“网络安全为人民,网络安(ān)全靠(kào)人民。”9月16日,卫士(shì)通多位网络安(ān)全专(zhuān)家已(yǐ)“奔(bēn)赴”各级网络(luò)安(ān)全宣(xuān)传(chuán)周活动,通过线上与(yǔ)线(xiàn)下相结合的方式,兼顾(gù)行(háng)业人士与普通大众的(de)不同关(guān)注点,从密码在网络(luò)安全(quán)中的核心(xīn)作用、泛在(zài)化应用、以及创新服务方(fāng)式(shì)进行了多方(fāng)位、多层级的观(guān)点分享。
核心 | 夯实新(xīn)型基础设施网络安(ān)全(quán)底座
中国(guó)电科集团网络(luò)安全领域首席专(zhuān)家、中国网(wǎng)安副总工程师、卫士(shì)通总工(gōng)程师董贵山出席第(dì)七(qī)届国家网络安全宣传周新型基础设施网络安全高峰论坛(tán),并作(zuò)“保障工业互联网安全,服务制造业高质量发展”主题(tí)演讲,系(xì)统地阐述和分析(xī)了我(wǒ)国工业互(hù)联网(wǎng)的发展背景、潜在(zài)安全(quán)风(fēng)险及相(xiàng)关(guān)政策(cè)要求,并提出(chū)了(le)构建体(tǐ)系化安全防护(hù)能力,夯实以工业(yè)互联网(wǎng)为代表(biǎo)的新型基(jī)础设施网络安全(quán)底(dǐ)座的三点(diǎn)建议。
▲图 董贵山作主题演讲
一是,建议借(jiè)鉴企业工业信息安(ān)全整体保障实施(shī)原则。企业(yè)工业(yè)信息(xī)安全整(zhěng)体(tǐ)保障是中国网安基于正确的(de)网络安全观提出(chū)的“整体安全、动态安全、相对(duì)安全、合规(guī)与赋能(néng)、技术与管理”的企业工业(yè)信息安(ān)全整体保障实(shí)施原则,并(bìng)在中国网(wǎng)安相关工作中广泛(fàn)应用(yòng),对其他企业(yè)开展工(gōng)业(yè)信息安全保障将(jiāng)起到借鉴作用。
二是,严格履行“七项义务,四类防护”的基本(běn)要求。《网络安全法》对网络运营(yíng)者的最基本(běn)义务和安全要(yào)求(qiú)做了明(míng)确规(guī)定,各工(gōng)业企(qǐ)业(yè)应(yīng)履(lǚ)行(háng)网络运行(háng)安全(quán)义务、网络产(chǎn)品(pǐn)和(hé)服务安(ān)全义(yì)务、关键信息基础设施安全(quán)保护义(yì)务、公民个人信(xìn)息保护义务、网络信息安全(quán)管理义务、对监管机关的(de)执法协助义务和其他法定义务,实现网页防篡改(gǎi)、服务防中断、系统防病(bìng)毒、数据防泄漏(lòu)。
三(sān)是,利(lì)用密码(mǎ)算法保障工(gōng)业互联网(wǎng)数据的多方安全共享,达到(dào)工业数据安全的价值流动。密码技术在(zài)网络安(ān)全防护(hù)体系中位(wèi)居核心和基础地位,其提(tí)供的可信数据汇(huì)聚、数据加密存储、安全数据共享、安(ān)全多方计算、数(shù)据流转确权能够实现数据(jù)的全生命周期安全,并针对敏感数据、企业核心数据提供针对性的数据脱敏、数(shù)据(jù)加密和数(shù)据隐藏能力,将(jiāng)防护能力(lì)深入到业(yè)务流转之(zhī)中,能(néng)够有效(xiào)的保护(hù)安全(quán)隐(yǐn)私(sī),维护企业利益,在数据可用不可见的基础上(shàng)实现数据价值(zhí)的流(liú)转和交互。
广度 | 拓展(zhǎn)密码泛在化应(yīng)用
国家网络安(ān)全宣传(chuán)周同(tóng)期,成都市(shì)的相关活动也在(zài)火(huǒ)热进行,卫(wèi)士通(tōng)结合(hé)现场(chǎng)展示、专(zhuān)家演讲、互动游戏,从“密码的内涵与意义(yì)”、“密码(mǎ)泛在化内涵(hán)与意义”、“密码领域典(diǎn)型实践(jiàn)与应用”三(sān)方面向成都市民普及(jí)了“密码泛在化”进程、应用及意义(yì)。
▲图 周(zhōu)阳作主题(tí)演讲(jiǎng)
卫(wèi)士通方案中心技术(shù)专家周阳在演(yǎn)讲中特别选取(qǔ)大众最常接触的生活(huó)场(chǎng)景(jǐng),通俗易懂的向(xiàng)成都市民进行分享。周阳通过诸如黑客攻击(jī)政府网(wǎng)站窃取公(gōng)民和企业信息,就医人员医疗信(xìn)息遭(zāo)泄露导致(zhì)个(gè)人敏感(gǎn)信(xìn)息(xī)被(bèi)窃取,12306遭泄露(lù)数据撞库攻击,考生(shēng)网(wǎng)上(shàng)报考(kǎo)信息泄露,伪造印章,虚开发票,伪造文(wén)件造成国家(jiā)财产损(sǔn)失等大众(zhòng)在日常生活中(zhōng)接触到的场(chǎng)景(jǐng)案例引入,带领听(tīng)众一起总(zǒng)结(jié)了数字生活正面四大主要痛点,临时(shí)身(shēn)份鉴别有“短(duǎn)板”、个人信息缺“保护(hù)” 、数据安全有“欠缺”、文(wén)件印章缺“可信(xìn)”。
而解决(jué)这些痛点(diǎn)的一大法宝,便(biàn)是“密(mì)码”!经(jīng)过(guò)20多年(nián)的发(fā)展,我国商用密码已经应(yīng)用到社会(huì)生产生活的各个方面,在网络(luò)和信(xìn)息安全中发(fā)挥着越来越重要的基础支撑作用。在政务服(fú)务,基于(yú)商用密码技(jì)术,防止政(zhèng)务服(fú)务(wù)、防疫健康信息码使用过程中(zhōng)的公众(zhòng)隐私数据泄(xiè)露,电子证照(zhào)、电子印(yìn)章真(zhēn)实有效,保障市民数(shù)字生活安全。在(zài)社会保障,密(mì)钥(yào)管理系(xì)统作为(wéi)社保卡制卡体系的核心,主要负责(zé)各类(lèi)密钥的生成、存储与分发,密钥管理系统中的密钥按密钥类(lèi)型、应用(yòng)类型和交易种类进行定义,并通过分散变化等机制进(jìn)行(háng)分级管理,避免单个(gè)密(mì)钥被(bèi)攻破之后(hòu)影响整体(tǐ)系统的(de)密钥安(ān)全(quán)。在医(yī)疗卫生方面,密码技术(shù)的应用保(bǎo)障(zhàng)了新形势下的(de)医疗电子体系稳定(dìng)发展,其中安全可(kě)信的电(diàn)子(zǐ)病(bìng)历以电(diàn)子认证和电(diàn)子签名为手段,形成完善的技术保障(zhàng)体系(xì),营运安全可信的电子(zǐ)病(bìng)历应用环境(jìng),等等。
深度 | 创新密码服务方式(shì)
卫士通方案中心(xīn)商(shāng)用密(mì)码专(zhuān)家周君(jun1)平(píng)在国(guó)家网络安全宣传周内蒙(méng)分会(huì)场的线上(shàng)论坛上(shàng),作“推动商用(yòng)密码应用,创(chuàng)新(xīn)密码服务能力”主题演讲。她表示,随着密码(mǎ)技术的深(shēn)度(dù)、广度融合发展趋势,不仅(jǐn)促(cù)进了产业链全生态的建立健全,而且还催生了密码服务“平台化”创(chuàng)新应(yīng)用(yòng)模式。
▲图 周君平
该模式通过构建一体化的密(mì)码服务平台(tái),将为各行业重(chóng)要信息(xī)系统提供统一、弹性、高(gāo)效、规模化的密码应(yīng)用(yòng)服务。一体化密码(mǎ)服务平台将采用微服务架(jià)构对(duì)密(mì)码服务(wù)基础支撑设备、系统的能力进行抽(chōu)象封装,形成密(mì)码服务能力,并通过API网关将(jiāng)密码服务的能力采用标准统一的接(jiē)口,以API的形式或SDK的形(xíng)式(shì)向安(ān)全应用提供。同时(shí)基于(yú)平台管(guǎn)控(kòng)实现对平(píng)台(tái)的(de)应用接入管理,密(mì)码资源(yuán)、资产的统计管理,基(jī)于密码监管服务(wù)实现对(duì)密(mì)码设(shè)备、密码(mǎ)资源、密码服务调用情况的统一(yī)监(jiān)管,基于安全运营(yíng)服务使用,实现租户管理、平台运营状态监控、资源可(kě)用性监控等。这(zhè)种商用密(mì)码创(chuàng)新服务方式有以下几(jǐ)个特(tè)点:
1.服务化 以服务替代产品,降低采购成(chéng)本和运维成(chéng)本,提升(shēng)信息化建设敏捷性,缓解安全建设的困扰。
2.精准化 将密(mì)码业(yè)务深植于业(yè)务之中(zhōng),由专业的密(mì)码厂商提供服(fú)务,实时跟踪学界和业界的前沿(yán)进展,着力开展技术演进和模式创(chuàng)新,保持服务(wù)能力(lì)的持续迭代和更新(xīn)。
3.泛在化 面向目前(qián)数字政府建设的多云部署趋势,提供支持不同云服务平台的泛(fàn)在接入能力。
4.合规化 以商(shāng)用密码和等级(jí)保(bǎo)护相关(guān)规(guī)定(dìng)为指(zhǐ)导,以安全合规为底(dǐ)线(xiàn),避免业务应用的合规风(fēng)险。
5.简略(luè)化 为业(yè)务应用提供便捷的(de)密码服(fú)务接口,缓解现(xiàn)在业(yè)务应用开发商(shāng)的密码研发(fā)难度,弥补安全应用短(duǎn)板(bǎn)。依托密(mì)钥管理、密码应用等服务能(néng)力,联通前端业务(wù)服(fú)务商和后(hòu)端基础服务商,结合(hé)密钥管理和身(shēn)份服务入口,形成以(yǐ)密码服(fú)务为(wéi)核心的互联网信任(rèn)服务生态(tài),支撑(chēng)网络空间安全。
