及車載終端設(shè)備和路側(cè)設(shè)備，車輛需要嵌入安全芯片，用以管理密鑰和加密運(yùn)算，從而強(qiáng)化ECU和CAN總線自身脆弱性的問(wèn)題，路側(cè)設(shè)備，包括交通流量采集，信號(hào)控制以及交通引導(dǎo)設(shè)備等，同樣需要通過(guò)密碼技術(shù)來(lái)保障數(shù)據(jù)采集過(guò)程的安全。

對(duì)于網(wǎng)絡(luò)，由于接入方式的多樣性，傳統(tǒng)網(wǎng)絡(luò)安全技術(shù)和產(chǎn)品很難部署。而基于密碼技術(shù)的零信任的持續(xù)身份認(rèn)證與動(dòng)態(tài)訪問(wèn)控制可以很好的解決復(fù)雜網(wǎng)絡(luò)條件下的網(wǎng)絡(luò)安全問(wèn)題。

對(duì)于云端的車聯(lián)網(wǎng)應(yīng)用，需要使用密碼技術(shù)對(duì)數(shù)據(jù)進(jìn)行加密，配合數(shù)據(jù)隔離、數(shù)據(jù)防泄漏、數(shù)據(jù)庫(kù)防火墻、數(shù)據(jù)審計(jì)等方式保障密鑰以及用戶數(shù)據(jù)的隱私性，同時(shí)部署認(rèn)證中心進(jìn)行統(tǒng)一認(rèn)證。

（5）密碼應(yīng)用打破工業(yè)互聯(lián)網(wǎng)信息孤島，實(shí)現(xiàn)遠(yuǎn)程安全協(xié)同

對(duì)于工業(yè)互聯(lián)網(wǎng)，業(yè)務(wù)應(yīng)用和數(shù)據(jù)長(zhǎng)期以來(lái)并未得到有效的保護(hù)。密碼技術(shù)的應(yīng)用可以有效的實(shí)現(xiàn)身份認(rèn)證和數(shù)據(jù)加密，滿足工業(yè)現(xiàn)場(chǎng)環(huán)境、低功耗模式等工業(yè)系統(tǒng)端級(jí)別設(shè)備與訪問(wèn)用戶身份認(rèn)證，系統(tǒng)中不同網(wǎng)絡(luò)速率和連接要求的通信網(wǎng)絡(luò)的傳輸認(rèn)證和傳輸加密，關(guān)鍵工藝參數(shù)等敏感數(shù)據(jù)的存儲(chǔ)等安全需求；同時(shí)，在橫向隔離的工業(yè)網(wǎng)絡(luò)中，基于密碼技術(shù)支撐實(shí)現(xiàn)安全的遠(yuǎn)程接入，包括終端接入、運(yùn)維接入等，滿足業(yè)務(wù)需要的同時(shí)打破信息孤島，推動(dòng)工業(yè)互聯(lián)網(wǎng)信息交換，實(shí)現(xiàn)遠(yuǎn)程協(xié)同能力。

3． 以價(jià)值為導(dǎo)向，密碼應(yīng)用融入網(wǎng)絡(luò)安全大生態(tài)

長(zhǎng)期以來(lái)，密碼應(yīng)用是一個(gè)相對(duì)獨(dú)立的生態(tài)，密碼與網(wǎng)絡(luò)安全沒有很好的融合。而在新基建的背景下，密碼應(yīng)用的建設(shè)應(yīng)融入網(wǎng)絡(luò)安全整體框架。

（1）密碼專項(xiàng)融入新一代網(wǎng)絡(luò)安全（十大工程五大任務(wù)）框架

奇安信在新一代網(wǎng)絡(luò)安全框架的十大工程、五大任務(wù)中，專門設(shè)計(jì)了密碼專項(xiàng)。

在實(shí)現(xiàn)密碼基礎(chǔ)設(shè)施和應(yīng)用能力建設(shè)的同時(shí)，著重其對(duì)整個(gè)網(wǎng)絡(luò)安全框架的支撐作用和與其他安全工程及任務(wù)的聯(lián)動(dòng)。包括身份安全、縱深防御、終端及接入安全、云數(shù)據(jù)中心安全、大數(shù)據(jù)應(yīng)用安全、態(tài)勢(shì)感知、系統(tǒng)安全、工業(yè)安全、內(nèi)部威脅防控在內(nèi)的每一個(gè)安全工程，都需要對(duì)接統(tǒng)一密碼應(yīng)用和管理平臺(tái)。安全運(yùn)行、應(yīng)用安全、物聯(lián)網(wǎng)安全、業(yè)務(wù)安全及安全人員能力建設(shè)也同樣需要密碼應(yīng)用服務(wù)的支撐。因此，密碼專項(xiàng)成為新一代網(wǎng)絡(luò)安全框架的基座，為政企內(nèi)生安全建設(shè)提供堅(jiān)實(shí)的基礎(chǔ)。

（2）以價(jià)值為導(dǎo)向建設(shè)網(wǎng)絡(luò)安全大生態(tài)

在數(shù)字化的生態(tài)體系當(dāng)中，伙伴之間互為資源、相互賦能，在共同提供資源、產(chǎn)品或者服務(wù)之后，按照市場(chǎng)規(guī)律獲得相對(duì)應(yīng)的市場(chǎng)回報(bào)�？梢哉f(shuō)這是一套按市場(chǎng)規(guī)則運(yùn)作的合作體系，伙伴間的合作關(guān)系既寬松、又緊密。這種合作關(guān)系也讓伙伴更加樂于組團(tuán)進(jìn)行應(yīng)用創(chuàng)新。

往前看，安全行業(yè)必是贏在生態(tài)，沒有一家廠商能解決所有安全領(lǐng)域問(wèn)題，生態(tài)能力強(qiáng)、生態(tài)資源多的廠商才能為用戶產(chǎn)生更多價(jià)值。在新基建、數(shù)字化轉(zhuǎn)型的推動(dòng)作用下，生態(tài)已成為安全廠商生存發(fā)展的必要條件，安全廠商應(yīng)在新一代網(wǎng)絡(luò)安全框架下，找準(zhǔn)自身的生態(tài)定位，打造以價(jià)值為導(dǎo)向的技術(shù)生態(tài)體系，進(jìn)而實(shí)現(xiàn)產(chǎn)業(yè)生態(tài)繁榮。

4． 總結(jié)

隨著新基建的廣泛開展，密碼得到更多的重視和更廣泛的應(yīng)用，在新一代網(wǎng)絡(luò)安全框架中正在成為一顆耀眼的明星。在新基建的網(wǎng)絡(luò)安全建設(shè)大潮中，我們應(yīng)以密碼為基石支撐內(nèi)生安全體系建設(shè)，以內(nèi)生安全框架為起點(diǎn)保障新基建網(wǎng)絡(luò)安全同步建設(shè)，以價(jià)值為導(dǎo)向建設(shè)新基建網(wǎng)絡(luò)安全產(chǎn)業(yè)大生態(tài)。

作者：奇安信集團(tuán)副總裁 陳華平編輯： 高博來(lái)源：IT168網(wǎng)站  原創(chuàng)