记(jì)者���:2020年4月20日国家发改委(wěi)相(xiàng)关(guān)负责人首次明确新(xīn)型基础设施的范(fàn)围(wéi)����,请问新(xīn)型基础设施具体包(bāo)括(kuò)哪些内容���,又有哪(nǎ)些特性���?
董贵(guì)山����:新型基础(chǔ)设施主(zhǔ)要包括(kuò)三(sān)个方(fāng)面内(nèi)容��:一是信(xìn)息基(jī)础(chǔ)设(shè)施��。主(zhǔ)要是指基于新一代信(xìn)息技术演(yǎn)化生成的基础设施(shī)��,比(bǐ)如��,以5G���、物联网(wǎng)�����、工(gōng)业互联网����、卫星互联网为(wéi)代(dài)表的通信网络(luò)基础设施����,以人工智能(néng)���、云计算���、区块(kuài)链为代表的新技术(shù)基础设施��,以(yǐ)数据中心���、智能(néng)计算中心为(wéi)代表的(de)算力(lì)基础设施等����;二是(shì)融合基础设施��。主(zhǔ)要是(shì)指深度应(yīng)用(yòng)互联(lián)网����、大数(shù)据���、人工智能等技(jì)术���,支撑传统(tǒng)基础设(shè)施转型升级���,进而形成的融合基(jī)础设施����,比(bǐ)如��,智能交通基础设施���、智慧(huì)能源基础设施等��;三是创新基(jī)础设施���。主要是指支撑科学研(yán)究����、技术开发���、产品研制的具有公益(yì)属性(xìng)的基(jī)础设施��,比如����,重大科技基(jī)础设施(shī)����、科教基础设施��、产业(yè)技术创新基础设施等��。
从以上三个方面的分类来看���,新型基础(chǔ)设施是未来引(yǐn)领数字经济发(fā)展的关键载体和支(zhī)柱���,覆盖了网络通信���、信(xìn)息计(jì)算����、新兴(xìng)技术领域���、行业性融合平台以(yǐ)及科研支撑平台���,将成为数字(zì)中国在网络空间“数字孪生”的沃土和通路���。网(wǎng)络安全作为新基建���、数(shù)字经济发(fā)展的基石(shí)����, 也受到(dào)了广泛的关注与重视���。
新型基础设施具备基(jī)础(chǔ)平台支撑���、海量数据汇聚���、广泛实体接入(rù)����、泛在(zài)服务交付四(sì)大特性���。“基础平台支撑”体现了新型(xíng)基(jī)础设(shè)施的总体定位���,不(bú)管是信息(xī)基础(chǔ)设施�����、融合基础设施还(hái)是创新基础设(shè)施����,都具有显著的基(jī)础性(xìng)和平台性���,是网络通信����、信息服务和科研创新的基础支撑����;“海量数据汇聚”“广(guǎng)泛(fàn)实体接入”体(tǐ)现了新型(xíng)基础(chǔ)设施的平台价值����,信息基础(chǔ)设施和融(róng)合(hé)基础设施汇(huì)聚(jù)了海量(liàng)的(de)通信数(shù)据��、行业数据和科研数据����,提供网络(luò)互联平(píng)台���,为广泛的网络实体提供网络接入和服务功(gōng)能���;“泛在(zài)服务(wù)交付”体现(xiàn)了新型基础设施的交付(fù)模式���,不管是传统基(jī)础(chǔ)设施还是信息基(jī)础设施(shī)����,均是采用服务化的(de)价值交付模(mó)式(shì)���,结合互联网(wǎng)泛在接入����、网络互联的特点���,新型基础设施能够为广泛的网络实(shí)体提供泛(fàn)在化的(de)服务覆盖����,最大化平台价(jià)值���。这四大特性(xìng)无一不代表着巨大的数据价值和平台价值(zhí)��,对网络攻击者具有极高的诱惑力��,存在极大的安(ān)全(quán)风险���。
记者���:密码技术在新基建中(zhōng)扮(bàn)演(yǎn)什么样(yàng)的角色����?
董贵山���:“网络安全与信息化是一体之两翼���,驱动之(zhī)双轮”���。安(ān)全是发展的保障�����,发展是安全的目的��,网络安全和信息化建设互相依存���、协调共生��。新型基础(chǔ)设施建设是(shì)“云大物移智(zhì)”的有机聚合和(hé)结构化(huà)升(shēng)级����,网络安全(quán)风险也覆盖了信息服务平台���、IoT设备����、PC端���、移动端���,这些承载(zǎi)着新基(jī)建业(yè)务(wù)����、数据和服务的载体正在时(shí)刻接受海量网络攻击的(de)考验(yàn)���,如(rú)何全面保障新型基础设施安全也受到了业界的广泛关注��。新型基础(chǔ)设施作为(wéi)国家(jiā)级的网络信息服(fú)务平台���、行业融合支撑(chēng)平台和科研平台���,应(yīng)参考(kǎo)关键信息基(jī)础设(shè)施的相关要求(qiú)进行安全防护设计和建设工作��,同时针对新基建各领(lǐng)域(yù)特定场景进行(háng)定(dìng)制化防护���。传统的网络(luò)安全防护体系(xì)多具有通用(yòng)性和普适性�����,无法细(xì)粒度的涵(hán)盖(gài)到特定场景和业务数据流转方(fāng)面����,而(ér)密(mì)码技术因其技术特(tè)点(diǎn)和防护(hù)理念能够深入(rù)到(dào)业务(wù)场景之(zhī)中����,与业务应用进行深入融合���,像为士兵穿上“盔甲”一样���,为防护对象(xiàng)提供(gòng)“贴身防护”能力���。
密码是保障网(wǎng)络和信息(xī)安全最(zuì)有效(xiào)���、最(zuì)可靠���、最经济的(de)关键核心(xīn)技术���,是(shì)网络(luò)安全的最(zuì)后一道防线���,能够为新(xīn)基(jī)建的“基础平台支撑����、海量数据汇聚���、广泛实体接入���、泛在服务交(jiāo)付” 四大特性(xìng)提供(gòng)针对性的防护(hù)����。
(1)密码为(wéi)“基础平台支撑”构筑(zhù)完善的安全防护(hù)体系����。
新型基础(chǔ)设施为国家(jiā)信(xìn)息化(huà)建设提供新一代的(de)基础支撑平台���,其平(píng)台价值极高(gāo)����,因此(cǐ)需要完善的安全防护能力���。密码技术在网络安全防护体系(xì)中位居核心和基础地位����,依(yī)靠密码(mǎ)技术和网(wǎng)络(luò)安全(quán)技术能够(gòu)打造集感知安全���、传输安全���、存储安全���、计算(suàn)安全���、处理安全���、应(yīng)用安全于一体的(de)安全防(fáng)护能力��,构建以密码技(jì)术为核心���、多种技术相互融合的新网络安(ān)全(quán)体系(xì)����, 构(gòu)筑新基建(jiàn)安全防(fáng)护(hù)体系���。
(2)密(mì)码为“海量数据汇聚”建立(lì)坚实的数据(jù)保护能力���。
新型基(jī)础设施是基于多种(zhǒng)功(gōng)能��、多种要素����、多种技术的体系(xì)化集(jí)成(chéng)����,支撑着跨(kuà)领(lǐng)域����、跨平台和跨系统的数据交换(huàn)和信息共享����,提供(gòng)海量数据分析����,实现数据的互(hù)操(cāo)作和流程协同�����。密(mì)码技术提供的数(shù)据(jù)加密存储����、可信数据(jù)汇(huì)聚���、安全数据共(gòng)享���、数(shù)据流转确权能够实现数据(jù)的全生命周期安全���,并对敏感数(shù)据���、个人隐私(sī)数据提供针对性的数据脱敏����、数据加密(mì)和数据隐藏能力���,将防(fáng)护能力(lì)深入(rù)到(dào)业务(wù)流(liú)转之中(zhōng)�����。
(3)密码为“广泛实(shí)体接入(rù)”提供安全的鉴别防护机(jī)制��。
新型基础设施的部分(fèn)重点领域如(rú)铁路�����、公路���、电网����、通信���、管网等��,为(wéi)规模(mó)化(huà)的网络实体接(jiē)入建设网络互联平台��,实现实(shí)体的广泛(fàn)接入和(hé)互联通信����。网络互(hù)联(lián)平台的安全稳定运行成为了新(xīn)型基础设施建(jiàn)设实现价值的(de)前提��。基于密(mì)码技术为(wéi)网络实(shí)体建立(lì)安全的数据执行(háng)和存储环境���,基(jī)于密码技术建立平台侧与网络实体之间(jiān)的(de)可信鉴别和安全传输机(jī)制����,两者(zhě)结合构建从(cóng)终端侧(cè)到平台(tái)侧的安全(quán)接入环境���,有效(xiào)的保护平(píng)台外延的网(wǎng)络实体(tǐ)安全���,保(bǎo)障(zhàng)新型基础设施的网络(luò)实(shí)体安全(quán)和边界接入安全�����。
(4)密(mì)码为(wéi)“泛在服务交付”构建泛在(zài)的密(mì)码服务能力��。
从新型基础设施的建设领(lǐng)域如(rú)智慧城市(shì)��、物联网(wǎng)����、车联网�����、充电桩(zhuāng)可以看出���,核心价值是为(wéi)数字经济(jì)广大领域提供泛在化的服务���,将基础能(néng)力提供给更多的企业����、组织和个人去使用����,拓(tuò)展服(fú)务范围���,让(ràng)更多人享(xiǎng)受(shòu)数字经(jīng)济发(fā)展的红利�����。泛在的服务能力一方(fāng)面需要服务于各行业领域��,密码技术需要依托(tuō)各行业领(lǐng)域特(tè)性提(tí)供相适应的(de)防护能力���,另一方面需要延(yán)伸(shēn)到海量的网络实体��,这(zhè)些网络实体是新型基(jī)础设施建设(shè)的(de)价值(zhí)延(yán)伸和受益主(zhǔ)体����,同时也会成为网络攻(gōng)击的薄弱(ruò)点和攻击点���,成为攻击平台的跳板(bǎn)����。为此���,需要建立泛在(zài)化的密码保障机制����, 为广大行业领域提供泛在的密码服(fú)务接入能力���,为移(yí)动终端���、PC端���、IoT终(zhōng)端提供体系化(huà)的密码防护能(néng)力����,有力的(de)支持新基建泛在服务的安(ān)全稳定和可管可控���。
新(xīn)型基(jī)础(chǔ)设施(shī)建设一方面(miàn)兼具关键信(xìn)息基础(chǔ)设施的价值定位���,另一方面融合新兴技(jì)术����、新(xīn)兴领(lǐng)域的业务特(tè)点����,具有较(jiào)高的复杂性和先进性����。因此需要基于(yú)密码技术为(wéi)新(xīn)型基础设(shè)施设计(jì)建设(shè)完善(shàn)的网络安(ān)全防护体系���。
记者����:密(mì)码法的发布对新基建的推(tuī)动工作有哪些影响���?
董贵山��:当前��,密码的价值得到了广泛的(de)重视���,2020年1月1日���,《中华人民共和(hé)国(guó)密(mì)码法(fǎ)》正式实施����,2020年成(chéng)为了“密码法元年”��,密码法对密(mì)码进行明确的定义(yì)���,密码是指采用特定变换的方法对(duì)信息进行加(jiā)密保护��、安全认(rèn)证的技(jì)术���、产品和(hé)服务����。其中���,商用密(mì)码用于保护不属(shǔ)于国家秘密(mì)的信息��,公民���、法(fǎ)人(rén)和(hé)其他组织可以依(yī)法使用商用密码(mǎ)保护网络与信息安全����。商(shāng)用密(mì)码具备机密性�����、完整性�����、真实性和不可(kě)否认(rèn)性四大防(fáng)护特性�����,能够(gòu)应对网络安全的数据泄露���、数据篡改���、身(shēn)份(fèn)仿冒和行为否(fǒu)认等风险����。
商用(yòng)密码是我国自(zì)主完善的技术体系��,经过二十(shí)余年的发(fā)展和演进(jìn)���,提出了包含SM1����、SM2���、SM3����、SM4���、SM7����、SM9和ZUC算法的一套(tào)完整自洽(qià)的商(shāng)用(yòng)密码算法体系(xì)���,建立了覆盖密码算法��、密码协议���、密(mì)码功能接口�����、密(mì)码产品规格(gé)����、密(mì)码应用(yòng)要求和测评规范的(de)一套完善的标准体系���,形(xíng)成了以密码芯片(piàn)���、密码板卡���、密码整机和密码系统等传(chuán)统产品为主����,多种产品形态和应用模(mó)式并现的产品体(tǐ)系�����。
商用密码的建设(shè)受到了政策���、法规����、标准���、规范(fàn)的全面推动�����。以法(fǎ)规(guī)奠定密码法制基础�����,国家相继出台了网(wǎng)络(luò)安全法��、密码法���,加(jiā)速数据(jù)安(ān)全法���、个人信息保护(hù)法立(lì)法进程����,旨在规范(fàn)网络安全���,以法理奠定密码的核(hé)心(xīn)定位��;以政策推动密码按需建设����,国家在关(guān)键信息基础设(shè)施���、政务信息化建设����、信创产(chǎn)业等方面均以政(zhèng)策文件(jiàn)的方(fāng)式明确了密码是网络安全(quán)和(hé)信息化建设的重(chóng)要组成(chéng)部分��;以标准(zhǔn)构建密(mì)码使(shǐ)用基线���,网络安(ān)全等级保(bǎo)护标(biāo)准体系的升级明确了密(mì)码在等保定级(jí)和合规防护方面的基本(běn)要求(qiú)���,密码行(háng)业标(biāo)准(zhǔn)体系的快速(sù)增补也在全面完善密码(mǎ)技术和产(chǎn)品的合规应(yīng)用(yòng)����;以测评保(bǎo)障(zhàng)密码应用合规����,参考网络(luò)安全等级(jí)保护的测(cè)评机制和测(cè)评要求(qiú)����,密码行(háng)业(yè)出台了密码应用安全性评估制(zhì)度��,以测评来明确密码应用的合规性����、正确性和有效性����,从而保障密码应用设计的完(wán)备性和密(mì)码产品在各个环节的正确有(yǒu)效使用���。
新型基(jī)础设施建(jiàn)设同(tóng)样需要密码技术(shù)的保障���,无论是从(cóng)合法合规角度还是(shì)消除安全风险(xiǎn)角度来看���,密码技术都是新(xīn)型基础设施网络安全的最后一(yī)道防线(xiàn)����。
从基础设施这个词汇来看(kàn)��,密(mì)码(mǎ)行业(yè)同样存在一个基础设(shè)施——公(gōng)钥密码基(jī)础(chǔ)设施(shī)(Public Key Infrastructure����,PKI)��,公钥(yào)密(mì)码基础设施是一个包括硬件���、软件����、人员���、策略和规程的(de)集合���,用来实现基于(yú)公钥密码体制的密钥和证书的产生(shēng)����、管理����、存储(chǔ)���、分(fèn)发和撤销等功能���,目前已广泛(fàn)应用(yòng)于政务��、金(jīn)融���、电力等构架关键信息基础(chǔ)设施领域��,为其(qí)提供可信的(de)密钥和证书管理(lǐ)���,建立(lì)网(wǎng)络安全的可信根(gēn)��。
新型基础设施继承了(le)传统基础(chǔ)设施建设(shè)的(de)服务化特性����,通过端到端的服务(wù)模(mó)式创造和交付价值��,这一模式特性(xìng)要求密码支撑能力能够提(tí)供相匹配(pèi)的(de)能力(lì)�����,PKI更倾向于传统的(de)安(ān)全基础设施(shī)�����,提供基(jī)础通用的(de)密(mì)码支撑能力(lì)��,对新型基础设(shè)施建设的密码需求(qiú)的匹配性不(bú)高����。
新(xīn)型基础设施的基础平台支撑要求密码支撑(chēng)提供灵活弹(dàn)性可伸(shēn)缩的服务(wù)能力(lì)��,海量数(shù)据汇(huì)聚要求密码支撑提供(gòng)融合数据全生命周(zhōu)期(qī)的数据防护能力���,广泛实体接(jiē)入要求密码支撑提(tí)供平(píng)台化的通信(xìn)保(bǎo)护(hù)和接入(rù)管控能力(lì)����,泛在服务交付要求密码支撑提(tí)供服务化的(de)密码交付能力�����,让新基建的受益(yì)者能够(gòu)享(xiǎng)受经过(guò)密码防护的安全新基建服务���。这些(xiē)能力都是传(chuán)统的密码建设模式无(wú)法全面响应(yīng)的����。为此我们提供建设以密码服(fú)务平台为核心的(de)新型密(mì)码管理与服务基础设(shè)施���,应对新型基础设施泛在(zài)互联海(hǎi)量支撑(chēng)的平台特性(xìng)提供泛在(zài)化��、平台化(huà)的密码服务能力(lì)和一窗式��、多维度(dù)的密码(mǎ)管理能力����。
记者���:新基建场景中����,您认(rèn)为这种(zhǒng)新的密码服(fú)务模式能够带来什么价值��?
董贵山��:基于我上述提到(dào)的目标(biāo)��,卫士通提出了集密码服务与密码管理为(wéi)一体的(de)密码服务平台的理念模型��。在该(gāi)模型的服务侧(cè)���,密码服务平台(tái)包括(kuò)层次化密码服务��、通(tōng)用密码中间件(jiàn)和API网关(guān)����,通过标(biāo)准化集成能力(lì)集成优秀的密码系统和密码设(shè)备�����;通过资源虚拟(nǐ)化(huà)和微服务化设计对外提供覆盖基(jī)础密码服务���、通用密码服务和(hé)安全应(yīng)用(yòng)服务的(de)层次化密码服务能力��;通过通用密码中间件封装层次化密码服务接口为应(yīng)用提供(gòng)一(yī)站式的密(mì)码集成能力���;依托API 网关与管理侧协同实现对(duì)应用的接入(rù)认证和(hé)访(fǎng)问控制��。在管理(lǐ)侧�����,密码服务平台(tái)通过密码设备与服务管理提(tí)供统(tǒng)一的访(fǎng)问入(rù)口和管理界面����,支持租户(hù)���、应用����、设备(bèi)��、服务(wù)和订单(dān)的多维度(dù)管理��,对(duì)使用情况进(jìn)行信息统计和可视化展现��,支撑外部的密码监管和安(ān)全运营(yíng)��;各类平台(tái)用户可以通(tōng)过统一访问入口进行登录认证��,完成各自的管理(lǐ)职责��。
密(mì)码服务平台(tái)提(tí)出“密码可用����、密码好用��、密码能管�����、密码好管(guǎn)”的四大服务目标��。在密码可用方面(miàn)�����,通过密码虚拟(nǐ)化��、层(céng)次化密(mì)码服务应对目前(qián)密码资源使用(yòng)率低�����、密码(mǎ)技术使用(yòng)不当��、对新业务(wù)场景适应性不强的问题����;在密(mì)码好用方(fāng)面���,通过(guò)通用密码中间件���、标准化集(jí)成(chéng)能力应对(duì)密码与(yǔ)应用对接困难���、密(mì)码服务接口不(bú)一(yī)致以及已(yǐ)建密码资(zī)源难以利旧(jiù)的问题��;在密码能(néng)管方面����,通过API网关�����、密码设备与服务管理应对业务应用(yòng)情(qíng)况(kuàng)不可控(kòng)���、密码使用情况不可见以及密码资源无法统一管理等问题��;在密码好管方面���,通(tōng)过密码服务的(de)使(shǐ)用计量和专(zhuān)业(yè)化技术团队应对密码整体态势无法获取���、密码使用应急能力不(bú)足(zú)以及使用计(jì)量困难(nán)等问题�����。
针对新型基础设施的场景要求��,密(mì)码服务平台在基础密(mì)码服务方面(miàn)能(néng)够提供海量密(mì)钥和证书服务能力��、适应(yīng)物联网����、车联网的多元化证书签发和(hé)管理能力以及覆盖全(quán)网的(de)密(mì)码监(jiān)管和管理(lǐ)能力���;在(zài)通用密码服(fú)务方面能够提供联接人机物的异构统一身份认证服务能力(lì)���、数据流转管控与追溯(sù)机制��、物联网设(shè)备的统一标(biāo)识管理能力(lì)���、车联网平台的电子地图安全管控服务和车端密码支撑能力等针对性的密(mì)码服务能(néng)力��。
记(jì)者(zhě)�����:您认(rèn)为应(yīng)该(gāi)从哪(nǎ)些方(fāng)面(miàn)推进新基建领域密码应(yīng)用(yòng)建(jiàn)设(shè)工作���。
董贵(guì)山���:新基建是数字(zì)中国发展(zhǎn)的“新”阶(jiē)段����,密(mì)码(mǎ)服务是密码行业发展的“新(xīn)”模式���,两“新”碰撞����,迸(bèng)发新机���,以新的密码服务模式保障新基建的“内(nèi)生安全”����。因此为保障(zhàng)密码(mǎ)在新基建中发挥更好的安全支撑作用����,需从多个角度推进新(xīn)基建领域密码应用建设工(gōng)作���。
一是通(tōng)过政策推动���、业务驱动等(děng)推进密码(mǎ)在新基建(jiàn)领域的(de)广泛部署���,立足密码作为网络安全的“内(nèi)置基因”定位�����,实现新基(jī)建的“内生安全”���,推动密码(mǎ)在(zài)新基建的建设和示范����,形成新基建(jiàn)各典型领域密码应用(yòng)最佳实践�����。
二是从项目建设���、场景(jǐng)需求中提炼业务场景(jǐng)和(hé)技术需求(qiú)��,开展密码技术(shù)突破和(hé)产品研制����,从而能够实现密码技术(shù)与(yǔ)新基建各(gè)领域的深度融(róng)合(hé)���,以密码服务支撑基础设(shè)施对外安全服(fú)务(wù)����。三是落实国家网(wǎng)络安全等级保护相关要求和密码(mǎ)应(yīng)用建设的相关要求(qiú)���,在新(xīn)型基础设施建(jiàn)设过程中要同步规(guī)划����、同步建设(shè)���、同步运行密(mì)码保障系统并(bìng)定期进行评估����。在规划(huá)过(guò)程中���,要立足新(xīn)型基(jī)础设施安全(quán)要求(qiú)���,站在整(zhěng)体角度设(shè)计密码应(yīng)用方案(àn)���,在(zài)建(jiàn)设(shè)过程中�����,把密码服务融入到整体(tǐ)架(jià)构中���,新(xīn)型基(jī)础(chǔ)设施需与密码保障体(tǐ)系同步(bù)运(yùn)行(háng)����,并(bìng)通过定(dìng)期安全(quán)评估(gū)����、密(mì)码应用安全性评估(gū)等手段�����,持(chí)续保持密码应用的有效性和安全性���。
