10月11日，由陕西省委网信办（bàn）、西安市委网（wǎng）信办指导，中国（guó）网络安（ān）全产业（yè）联盟、中国（guó）电子技术标准化研究院联合主办（bàn）的2021年国家（jiā）网络安全（quán）宣传周“网络安全产（chǎn）业发展论坛”在（zài）陕西西安成功召开。卫士通资深专家（jiā）、天津网安总经（jīng）理洪新受邀出席论坛（tán）并作主题（tí）演讲，分享了（le）卫（wèi）士通“第（dì）三（sān）方密码服务（wù）”在保障（zhàng）数据安全方面的探索。

会议现场

洪新在（zài）题为《建立多方信任模型的第（dì）三方数据（jù）加密服务研究（jiū）》主（zhǔ）题演讲中提出安全问（wèn）题不仅是技术层面的问题，还有（yǒu）信任层面的问题，即人（rén）的问题，并引述IBM的报告指出95%的安全问题（tí）是由人引起的问题。

洪新

他分析到（dào），之所（suǒ）以说技（jì）术只是解决网络安全（quán）的（de）一个层面（miàn），是因（yīn）为即使是技术最先进（jìn）的（de）企业，技术并不（bú）完全解决用户安全能力的提升，也（yě）并不解决（jué）平台应用厂商对用户数据权力过大，没有制约这样的问（wèn）题，故而近几年爆发的（de）安全（quán）事件（jiàn）不断，而且越来（lái）越多，越来越大。另（lìng）外，也（yě）同时造成了（le）用户对IT基（jī）础设施和应用厂商的信任感不断地被消费，不是对他们（men）技术的怀疑，而是对他们提供的信任感的怀疑。

关（guān）于信任，国内外对（duì）于互联网网（wǎng）络安全（quán）信（xìn）任上（shàng）的探（tàn）索，最终都指向第三方（fāng）的（de）信任模（mó）式（shì），所谓“第三方的模式（shì）”。当天洪新重点介绍的“第三方密码服务（wù）”是指用户（hù）和互联网平台运营（yíng）者之外，引入了一个独立的密（mì）码服务运营者，帮助用户管理密码支撑用户数（shù）据的加（jiā）密，这个模式（shì）下，互联（lián）网运营商和平台运营商他们所见，所管，所存的用户数据只（zhī）有（yǒu）密（mì）文，从而有效防止（zhǐ）明（míng）文信（xìn）息的泄露。应用和平（píng）台的运营者、密码（mǎ）服务运营者互相（xiàng）制（zhì）衡，共（gòng）同（tóng）确保用（yòng）户数据的安全（quán）。由于密码和加密数据（jù）的分离，各个服务运营（yíng）者都不能存取用户明文信（xìn）息，极大增（zēng）加（jiā）了用户对运营者服（fú）务的信任。第（dì）三方模式已成功（gōng）地在各（gè）个领域得到（dào）广泛的应用，安全（quán）领（lǐng）域的（de）CA就是很典型（xíng）的应用。

如图所示，第三方加（jiā）密（mì）服务商会提供（gòng）在线的密钥服务，加密密钥安全（quán）的存储（chǔ）分发，第三方（fāng）加密服务商（shāng）不接触也不保存任何的数据，通过密钥和安全策略控制用户，保护用户的实际安全（quán）。在此同时（shí），这（zhè）个服（fú）务又对应用服务（wù）商（shāng）提供密码安全的组件（jiàn）适配服务（wù），让组件（jiàn）提供应（yīng）用服务的同（tóng）时，所有的信息都能通过第三方加密再储存和传输，即使有人非（fēi）法获取用户的（de）数据，也会因为（wéi）没有密钥，没有办法真（zhēn）正获取用户的明文信（xìn）息。数据（jù）和密码（mǎ）的分离（lí），有效避免因运营者信任问题（tí）造成的数据泄露（lù）。而用户本身则能通过第三方密（mì）钥服务所得（dé）到的密钥和安全策略，完成（chéng）信息在本地（dì）的（de）加解密（mì）。

这个原（yuán）理已被作为最佳实践（jiàn）应用于（yú）卫士通和众多合（hé）作伙（huǒ）伴（bàn）的合作当中，如华为，曙光（guāng）云，企业微信，国产数据库（kù）和OA企业（yè）等。