01 宏觀政策為密碼泛在化保駕護航
密碼是保障網絡空間安全的核心技術和基礎支撐。過去,密碼主要用來保護重要IT系統的通信與存儲安全問題,普通老百姓很少和它打交道。如今,密碼已經應用到各行各業,影響我們生活的方方面面。密碼產品也從傳統的密碼機、密鑰管理系統等整機形態,衍生發展為安全芯片、軟件密碼模塊、IP核、密碼板卡等不同形態,密碼和IT技術呈現融合發展的趨勢,密碼的服務化更是打破了密碼產品的形態限制。密碼應用已經呈現出多元化、融合化、泛在化等新特點。
近年來,我國不斷健全密碼相關的政策法規,先后制定和實施了網絡安全法、密碼法、36號文、GM/T0054、等保 2.0標準等系列法規政策標準,從頂層構建了密碼與網信事業的宏偉藍圖。在宏觀政策的指引下,我國密碼事業經歷了從無到有、從初創到規范完善的階段,取得了跨越式的發展,這也為全面推進密碼工作和密碼泛在化應用奠定了堅實有力的基礎。
02 安全風險呈現泛在化趨勢
物聯網、云計算、5G、大數據、人工智能等創新技術正在加速驅動物理世界與信息世界的融合。我們在享受高新技術帶來的信息紅利的同時,也無形中打破了固有的網絡邊界,加劇了信息泛在化的發展趨勢。物理世界與信息空間的泛在融合,也將物理空間的違法破壞行為引入虛擬世界,網絡空間變得更加復雜。
信息技術的融合,既加速了信息化進程,也增大了網絡攻擊的可能性,網絡安全問題異常嚴峻。近年來網絡安全事件層出不窮、形式各異,涉及到物聯網安全、數據安全、虛擬化安全等方方面面。比如,在物聯網領域,視頻監控弱密碼、偷拍、DDoS攻擊等事件屢見不鮮;大量智能門鎖存在通信監聽、門卡復制、APP攻擊等安全風險;傳感器網絡等無人值守設備分布廣泛,被攻破而不被發現的事件也時常被事后報道。隨著信息技術的發展,網絡安全風險加速擴散,網絡安全問題已然泛化。
03 密碼技術的泛在化應用思路
面對快速發展的信息技術及泛在多變的網絡安全需求,需要對網絡空間進行體系性的安全防護。密碼是網絡信息安全的核心技術,是整個網絡信任體系的基礎支撐,依托密碼技術在認證、加密等方面的重要作用,構建以密碼為基石的網絡安全體系,能夠有力解決網絡與信息安全問題。我們在開展具體密碼工作時,需注意密碼技術與業務應用的結合。在不同的業務場景中,應當采用不同的密碼技術路線或者組合。總的來說,包括經典密碼技術、創新密碼技術、前沿密碼技術三個方面。
經典密碼技術指的是常見的對稱密碼、PKI/CA公鑰密碼及標識密碼技術。這類密碼技術屬于基石性技術,已經被廣泛應用,能夠解決傳統信息系統安全認證與數據加密等問題。
我們重點想提一些創新密碼應用的工作思路。我們在實踐過程中,發現諸如工業控制、移動辦公、智能家居等新興場景都存在密碼應用需求,然而受限于具體場景和環境,傳統的密碼技術往往無法直接應用。此時,我們就需要轉變思路,對密碼應用的方法進行創新和調整。第一種思路是“融”,即密碼融合設計,在設計之初將密碼流程融入到業務應用及通信協議中,避免后期堆疊密碼設備帶來的性能開銷、系統損害等影響。第二種思路是“變”,我們對傳統密碼技術進行場景化的適配改造,以應對差異化的密碼需求,如輕量化密碼協議、短證書等。第三種思路是“合”,我們可以對加密、認證、授權、安全管理等功能進行整合,以能力打包的形式對接應用系統,提供“一攬子”的密碼解決方案,減輕應用的密碼集成難度,快速實現密碼賦能。
密碼技術在不斷發展,學術界對零信任、區塊鏈、安全多方計算、同態加密、格密碼、抗量子密碼等前沿密碼技術進行了廣泛的研究,部分成果已經應用到信息系統中,相信未來前沿密碼技術會得到更加廣泛和全面的應用。
04 終端側的密碼產品部署
終端種類眾多、形態各異。不同種類的終端在價格成本、網絡數據能力、軟硬件架構等方面存在著巨大區別,終端側的密碼產品部署需求也存在著差異性,需要因地制宜。
終端側的密碼產品部署主要涵蓋三種形式:安裝軟件密碼模塊、內嵌硬件密碼模塊以及外接安全網關。對于PC、手機、高性能嵌入式設備,我們可以部署軟件密碼模塊,借助CPU的強大運算能力,實現高性能的密碼運算,無需額外增加硬件成本。面向智能門鎖、車載控制器等安全性較高的終端,我們可以采用設備內嵌密碼硬件的方式,包括板載安全芯片、內接密碼模塊、使用基于密碼的安全通信模組等,提供硬件級安全防護能力,保障設備安全。針對微型傳感器、大型進口設備、老舊IT設備等難以施行密碼改造的場景,我們可以接入安全網關,通過門衛式安全防護,保證設備的接入安全與通信安全問題。
05 密碼的服務化之道
近年來,越來越多的應用遷移上云。我們如果要分別對不同的信息系統進行密碼應用,工作量巨大,密碼資源浪費嚴重。此時,我們可以借助云化、虛擬化的思想將密碼能力服務化,按需提供密碼資源,不同應用系統只需通過服務調用的方式即可安全地獲取密碼能力,從而快速實現密碼應用改造。
一個可行的實踐路線是構建密碼服務平臺。我所在的衛士通公司作為綜合實力較強的密碼企業,正在從傳統密碼產品提供商向平臺型安全服務提供商轉型,密碼服務平臺便是一個重要的抓手。密碼服務平臺不直接提供密碼產品,面向應用提供場景化的密碼服務,提升合規的密碼應用效率,降低應用與密碼對接的難度。我們看到,越來越多的政務云正在采用密碼服務平臺,實現云上應用的快速對接。可以預見,密碼服務是促進密碼泛在化落地的重要且有效的技術路徑。
06 基礎軟硬件的內生安全機制
長久以來,計算機系統基礎軟硬件的安全及密碼措施都是各自為政,較為獨立。如果要做一個安全瀏覽器,我們可能會在瀏覽器內部集成OpenSSL算法庫;如果要做一個加密數據庫,我們可能為數據庫配用密碼硬件;如果要做安全啟動,我們需要為計算機配置TPCM、TCM等可信計算芯片。計算機系統各個軟硬件之間的密碼能力缺乏協同,煙囪式存在。另外,各類軟硬件廠商自行建設密碼,也存在著合規性的問題。
我們在構建自主信息系統時,可以從系統體系的角度出發,使用一套密碼方案,貫通計算機基礎軟硬件的各個環節,實現密碼運算和可信計算。基礎此種思想,如衛士通與龍芯聯合推出的內嵌安全SE的國產處理器,打通了CPU、BIOS、操作系統、中間件、數據庫、瀏覽器等各環節,構建了內生安全的基礎軟硬件密碼應用生態。
07 典型案例
分享兩個場景化案例。一是視頻融合通信,包含視頻監控、直播、會商等多種業務模式。我們可以采用端到端的安全方式對視頻終端、服務端進行密碼改造,對大帶寬、高清、多路、實時音視頻進行加解密。GB35114便是此類方式的標準化落地,未來也將會有更多音視頻密碼應用的標準指導相關工作。二是物聯網密碼應用,我們可以建立覆蓋物聯網“端-邊-網-云”的密碼應用體系。端,指的是物聯網終端側部署安全芯片/軟件密碼模塊等密碼產品,實現終端安全防護;邊,指的是提供安全邊緣網關,安全接入物聯網終端;網,指的是基于密碼技術保障物聯網通信安全;云,指的是物聯網平臺具備密碼與安全能力。
08 密碼應用推進思考
密碼事業的政策性較強,我們密碼工作者要時刻關注國家政策法規,尤其是中央、地方、大型機關單位的商密規劃,這將帶來大量的密碼泛在化建設項目。另外,隨著等保2.0、密評工作的廣泛、有序開展,更多的細分領域將會開展密碼工作,密碼市場規模迅速擴大。我們在專注既有業務領域的同時,應不斷開拓新的行業用戶和業務領域,拓展密碼應用的范圍。
密碼應用和改造需要達到什么程度?是否密碼措施越多越好?如何讓更多的行業用戶、企業單位放下對密碼或安全的固有成見,愿意用密碼?這些問題都值得我們思考。我們在做密碼應用和推廣的時候,一定要結合行業政策與應用實際,按需地開展密碼應用,密碼應用的強度不能單一量化,做到合規的同時,保證相當的安全性。
09 從業者建議
在密碼泛在化的背景環境下,我們從業者需要哪些方面的能力素養?我認為,至少需要三方面的能力。第一,完備的密碼知識。密碼技術不斷發展,我們需要廣泛涉獵密碼知識,同時也應當潛心鉆研一些重點的密碼知識,尤其是我們工作中可能用到的密碼技術。第二,全棧的密碼設計能力。包括密碼算法、產品化設計、接口對接、協議優化等等,只有具備了全棧的設計能力,才能應對復雜多變的情況,準確地對密碼方案進行優化和改造。第三,快速理解業務應用的能力。密碼和業務不能是“兩張皮”,密碼的設計必須基于業務實際,密碼工作者應當理解業務流程并梳理出安全痛點及密碼應用需求,才能做好密碼建設的實際工作。
1月15日,人社部發文擬新增“密碼技術應用員”職業,并將其定義為運用密碼技術,從事信息系統安全密碼保障的架構設計、系統集成、檢測評估、運維管理、密碼咨詢等相關密碼服務的人員。“密碼技術應用員”作為密碼泛在化的一個專門職業被正式提出,這無疑會促進密碼泛在化的應用與推廣工作。同時,作為密碼從業者的我們,也應當參照“密碼技術應用員”的要求積極提升個人能力。
10 密碼泛在化的未來
傳統信息行業、新技術業務領域快速發展并交相輝映,信息世界正朝著相互滲透、多元發展的方向演進。我們有理由相信,未來,密碼就是信息世界不可或缺的組件,密碼也將作為泛化信息世界的安全基石,有力保障信息世界的安全持續發展。密碼人,大有可為。
