记者���:2020年4月(yuè)20日国(guó)家发改委相关负(fù)责人首次(cì)明确新型基础(chǔ)设施的范围����,请问新型基础设(shè)施具体(tǐ)包括(kuò)哪些内容��,又(yòu)有(yǒu)哪些特性(xìng)�����?
董贵山����:新型基(jī)础(chǔ)设施主(zhǔ)要包括三个方(fāng)面(miàn)内容�����:一是信息基础设施�����。主要是指基(jī)于新一代(dài)信息技术演化生(shēng)成的基础设施���,比如(rú)���,以5G�����、物联网���、工业互(hù)联网���、卫星互联(lián)网(wǎng)为代表的通信(xìn)网络基础设施�����,以人工智能���、云计算��、区(qū)块链为(wéi)代表的(de)新技(jì)术(shù)基础设施����,以(yǐ)数据(jù)中心����、智能计算中心为(wéi)代表的(de)算力基础设施等����;二是融合基础设施��。主要是指(zhǐ)深度应用(yòng)互联网���、大数据(jù)���、人工智能等技术(shù)���,支撑(chēng)传(chuán)统(tǒng)基(jī)础设施转型升级���,进而形成(chéng)的(de)融合基础设施����,比如��,智能交通(tōng)基(jī)础设施����、智(zhì)慧(huì)能源基础设施等(děng)����;三是(shì)创新基础设施��。主要是指支撑科学研究��、技术开发���、产品(pǐn)研制(zhì)的(de)具有公益属(shǔ)性的基础设施(shī)����,比如���,重大科技(jì)基础设施�����、科教基础设施(shī)��、产业(yè)技(jì)术创新(xīn)基础设施等���。
从以上三个(gè)方(fāng)面的分类来(lái)看���,新型(xíng)基础设施是(shì)未来引领(lǐng)数(shù)字经(jīng)济发展的关(guān)键载(zǎi)体和支柱(zhù)����,覆盖了网络通(tōng)信����、信息(xī)计算����、新兴技术领域���、行业性融合平台(tái)以及科研支(zhī)撑平(píng)台�����,将成为数字(zì)中国在网络空间“数字孪生”的沃土和通路����。网络安全作(zuò)为新(xīn)基建���、数字经济发展的基石(shí)��, 也(yě)受到了广泛(fàn)的(de)关注与重视��。
新型基础设施具备基础平(píng)台支撑����、海量数据(jù)汇(huì)聚����、广泛(fàn)实体接入���、泛在(zài)服务交付四大特性���。“基础平(píng)台支撑”体(tǐ)现了(le)新型基(jī)础(chǔ)设(shè)施的总(zǒng)体(tǐ)定位(wèi)���,不管是信息基础设(shè)施��、融合基础设施还是创新基础(chǔ)设施����,都(dōu)具有(yǒu)显著的基(jī)础(chǔ)性和平台性���,是(shì)网络通信(xìn)���、信息服务和(hé)科研创新的基础支撑���;“海量数(shù)据汇聚”“广泛实体接入”体(tǐ)现了新型基础设施的(de)平台价值���,信息基础设施(shī)和融合基础设(shè)施汇聚了海量的通信数据���、行业(yè)数据和科研数据��,提供网络互联平台���,为广泛的网络实(shí)体提供网络接入和(hé)服务(wù)功能����;“泛(fàn)在服务交付(fù)”体现了新(xīn)型(xíng)基(jī)础设施的交付模式����,不管是传统基(jī)础设(shè)施还是信息(xī)基础(chǔ)设施(shī)���,均是(shì)采用服务(wù)化的价值交付模式���,结合(hé)互联网(wǎng)泛在接入���、网络互联的特点���,新型(xíng)基础设施能够为广(guǎng)泛的网络(luò)实体提供泛在(zài)化的服务覆盖���,最大化平台价值��。这四大特性无一不(bú)代表着巨大的数(shù)据价值(zhí)和平(píng)台价值���,对网(wǎng)络(luò)攻击者具有极高(gāo)的(de)诱惑力����,存在极(jí)大的安全风险����。
记者(zhě)���:密(mì)码技术在(zài)新基(jī)建中扮演什么(me)样的角色���?
董(dǒng)贵山���:“网(wǎng)络安全与信息(xī)化是(shì)一体之(zhī)两翼����,驱动之双轮(lún)”��。安全是发展(zhǎn)的保障����,发展(zhǎn)是安全的目的(de)����,网络(luò)安全和信息化建设互相依存��、协调共生���。新型基(jī)础(chǔ)设施建设(shè)是(shì)“云大物移(yí)智”的有机聚合和结构(gòu)化升级(jí)����,网络安全(quán)风险也(yě)覆盖了(le)信息服务平(píng)台(tái)���、IoT设备���、PC端����、移动端��,这些承载(zǎi)着新基建业务���、数据和服务的载体正在时刻接受海量网络(luò)攻击的考验(yàn)����,如何全面保障新型基础设施安全也(yě)受到了业(yè)界(jiè)的广泛(fàn)关注���。新(xīn)型基础设施作为(wéi)国家级(jí)的网络信息服(fú)务(wù)平台��、行业融(róng)合(hé)支(zhī)撑(chēng)平(píng)台和(hé)科研平(píng)台����,应参考关键(jiàn)信(xìn)息基础设(shè)施的相关要求进(jìn)行安全防护设(shè)计(jì)和(hé)建设工作�����,同时针(zhēn)对新(xīn)基建各领域特定场景进行定制化防护��。传统的网络安全防(fáng)护体系(xì)多具有通用性和普适性(xìng)���,无法(fǎ)细粒度的涵盖到特定场景和业务数(shù)据(jù)流转方面��,而密码技术因其(qí)技术特点和防护理念能够深入(rù)到业务(wù)场景之中���,与业务应(yīng)用进行深入融合�����,像为(wéi)士兵穿上“盔甲”一样��,为(wéi)防护(hù)对象提(tí)供“贴(tiē)身(shēn)防护”能力����。
密码是保障网络和(hé)信息安全最(zuì)有效(xiào)�����、最可靠�����、最经济的关键(jiàn)核(hé)心技(jì)术(shù)�����,是网络安全的最后一道防线(xiàn)����,能够为新基建的“基础平台支撑����、海(hǎi)量(liàng)数据汇聚(jù)����、广泛实体接入����、泛(fàn)在服(fú)务交付” 四大特性提供针(zhēn)对性(xìng)的防护���。
(1)密码为“基础平台支撑”构筑完善(shàn)的安全(quán)防护体系����。
新(xīn)型基(jī)础设(shè)施为国家(jiā)信息化建设提供新一代的基础支撑平台���,其平台价值(zhí)极高���,因此需要完善的(de)安全防护能(néng)力����。密码技(jì)术在网络安全(quán)防护(hù)体(tǐ)系中位居核(hé)心(xīn)和(hé)基础(chǔ)地(dì)位����,依靠密码技术和网络安全技术能够打造集感知安(ān)全����、传(chuán)输安全��、存储安(ān)全���、计算安全�����、处理(lǐ)安全(quán)���、应用安全于一体(tǐ)的安(ān)全防护能力(lì)���,构建以密码技术为核心���、多种技术相互融合的新网络安全体系����, 构筑新基(jī)建安全防护体系��。
(2)密码(mǎ)为(wéi)“海(hǎi)量数据汇聚”建立坚实的(de)数据(jù)保护能力(lì)����。
新型(xíng)基础设施(shī)是基于多种功能����、多种要素��、多种(zhǒng)技术(shù)的(de)体系化(huà)集成��,支撑着(zhe)跨领域���、跨平台和(hé)跨系统的数据交换和信息共享(xiǎng)���,提供海量数(shù)据分(fèn)析���,实现数据的互操作和流程(chéng)协同��。密码技术提供的数据加密(mì)存(cún)储���、可信数(shù)据汇聚���、安全数据共享���、数据流转(zhuǎn)确(què)权能(néng)够(gòu)实现数据的全生命周期(qī)安全��,并对敏感数据���、个人(rén)隐私(sī)数据提供针对性的数据脱敏����、数据加密和数据隐藏能(néng)力�����,将防护能力深入到业务流转(zhuǎn)之中���。
(3)密码为“广泛实体接(jiē)入”提供安(ān)全的鉴(jiàn)别防护机制�����。
新型基础(chǔ)设施的部分(fèn)重点领域如(rú)铁(tiě)路���、公(gōng)路(lù)��、电网����、通信���、管(guǎn)网等��,为规模化的网络实(shí)体接入建设(shè)网络(luò)互联平(píng)台����,实现实体的广泛接(jiē)入和互联通(tōng)信��。网络互(hù)联平台的安(ān)全稳定运行成为了(le)新型基础(chǔ)设施(shī)建设实(shí)现价值的前提����。基于(yú)密码技术为(wéi)网(wǎng)络实体建立安全(quán)的数据执行和存储环(huán)境����,基于密码(mǎ)技(jì)术(shù)建立平台(tái)侧与网络实体(tǐ)之间的可信鉴别和安全传输机制(zhì)���,两者结合构建(jiàn)从(cóng)终端侧到平台侧的安(ān)全接入环境���,有(yǒu)效的保(bǎo)护平台外延的网络实体安(ān)全�����,保障新(xīn)型基础(chǔ)设施的网络实体(tǐ)安全和边界接入(rù)安全��。
(4)密码为“泛在服务交付”构建泛(fàn)在的(de)密码(mǎ)服务能力��。
从新型基础设施的建(jiàn)设领域如(rú)智慧城市��、物联网����、车联网���、充电桩可(kě)以看出���,核(hé)心价值是为数字经济广大(dà)领域提(tí)供(gòng)泛(fàn)在化的(de)服务���,将基础能力提供给更多的企业(yè)��、组织和个人(rén)去使用��,拓展服(fú)务范围�����,让更多人享受数字经济发展的红利��。泛在的服务能力一方面需(xū)要服务(wù)于各行业领(lǐng)域��,密码技术需要依托各行业领(lǐng)域特性(xìng)提供相适(shì)应的防护能力���,另一(yī)方面(miàn)需要延伸到海量的网络实(shí)体(tǐ)���,这些网络实体(tǐ)是新型基础设施(shī)建设的价值延伸和受益主体����,同时(shí)也会成为网(wǎng)络攻击的(de)薄(báo)弱(ruò)点和攻(gōng)击点��,成为攻击(jī)平台的跳板���。为此�����,需要建立泛在化的密码保障机制��, 为广大行业领域提供泛(fàn)在的(de)密码服务接入能力��,为移动(dòng)终端���、PC端���、IoT终端(duān)提供(gòng)体系化的密码防护能(néng)力���,有力的支(zhī)持新基建泛在服务的安全稳定和可管可控��。
新型基础设施建设(shè)一方面兼具(jù)关键信息基础设施(shī)的价值定位���,另一方面(miàn)融合新兴技术��、新兴领(lǐng)域的业务特点����,具有较高的(de)复杂性和先进(jìn)性���。因此需要基于密码技术为(wéi)新型基础(chǔ)设施设(shè)计建(jiàn)设完(wán)善的网络安全防护体系�����。
记者(zhě)����:密码法的(de)发(fā)布对新基建的(de)推动工作(zuò)有(yǒu)哪(nǎ)些影响����?
董贵山����:当前���,密码(mǎ)的价值得到了(le)广(guǎng)泛的重视����,2020年1月1日(rì)���,《中华人民共和国密码法》正式实施����,2020年成为了“密码(mǎ)法元年”���,密(mì)码法对密码进(jìn)行(háng)明确的定义��,密(mì)码(mǎ)是指采用特(tè)定(dìng)变换的方(fāng)法对信息进行加密保护���、安全认证的技术���、产品和服(fú)务��。其中���,商用密码用于保护不属于国(guó)家秘密的信息����,公民(mín)����、法人和其他(tā)组织可(kě)以依法使用商用密码保护(hù)网络与信息安全��。商用密码具备机密性��、完整性���、真实性和不可否认性四大防(fáng)护(hù)特性���,能够应对网络安全的数据泄露���、数据(jù)篡改(gǎi)��、身份仿冒和行为否认(rèn)等风(fēng)险��。
商用密码是我国自(zì)主完善的技(jì)术体系��,经过(guò)二十余年的发展和(hé)演进����,提出了包含SM1�����、SM2���、SM3����、SM4����、SM7�����、SM9和ZUC算法的一套完整(zhěng)自洽(qià)的商用密码(mǎ)算法体系��,建立了覆盖密码算法���、密码协议��、密码功(gōng)能接口���、密(mì)码产(chǎn)品(pǐn)规格��、密码应用要(yào)求(qiú)和测评规范的一套完善的(de)标准体系����,形成了以(yǐ)密(mì)码芯片����、密码板卡��、密码(mǎ)整机和密码(mǎ)系统等传统产品为主���,多种产(chǎn)品形(xíng)态和应用模式并现(xiàn)的产(chǎn)品(pǐn)体系����。
商用密(mì)码(mǎ)的建设受到了政策��、法规(guī)���、标(biāo)准(zhǔn)�����、规范的全面推动���。以(yǐ)法规奠定密(mì)码法制基础(chǔ)����,国家相继出台了网(wǎng)络安全法���、密码法���,加速数据安全法��、个人信息保护(hù)法立法进程���,旨在规范网络安(ān)全����,以法理奠定(dìng)密码(mǎ)的(de)核心定位����;以政(zhèng)策(cè)推(tuī)动密码按需建设(shè)���,国家在关键信息基础设施��、政务信息(xī)化建设����、信创产业(yè)等(děng)方面均以政策文件的方式明(míng)确了密(mì)码是网络安(ān)全(quán)和信(xìn)息化建设的重要组成部(bù)分���;以(yǐ)标准(zhǔn)构建密码使用基线���,网络安全等(děng)级保护(hù)标准体系的升级(jí)明确(què)了密码在等保定级和合(hé)规防护方面的基本要(yào)求(qiú)�����,密码行(háng)业标准体系的快(kuài)速增补也在全面完善密码技术和产品的合规(guī)应用���;以(yǐ)测评保(bǎo)障密码应(yīng)用合规(guī)����,参考网络安全等级保护的(de)测评机制和测评要求��,密码行业出(chū)台了密(mì)码应用安(ān)全性评估(gū)制度����,以测评(píng)来明确密码应用的合规性��、正确性和有效(xiào)性��,从而保障密码应用(yòng)设计的完备性和(hé)密码产品在各(gè)个环(huán)节的正确有效使用(yòng)���。
新型基础设施建设同样需要密码技(jì)术的保障���,无(wú)论是(shì)从合法合规角度还是消除安(ān)全风(fēng)险(xiǎn)角(jiǎo)度来看��,密(mì)码(mǎ)技术(shù)都是新型基础设施网络安(ān)全的最后(hòu)一道防线���。
从基础设施(shī)这个词汇(huì)来看��,密码(mǎ)行业同样存在一个基础设(shè)施——公钥密码基础设施(shī)(Public Key Infrastructure����,PKI)��,公(gōng)钥密码基(jī)础设施是一个包括硬件����、软件����、人员��、策略和规程的集合��,用来实(shí)现基(jī)于(yú)公钥(yào)密(mì)码体制的密(mì)钥和证书的(de)产生����、管理��、存储(chǔ)�����、分(fèn)发和(hé)撤销等功能���,目前已广泛(fàn)应用于(yú)政务���、金融(róng)����、电力等构架关键信息(xī)基础设(shè)施领域��,为其提供可信的密钥和证书管理���,建立网络(luò)安(ān)全的可信根�����。
新型基础设施(shī)继承了传统基础设施(shī)建设的服务化特(tè)性����,通过端到端(duān)的服务模式创(chuàng)造和交(jiāo)付价值�����,这一模式特性要求密码支撑能力能够提供相匹配的(de)能力(lì)��,PKI更倾向于传统(tǒng)的安全基础设施����,提供基础(chǔ)通用的密码支撑能(néng)力����,对新型基(jī)础设施建设(shè)的密码需求的匹配性不高��。
新型基础设施的基础平台(tái)支撑要求(qiú)密码支撑提(tí)供灵活弹性(xìng)可伸缩的服务能力(lì)��,海量(liàng)数据汇聚要求密码(mǎ)支撑提(tí)供融(róng)合(hé)数据全生命周期的数据(jù)防护能(néng)力(lì)���,广泛实体接入要求密码支撑提供平台化的通信保护和(hé)接入(rù)管控能力��,泛在(zài)服务(wù)交付要求(qiú)密码支(zhī)撑提供服务化(huà)的(de)密码交付能力(lì)���,让新(xīn)基建的受益者能够享(xiǎng)受经过密码防护的(de)安全(quán)新基建服务��。这些能(néng)力都(dōu)是传统的密码建设模式(shì)无(wú)法(fǎ)全面响应的���。为此我们提(tí)供建设以密(mì)码服务平台为(wéi)核心的(de)新型密码管理(lǐ)与服务基础设(shè)施��,应对新型基础设(shè)施(shī)泛在(zài)互(hù)联海量支撑的平台特性提供泛(fàn)在化����、平台化的密码服务能力(lì)和一窗式���、多维度的密码管理能力(lì)����。
记者����:新基建场景中��,您认为这种新的密码服务(wù)模式能够带来什么价值����?
董(dǒng)贵山��:基于我上述提到的目(mù)标��,卫士通提出了集密码服务与密码管理为一体的(de)密码服务平台(tái)的理念模型(xíng)�����。在该模型的服务侧����,密码服务平(píng)台包括层次化密码服务��、通用密码中间件和API网关��,通过标准化(huà)集成能(néng)力集(jí)成优秀(xiù)的(de)密码系统和密码设备(bèi)���;通过资源虚(xū)拟(nǐ)化和微服务化设计对(duì)外提供覆盖(gài)基础密码服务���、通用(yòng)密(mì)码服务和安全应用服务的层次(cì)化密码服务能力����;通(tōng)过通用密码中间件(jiàn)封装层(céng)次化(huà)密码(mǎ)服务接口为应用提供一站式的密码集成能力���;依(yī)托API 网关与(yǔ)管理侧协同实现对应用的(de)接入认证和访问控制��。在管(guǎn)理侧���,密码服务平台通过密码(mǎ)设备与服务管(guǎn)理提(tí)供统一的(de)访问入口和管理界面��,支持(chí)租户(hù)���、应用����、设备����、服务和订单的多(duō)维度管理(lǐ)�����,对使用情(qíng)况进行(háng)信(xìn)息统计和可视化(huà)展(zhǎn)现��,支(zhī)撑(chēng)外部的密(mì)码监(jiān)管和安全运(yùn)营�����;各类平台用户可(kě)以通过统一访问入口进行(háng)登录认证���,完(wán)成各自(zì)的管理(lǐ)职责���。
密码服务平台提出“密码可用��、密码(mǎ)好(hǎo)用���、密(mì)码能管(guǎn)����、密码好管”的四(sì)大服务目(mù)标(biāo)���。在密码可用方面���,通过密码虚拟(nǐ)化(huà)��、层次化(huà)密(mì)码(mǎ)服务(wù)应对目前密码资源使用率低�����、密码技(jì)术(shù)使用不当���、对新业务场景适应性不强的问题���;在(zài)密码好用方面��,通过通(tōng)用密码中间件���、标(biāo)准(zhǔn)化集成能力(lì)应对密码与应用对接困难��、密码服务接(jiē)口不(bú)一致(zhì)以及已建密码资源难以利旧的问(wèn)题����;在密码能管方面��,通过API网关����、密(mì)码(mǎ)设备与服务管理应对业(yè)务应用情况不可控��、密码使用情况不可见以及密码(mǎ)资源(yuán)无法(fǎ)统一管理等(děng)问题��;在密(mì)码好管方(fāng)面��,通过密码服务(wù)的使用计量和专业化技术团队应(yīng)对(duì)密码整体态势无法获取���、密码使用应急能力不足以(yǐ)及使用计量困难等问题���。
针对新型基础设施的(de)场景要(yào)求���,密码服务平台在(zài)基础密码服务方面能够提供(gòng)海量密(mì)钥和证书服务能力���、适应物联网���、车联(lián)网的多元化证书签(qiān)发和管理(lǐ)能力以及覆盖全网的密码(mǎ)监管和管(guǎn)理(lǐ)能力���;在(zài)通用密码服务方面能够提(tí)供(gòng)联(lián)接人机物的异构统(tǒng)一身份认证服务能力���、数(shù)据(jù)流转管控与追溯机制����、物联网(wǎng)设备(bèi)的(de)统一标识管理能(néng)力(lì)����、车联网平台(tái)的电子地图(tú)安全管控(kòng)服务和车端密(mì)码支撑能力等针(zhēn)对性(xìng)的密码(mǎ)服务能力����。
记(jì)者��:您认为应该从哪些方面推进新基(jī)建领域密(mì)码(mǎ)应用建(jiàn)设工作���。
董(dǒng)贵山(shān)��:新基建是数字(zì)中国发展的“新”阶段�����,密(mì)码服务是密码行业(yè)发展的“新”模(mó)式���,两“新(xīn)”碰撞(zhuàng)�����,迸发(fā)新机(jī)���,以新的密(mì)码服务模式保障新基建的“内(nèi)生(shēng)安全(quán)”���。因(yīn)此为保障密码(mǎ)在(zài)新基建中发挥更好的安全(quán)支撑作用(yòng)����,需从多(duō)个(gè)角度(dù)推进(jìn)新基(jī)建领域(yù)密码应用建设工作(zuò)����。
一是通过(guò)政(zhèng)策推动��、业(yè)务驱动等推进密码在新基建领域的广泛部署���,立足密码作(zuò)为网络安(ān)全(quán)的“内置基因(yīn)”定位(wèi)����,实现新(xīn)基建的“内(nèi)生(shēng)安全”����,推动密码(mǎ)在新(xīn)基建的建设和示(shì)范(fàn)����,形成新基建各(gè)典(diǎn)型(xíng)领(lǐng)域密(mì)码应用最佳(jiā)实践���。
二是从(cóng)项目(mù)建设(shè)��、场景需求中提炼业(yè)务场景和技术需求��,开展密码技术突破和产品研制��,从而能(néng)够实现密码技术与新基建各领域的深度融合����,以(yǐ)密码服(fú)务支撑基(jī)础设施对外(wài)安全服务(wù)��。三是落实国家网络(luò)安全等级(jí)保护相关(guān)要求和密码应用(yòng)建(jiàn)设的(de)相关要求��,在新(xīn)型基础设施建(jiàn)设(shè)过程(chéng)中要(yào)同步规(guī)划���、同步建设�����、同步运行密码保障系统并定期进行评估���。在规(guī)划(huá)过程中��,要立足新(xīn)型基础(chǔ)设施安全要(yào)求���,站(zhàn)在整体角度设(shè)计密码应用方案(àn)���,在建设过程中���,把密码服(fú)务融入到整体架构中��,新型基(jī)础设施需与密码(mǎ)保障体系同(tóng)步(bù)运行���,并通过定(dìng)期安全评估���、密码应用安全性评(píng)估等手段����,持续保持密码应用的(de)有效性和安全性��。
