“网络(luò)安全为人民�����,网络安全(quán)靠人民���。”9月(yuè)16日����,卫(wèi)士通多位网(wǎng)络安(ān)全(quán)专家已“奔赴”各级网(wǎng)络安全宣传(chuán)周活动(dòng)���,通过线上(shàng)与线(xiàn)下相结(jié)合的方式��,兼顾行业人士与普通大众的不同关(guān)注点���,从密码在网络安全中的核心作用���、泛在化应(yīng)用���、以及创新服(fú)务方式进行(háng)了多方(fāng)位���、多层级的观(guān)点分享���。
核心 | 夯实新型基础设施网络(luò)安全底座
中国(guó)电科集团网(wǎng)络安全(quán)领(lǐng)域首席专家��、中国网安副(fù)总工程(chéng)师(shī)���、卫士(shì)通总工程师董贵山出席(xí)第七届国家网络(luò)安全宣传周(zhōu)新型基础(chǔ)设施网络安全高峰(fēng)论坛(tán)���,并作(zuò)“保障工业互联网(wǎng)安全���,服务制(zhì)造业高质量发(fā)展”主题演讲��,系统地(dì)阐述和分析(xī)了我国工业互联网(wǎng)的发展背景���、潜在(zài)安全风(fēng)险及相关政(zhèng)策要求���,并提出了构建体系(xì)化安全防(fáng)护能力��,夯实(shí)以工(gōng)业互(hù)联(lián)网为(wéi)代(dài)表的新型基础(chǔ)设施网(wǎng)络安全(quán)底座的三点建(jiàn)议���。
▲图 董贵(guì)山作主题演(yǎn)讲
一是���,建议借(jiè)鉴企业工(gōng)业信(xìn)息安全整体保障实施原(yuán)则���。企业工业信(xìn)息(xī)安全整体保障是中(zhōng)国(guó)网安基(jī)于正确(què)的网络安全观提(tí)出的“整(zhěng)体安全���、动态安全���、相对安(ān)全(quán)����、合规与赋能��、技术与管理”的企业工(gōng)业信息安全整体保障(zhàng)实施原(yuán)则����,并在(zài)中国网(wǎng)安(ān)相关(guān)工(gōng)作中广(guǎng)泛应用����,对其他(tā)企业(yè)开展工业信息安全保障将起(qǐ)到借鉴作用��。
二是����,严格履行“七项义(yì)务����,四类(lèi)防护”的基本要求���。《网络安全法(fǎ)》对网络运营者的最基本(běn)义(yì)务和(hé)安全(quán)要求(qiú)做了明确(què)规定���,各工业(yè)企(qǐ)业应履行网络运行安全义务��、网络产品和服务安全(quán)义务���、关键信息基础设施安全保护义务���、公民(mín)个人信息保(bǎo)护(hù)义务��、网络信息(xī)安全管理义务�����、对监管机(jī)关的执法协助义务和其他法定(dìng)义务���,实现网页(yè)防篡改�����、服务防中断���、系统防(fáng)病毒���、数(shù)据防泄(xiè)漏���。
三是����,利用密(mì)码算法保障(zhàng)工业互联网(wǎng)数据(jù)的多方安全(quán)共享����,达到工业数据安全(quán)的价值流动����。密码(mǎ)技术(shù)在网络安(ān)全防护(hù)体系中位(wèi)居核(hé)心和基础地位����,其提(tí)供的可信数(shù)据汇聚��、数据加(jiā)密存储(chǔ)���、安全数(shù)据共享(xiǎng)����、安全多方计算����、数据流(liú)转确权能够实现数据的全(quán)生命周期安(ān)全�����,并针对敏感数据����、企业核心(xīn)数据提供针对性的数据脱敏����、数据(jù)加密(mì)和数(shù)据隐(yǐn)藏能力���,将防护能力深入到业(yè)务(wù)流转之中����,能够有(yǒu)效(xiào)的保护安全隐私��,维护企业利益��,在数据可(kě)用不可(kě)见的基础上实现数据价值的流转和(hé)交互��。
广度 | 拓展密(mì)码泛在化应用
国家网络安全宣传周同期����,成都(dōu)市(shì)的相(xiàng)关活动也在火热进行���,卫士通结合现(xiàn)场(chǎng)展示(shì)���、专家演讲��、互动游戏����,从“密码(mǎ)的内涵与意义”����、“密码(mǎ)泛在(zài)化内涵与意义”���、“密码领域(yù)典型实践与应用”三方面(miàn)向成都市民普及(jí)了(le)“密码泛在化(huà)”进程����、应用及(jí)意(yì)义(yì)���。
▲图 周阳作主(zhǔ)题演讲
卫(wèi)士通(tōng)方案中心技术专家周阳在演讲中特(tè)别选(xuǎn)取大众最常接(jiē)触的生活场景���,通俗易懂的向成都市民进行分(fèn)享���。周阳(yáng)通过诸如黑(hēi)客攻击(jī)政(zhèng)府网站窃(qiè)取公民和企业信息��,就医人员(yuán)医疗信息遭泄露导致(zhì)个人敏感(gǎn)信息被窃取����,12306遭泄露数据撞库攻击����,考生网(wǎng)上报考信息泄露����,伪造印章���,虚开(kāi)发票����,伪造文件造(zào)成国家财产(chǎn)损(sǔn)失等大众在日(rì)常生(shēng)活(huó)中接触(chù)到的场(chǎng)景(jǐng)案例引入���,带领听众一起总(zǒng)结了数字生活正面四大主要痛点����,临时身(shēn)份鉴别有“短板”�����、个人信(xìn)息缺“保护(hù)” ��、数据安(ān)全有“欠缺(quē)”���、文(wén)件印章缺“可信”��。
而解(jiě)决这些痛(tòng)点(diǎn)的一大法宝(bǎo)��,便是“密码(mǎ)”���!经(jīng)过20多年的(de)发展���,我国商用密码已经应用到社(shè)会生(shēng)产生活的各个(gè)方(fāng)面���,在网络(luò)和信息(xī)安全中发(fā)挥(huī)着越来越重(chóng)要的基础支撑作用(yòng)�����。在政务(wù)服务���,基于(yú)商用密码技(jì)术���,防止政务服务���、防疫健康信息码(mǎ)使用(yòng)过程中的公众隐(yǐn)私数(shù)据泄露(lù)�����,电子证照�����、电子印(yìn)章真实有效����,保障(zhàng)市(shì)民数字生活安全�����。在社(shè)会保障���,密钥管理系统作(zuò)为社保卡制卡体系的核心(xīn)����,主要负责各类密钥的生成����、存储与分发(fā)����,密钥管理系统中的密钥按(àn)密钥类(lèi)型(xíng)��、应用类型和交(jiāo)易种类(lèi)进行定义�����,并通过分散变化等机制进行分级管理����,避免单个(gè)密钥被攻破之后影响整体系统的密钥安全����。在医(yī)疗卫生方面��,密码技术的应用保障了(le)新(xīn)形势下(xià)的医疗(liáo)电子体系稳(wěn)定(dìng)发(fā)展(zhǎn)���,其中安全可信的(de)电子病历以电子认证和电子签名为手段���,形成完善的技术保(bǎo)障体系���,营运安全(quán)可信(xìn)的(de)电子病历应用环境���,等等���。
深度 | 创新密(mì)码服务方式
卫士通方案中心商用密码专家周君平在国家网络安全宣传周内蒙分会场的线上论(lùn)坛(tán)上����,作“推动(dòng)商用(yòng)密码应用��,创(chuàng)新(xīn)密码服务能力(lì)”主题(tí)演讲��。她表示���,随着(zhe)密码技术的深度��、广(guǎng)度(dù)融合发(fā)展趋势����,不仅促进了(le)产业链(liàn)全生态的建立健(jiàn)全(quán)��,而且还催(cuī)生(shēng)了密码服务“平台化(huà)”创新应用模式���。
▲图 周君平(píng)
该模式(shì)通过构建一体化(huà)的密码服务平(píng)台(tái)���,将为各行业重要信(xìn)息系统提供(gòng)统(tǒng)一���、弹性��、高效����、规(guī)模化的(de)密码(mǎ)应用服务�����。一体化密码服(fú)务平台将采用微服务架构对密码服务基础支撑设备���、系统的能力进行抽象封装���,形成密码服务能力(lì)����,并通过API网关将(jiāng)密码服务(wù)的能(néng)力采用标准统一的接口(kǒu)���,以API的形式或SDK的形式(shì)向(xiàng)安(ān)全应用提供���。同时(shí)基于平(píng)台管控实现对平台的应(yīng)用接入(rù)管理(lǐ)���,密码资源���、资产的(de)统计管(guǎn)理���,基于(yú)密码监管服务实现对密码(mǎ)设备����、密码资源����、密(mì)码服务调用情况的统一监管(guǎn)����,基于(yú)安全运营(yíng)服(fú)务(wù)使用��,实现租户管理�����、平(píng)台运(yùn)营状态(tài)监控���、资源(yuán)可用性监控(kòng)等����。这种商用密码创(chuàng)新服务(wù)方式有(yǒu)以下(xià)几个特点����:
1.服务(wù)化(huà) 以服(fú)务替代产品���,降(jiàng)低采购成本和运维成本���,提升信息(xī)化建设敏捷性���,缓解安全(quán)建设的困(kùn)扰(rǎo)����。
2.精准化(huà) 将密码业(yè)务深植于业务之中���,由专业的密码厂商提供服(fú)务���,实时跟踪学界和业界的(de)前沿进展(zhǎn)���,着力开展技术演进和模式创新��,保(bǎo)持服务能力的持(chí)续迭(dié)代(dài)和更(gèng)新���。
3.泛(fàn)在(zài)化 面向(xiàng)目前数字政府建设的多云(yún)部署趋势����,提供支持不同云服务平台(tái)的泛在接入能力���。
4.合(hé)规化 以商用密码和等级保护(hù)相关规定为指导��,以安全合规为底线���,避免(miǎn)业务应用的合规风险��。
5.简(jiǎn)略化 为业务应用(yòng)提供便捷的密(mì)码服务接(jiē)口(kǒu)����,缓解现在业务应用开发(fā)商(shāng)的密码(mǎ)研发难度��,弥补安(ān)全(quán)应用短(duǎn)板��。依托密钥(yào)管理���、密码应用(yòng)等服(fú)务能(néng)力�����,联通前端业务服务商和后端基础服务商��,结合(hé)密钥管理和(hé)身份(fèn)服务入口����,形(xíng)成以密(mì)码(mǎ)服务为核(hé)心的互联网信任服务(wù)生态��,支撑网络空间安全��。
