建設(shè)以密碼為基石的內(nèi)生安全框架,推動(dòng)新基建網(wǎng)絡(luò)安全與密碼應(yīng)用融合發(fā)展

奇安信集團(tuán)副總裁 陳華平
密碼作為保護(hù)網(wǎng)絡(luò)與信息安全的重要手段,在身份識(shí)別、安全隔離、信息加密、完整性保護(hù)和抗抵賴等方面發(fā)揮著不可替代的重要作用,廣泛運(yùn)用于金融、政務(wù)、通信等領(lǐng)域。隨著我國大力開展新型信息基礎(chǔ)設(shè)施建設(shè),以及《網(wǎng)絡(luò)安全法》、《密碼法》的頒布實(shí)施,極大推動(dòng)了密碼應(yīng)用的發(fā)展與創(chuàng)新。

密碼作為保護(hù)網(wǎng)絡(luò)與信息安全的重要手段,在身份識(shí)別、安全隔離、信息加密、完整性保護(hù)和抗抵賴等方面發(fā)揮著不可替代的重要作用,廣泛運(yùn)用于金融、政務(wù)、通信等領(lǐng)域。隨著我國大力開展新型信息基礎(chǔ)設(shè)施建設(shè),以及《網(wǎng)絡(luò)安全法》、《密碼法》的頒布實(shí)施,極大推動(dòng)了密碼應(yīng)用的發(fā)展與創(chuàng)新。在新基建的大背景下,隨著網(wǎng)絡(luò)安全與密碼技術(shù)的不斷演進(jìn),基于內(nèi)生安全框架的密碼與網(wǎng)絡(luò)安全融合發(fā)展逐漸成為新的趨勢。

在上周剛結(jié)束的2020北京網(wǎng)絡(luò)安全大會(huì)(簡稱:BCS)上,奇安信集團(tuán)副總裁陳華平發(fā)表了“面向新基建的密碼應(yīng)用框架與創(chuàng)新”主題演講,系統(tǒng)性闡述了密碼應(yīng)用作為支撐新基建內(nèi)生安全框架的基石、以及密碼與網(wǎng)絡(luò)安全融合發(fā)展成為大趨勢的精彩觀點(diǎn)。

以下是奇安信集團(tuán)副總裁陳華平演講內(nèi)容的記錄:

1. 密碼應(yīng)用是支撐新基建內(nèi)生安全框架的基石

新基建的內(nèi)核是數(shù)字基建,包括5G、工業(yè)互聯(lián)網(wǎng)、AI和數(shù)據(jù)中心等核心要素。在此基礎(chǔ)之上依次進(jìn)行傳統(tǒng)基礎(chǔ)設(shè)施的數(shù)字化改造及新型基礎(chǔ)設(shè)施的數(shù)字化建設(shè),由此帶來場景化的行業(yè)應(yīng)用,包括5G應(yīng)用場景、物聯(lián)網(wǎng)、車聯(lián)網(wǎng)、工業(yè)互聯(lián)網(wǎng)、智慧城市、智慧醫(yī)療、智慧教育,以及云計(jì)算中心應(yīng)用等場景。

場景化的行業(yè)應(yīng)用要求安全能力與基礎(chǔ)設(shè)施融合,要求安全能力與行業(yè)應(yīng)用融合。這些內(nèi)生化的安全需求是傳統(tǒng)網(wǎng)絡(luò)安全框架無法滿足的,因此必須建立新一代網(wǎng)絡(luò)安全框架,推動(dòng)新基建的內(nèi)生安全建設(shè)。

(1)密碼是內(nèi)生安全的基石

新一代網(wǎng)絡(luò)安全框架的建設(shè),安全由內(nèi)而外,需要穩(wěn)固的基礎(chǔ)支撐。密碼應(yīng)用嵌入信息系統(tǒng)內(nèi)核,與業(yè)務(wù)應(yīng)用緊密耦合,是建設(shè)內(nèi)生安全框架的基石。

對(duì)應(yīng)于內(nèi)生安全的一個(gè)中心、五張過濾網(wǎng),密碼應(yīng)用在網(wǎng)絡(luò)層面通過加密機(jī)、VPN、加密專用模塊實(shí)現(xiàn)傳輸加密,在身份層面通過多因子認(rèn)證、可信標(biāo)識(shí)、認(rèn)證網(wǎng)關(guān)實(shí)現(xiàn)認(rèn)證鑒權(quán),在應(yīng)用層面通過可信模塊、完整性校驗(yàn)、簽名驗(yàn)簽實(shí)現(xiàn)平臺(tái)和應(yīng)用可信,在數(shù)據(jù)層面通過多種加密和訪問授權(quán)實(shí)現(xiàn)多重防護(hù),在行為層面通過電子簽章、電子存證實(shí)現(xiàn)行為鑒別,在安全運(yùn)營中心通過建設(shè)密碼應(yīng)用管理平臺(tái),實(shí)現(xiàn)密鑰管理、證書管理、策略管理、統(tǒng)一認(rèn)證。因此,密碼應(yīng)用是內(nèi)生安全的重要組成部分,是安全由內(nèi)而外的橋梁。

(2)在內(nèi)生安全框架下建設(shè)密碼應(yīng)用支撐能力

為了適應(yīng)內(nèi)生安全需求,我們需要建設(shè)密碼應(yīng)用支撐能力。本著基礎(chǔ)性、系統(tǒng)性、前瞻性的原則,積極發(fā)展創(chuàng)新領(lǐng)域的新型密碼應(yīng)用,以適應(yīng)新基建數(shù)字化轉(zhuǎn)型與業(yè)務(wù)發(fā)展的需要。重點(diǎn)布局硬件設(shè)備、軟件模塊、密碼系統(tǒng)、密碼應(yīng)用、密碼支撐、密碼測評(píng)、應(yīng)用創(chuàng)新等領(lǐng)域,形成密碼應(yīng)用技術(shù)體系。

●硬件設(shè)備

重點(diǎn)布局具有國密資質(zhì)的加密機(jī)、加密卡、可信密碼模塊、密碼卡等硬件產(chǎn)品,滿足密鑰管理、高性能加解密、可信接入,以及輕量級(jí)密碼應(yīng)用的需要,滿足標(biāo)準(zhǔn)化、高性能要求,并與密碼系統(tǒng)和軟件有良好的適配性。

●軟件模塊

重點(diǎn)布局具有國密資質(zhì)的軟加密、軟可信、密碼SDK、手機(jī)盾等軟件產(chǎn)品,滿足應(yīng)用透明加解密、桌面及移動(dòng)和物聯(lián)網(wǎng)終端軟件可信環(huán)境、虛擬化及分布式平臺(tái)環(huán)境需要,具備定制開發(fā)能力,具備面向密碼應(yīng)用環(huán)境的高適應(yīng)性和靈活性。

●密碼系統(tǒng)

重點(diǎn)布局具有國密資質(zhì)的密碼認(rèn)證系統(tǒng)、密鑰管理系統(tǒng)、數(shù)字證書系統(tǒng)、簽名驗(yàn)簽系統(tǒng)等基礎(chǔ)密碼系統(tǒng),為我司網(wǎng)絡(luò)安全產(chǎn)品和系統(tǒng)提供底層密碼支撐。

●密碼應(yīng)用

重點(diǎn)布局密碼技術(shù)在身份識(shí)別、保密傳輸、隱私保護(hù)、可信認(rèn)證等領(lǐng)域的應(yīng)用,與我司業(yè)務(wù)相結(jié)合,形成統(tǒng)一的網(wǎng)絡(luò)安全解決方案。

●密碼支撐

重點(diǎn)促進(jìn)密碼技術(shù)與我司身份管理、信息系統(tǒng)安全、大數(shù)據(jù)安全、應(yīng)用開發(fā)安全等業(yè)務(wù)的融合,并以密碼技術(shù)為核心實(shí)現(xiàn)網(wǎng)絡(luò)安全與信息化和業(yè)務(wù)的融合,形成以密碼為核心的內(nèi)生安全支撐能力。

●密碼測評(píng)

重點(diǎn)布局密碼應(yīng)用測評(píng)工具開發(fā)、密評(píng)規(guī)范制定、密評(píng)與等保、關(guān)基保護(hù)相結(jié)合的綜合測評(píng)類廠商,實(shí)現(xiàn)密碼應(yīng)用測評(píng)能力,并對(duì)接密碼產(chǎn)品測評(píng)。

●應(yīng)用創(chuàng)新

重點(diǎn)布局密碼技術(shù)在云密碼應(yīng)用、物聯(lián)網(wǎng)與5G、區(qū)塊鏈、數(shù)據(jù)流通等領(lǐng)域的創(chuàng)新應(yīng)用,并與我司在上述領(lǐng)域的創(chuàng)新網(wǎng)絡(luò)安全技術(shù)相結(jié)合,依托密碼應(yīng)用在網(wǎng)絡(luò)安全創(chuàng)新應(yīng)用中取得突破。

(3)在內(nèi)生安全框架下實(shí)現(xiàn)網(wǎng)絡(luò)安全與密碼應(yīng)用融合

在內(nèi)生安全框架下,密碼應(yīng)用向平臺(tái)化和服務(wù)化方向發(fā)展。通過對(duì)信息基礎(chǔ)設(shè)施的全面覆蓋和與業(yè)務(wù)應(yīng)用的聚合,提供全面的身份認(rèn)證、數(shù)據(jù)加密、傳輸安全和完整性保護(hù)能力與服務(wù),并與網(wǎng)絡(luò)安全系統(tǒng)實(shí)現(xiàn)全面的對(duì)接。

●建設(shè)密碼基礎(chǔ)設(shè)施平臺(tái)

形成對(duì)密碼算法、協(xié)議以及軟硬件實(shí)現(xiàn)的統(tǒng)一部署和對(duì)云安全、工業(yè)安全、物聯(lián)網(wǎng)密碼模塊的統(tǒng)一支撐,并根據(jù)身份安全、數(shù)據(jù)安全、應(yīng)用安全等領(lǐng)域需要進(jìn)行功能開發(fā)和性能優(yōu)化;

●建設(shè)密碼中間件平臺(tái)

面向企業(yè)辦公網(wǎng)和生產(chǎn)網(wǎng),以及虛擬化、輕量級(jí)、低延時(shí)等新興應(yīng)用場景的需求,開展密碼應(yīng)用適配與國產(chǎn)化替代,為數(shù)據(jù)安全、身份安全提供密碼應(yīng)用接口;

●建設(shè)應(yīng)用開發(fā)密碼支撐服務(wù)體系

為應(yīng)用開發(fā)的密碼需求、架構(gòu)設(shè)計(jì)和開發(fā)過程提供開發(fā)套件,并為應(yīng)用測試與運(yùn)營提供密碼服務(wù)支撐;

●建設(shè)密碼應(yīng)用管理平臺(tái)

統(tǒng)一管理上述平臺(tái)與體系,面向密鑰、證書、簽名等關(guān)鍵元素進(jìn)行全生命周期的結(jié)構(gòu)化管理;

●建設(shè)密碼應(yīng)用測評(píng)服務(wù)體系

對(duì)接等保和關(guān)鍵基礎(chǔ)設(shè)施防護(hù),依據(jù)密碼法和密碼應(yīng)用測評(píng)規(guī)范,對(duì)密碼應(yīng)用的正確性、有效性和合規(guī)性開展持續(xù)的測評(píng)與改進(jìn)。

2. 以密碼應(yīng)用為支撐的內(nèi)生安全框架是保障新基建網(wǎng)絡(luò)安全的起點(diǎn)

新基建對(duì)密碼應(yīng)用來說是龐大的增量市場,既包括對(duì)現(xiàn)有密碼基礎(chǔ)設(shè)施和應(yīng)用的改造,也包括全新的密碼體系建設(shè)。不論是改造還是新建,密碼技術(shù)在新一代網(wǎng)絡(luò)安全框下,應(yīng)用于5G、大數(shù)據(jù)、云、車聯(lián)網(wǎng)、工業(yè)互聯(lián)網(wǎng)等領(lǐng)域,在實(shí)現(xiàn)加密和認(rèn)證功能的同時(shí),從網(wǎng)絡(luò)、身份、應(yīng)用、數(shù)據(jù)、行為、管理等方面推進(jìn)新型數(shù)字化基礎(chǔ)設(shè)施安全的內(nèi)生和融合。在面向內(nèi)生安全的密碼技術(shù)和應(yīng)用框架基礎(chǔ)上,我們需要進(jìn)一步開展面向新基建的密碼應(yīng)用創(chuàng)新,拓展新興應(yīng)用領(lǐng)域的增量市場,實(shí)現(xiàn)高質(zhì)量發(fā)展。

(1)密碼應(yīng)用是5G通信與IT網(wǎng)絡(luò)安全融合的關(guān)鍵

5G是我國正在重點(diǎn)建設(shè)的新一代關(guān)鍵信息基礎(chǔ)設(shè)施,在CT層面,5G標(biāo)準(zhǔn)使用了包括我國祖沖之算法在內(nèi)的多種密碼算法實(shí)現(xiàn)設(shè)備入網(wǎng)認(rèn)證和用戶隱私信息保護(hù)。在IT層面,虛擬化的基礎(chǔ)設(shè)施和多樣化的業(yè)務(wù)應(yīng)用同樣需要使用密碼技術(shù)。一方面,5G網(wǎng)絡(luò)運(yùn)行在IT化的基礎(chǔ)設(shè)施上,需要密碼技術(shù)保障基礎(chǔ)設(shè)施軟硬件平臺(tái)的安全可信以及虛擬機(jī)與容器的可信,另一方面,面向行業(yè)的業(yè)務(wù)應(yīng)用需要基于密碼技術(shù)實(shí)現(xiàn)對(duì)數(shù)據(jù)和平臺(tái)訪問的持續(xù)認(rèn)證以實(shí)現(xiàn)對(duì)訪問行為的細(xì)粒度管控。

更重要的是,密碼技術(shù)是連接5G CT安全與IT安全的紐帶和橋梁;通過零信任打通IT與CT認(rèn)證機(jī)制,比如零信任安全平臺(tái)可以通過運(yùn)營商的4A系統(tǒng)獲取5G用戶入網(wǎng)和漫游認(rèn)證信息,并將其作為零信任架構(gòu)下基礎(chǔ)環(huán)境安全的重要參考要素,這些信息在IT層面是無法獲得的;同時(shí)零信任安全平臺(tái)可以將IT層面持續(xù)認(rèn)證和行為分析結(jié)果反饋給CT網(wǎng)絡(luò),作為移動(dòng)通信網(wǎng)絡(luò)安全態(tài)勢感知和用戶入網(wǎng)控制的決策依據(jù)。實(shí)現(xiàn)5G網(wǎng)絡(luò)安全的聯(lián)動(dòng)乃至一體化,對(duì)CT安全和IT安全能力都將是一次巨大的提升。而密碼的應(yīng)用在其中起到關(guān)鍵作用。

(2)密碼應(yīng)用是數(shù)據(jù)安全從封閉走向共享開放的關(guān)鍵

在大數(shù)據(jù)安全防護(hù)和共享開放方面,密碼技術(shù)起到關(guān)鍵作用。不但應(yīng)用于數(shù)據(jù)的存儲(chǔ)、傳輸安全,在大數(shù)據(jù)的分析和共享領(lǐng)域也將起到越來越重要的作用。數(shù)據(jù)是數(shù)字經(jīng)濟(jì)的核心資產(chǎn),隨著我國數(shù)據(jù)安全法草案的公布,全面的數(shù)據(jù)安全保障能力是新一代網(wǎng)絡(luò)安全框架不可缺少的組成部分。密碼技術(shù)不但可以用于數(shù)據(jù)的加密傳輸,如VPN網(wǎng)關(guān)、應(yīng)用層數(shù)據(jù)傳輸加密網(wǎng)關(guān)(HTTP);以及數(shù)據(jù)存儲(chǔ)加密,如數(shù)據(jù)庫加密統(tǒng)、文件加密;還能夠用于大數(shù)據(jù)密態(tài)分析,如關(guān)鍵字段加密、同態(tài)加密;并通過區(qū)塊鏈、多方計(jì)算等應(yīng)用推動(dòng)數(shù)據(jù)共享與交換。

(3)新一代云基礎(chǔ)設(shè)施安全框架整合密碼服務(wù)能力

在云安全方面,云密碼服務(wù)是一種新的安全功能交付模式,是云計(jì)算技術(shù)與身份認(rèn)證、授權(quán)訪問、傳輸加密、存儲(chǔ)加密等密碼技術(shù)的深度融合。如何實(shí)現(xiàn)密碼能力的虛擬化、資源化、服務(wù)化成為密碼發(fā)展的重要挑戰(zhàn)。與此同時(shí),在新一代網(wǎng)絡(luò)安全框架整合了面向政務(wù)云、行業(yè)云及公有云的密碼產(chǎn)品、密碼使用策略、密碼服務(wù)接口和服務(wù)流程,密碼服務(wù)作為云基礎(chǔ)結(jié)構(gòu)安全的重要組件,實(shí)現(xiàn)統(tǒng)一的云安全服務(wù)交付。

(4)密碼應(yīng)用打通車聯(lián)網(wǎng)多網(wǎng)融合的安全認(rèn)證與數(shù)據(jù)加密

車聯(lián)網(wǎng)是工業(yè)互聯(lián)網(wǎng)及物聯(lián)網(wǎng)領(lǐng)域中比較特殊的一個(gè)細(xì)分領(lǐng)域,一方面車輛是一個(gè)高度集成的信息物理系統(tǒng),涉及生命財(cái)產(chǎn)安全有很高的安全需求;另一方面車聯(lián)網(wǎng)的網(wǎng)絡(luò)非常復(fù)雜,它是高速移動(dòng)的環(huán)境,涉及到車內(nèi)網(wǎng)、車際網(wǎng)和車云網(wǎng),其安全措施需要打通端、網(wǎng)、云,并保證高實(shí)時(shí)性和可靠性。密碼技術(shù)的應(yīng)用可以很好的滿足車聯(lián)網(wǎng)的關(guān)鍵安全需求。

對(duì)于端系統(tǒng),主要涉及車載終端設(shè)備和路側(cè)設(shè)備,車輛需要嵌入安全芯片,用以管理密鑰和加密運(yùn)算,從而強(qiáng)化ECU和CAN總線自身脆弱性的問題,路側(cè)設(shè)備,包括交通流量采集,信號(hào)控制以及交通引導(dǎo)設(shè)備等,同樣需要通過密碼技術(shù)來保障數(shù)據(jù)采集過程的安全。

對(duì)于網(wǎng)絡(luò),由于接入方式的多樣性,傳統(tǒng)網(wǎng)絡(luò)安全技術(shù)和產(chǎn)品很難部署。而基于密碼技術(shù)的零信任的持續(xù)身份認(rèn)證與動(dòng)態(tài)訪問控制可以很好的解決復(fù)雜網(wǎng)絡(luò)條件下的網(wǎng)絡(luò)安全問題。

對(duì)于云端的車聯(lián)網(wǎng)應(yīng)用,需要使用密碼技術(shù)對(duì)數(shù)據(jù)進(jìn)行加密,配合數(shù)據(jù)隔離、數(shù)據(jù)防泄漏、數(shù)據(jù)庫防火墻、數(shù)據(jù)審計(jì)等方式保障密鑰以及用戶數(shù)據(jù)的隱私性,同時(shí)部署認(rèn)證中心進(jìn)行統(tǒng)一認(rèn)證。

(5)密碼應(yīng)用打破工業(yè)互聯(lián)網(wǎng)信息孤島,實(shí)現(xiàn)遠(yuǎn)程安全協(xié)同

對(duì)于工業(yè)互聯(lián)網(wǎng),業(yè)務(wù)應(yīng)用和數(shù)據(jù)長期以來并未得到有效的保護(hù)。密碼技術(shù)的應(yīng)用可以有效的實(shí)現(xiàn)身份認(rèn)證和數(shù)據(jù)加密,滿足工業(yè)現(xiàn)場環(huán)境、低功耗模式等工業(yè)系統(tǒng)端級(jí)別設(shè)備與訪問用戶身份認(rèn)證,系統(tǒng)中不同網(wǎng)絡(luò)速率和連接要求的通信網(wǎng)絡(luò)的傳輸認(rèn)證和傳輸加密,關(guān)鍵工藝參數(shù)等敏感數(shù)據(jù)的存儲(chǔ)等安全需求;同時(shí),在橫向隔離的工業(yè)網(wǎng)絡(luò)中,基于密碼技術(shù)支撐實(shí)現(xiàn)安全的遠(yuǎn)程接入,包括終端接入、運(yùn)維接入等,滿足業(yè)務(wù)需要的同時(shí)打破信息孤島,推動(dòng)工業(yè)互聯(lián)網(wǎng)信息交換,實(shí)現(xiàn)遠(yuǎn)程協(xié)同能力。

3. 以價(jià)值為導(dǎo)向,密碼應(yīng)用融入網(wǎng)絡(luò)安全大生態(tài)

長期以來,密碼應(yīng)用是一個(gè)相對(duì)獨(dú)立的生態(tài),密碼與網(wǎng)絡(luò)安全沒有很好的融合。而在新基建的背景下,密碼應(yīng)用的建設(shè)應(yīng)融入網(wǎng)絡(luò)安全整體框架。

(1)密碼專項(xiàng)融入新一代網(wǎng)絡(luò)安全(十大工程五大任務(wù))框架

奇安信在新一代網(wǎng)絡(luò)安全框架的十大工程、五大任務(wù)中,專門設(shè)計(jì)了密碼專項(xiàng)。

在實(shí)現(xiàn)密碼基礎(chǔ)設(shè)施和應(yīng)用能力建設(shè)的同時(shí),著重其對(duì)整個(gè)網(wǎng)絡(luò)安全框架的支撐作用和與其他安全工程及任務(wù)的聯(lián)動(dòng)。包括身份安全、縱深防御、終端及接入安全、云數(shù)據(jù)中心安全、大數(shù)據(jù)應(yīng)用安全、態(tài)勢感知、系統(tǒng)安全、工業(yè)安全、內(nèi)部威脅防控在內(nèi)的每一個(gè)安全工程,都需要對(duì)接統(tǒng)一密碼應(yīng)用和管理平臺(tái)。安全運(yùn)行、應(yīng)用安全、物聯(lián)網(wǎng)安全、業(yè)務(wù)安全及安全人員能力建設(shè)也同樣需要密碼應(yīng)用服務(wù)的支撐。因此,密碼專項(xiàng)成為新一代網(wǎng)絡(luò)安全框架的基座,為政企內(nèi)生安全建設(shè)提供堅(jiān)實(shí)的基礎(chǔ)。

(2)以價(jià)值為導(dǎo)向建設(shè)網(wǎng)絡(luò)安全大生態(tài)

在數(shù)字化的生態(tài)體系當(dāng)中,伙伴之間互為資源、相互賦能,在共同提供資源、產(chǎn)品或者服務(wù)之后,按照市場規(guī)律獲得相對(duì)應(yīng)的市場回報(bào)。可以說這是一套按市場規(guī)則運(yùn)作的合作體系,伙伴間的合作關(guān)系既寬松、又緊密。這種合作關(guān)系也讓伙伴更加樂于組團(tuán)進(jìn)行應(yīng)用創(chuàng)新。

往前看,安全行業(yè)必是贏在生態(tài),沒有一家廠商能解決所有安全領(lǐng)域問題,生態(tài)能力強(qiáng)、生態(tài)資源多的廠商才能為用戶產(chǎn)生更多價(jià)值。在新基建、數(shù)字化轉(zhuǎn)型的推動(dòng)作用下,生態(tài)已成為安全廠商生存發(fā)展的必要條件,安全廠商應(yīng)在新一代網(wǎng)絡(luò)安全框架下,找準(zhǔn)自身的生態(tài)定位,打造以價(jià)值為導(dǎo)向的技術(shù)生態(tài)體系,進(jìn)而實(shí)現(xiàn)產(chǎn)業(yè)生態(tài)繁榮。

4. 總結(jié)

隨著新基建的廣泛開展,密碼得到更多的重視和更廣泛的應(yīng)用,在新一代網(wǎng)絡(luò)安全框架中正在成為一顆耀眼的明星。在新基建的網(wǎng)絡(luò)安全建設(shè)大潮中,我們應(yīng)以密碼為基石支撐內(nèi)生安全體系建設(shè),以內(nèi)生安全框架為起點(diǎn)保障新基建網(wǎng)絡(luò)安全同步建設(shè),以價(jià)值為導(dǎo)向建設(shè)新基建網(wǎng)絡(luò)安全產(chǎn)業(yè)大生態(tài)。

THEEND

最新評(píng)論(評(píng)論僅代表用戶觀點(diǎn))

更多
暫無評(píng)論