2020年5月8日下午,由中国网络空间安全协会举办的第四期“网安沙龙”系列活动在线上如期举行。本次活动以“密码法元年,商用密码在政企中的应用”为主题,旨在汇聚业内大咖,结合不同实际场景的需求共商共议,以此实现推动增强密码创新和应用能力,引导全社会合规、正确、有效地使用密码。
出席本次会议的嘉宾有中国电子科技集团首席专家、卫士通信息产业股份有限公司总工程师董贵山,中国科学院大学数据保护研究中心主任荆继武,全国信息安全标准化技术委员会委员刘辛越,北京数字认证股份有限公司首席科学家夏鲁宁,沃通电子认证服务有限公司首席技术官王高华,北京海泰方圆科技股份有限公司副总经理柳晶,卫士通信息产业股份有限公司密码服务产品总监韩斐,奇安信科技集团股份有限公司技术专家张彬等130余位来自网络安全、区块链、金融支付、线上教育及智能交通等领域的专家学者。
密码作为维护国家网络空间主权、安全和发展的重要支撑力量,在国家政治、经济、国防和信息等领域都发挥了不可替代的重要作用。会上,嘉宾围绕密码技术及新业态的发展、密码信任服务、云密码服务趋势、密码与新基建、国密算法应用生态、工控安全密码体系、国密算法在HTTPS加密的研究等方面,展开深入的研讨交流,对密码技术和行业发展趋势进行前景展望,为国家网络安全保障能力建设及网安产业发展提供借鉴参考;同时,通过对于密码知识的普及,积极营造全社会“知密码、懂密码、用密码”和尊法、学法、守法、用法的浓厚氛围。
打造“泛在化“密码新业态
会上,董贵山围绕着当前密码产业的现状、新业态的思考实践,以及对新业态的发展建议发表了自己的观点。他认为,自十八大以来我国发布了一系列如国家网络安全战略、网络安全法、密码法、等保2.0标准等文件,密码产业的政策环境整体呈现出积极态势,为产业发展提供了有力的政策保障,也让密码应用有法可依、有规可循。而随着密码技术在政务、金融、能源、交通等各领域广泛深入地应用,越来越多的商用密码生产商、网络安全厂商、电信运营商、互联网厂商涌入“风口”中,各界也积极加强合作,组建协会和联合实验室,相继开展密码创新基地和产业园的建设,而密码技术、产品和测评体系也日趋健全、走向国际化,这一切都使商用密码队伍逐步壮大且多元化。
同时,随着数字化、网络化、智能化时代的到来,网络空间安全边界模糊化、移动化,安全威胁来源泛在化、多维化,网络对抗组织化、持续化和全域化,使我国网络安全形势日益进复杂严峻挑战。
作为网络安全的基础支撑,密码如何适应数字经济飞速发展所带来的安全挑战,已经成为事关“两个一百年”目标能否实现的关键问题。打造“泛在化”的密码新业态是对国家总体安全观的有力支撑,也是护航数字经济的核心保障。
随着IT技术的变革发展,以各地建设政务云和数据中心为例,大量原先分散建设的政务信息系统均迁移上云,以打造“泛在化”的密码应用和服务也是产业发展的大势所趋。而“泛在化”的密码新业态也须满足密码保障服务化、密码支撑易用化、密码应用合规化和密码算法标准化这四个特点。
董贵山提出了“密码PI3”的理念,以支撑密码泛在化、服务化业态的实现:密码Plus,通过构建开放可运营的专业密码服务平台,以此实施密码+服务;密码Inside,通过与国内芯片厂商的合作,基于密码IP核内置芯片中,实现内生安全、本质安全;密码Innovation,自主安全区块链信任服务、数字货币、物联网身份管理与数据安全防护、车联网密码应用、5G安全和密码保障、工业控制系统密码应用、工业互联网数据安全与共享服务、云计算和边缘计算密码应用,以及云平台密文计算与隐私保护等关键领域开展密码应用技术创新和示范建设,驱动密码产业创新发展;密码International,随着国家“一带一路”建设和“央企走出去”,通过打造安全数据通信和境外数据保护的密码服务基础平台建设,鼓励相关境外实体采用国产密码与平台对接,为建立与欧美等密码强国相竞合的技术、标准乃至产业生态体系提供支持,实现国际开放和自主创新并举。
而对于促进新业态的发展,董贵山也建议相关领域根据《密码法》的要求,加快配套落地措施的制定和实施,及时推出相关的管理规范政策文件和鼓励政策,加快密码服务模式的推广和应用,加强密码应用的监管力度,构建国家密码监管服务支撑平台,努力打造国家密码靶场和国家密码大数据平台,并建立完善的密码服务体系,同时增强在新计划、新环境下密码技术创新的投入和联合技术攻关的人才培养。在这一系列的举措之下,才能让密码能有效融入数字经济,也使密码研究的力量不断壮大。
服务是密码推进的必行之路
韩斐认为,伴随着信息化建设的大潮办公方式逐渐突破了网络边界,开始移动化和云化,但因为系统风险、操作不当、交叉泄露和外部威胁等因素,随即产生了危害网络安全的“灰犀牛”事件。而密码因其在应对网络安全问题时所具备的经济性、便捷性和有效性,以及处理海量数据时在机密性保护和实体认证方面所具有的独特优势,成为了云计算产业持续发展的“内在”基因和强大助力。
目前,我国已拥有了完善自主的商用密码算法体系,并不断规范化、法制化地推动着密码应用的落地。而未来密码应用的发展趋势也将继续沿着“物理机——虚拟化——服务化”的进程发展。
密码即服务是密码技术产品发展趋势,亦是解决云时代“无边界”环境下数据安全、数据资产安全的“命根”,通过对密码管理和密码服务的有机整合,可以形成一个开放的生态平台,实现向下能集成各类优秀的密码技术产品,向上能提供丰富多样的SDK供系统和终端进行集成,实现对各种系统提供标准化的对接能力。
因此,密码服务提供商作为密钥等核心密码要素的管理机构,必须要具备极强的企业责任感和价值观,这样才能够为国家安全保驾护航。
韩斐还提到,在实现服务化、场景化、标准化的密码泛在化前提下,也须让密码服务构建零信任环境下的密码信任、重构无边界环境中的密码边界,从而实现全生命周期下的数据安全,进而打造一个开放、共享、生态的密码服务与应用环境,才能使密码在互联网空间可以随时随地保护用户在互联网中各个层面的安全。