记者����:2020年(nián)4月20日国家发改委相关负责人首次明确新型基础(chǔ)设施的(de)范围��,请问(wèn)新(xīn)型基础设(shè)施具体包括哪些内容���,又有哪些特(tè)性�����?
董贵山����:新型基础设施主要包括三个(gè)方面内容����:一是信息基础(chǔ)设施���。主要是指基(jī)于新一代信息技(jì)术演化生(shēng)成的基础设(shè)施(shī)����,比(bǐ)如���,以(yǐ)5G��、物联网���、工业互(hù)联网���、卫星互联网为(wéi)代表的通信网(wǎng)络基础设施�����,以人(rén)工(gōng)智(zhì)能����、云(yún)计算�����、区(qū)块链为代表(biǎo)的新技术基础设(shè)施(shī)���,以数据中心����、智能(néng)计算中心为代表的算力基础设施等���;二是融合基础设施����。主要是指深度应用互联网����、大数据��、人工智(zhì)能等技术��,支撑(chēng)传统基础设施转型升级���,进而形成的融(róng)合基础(chǔ)设(shè)施��,比如���,智(zhì)能交通基础设施(shī)���、智慧(huì)能(néng)源基础设施等��;三是创新基(jī)础设施���。主(zhǔ)要是指支撑科学研究�����、技(jì)术开发����、产品研制的具(jù)有公益属性的基础设施���,比如(rú)�����,重大科技基础设施�����、科教基础(chǔ)设施���、产业技术创新(xīn)基(jī)础设施等���。
从以上三(sān)个方面的分类来看��,新型(xíng)基础设(shè)施是未(wèi)来引(yǐn)领数字经济发展的关键载体和支柱����,覆盖(gài)了(le)网络通(tōng)信���、信息计算���、新兴技(jì)术领域����、行业性融合平台(tái)以及(jí)科研(yán)支(zhī)撑平台�����,将成为数字中国(guó)在网络空(kōng)间(jiān)“数(shù)字孪生”的沃土和(hé)通路����。网络(luò)安(ān)全作为(wéi)新基建��、数字经济(jì)发(fā)展的基石��, 也受到了广泛的关(guān)注与重视��。
新(xīn)型基础设(shè)施具备基础平台支撑���、海量数据汇聚���、广泛实(shí)体接入���、泛在(zài)服务交付四大特性�����。“基础平台支撑”体现了新型(xíng)基(jī)础设(shè)施的总(zǒng)体定位(wèi)��,不管是信息基础设施��、融合基础设施还是(shì)创新基础设施��,都(dōu)具有显著的基础性和平台性��,是网络通信����、信息服务(wù)和科研创新的基础支撑���;“海量(liàng)数(shù)据汇(huì)聚”“广泛实体(tǐ)接入”体现了新型基础设施的平台价值���,信息基础设施和融合基(jī)础(chǔ)设施汇聚了海量的通信数据��、行(háng)业数据和科(kē)研数据��,提供网(wǎng)络互联平台���,为广泛的(de)网络实体提供网络接入和服务功能����;“泛在服务交付”体现(xiàn)了(le)新型基础设(shè)施(shī)的交付模(mó)式(shì)����,不管是传统基础设(shè)施还(hái)是(shì)信息基(jī)础设施���,均是采用服(fú)务化的价(jià)值交付模式����,结(jié)合互联网泛在接入(rù)���、网络互联(lián)的特点����,新(xīn)型(xíng)基础设施能够为广泛(fàn)的(de)网络实体提供泛(fàn)在化(huà)的服务覆盖(gài)����,最(zuì)大化(huà)平台价值����。这四大特性(xìng)无一不代表着巨大(dà)的数据价值和平台价值���,对网(wǎng)络攻(gōng)击者具有(yǒu)极高的诱惑力(lì)����,存在极大的(de)安全(quán)风险�����。
记者����:密码技术在新基建中(zhōng)扮演(yǎn)什么样的角色(sè)����?
董贵山��:“网络安(ān)全与(yǔ)信息化(huà)是一(yī)体之(zhī)两翼��,驱动之双轮”�����。安全是发展的保障���,发展是安全的目的����,网络安(ān)全和(hé)信息化建设互相依存���、协调共生�����。新型基础(chǔ)设施建设(shè)是“云(yún)大(dà)物移智”的有机聚合(hé)和结构化升级����,网络安(ān)全风险也覆盖(gài)了信息服务平台����、IoT设备(bèi)���、PC端���、移动端����,这些(xiē)承载(zǎi)着新基建业务���、数据(jù)和服务的载体正在时刻接受海量网络攻击的(de)考验��,如(rú)何(hé)全面保障新型基础设施安全(quán)也受到了业界(jiè)的广泛关注��。新型基础设(shè)施作为(wéi)国家级(jí)的网(wǎng)络信息服务平(píng)台����、行业融(róng)合支撑平台和科研平台��,应参考关键(jiàn)信息基础设施的(de)相关要求进行安全防护(hù)设计和(hé)建设工(gōng)作����,同时针(zhēn)对新基建各(gè)领域特定场(chǎng)景进行定制化防护�����。传统的网(wǎng)络安全防护(hù)体系多具有通用性和普适性���,无法细粒度的(de)涵盖到特(tè)定(dìng)场景和业务数据流转方(fāng)面���,而(ér)密(mì)码技术因其技术特点和防护理念能够深入到业务(wù)场景之中���,与(yǔ)业务应用进行深入融合�����,像(xiàng)为士兵穿上“盔甲”一样����,为防护对象提供“贴身防护”能力(lì)����。
密码(mǎ)是保障网络和信息(xī)安全最有(yǒu)效��、最可靠����、最经济(jì)的关键(jiàn)核(hé)心技术����,是网络(luò)安全(quán)的最后(hòu)一道(dào)防线���,能(néng)够为新基建的“基础平(píng)台(tái)支(zhī)撑�����、海量数据汇聚���、广泛实体接入����、泛在服务交(jiāo)付(fù)” 四大特性(xìng)提(tí)供针(zhēn)对性的(de)防护��。
(1)密码为(wéi)“基础平台支撑”构筑完(wán)善的安全防护体系���。
新型基础设施为(wéi)国家信息化建(jiàn)设提供新一代的基础支(zhī)撑平(píng)台����,其平(píng)台价值极高���,因此需(xū)要完善的安(ān)全(quán)防护能(néng)力���。密码技术在网络安全防(fáng)护体(tǐ)系中位居核心(xīn)和基础(chǔ)地位���,依(yī)靠密码技术和网络安(ān)全技术(shù)能够打造集(jí)感(gǎn)知安全���、传输安全����、存(cún)储安全���、计(jì)算安全(quán)���、处理安全(quán)��、应(yīng)用安全于一体(tǐ)的安全防护(hù)能力��,构建以密码技术(shù)为核心��、多种技术相互(hù)融合的新网络安全体系(xì)����, 构筑新基建安全防护体系���。
(2)密码为“海量数据汇聚”建立坚实的数(shù)据保护能(néng)力����。
新型基础设施是基(jī)于多种(zhǒng)功能���、多种要(yào)素��、多种(zhǒng)技术的体系化(huà)集(jí)成��,支撑着(zhe)跨领(lǐng)域���、跨平台和(hé)跨系统的数据(jù)交换和信息(xī)共享�����,提供海量数据分析���,实现(xiàn)数(shù)据的互操作和流程协同��。密码技术(shù)提供的(de)数据加密存储���、可信数据汇(huì)聚����、安全数据共享(xiǎng)���、数据流转确权能(néng)够实(shí)现数据的全生(shēng)命周期安全���,并对敏感数据�����、个(gè)人隐私数(shù)据提供针对性的数据脱敏���、数据加密(mì)和数据隐藏能(néng)力��,将防护(hù)能力深入到业务流转之中����。
(3)密码为(wéi)“广泛实体接入”提供安全的鉴别防护机(jī)制(zhì)����。
新型基础设施的部分重点领域如铁路��、公路���、电网����、通信����、管网等����,为规模化的网(wǎng)络(luò)实体接(jiē)入建设网络互联(lián)平台��,实(shí)现实体的广泛接入和(hé)互联(lián)通信��。网络互联平(píng)台的安(ān)全稳定运行(háng)成为(wéi)了新型基(jī)础设施建设实现价值的前提���。基(jī)于密码技术为网络实体建立安全(quán)的数据(jù)执行和存储环境(jìng)���,基于密码技术建立平(píng)台侧(cè)与网(wǎng)络实体之间的可信鉴别和安全传(chuán)输机制����,两(liǎng)者结合构建从(cóng)终端侧到平台侧的安(ān)全接入环境����,有效的保护平台外延(yán)的网(wǎng)络实体(tǐ)安全(quán)����,保障新型基础设施的网络实(shí)体安全和边界接入安全����。
(4)密码为“泛在服务交付”构建(jiàn)泛在的密码(mǎ)服务能力��。
从新型基础设施的建(jiàn)设领(lǐng)域如智慧城市��、物联网(wǎng)����、车(chē)联网���、充电桩可以(yǐ)看出��,核心价值是(shì)为数字经济广大领域提供泛(fàn)在(zài)化的服务��,将基础能力提供(gòng)给更多的企业���、组织和个人(rén)去使用��,拓展服务范围���,让(ràng)更(gèng)多人享(xiǎng)受数字经(jīng)济发展(zhǎn)的红利(lì)���。泛在的服(fú)务能力一方面需要(yào)服务(wù)于各行业领域��,密码技术需要依托各行业领域特性(xìng)提供相适(shì)应(yīng)的防护能(néng)力�����,另一方面(miàn)需要(yào)延伸到海量的网络实体(tǐ)����,这些网络实体是新型基础设施建设的价(jià)值延伸和受益主体���,同时(shí)也会成为网络攻击的薄弱点和攻击点���,成为(wéi)攻击平台的(de)跳板��。为(wéi)此���,需要建立泛在化(huà)的密码(mǎ)保(bǎo)障机制(zhì)����, 为广大行(háng)业领域提供泛(fàn)在的密码(mǎ)服(fú)务接入能力����,为移(yí)动终端���、PC端(duān)����、IoT终端提(tí)供体系化(huà)的(de)密码防护能力���,有力的(de)支持新基建泛在服务的安全稳(wěn)定和(hé)可管可控���。
新型基础设施建(jiàn)设一(yī)方面兼具关键信(xìn)息基础设施的(de)价值定位(wèi)����,另一方面(miàn)融合新兴技术(shù)��、新兴(xìng)领域的(de)业务(wù)特点����,具有较高的(de)复杂性和先进性����。因此需要基于密码技术为新型基础(chǔ)设施设计建设完善的(de)网络(luò)安全(quán)防(fáng)护体(tǐ)系���。
记者���:密码法(fǎ)的发布对新基建的推动工作有哪(nǎ)些影响(xiǎng)���?
董贵山����:当前��,密(mì)码的价(jià)值得到了广(guǎng)泛的重视��,2020年1月1日(rì)����,《中华人民共和国密(mì)码(mǎ)法》正式实施����,2020年(nián)成(chéng)为了“密码法元年”��,密码法对密码(mǎ)进行明确的定义��,密码是指采用(yòng)特定变(biàn)换的方法对信(xìn)息进行加密保(bǎo)护���、安(ān)全认证的(de)技术����、产品和服务(wù)���。其中����,商(shāng)用密码用于(yú)保护不属于(yú)国家秘(mì)密的信(xìn)息��,公民����、法人和其他(tā)组(zǔ)织可(kě)以依法使用商用密码保护网(wǎng)络与信息(xī)安(ān)全����。商用密码具备(bèi)机密(mì)性(xìng)���、完整性���、真实(shí)性和不可否认性四大(dà)防护(hù)特性���,能够应对网(wǎng)络安全的数据泄露����、数据篡改����、身份仿冒和行为否(fǒu)认等风险�����。
商用密码是我国自主(zhǔ)完善的技术(shù)体系����,经(jīng)过(guò)二十余(yú)年的发展和演进����,提出了包含SM1���、SM2�����、SM3��、SM4���、SM7���、SM9和(hé)ZUC算法(fǎ)的一套(tào)完整(zhěng)自洽的商用密码算法体(tǐ)系(xì)���,建立(lì)了覆盖密码算法���、密码协议���、密码功能接(jiē)口����、密码产品规格��、密码应用要求和(hé)测评规范的(de)一套完善的(de)标准体系��,形成了以(yǐ)密码芯(xīn)片�����、密(mì)码(mǎ)板卡��、密码整机和密码系统等传(chuán)统产品为主���,多种产品(pǐn)形态和应用模式并现的(de)产品体系���。
商用密码的建设受(shòu)到了政策���、法规��、标准��、规(guī)范的全面推(tuī)动��。以法规奠定密码法制基础���,国(guó)家相继出(chū)台了(le)网络安全法����、密码法��,加速数据安全法(fǎ)���、个人(rén)信息保护(hù)法立法(fǎ)进程(chéng)��,旨在规范网(wǎng)络安全����,以法理奠定密码的核心定位����;以政策推动密码按需建设���,国家在关键信息基础设施���、政(zhèng)务信息化建(jiàn)设��、信创产业等方面均以政策文件的方式明确了密码是网(wǎng)络安全和信息(xī)化建设的重要组成部分���;以标(biāo)准构建密码使用基线���,网(wǎng)络安全等级(jí)保护标准体系的升级(jí)明确(què)了密码(mǎ)在(zài)等保定(dìng)级和(hé)合规防护方面的基(jī)本(běn)要求����,密码行业标准体系的快速增补也(yě)在全面完善(shàn)密码技术和产(chǎn)品(pǐn)的合规(guī)应用����;以测评保障密码应(yīng)用合规(guī)���,参(cān)考网络安全等级保护的测评(píng)机(jī)制和(hé)测评要求���,密码行业(yè)出台了(le)密码应用安全(quán)性评估(gū)制度(dù)���,以测(cè)评来明确密码应用的合规性���、正确性(xìng)和有效性��,从而保障密(mì)码应用设计的(de)完备(bèi)性和密码产(chǎn)品在(zài)各个环节(jiē)的正确有(yǒu)效使用��。
新型基(jī)础设施建设同样需要密(mì)码技术的(de)保障����,无论(lùn)是从(cóng)合法合规角(jiǎo)度(dù)还(hái)是(shì)消除安全风(fēng)险角度来看����,密码(mǎ)技(jì)术都是新(xīn)型基础设(shè)施网络(luò)安全(quán)的最后一道防线���。
从(cóng)基础(chǔ)设施这个词(cí)汇(huì)来(lái)看����,密码行(háng)业同样存在一个基础设施——公钥密码基础设施(shī)(Public Key Infrastructure���,PKI)��,公钥密码基础设(shè)施是(shì)一个包括硬件���、软件���、人员����、策略(luè)和规程的集合(hé)��,用来实现基于公钥密码体制的密(mì)钥和证书的产生���、管理���、存储�����、分发(fā)和撤销等(děng)功能(néng)���,目前已广泛应用(yòng)于政(zhèng)务����、金融���、电力等构架(jià)关键信息(xī)基础设施领域��,为(wéi)其提供可信的密钥和证书管理��,建立网络安全的(de)可(kě)信根���。
新型基础设施继承了传统(tǒng)基(jī)础设施建设的服(fú)务化特性����,通过端到端的服务模式创造(zào)和交付价值���,这(zhè)一模(mó)式特性要求密码支撑能力能够提供相匹配的能力��,PKI更(gèng)倾向于传(chuán)统的(de)安(ān)全基础(chǔ)设施���,提供基础(chǔ)通用的密码支撑(chēng)能力(lì)��,对新型基(jī)础设施建设的密码需求的匹配性不高(gāo)���。
新(xīn)型基础设施的基础平台支撑要求密码支撑提供灵活弹性可伸缩的服务能力���,海量(liàng)数据汇聚要(yào)求密码支撑提供融合数据(jù)全生(shēng)命周期的数据防护能(néng)力���,广泛实体接入要(yào)求密码支撑提(tí)供平台(tái)化(huà)的通信保护和接入管控能力���,泛在服务交(jiāo)付要(yào)求密码支撑提(tí)供服务化(huà)的密码交付能力���,让新基(jī)建(jiàn)的受益者能够享(xiǎng)受经过密码防护(hù)的(de)安全新基建服(fú)务(wù)���。这些能力都是传(chuán)统的密码建设模式(shì)无(wú)法(fǎ)全面响应的���。为此我(wǒ)们(men)提供建设以密(mì)码(mǎ)服务平台为核心的新型密码管理与服务基础设(shè)施���,应对新型基础设施泛在(zài)互联海量(liàng)支撑的平台特性提(tí)供泛在化���、平(píng)台化的密码服务能(néng)力和一窗(chuāng)式��、多(duō)维度的密码管理能力���。
记者���:新(xīn)基建(jiàn)场景中��,您认为这种新(xīn)的(de)密码服务模式能够带(dài)来什么价值��?
董贵山���:基于我上述提到的目(mù)标��,卫士通提出(chū)了集密码服务与密码管理为一体的密(mì)码服务(wù)平台的理念模(mó)型���。在该(gāi)模型的服务侧��,密码服务平台包括层次(cì)化密码服务����、通用密码中(zhōng)间件和(hé)API网关����,通(tōng)过标准化集(jí)成能力集成优(yōu)秀的密码系(xì)统和密码设(shè)备�����;通(tōng)过(guò)资(zī)源虚拟化和微(wēi)服务化设计对外提供覆盖基础密码服务��、通(tōng)用密码服务(wù)和安全(quán)应用服务的层次化(huà)密码服务能力��;通(tōng)过通用(yòng)密(mì)码中间件封装层次化密(mì)码(mǎ)服务(wù)接口为应用(yòng)提供一(yī)站式的密码(mǎ)集成能力���;依托API 网关与管理侧协同(tóng)实现(xiàn)对应(yīng)用的接(jiē)入认证和(hé)访问控制����。在(zài)管理侧���,密码服务平(píng)台通过密码设(shè)备(bèi)与服务管理提供(gòng)统一的(de)访问入口和管理(lǐ)界面��,支持(chí)租户����、应用���、设备�����、服务和订(dìng)单(dān)的多维度管理���,对使用情(qíng)况进行信息(xī)统计和可视化展现�����,支撑外部的密码监管和安全运营��;各类平台(tái)用户可以通(tōng)过(guò)统一访问(wèn)入口进行登录认证���,完成各自的管理(lǐ)职(zhí)责����。
密码服务平(píng)台(tái)提出“密码(mǎ)可用���、密(mì)码好(hǎo)用�����、密(mì)码能管����、密(mì)码(mǎ)好管”的四大服务目标���。在密(mì)码可用方(fāng)面��,通过(guò)密码虚拟化����、层次化密码服务应对目前密码资(zī)源使用(yòng)率低���、密码技(jì)术使(shǐ)用不当��、对新业务场(chǎng)景适应性不强的问题���;在密(mì)码好用方面����,通过通用密码中间件��、标准化集成(chéng)能力应对密码与应用对接困难(nán)�����、密码服务接(jiē)口不一致以(yǐ)及已建密(mì)码资源难以利(lì)旧的问题����;在密码能管方面��,通过API网(wǎng)关(guān)����、密码设备与服务管理应对业务(wù)应用情(qíng)况不可控����、密(mì)码使(shǐ)用(yòng)情况不可见以及密码资(zī)源(yuán)无法统一管理等问题�����;在密码好管(guǎn)方(fāng)面��,通(tōng)过(guò)密码服务的(de)使用(yòng)计量和专业化技术团队应(yīng)对密码(mǎ)整体态(tài)势无法获取��、密(mì)码使(shǐ)用(yòng)应急能力不足(zú)以及(jí)使用计量困难等问(wèn)题���。
针对新型基础设施(shī)的场景要求���,密码服(fú)务平台(tái)在(zài)基础密码服务方面(miàn)能够提供海量密(mì)钥和证书服务能力��、适应物联网���、车联(lián)网的多元化证书签发和管理能(néng)力以(yǐ)及覆盖(gài)全网的密码监管和管理能力���;在(zài)通用密码服务(wù)方面能够(gòu)提供联(lián)接人机物的异构统一身份认证服务能力���、数(shù)据(jù)流转(zhuǎn)管控与追溯机(jī)制���、物(wù)联网(wǎng)设备的统一(yī)标(biāo)识管理能(néng)力��、车联(lián)网平台的(de)电子地(dì)图安全管(guǎn)控服务(wù)和车端密(mì)码支撑能力等针对性的(de)密码服务能力���。
记者���:您认为应该从哪些(xiē)方面推(tuī)进新基(jī)建领域密码应用建(jiàn)设工作���。
董(dǒng)贵(guì)山����:新(xīn)基建是数字中国(guó)发展的“新”阶段(duàn)����,密码(mǎ)服务是密码行业发展(zhǎn)的“新”模式��,两“新(xīn)”碰撞����,迸发新机��,以新(xīn)的密码服务模式保障(zhàng)新(xīn)基建的(de)“内生(shēng)安全”���。因此为保障密码在新基建中(zhōng)发挥更(gèng)好的(de)安全支撑作用���,需从多个角(jiǎo)度(dù)推进新基建领域密码(mǎ)应用建设工作(zuò)��。
一(yī)是通过政策(cè)推动��、业务(wù)驱动等推进密(mì)码在新基建(jiàn)领域(yù)的广(guǎng)泛部署���,立足密码作为(wéi)网络安(ān)全的“内置基因”定位����,实现新基建的(de)“内生(shēng)安全”����,推动(dòng)密码在新基(jī)建的建设和示(shì)范����,形成新基建各(gè)典型领域密码应用最佳实践��。
二(èr)是从项目建设����、场景需求中提炼业务场景和(hé)技术需求(qiú)���,开(kāi)展密(mì)码(mǎ)技术突破和产品研制(zhì)���,从而能够实现密码技术与新基建各(gè)领域的深度(dù)融合����,以密(mì)码服务支撑基础设施对外安(ān)全(quán)服务(wù)��。三是(shì)落实国(guó)家网(wǎng)络安(ān)全等(děng)级保护(hù)相关要(yào)求和(hé)密码应用建设的相关(guān)要求����,在(zài)新(xīn)型基础设(shè)施建设(shè)过程中要(yào)同步规划���、同步建设���、同步运(yùn)行(háng)密码保障系统(tǒng)并(bìng)定期进(jìn)行评估���。在规划过程中���,要立足新型(xíng)基础设施安全(quán)要求(qiú)����,站在整体角度设计密码应(yīng)用方案����,在建设过程中��,把密码服务融(róng)入到整体架构中��,新型基础设(shè)施需与密码(mǎ)保障体系(xì)同(tóng)步(bù)运行���,并通过定期安全评(píng)估���、密(mì)码应用安全性评估等手段���,持续保持(chí)密码(mǎ)应用的有(yǒu)效(xiào)性和安全性����。
