01 宏觀政策為密碼泛在化保駕護(hù)航
密碼是保障網(wǎng)絡(luò)空間安全的核心技術(shù)和基礎(chǔ)支撐。過去,密碼主要用來保護(hù)重要IT系統(tǒng)的通信與存儲安全問題,普通老百姓很少和它打交道。如今,密碼已經(jīng)應(yīng)用到各行各業(yè),影響我們生活的方方面面。密碼產(chǎn)品也從傳統(tǒng)的密碼機(jī)、密鑰管理系統(tǒng)等整機(jī)形態(tài),衍生發(fā)展為安全芯片、軟件密碼模塊、IP核、密碼板卡等不同形態(tài),密碼和IT技術(shù)呈現(xiàn)融合發(fā)展的趨勢,密碼的服務(wù)化更是打破了密碼產(chǎn)品的形態(tài)限制。密碼應(yīng)用已經(jīng)呈現(xiàn)出多元化、融合化、泛在化等新特點(diǎn)。
近年來,我國不斷健全密碼相關(guān)的政策法規(guī),先后制定和實(shí)施了網(wǎng)絡(luò)安全法、密碼法、36號文、GM/T0054、等保 2.0標(biāo)準(zhǔn)等系列法規(guī)政策標(biāo)準(zhǔn),從頂層構(gòu)建了密碼與網(wǎng)信事業(yè)的宏偉藍(lán)圖。在宏觀政策的指引下,我國密碼事業(yè)經(jīng)歷了從無到有、從初創(chuàng)到規(guī)范完善的階段,取得了跨越式的發(fā)展,這也為全面推進(jìn)密碼工作和密碼泛在化應(yīng)用奠定了堅實(shí)有力的基礎(chǔ)。
02 安全風(fēng)險呈現(xiàn)泛在化趨勢
物聯(lián)網(wǎng)、云計算、5G、大數(shù)據(jù)、人工智能等創(chuàng)新技術(shù)正在加速驅(qū)動物理世界與信息世界的融合。我們在享受高新技術(shù)帶來的信息紅利的同時,也無形中打破了固有的網(wǎng)絡(luò)邊界,加劇了信息泛在化的發(fā)展趨勢。物理世界與信息空間的泛在融合,也將物理空間的違法破壞行為引入虛擬世界,網(wǎng)絡(luò)空間變得更加復(fù)雜。
信息技術(shù)的融合,既加速了信息化進(jìn)程,也增大了網(wǎng)絡(luò)攻擊的可能性,網(wǎng)絡(luò)安全問題異常嚴(yán)峻。近年來網(wǎng)絡(luò)安全事件層出不窮、形式各異,涉及到物聯(lián)網(wǎng)安全、數(shù)據(jù)安全、虛擬化安全等方方面面。比如,在物聯(lián)網(wǎng)領(lǐng)域,視頻監(jiān)控弱密碼、偷拍、DDoS攻擊等事件屢見不鮮;大量智能門鎖存在通信監(jiān)聽、門卡復(fù)制、APP攻擊等安全風(fēng)險;傳感器網(wǎng)絡(luò)等無人值守設(shè)備分布廣泛,被攻破而不被發(fā)現(xiàn)的事件也時常被事后報道。隨著信息技術(shù)的發(fā)展,網(wǎng)絡(luò)安全風(fēng)險加速擴(kuò)散,網(wǎng)絡(luò)安全問題已然泛化。
03 密碼技術(shù)的泛在化應(yīng)用思路
面對快速發(fā)展的信息技術(shù)及泛在多變的網(wǎng)絡(luò)安全需求,需要對網(wǎng)絡(luò)空間進(jìn)行體系性的安全防護(hù)。密碼是網(wǎng)絡(luò)信息安全的核心技術(shù),是整個網(wǎng)絡(luò)信任體系的基礎(chǔ)支撐,依托密碼技術(shù)在認(rèn)證、加密等方面的重要作用,構(gòu)建以密碼為基石的網(wǎng)絡(luò)安全體系,能夠有力解決網(wǎng)絡(luò)與信息安全問題。我們在開展具體密碼工作時,需注意密碼技術(shù)與業(yè)務(wù)應(yīng)用的結(jié)合。在不同的業(yè)務(wù)場景中,應(yīng)當(dāng)采用不同的密碼技術(shù)路線或者組合。總的來說,包括經(jīng)典密碼技術(shù)、創(chuàng)新密碼技術(shù)、前沿密碼技術(shù)三個方面。
經(jīng)典密碼技術(shù)指的是常見的對稱密碼、PKI/CA公鑰密碼及標(biāo)識密碼技術(shù)。這類密碼技術(shù)屬于基石性技術(shù),已經(jīng)被廣泛應(yīng)用,能夠解決傳統(tǒng)信息系統(tǒng)安全認(rèn)證與數(shù)據(jù)加密等問題。
我們重點(diǎn)想提一些創(chuàng)新密碼應(yīng)用的工作思路。我們在實(shí)踐過程中,發(fā)現(xiàn)諸如工業(yè)控制、移動辦公、智能家居等新興場景都存在密碼應(yīng)用需求,然而受限于具體場景和環(huán)境,傳統(tǒng)的密碼技術(shù)往往無法直接應(yīng)用。此時,我們就需要轉(zhuǎn)變思路,對密碼應(yīng)用的方法進(jìn)行創(chuàng)新和調(diào)整。第一種思路是“融”,即密碼融合設(shè)計,在設(shè)計之初將密碼流程融入到業(yè)務(wù)應(yīng)用及通信協(xié)議中,避免后期堆疊密碼設(shè)備帶來的性能開銷、系統(tǒng)損害等影響。第二種思路是“變”,我們對傳統(tǒng)密碼技術(shù)進(jìn)行場景化的適配改造,以應(yīng)對差異化的密碼需求,如輕量化密碼協(xié)議、短證書等。第三種思路是“合”,我們可以對加密、認(rèn)證、授權(quán)、安全管理等功能進(jìn)行整合,以能力打包的形式對接應(yīng)用系統(tǒng),提供“一攬子”的密碼解決方案,減輕應(yīng)用的密碼集成難度,快速實(shí)現(xiàn)密碼賦能。
密碼技術(shù)在不斷發(fā)展,學(xué)術(shù)界對零信任、區(qū)塊鏈、安全多方計算、同態(tài)加密、格密碼、抗量子密碼等前沿密碼技術(shù)進(jìn)行了廣泛的研究,部分成果已經(jīng)應(yīng)用到信息系統(tǒng)中,相信未來前沿密碼技術(shù)會得到更加廣泛和全面的應(yīng)用。
04 終端側(cè)的密碼產(chǎn)品部署
終端種類眾多、形態(tài)各異。不同種類的終端在價格成本、網(wǎng)絡(luò)數(shù)據(jù)能力、軟硬件架構(gòu)等方面存在著巨大區(qū)別,終端側(cè)的密碼產(chǎn)品部署需求也存在著差異性,需要因地制宜。
終端側(cè)的密碼產(chǎn)品部署主要涵蓋三種形式:安裝軟件密碼模塊、內(nèi)嵌硬件密碼模塊以及外接安全網(wǎng)關(guān)。對于PC、手機(jī)、高性能嵌入式設(shè)備,我們可以部署軟件密碼模塊,借助CPU的強(qiáng)大運(yùn)算能力,實(shí)現(xiàn)高性能的密碼運(yùn)算,無需額外增加硬件成本。面向智能門鎖、車載控制器等安全性較高的終端,我們可以采用設(shè)備內(nèi)嵌密碼硬件的方式,包括板載安全芯片、內(nèi)接密碼模塊、使用基于密碼的安全通信模組等,提供硬件級安全防護(hù)能力,保障設(shè)備安全。針對微型傳感器、大型進(jìn)口設(shè)備、老舊IT設(shè)備等難以施行密碼改造的場景,我們可以接入安全網(wǎng)關(guān),通過門衛(wèi)式安全防護(hù),保證設(shè)備的接入安全與通信安全問題。
05 密碼的服務(wù)化之道
近年來,越來越多的應(yīng)用遷移上云。我們?nèi)绻謩e對不同的信息系統(tǒng)進(jìn)行密碼應(yīng)用,工作量巨大,密碼資源浪費(fèi)嚴(yán)重。此時,我們可以借助云化、虛擬化的思想將密碼能力服務(wù)化,按需提供密碼資源,不同應(yīng)用系統(tǒng)只需通過服務(wù)調(diào)用的方式即可安全地獲取密碼能力,從而快速實(shí)現(xiàn)密碼應(yīng)用改造。
一個可行的實(shí)踐路線是構(gòu)建密碼服務(wù)平臺。我所在的衛(wèi)士通公司作為綜合實(shí)力較強(qiáng)的密碼企業(yè),正在從傳統(tǒng)密碼產(chǎn)品提供商向平臺型安全服務(wù)提供商轉(zhuǎn)型,密碼服務(wù)平臺便是一個重要的抓手。密碼服務(wù)平臺不直接提供密碼產(chǎn)品,面向應(yīng)用提供場景化的密碼服務(wù),提升合規(guī)的密碼應(yīng)用效率,降低應(yīng)用與密碼對接的難度。我們看到,越來越多的政務(wù)云正在采用密碼服務(wù)平臺,實(shí)現(xiàn)云上應(yīng)用的快速對接。可以預(yù)見,密碼服務(wù)是促進(jìn)密碼泛在化落地的重要且有效的技術(shù)路徑。
06 基礎(chǔ)軟硬件的內(nèi)生安全機(jī)制
長久以來,計算機(jī)系統(tǒng)基礎(chǔ)軟硬件的安全及密碼措施都是各自為政,較為獨(dú)立。如果要做一個安全瀏覽器,我們可能會在瀏覽器內(nèi)部集成OpenSSL算法庫;如果要做一個加密數(shù)據(jù)庫,我們可能為數(shù)據(jù)庫配用密碼硬件;如果要做安全啟動,我們需要為計算機(jī)配置TPCM、TCM等可信計算芯片。計算機(jī)系統(tǒng)各個軟硬件之間的密碼能力缺乏協(xié)同,煙囪式存在。另外,各類軟硬件廠商自行建設(shè)密碼,也存在著合規(guī)性的問題。
我們在構(gòu)建自主信息系統(tǒng)時,可以從系統(tǒng)體系的角度出發(fā),使用一套密碼方案,貫通計算機(jī)基礎(chǔ)軟硬件的各個環(huán)節(jié),實(shí)現(xiàn)密碼運(yùn)算和可信計算。基礎(chǔ)此種思想,如衛(wèi)士通與龍芯聯(lián)合推出的內(nèi)嵌安全SE的國產(chǎn)處理器,打通了CPU、BIOS、操作系統(tǒng)、中間件、數(shù)據(jù)庫、瀏覽器等各環(huán)節(jié),構(gòu)建了內(nèi)生安全的基礎(chǔ)軟硬件密碼應(yīng)用生態(tài)。
07 典型案例
分享兩個場景化案例。一是視頻融合通信,包含視頻監(jiān)控、直播、會商等多種業(yè)務(wù)模式。我們可以采用端到端的安全方式對視頻終端、服務(wù)端進(jìn)行密碼改造,對大帶寬、高清、多路、實(shí)時音視頻進(jìn)行加解密。GB35114便是此類方式的標(biāo)準(zhǔn)化落地,未來也將會有更多音視頻密碼應(yīng)用的標(biāo)準(zhǔn)指導(dǎo)相關(guān)工作。二是物聯(lián)網(wǎng)密碼應(yīng)用,我們可以建立覆蓋物聯(lián)網(wǎng)“端-邊-網(wǎng)-云”的密碼應(yīng)用體系。端,指的是物聯(lián)網(wǎng)終端側(cè)部署安全芯片/軟件密碼模塊等密碼產(chǎn)品,實(shí)現(xiàn)終端安全防護(hù);邊,指的是提供安全邊緣網(wǎng)關(guān),安全接入物聯(lián)網(wǎng)終端;網(wǎng),指的是基于密碼技術(shù)保障物聯(lián)網(wǎng)通信安全;云,指的是物聯(lián)網(wǎng)平臺具備密碼與安全能力。
08 密碼應(yīng)用推進(jìn)思考
密碼事業(yè)的政策性較強(qiáng),我們密碼工作者要時刻關(guān)注國家政策法規(guī),尤其是中央、地方、大型機(jī)關(guān)單位的商密規(guī)劃,這將帶來大量的密碼泛在化建設(shè)項(xiàng)目。另外,隨著等保2.0、密評工作的廣泛、有序開展,更多的細(xì)分領(lǐng)域?qū)_展密碼工作,密碼市場規(guī)模迅速擴(kuò)大。我們在專注既有業(yè)務(wù)領(lǐng)域的同時,應(yīng)不斷開拓新的行業(yè)用戶和業(yè)務(wù)領(lǐng)域,拓展密碼應(yīng)用的范圍。
密碼應(yīng)用和改造需要達(dá)到什么程度?是否密碼措施越多越好?如何讓更多的行業(yè)用戶、企業(yè)單位放下對密碼或安全的固有成見,愿意用密碼?這些問題都值得我們思考。我們在做密碼應(yīng)用和推廣的時候,一定要結(jié)合行業(yè)政策與應(yīng)用實(shí)際,按需地開展密碼應(yīng)用,密碼應(yīng)用的強(qiáng)度不能單一量化,做到合規(guī)的同時,保證相當(dāng)?shù)陌踩浴?/p>
09 從業(yè)者建議
在密碼泛在化的背景環(huán)境下,我們從業(yè)者需要哪些方面的能力素養(yǎng)?我認(rèn)為,至少需要三方面的能力。第一,完備的密碼知識。密碼技術(shù)不斷發(fā)展,我們需要廣泛涉獵密碼知識,同時也應(yīng)當(dāng)潛心鉆研一些重點(diǎn)的密碼知識,尤其是我們工作中可能用到的密碼技術(shù)。第二,全棧的密碼設(shè)計能力。包括密碼算法、產(chǎn)品化設(shè)計、接口對接、協(xié)議優(yōu)化等等,只有具備了全棧的設(shè)計能力,才能應(yīng)對復(fù)雜多變的情況,準(zhǔn)確地對密碼方案進(jìn)行優(yōu)化和改造。第三,快速理解業(yè)務(wù)應(yīng)用的能力。密碼和業(yè)務(wù)不能是“兩張皮”,密碼的設(shè)計必須基于業(yè)務(wù)實(shí)際,密碼工作者應(yīng)當(dāng)理解業(yè)務(wù)流程并梳理出安全痛點(diǎn)及密碼應(yīng)用需求,才能做好密碼建設(shè)的實(shí)際工作。
1月15日,人社部發(fā)文擬新增“密碼技術(shù)應(yīng)用員”職業(yè),并將其定義為運(yùn)用密碼技術(shù),從事信息系統(tǒng)安全密碼保障的架構(gòu)設(shè)計、系統(tǒng)集成、檢測評估、運(yùn)維管理、密碼咨詢等相關(guān)密碼服務(wù)的人員。“密碼技術(shù)應(yīng)用員”作為密碼泛在化的一個專門職業(yè)被正式提出,這無疑會促進(jìn)密碼泛在化的應(yīng)用與推廣工作。同時,作為密碼從業(yè)者的我們,也應(yīng)當(dāng)參照“密碼技術(shù)應(yīng)用員”的要求積極提升個人能力。
10 密碼泛在化的未來
傳統(tǒng)信息行業(yè)、新技術(shù)業(yè)務(wù)領(lǐng)域快速發(fā)展并交相輝映,信息世界正朝著相互滲透、多元發(fā)展的方向演進(jìn)。我們有理由相信,未來,密碼就是信息世界不可或缺的組件,密碼也將作為泛化信息世界的安全基石,有力保障信息世界的安全持續(xù)發(fā)展。密碼人,大有可為。
