在新基建的大背景下，隨著網絡安全與密碼技術的不斷演進，融合密碼技術的網絡安全體系框架逐漸成為網絡安全建設的新趨勢。

在 2020 國家網絡安全周舉行之際，記者有幸在現場采訪到了中國電科集團網絡安全領域首席專家、中國網安副總工程師、衛士通總工程師董貴山。就密碼在新基建中的應用、服務等問題，董貴山談了他的看法。

董貴山：新型基礎設施主要包括三個方面內容：一是信息基礎設施。主要是指基于新一代信息技術演化生成的基礎設施，比如，以5G、物聯網、工業互聯網、衛星互聯網為代表的通信網絡基礎設施，以人工智能、云計算、區塊鏈為代表的新技術基礎設施，以數據中心、智能計算中心為代表的算力基礎設施等；二是融合基礎設施。主要是指深度應用互聯網、大數據、人工智能等技術，支撐傳統基礎設施轉型升級，進而形成的融合基礎設施，比如，智能交通基礎設施、智慧能源基礎設施等；三是創新基礎設施。主要是指支撐科學研究、技術開發、產品研制的具有公益屬性的基礎設施，比如，重大科技基礎設施、科教基礎設施、產業技術創新基礎設施等。

從以上三個方面的分類來看，新型基礎設施是未來引領數字經濟發展的關鍵載體和支柱，覆蓋了網絡通信、信息計算、新興技術領域、行業性融合平臺以及科研支撐平臺，將成為數字中國在網絡空間“數字孿生”的沃土和通路。網絡安全作為新基建、數字經濟發展的基石， 也受到了廣泛的關注與重視。

新型基礎設施具備基礎平臺支撐、海量數據匯聚、廣泛實體接入、泛在服務交付四大特性。“基礎平臺支撐”體現了新型基礎設施的總體定位，不管是信息基礎設施、融合基礎設施還是創新基礎設施，都具有顯著的基礎性和平臺性，是網絡通信、信息服務和科研創新的基礎支撐；“海量數據匯聚”“廣泛實體接入”體現了新型基礎設施的平臺價值，信息基礎設施和融合基礎設施匯聚了海量的通信數據、行業數據和科研數據，提供網絡互聯平臺，為廣泛的網絡實體提供網絡接入和服務功能；“泛在服務交付”體現了新型基礎設施的交付模式，不管是傳統基礎設施還是信息基礎設施，均是采用服務化的價值交付模式，結合互聯網泛在接入、網絡互聯的特點，新型基礎設施能夠為廣泛的網絡實體提供泛在化的服務覆蓋，最大化平臺價值。這四大特性無一不代表著巨大的數據價值和平臺價值，對網絡攻擊者具有極高的誘惑力，存在極大的安全風險。

董貴山：“網絡安全與信息化是一體之兩翼，驅動之雙輪”。安全是發展的保障，發展是安全的目的，網絡安全和信息化建設互相依存、協調共生。新型基礎設施建設是“云大物移智”的有機聚合和結構化升級，網絡安全風險也覆蓋了信息服務平臺、IoT設備、PC端、移動端，這些承載著新基建業務、數據和服務的載體正在時刻接受海量網絡攻擊的考驗，如何全面保障新型基礎設施安全也受到了業界的廣泛關注。新型基礎設施作為國家級的網絡信息服務平臺、行業融合支撐平臺和科研平臺，應參考關鍵信息基礎設施的相關要求進行安全防護設計和建設工作，同時針對新基建各領域特定場景進行定制化防護。傳統的網絡安全防護體系多具有通用性和普適性，無法細粒度的涵蓋到特定場景和業務數據流轉方面，而密碼技術因其技術特點和防護理念能夠深入到業務場景之中，與業務應用進行深入融合，像為士兵穿上“盔甲”一樣，為防護對象提供“貼身防護”能力。

密碼是保障網絡和信息安全最有效、最可靠、最經濟的關鍵核心技術，是網絡安全的最后一道防線，能夠為新基建的“基礎平臺支撐、海量數據匯聚、廣泛實體接入、泛在服務交付” 四大特性提供針對性的防護。

（1）密碼為“基礎平臺支撐”構筑完善的安全防護體系。

新型基礎設施為國家信息化建設提供新一代的基礎支撐平臺，其平臺價值極高，因此需要完善的安全防護能力。密碼技術在網絡安全防護體系中位居核心和基礎地位，依靠密碼技術和網絡安全技術能夠打造集感知安全、傳輸安全、存儲安全、計算安全、處理安全、應用安全于一體的安全防護能力，構建以密碼技術為核心、多種技術相互融合的新網絡安全體系， 構筑新基建安全防護體系。

（2）密碼為“海量數據匯聚”建立堅實的數據保護能力。

新型基礎設施是基于多種功能、多種要素、多種技術的體系化集成，支撐著跨領域、跨平臺和跨系統的數據交換和信息共享，提供海量數據分析，實現數據的互操作和流程協同。密碼技術提供的數據加密存儲、可信數據匯聚、安全數據共享、數據流轉確權能夠實現數據的全生命周期安全，并對敏感數據、個人隱私數據提供針對性的數據脫敏、數據加密和數據隱藏能力，將防護能力深入到業務流轉之中。

（3）密碼為“廣泛實體接入”提供安全的鑒別防護機制。

新型基礎設施的部分重點領域如鐵路、公路、電網、通信、管網等，為規模化的網絡實體接入建設網絡互聯平臺，實現實體的廣泛接入和互聯通信。網絡互聯平臺的安全穩定運行成為了新型基礎設施建設實現價值的前提。基于密碼技術為網絡實體建立安全的數據執行和存儲環境，基于密碼技術建立平臺側與網絡實體之間的可信鑒別和安全傳輸機制，兩者結合構建從終端側到平臺側的安全接入環境，有效的保護平臺外延的網絡實體安全，保障新型基礎設施的網絡實體安全和邊界接入安全。

（4）密碼為“泛在服務交付”構建泛在的密碼服務能力。

從新型基礎設施的建設領域如智慧城市、物聯網、車聯網、充電樁可以看出，核心價值是為數字經濟廣大領域提供泛在化的服務，將基礎能力提供給更多的企業、組織和個人去使用，拓展服務范圍，讓更多人享受數字經濟發展的紅利。泛在的服務能力一方面需要服務于各行業領域，密碼技術需要依托各行業領域特性提供相適應的防護能力，另一方面需要延伸到海量的網絡實體，這些網絡實體是新型基礎設施建設的價值延伸和受益主體，同時也會成為網絡攻擊的薄弱點和攻擊點，成為攻擊平臺的跳板。為此，需要建立泛在化的密碼保障機制， 為廣大行業領域提供泛在的密碼服務接入能力，為移動終端、PC端、IoT終端提供體系化的密碼防護能力，有力的支持新基建泛在服務的安全穩定和可管可控。

新型基礎設施建設一方面兼具關鍵信息基礎設施的價值定位，另一方面融合新興技術、新興領域的業務特點，具有較高的復雜性和先進性。因此需要基于密碼技術為新型基礎設施設計建設完善的網絡安全防護體系。

董貴山：當前，密碼的價值得到了廣泛的重視，2020年1月1日，《中華人民共和國密碼法》正式實施，2020年成為了“密碼法元年”，密碼法對密碼進行明確的定義，密碼是指采用特定變換的方法對信息進行加密保護、安全認證的技術、產品和服務。其中，商用密碼用于保護不屬于國家秘密的信息，公民、法人和其他組織可以依法使用商用密碼保護網絡與信息安全。商用密碼具備機密性、完整性、真實性和不可否認性四大防護特性，能夠應對網絡安全的數據泄露、數據篡改、身份仿冒和行為否認等風險。

商用密碼是我國自主完善的技術體系，經過二十余年的發展和演進，提出了包含SM1、SM2、SM3、SM4、SM7、SM9和ZUC算法的一套完整自洽的商用密碼算法體系，建立了覆蓋密碼算法、密碼協議、密碼功能接口、密碼產品規格、密碼應用要求和測評規范的一套完善的標準體系，形成了以密碼芯片、密碼板卡、密碼整機和密碼系統等傳統產品為主，多種產品形態和應用模式并現的產品體系。

商用密碼的建設受到了政策、法規、標準、規范的全面推動。以法規奠定密碼法制基礎，國家相繼出臺了網絡安全法、密碼法，加速數據安全法、個人信息保護法立法進程，旨在規范網絡安全，以法理奠定密碼的核心定位；以政策推動密碼按需建設，國家在關鍵信息基礎設施、政務信息化建設、信創產業等方面均以政策文件的方式明確了密碼是網絡安全和信息化建設的重要組成部分；以標準構建密碼使用基線，網絡安全等級保護標準體系的升級明確了密碼在等保定級和合規防護方面的基本要求，密碼行業標準體系的快速增補也在全面完善密碼技術和產品的合規應用；以測評保障密碼應用合規，參考網絡安全等級保護的測評機制和測評要求，密碼行業出臺了密碼應用安全性評估制度，以測評來明確密碼應用的合規性、正確性和有效性，從而保障密碼應用設計的完備性和密碼產品在各個環節的正確有效使用。

新型基礎設施建設同樣需要密碼技術的保障，無論是從合法合規角度還是消除安全風險角度來看，密碼技術都是新型基礎設施網絡安全的最后一道防線。

從基礎設施這個詞匯來看，密碼行業同樣存在一個基礎設施——公鑰密碼基礎設施（Public Key Infrastructure，PKI），公鑰密碼基礎設施是一個包括硬件、軟件、人員、策略和規程的集合，用來實現基于公鑰密碼體制的密鑰和證書的產生、管理、存儲、分發和撤銷等功能，目前已廣泛應用于政務、金融、電力等構架關鍵信息基礎設施領域，為其提供可信的密鑰和證書管理，建立網絡安全的可信根。

新型基礎設施繼承了傳統基礎設施建設的服務化特性，通過端到端的服務模式創造和交付價值，這一模式特性要求密碼支撐能力能夠提供相匹配的能力，PKI更傾向于傳統的安全基礎設施，提供基礎通用的密碼支撐能力，對新型基礎設施建設的密碼需求的匹配性不高。

新型基礎設施的基礎平臺支撐要求密碼支撐提供靈活彈性可伸縮的服務能力，海量數據匯聚要求密碼支撐提供融合數據全生命周期的數據防護能力，廣泛實體接入要求密碼支撐提供平臺化的通信保護和接入管控能力，泛在服務交付要求密碼支撐提供服務化的密碼交付能力，讓新基建的受益者能夠享受經過密碼防護的安全新基建服務。這些能力都是傳統的密碼建設模式無法全面響應的。為此我們提供建設以密碼服務平臺為核心的新型密碼管理與服務基礎設施，應對新型基礎設施泛在互聯海量支撐的平臺特性提供泛在化、平臺化的密碼服務能力和一窗式、多維度的密碼管理能力。

董貴山：基于我上述提到的目標，衛士通提出了集密碼服務與密碼管理為一體的密碼服務平臺的理念模型。在該模型的服務側，密碼服務平臺包括層次化密碼服務、通用密碼中間件和API網關，通過標準化集成能力集成優秀的密碼系統和密碼設備；通過資源虛擬化和微服務化設計對外提供覆蓋基礎密碼服務、通用密碼服務和安全應用服務的層次化密碼服務能力；通過通用密碼中間件封裝層次化密碼服務接口為應用提供一站式的密碼集成能力；依托API 網關與管理側協同實現對應用的接入認證和訪問控制。在管理側，密碼服務平臺通過密碼設備與服務管理提供統一的訪問入口和管理界面，支持租戶、應用、設備、服務和訂單的多維度管理，對使用情況進行信息統計和可視化展現，支撐外部的密碼監管和安全運營；各類平臺用戶可以通過統一訪問入口進行登錄認證，完成各自的管理職責。

密碼服務平臺提出“密碼可用、密碼好用、密碼能管、密碼好管”的四大服務目標。在密碼可用方面，通過密碼虛擬化、層次化密碼服務應對目前密碼資源使用率低、密碼技術使用不當、對新業務場景適應性不強的問題；在密碼好用方面，通過通用密碼中間件、標準化集成能力應對密碼與應用對接困難、密碼服務接口不一致以及已建密碼資源難以利舊的問題；在密碼能管方面，通過API網關、密碼設備與服務管理應對業務應用情況不可控、密碼使用情況不可見以及密碼資源無法統一管理等問題；在密碼好管方面，通過密碼服務的使用計量和專業化技術團隊應對密碼整體態勢無法獲取、密碼使用應急能力不足以及使用計量困難等問題。

針對新型基礎設施的場景要求，密碼服務平臺在基礎密碼服務方面能夠提供海量密鑰和證書服務能力、適應物聯網、車聯網的多元化證書簽發和管理能力以及覆蓋全網的密碼監管和管理能力；在通用密碼服務方面能夠提供聯接人機物的異構統一身份認證服務能力、數據流轉管控與追溯機制、物聯網設備的統一標識管理能力、車聯網平臺的電子地圖安全管控服務和車端密碼支撐能力等針對性的密碼服務能力。

董貴山：新基建是數字中國發展的“新”階段，密碼服務是密碼行業發展的“新”模式，兩“新”碰撞，迸發新機，以新的密碼服務模式保障新基建的“內生安全”。因此為保障密碼在新基建中發揮更好的安全支撐作用，需從多個角度推進新基建領域密碼應用建設工作。

一是通過政策推動、業務驅動等推進密碼在新基建領域的廣泛部署，立足密碼作為網絡安全的“內置基因”定位，實現新基建的“內生安全”，推動密碼在新基建的建設和示范，形成新基建各典型領域密碼應用最佳實踐。

二是從項目建設、場景需求中提煉業務場景和技術需求，開展密碼技術突破和產品研制，從而能夠實現密碼技術與新基建各領域的深度融合，以密碼服務支撐基礎設施對外安全服務。三是落實國家網絡安全等級保護相關要求和密碼應用建設的相關要求，在新型基礎設施建設過程中要同步規劃、同步建設、同步運行密碼保障系統并定期進行評估。在規劃過程中，要立足新型基礎設施安全要求，站在整體角度設計密碼應用方案，在建設過程中，把密碼服務融入到整體架構中，新型基礎設施需與密碼保障體系同步運行，并通過定期安全評估、密碼應用安全性評估等手段，持續保持密碼應用的有效性和安全性。