信息化觀察網(wǎng)

密碼服務泛在化和安全服務化已經(jīng)成為網(wǎng)絡安全發(fā)展新趨勢，通過系統(tǒng)分析密碼泛在化特征和內在聯(lián)系，進一步把握密碼運營服務原則，提出密碼運營服務體系，分析密碼運營服務組成，研究和探索密碼產(chǎn)業(yè)生態(tài)能力、密碼運營服務工具、密碼運營服務測評、密碼運營服務保障、密碼運營服務團隊和密碼運營服務模式，為密碼快速走向泛在化運營服務提供參考。

0、引言

密碼是保障網(wǎng)絡安全的國之重器，具有基礎性、泛在性鮮明特征。2020年1月1日，隨著《中華人民共和國密碼法》的正式實施，商用密碼發(fā)展已進入新的歷史時期，密碼已成為國家網(wǎng)絡空間安全的基石與核心技術，正在與云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)、工業(yè)互聯(lián)網(wǎng)、移動互聯(lián)網(wǎng)、人工智能等新一代信息技術充分融合，密碼理論、產(chǎn)品、技術和服務得到了進一步的創(chuàng)新發(fā)展，密碼泛在化、安全服務化已成為新時期密碼應用發(fā)展的必然趨勢。為適應新形勢發(fā)展需要，創(chuàng)新密碼運營服務模式，打造商用密碼運營服務體系，實現(xiàn)密碼服務上云、云上密碼服務，對適應新時期國家數(shù)字化、網(wǎng)絡化、智能化發(fā)展需要，高質量服務于國家政治安全、經(jīng)濟安全、社會安全、國防安全和網(wǎng)絡空間安全意義重大。

1、商用密碼服務泛在特征

密碼服務泛在化是密碼深度融合、廣泛應用、能力聚合形成的一種存在形態(tài)，可為管理者、使用者、運營者提供全時、全域、全維的密碼服務。對于密碼管理者來說，泛在意味著密碼管理安全可靠；對于使用者來說，泛在意味著密碼服務優(yōu)質高效；對于運營者來說，泛在意味著密碼服務能力全面覆蓋。如圖1所示。

圖1商用密碼發(fā)展體系

密碼服務泛在化是密碼發(fā)展融合化、密碼建設平臺化、密碼管理統(tǒng)一化、密碼服務運營化和密碼接入標準化的綜合能力體現(xiàn)，是密碼服務廣泛覆蓋、深度應用、隨遇接入、可靠運行的集中表現(xiàn)。

密碼發(fā)展融合化體現(xiàn)在兩個方面，一是體現(xiàn)在密碼技術與信息技術的深度融合，為信息技術提供“基因化”的密碼服務能力；二是體現(xiàn)在密碼服務與行業(yè)應用的深度融合，為行業(yè)各類應用提供精準化、專業(yè)化的密碼服務保障。

密碼建設平臺化體現(xiàn)在兩個方面，一是體現(xiàn)在統(tǒng)一密鑰管理、統(tǒng)一電子認證等密碼基礎設施的建設，為信息系統(tǒng)提供統(tǒng)一的密碼密鑰管理和電子認證服務；二是體現(xiàn)在網(wǎng)絡信任服務平臺、密碼管理服務平臺等密碼系統(tǒng)的建設，為信息系統(tǒng)提供標準化、平臺化密碼服務，促進各類應用與密碼服務的快速集成與對接融合。

密碼管理統(tǒng)一化體現(xiàn)在兩個方面，一是密鑰和密碼資源的統(tǒng)一管理，提升密碼管理的安全性和可靠性；二是密碼設備、密碼系統(tǒng)和密碼服務等的集中監(jiān)管，確保密碼管理和使用的合規(guī)性、正確性，以及密碼服務狀態(tài)監(jiān)控的實時性等。

密碼接入標準化體現(xiàn)在兩個方面，一是密碼服務接口標準化，通過類似API網(wǎng)關等措施為業(yè)務應用提供統(tǒng)一、標準化的密碼服務接口，作為密碼服務請求接受唯一入口，屏蔽不同密碼服務的差異性；二是密碼服務數(shù)據(jù)規(guī)范化，依據(jù)密碼相關標準，采用規(guī)范化的數(shù)據(jù)模型設計，規(guī)范數(shù)據(jù)格式、數(shù)據(jù)操作、數(shù)據(jù)約束等，以保證數(shù)據(jù)的正確性、有效性和安全性。

密碼服務運營化體現(xiàn)在三個方面，一是密碼服務連續(xù)性，需要在7×24小時不間斷的模式下運行；二是密碼服務可用性，需要保證用戶可以按需、按時獲取高質量的密碼服務；三是密碼服務安全性，需要保證用戶在使用密碼服務過程中信息數(shù)據(jù)的機密性、完整性和不可抵賴性等。

2、商用密碼運營服務原則

密碼服務在運營過程中，應遵循生態(tài)開放性、技術先進性、服務易用性、能力擴展性、系統(tǒng)安全性和管理合規(guī)性六大原則。其中，生態(tài)開放性是要確保優(yōu)質的密碼產(chǎn)業(yè)生態(tài)能力能夠高效融入和集成；技術先進性是要確保密碼技術先進適用，可滿足云計算、大數(shù)據(jù)、移動互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、人工智能等新技術的密碼服務需求；服務易用性是要確保密碼服務易對接、易獲取、易使用和易管理，滿足大規(guī)模、復雜環(huán)境下的密碼服務調用和接入需求；能力擴展性是要確保密碼服務功能和性能的可彈性擴展，確保密碼運營服務SLA服務質量；系統(tǒng)安全性是要確保密碼服務軟硬件系統(tǒng)的可靠性，運營服務數(shù)據(jù)的受保護、受控制的能力和安全性等；管理合規(guī)性是要確保密碼運營服務管理依法合規(guī)和安全可靠，在密碼管理、使用、服務和測評等方面應滿足國家密碼主管部門的相關要求。

3、商用密碼運營服務體系

圖2商用密碼運營服務體系

以密碼產(chǎn)業(yè)生態(tài)能力為基礎，以密碼運營服務工具為主體，以密碼運營服務人才和密碼運營服務保障為支撐，打造密碼運營服務體系，為國家網(wǎng)絡空間新疆域提供接入、混合、托管等模式的泛在化密碼運營服務。如圖2所示。

3.1密碼產(chǎn)業(yè)生態(tài)能力

密碼產(chǎn)業(yè)生態(tài)能力是運營服務的基石，為密碼運營服務提供基礎共性的密碼服務能力，涵蓋密碼理論、密碼技術、密碼產(chǎn)品和密碼服務等。其中，密碼產(chǎn)品一般包括密鑰管理系統(tǒng)，數(shù)字證書管理系統(tǒng)、網(wǎng)絡信任服務系統(tǒng)、密碼卡、服務器密碼機、智能密碼鑰匙等。

可為密碼設備提供密碼密鑰管理服務，為用戶、設備、應用提供數(shù)字證書服務，為用戶提供身份認證、授權管理、訪問控制、可信時間、電子簽章、責任認定服務，為業(yè)務應用提供簽名、驗簽、加解密等密碼運算服務等。同時，可通過密碼管理服務平臺標準化服務接口進行調用，以滿足密碼能力上云，云上密碼服務的服務模式和泛在服務能力要求，為國家網(wǎng)絡空間新疆域提供泛在化密碼服務。

3.2密碼運營服務工具

3.2.1密碼管理服務平臺

密碼管理服務平臺是密碼運營服務工具的核心組件，對外提供“統(tǒng)一化、標準化、服務化”的密碼服務，可分為平臺基礎層、平臺服務層和應用服務層。其中，平臺基礎層（IAAS）聚合密碼產(chǎn)業(yè)生態(tài)能力和創(chuàng)新技術，融合密鑰管理系統(tǒng)、電子認證系統(tǒng)、信任服務系統(tǒng)、密碼運算系統(tǒng)等密碼資源和系統(tǒng)功能，為密碼管理服務平臺提供后臺基礎支撐；平臺服務層（PAAS）整合各類信息資源、密碼服務系統(tǒng)以及其他支撐服務系統(tǒng)，形成統(tǒng)一的密碼服務平臺管理能力，為各類應用提供基礎密碼、應用密碼、網(wǎng)絡信任、密鑰管理等各類密碼服務；應用服務層(SAAS)面向用戶提供移動辦公、數(shù)據(jù)共享交換、安全即時通訊、安全郵件等基于密碼的安全應用服務，為各類應用提供密碼應用接口服務，形成密碼前臺服務能力。

3.2.2密碼監(jiān)管服務平臺

在密碼運營服務過程中，應打造密碼監(jiān)管服務平臺，面向密碼主管部門、密碼服務提供單位和密碼使用單位提供密碼監(jiān)管服務能力，以確保密碼運營服務的合規(guī)性、正確性、有效性、可靠性和滿意度等。密碼監(jiān)管服務通過標準接口和協(xié)議實現(xiàn)對密碼設備、密碼系統(tǒng)、密碼模塊以及安全芯片的集中統(tǒng)一監(jiān)控，實時掌握在線監(jiān)管對象的基本信息、運行狀態(tài)、工作狀態(tài)和資源使用情況。

同時，提供監(jiān)管對象的入網(wǎng)登記，實現(xiàn)監(jiān)管對象的集中遠程配置管理、遠程升級、重啟、日志管理、網(wǎng)絡診斷等遠程維護操作；對監(jiān)管對象信息進行采集和分析，支持監(jiān)管對象的在線離線狀態(tài)、運行狀態(tài)、告警趨勢、工作服務狀態(tài)、密碼使用情況等基本信息和多維度態(tài)勢指標的綜合呈現(xiàn)等。

3.2.3密碼仿真驗證平臺

在密碼運營服務過程中，應打造密碼仿真驗證平臺，孿生密碼服務技術和應用場景，為各類業(yè)務應用系統(tǒng)和用戶應用場景提供仿真的密碼服務接口、功能和性能等，驗證密碼服務接口的有效性、密碼服務功能、密碼服務性能的符合性，以及密碼應用的合規(guī)性等。

其中，密碼仿真功能包括密鑰管理服務、電子認證服務、網(wǎng)絡信任服務、密碼運算服務、可信時間服務、電子印章服務、數(shù)據(jù)安全服務；密碼仿真服務模式包括接入模式、托管模式和混合模式。通過密碼仿真驗證平臺的建設，能夠進一步提高業(yè)務應用系統(tǒng)的開發(fā)效率、降低應用系統(tǒng)開發(fā)風險，提高應用系統(tǒng)的安全性，為業(yè)務應用系統(tǒng)正式上線奠定堅實的測試驗證技術基礎，可有效促進密碼服務的深入應用和廣泛推廣。

3.2.4密碼運營管理平臺

在密碼運營服務過程中，需要建立一個密碼運營服務平臺，實現(xiàn)對密碼技術任務和密碼運營服務進程的運行、監(jiān)控和改進，實現(xiàn)密碼服務的可視化、可量化、智能化、自動化和定制化運行維護，確保密碼運營服務具有7×24小時的在線密碼服務能力和穩(wěn)定性、可靠性，包括兩個核心內容，一是密碼服務事故管理，把密碼服務中斷降低到最低水平；二是密碼服務質量管理，通過對密碼服務的變化進行強有力的控制和日常運維來確保密碼服務穩(wěn)定、安全、可控，包括日常運營、配置管理、變更管理等內容。密碼服務質量的持續(xù)改進，關鍵是不斷改善密碼服務和用戶體驗，滿足使用單位密碼服務功能、性能，密碼服務可靠性、服務可管理性和密碼服務等級協(xié)議（SLA）要求。

3.3密碼運營服務測評

依據(jù)《商用密碼應用安全性評估管理辦法》《商用密碼應用安全性測評機構管理辦法》等有關規(guī)定，由具備商用密碼測評資質的單位，對采用商用密運營服務提供單位和使用單位進行密碼應用的合規(guī)性、正確性、有效性和安全性進行檢測評估。在商用密碼檢測評估過程中，涉及密碼應用的設計、建設和運行三個階段。

其中，在規(guī)劃設計階段主要是對密碼運營服務方案的合理性、可行性等進行評審論證；在建設階段主要是對密碼運營服務的正確性、適用性等進行現(xiàn)場和在線監(jiān)測評估；在運行階段主要是對密碼運營服務的有效性和安全性進行檢測評估，在該階段主要涉及物理和環(huán)境、網(wǎng)絡和通信、設備和計算、應用和數(shù)據(jù)等方面的密碼應用、密鑰管理以及密碼監(jiān)管等。

3.4密碼運營服務保障

鑒于密碼服務的專業(yè)性，為便于用戶單位易于獲取密碼服務，應研究和制定相關政策法規(guī)、標準規(guī)范、規(guī)章制度和服務流程等，為密碼運營服務提供強有力的支撐保障，指導密碼運營服務工作高效、有序開展。

其中，在政策法規(guī)層面，應鼓勵企業(yè)創(chuàng)新密碼服務模式，建設密碼運營服務平臺，鼓勵用戶單位以購買服務的方式獲取其所需密碼服務；在標準規(guī)范層面，研究和制定密碼運營服務相關建設要求、技術要求、管理要求和應用指南等，以規(guī)范和指導密碼運營服務提供者、使用者和監(jiān)管者有序開展密碼服務設計、建設、運行、應用和監(jiān)管等相關工作；在規(guī)章制度層面，研究和制定密碼運營服務所需日常管理制度、安全管理要求和應急管理制度等；在服務流程層面，研究和制定服務管理流程、事件處理流程和應急處置流程等。

3.5密碼運營服務團隊

在密碼服務提供過程中，密碼運營服務團隊至關重要，擔負著7×24的在線密碼服務運營職能，包括密碼運營管理服務平臺搭建，功能、性能升級，規(guī)章制度制定，服務流程制定、事件處置和應急響應等日常密碼運營服務工作。服務團隊一般應由密碼專家、咨詢團隊、運維團隊等密碼專業(yè)人才組成。

其中，密碼專家主要負責研究和制定密碼服務標準、規(guī)章制度和服務流程，以及重大事故應急處置等密碼服務總體工作；咨詢團隊主要負責面向密碼服務使用單位提供密碼政策、密碼標準、密碼技術、密碼管理和密碼服務等方面的咨詢服務工作；運維團隊主要負責密碼管理服務平臺、密碼監(jiān)管服務平臺、密碼運營管理平臺等的日常運行維護，涵蓋系統(tǒng)管理、配置管理、任務處置、應急響應等工作。

3.6密碼運營服務模式

密碼運營服務模式是密碼服務提供者向使用單位提供密碼服務的安全高效方式，可分為接入模式、托管模式和混合模式。其中，在密碼服務接入模式下，各業(yè)務應用系統(tǒng)不需要進行密碼系統(tǒng)建設，通過集成密碼服務API調用密碼管理服務平臺資源獲取其所需密碼服務，在調用時，密碼管理服務平臺對業(yè)務應用系統(tǒng)調用密碼服務進行認證和管控；在密碼服務托管模式下，密碼管理服務平臺托管在云平臺上，業(yè)務應用系統(tǒng)通過密碼服務API調用獲取本地化虛擬密碼資源和密碼服務；在密碼服務混合模式下，業(yè)務應用系統(tǒng)即可通過集成密碼服務API調用密碼管理服務平臺資源獲取其所需密碼服務，也可通過調用密碼服務API獲取本地化虛擬密碼資源和密碼服務，是密碼接入模式和托管模式的有效結合，密碼服務模式的選擇應充分考慮業(yè)務應用場景的需要和密碼管理服務的合規(guī)性要求。

4、結語

隨著國家《密碼法》的頒布和實施，以及云計算、大數(shù)據(jù)、移動互聯(lián)網(wǎng)、工業(yè)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、人工智能等新一代信息技術的快速發(fā)展和深入應用，以及國家“新基建”發(fā)展規(guī)劃的提出，商用密碼發(fā)展也迎來了歷史性新機遇，站在了新的發(fā)展起點，密碼服務更是呈現(xiàn)出泛在化新特征和新趨勢，把握商用密碼運營服務原則，建立商用密碼運營服務體系，創(chuàng)新密碼運營服務模式，必將能夠使得我國商用密碼發(fā)展和泛在化運營服務邁上一個新臺階，以更好的適應新時期數(shù)字中國、網(wǎng)絡強國、國家治理體系和治理能力現(xiàn)代化發(fā)展需要。