BCS觀察:建設以密碼為基石的內(nèi)生安全框架,推動新基建網(wǎng)絡安全與密碼應用融合發(fā)展
密碼作為保護網(wǎng)絡與信息安全的重要手段,在身份識別、安全隔離、信息加密、完整性保護和抗抵賴等方面發(fā)揮著不可替代的重要作用,廣泛運用于金融、政務、通信等領域。隨著我國大力開展新型信息基礎設施建設,以及《網(wǎng)絡安全法》、《密碼法》的頒布實施,極大推動了密碼應用的發(fā)展與創(chuàng)新。在新基建的大背景下,隨著網(wǎng)絡安全與密碼技術(shù)的不斷演進,基于內(nèi)生安全框架的密碼與網(wǎng)絡安全融合發(fā)展逐漸成為新的趨勢。
在上周剛結(jié)束的2020北京網(wǎng)絡安全大會(簡稱:BCS)上,奇安信集團副總裁陳華平發(fā)表了“面向新基建的密碼應用框架與創(chuàng)新”主題演講,系統(tǒng)性闡述了密碼應用作為支撐新基建內(nèi)生安全框架的基石、以及密碼與網(wǎng)絡安全融合發(fā)展成為大趨勢的精彩觀點。
以下是奇安信集團副總裁陳華平演講內(nèi)容的記錄:
1. 密碼應用是支撐新基建內(nèi)生安全框架的基石
新基建的內(nèi)核是數(shù)字基建,包括5G、工業(yè)互聯(lián)網(wǎng)、AI和數(shù)據(jù)中心等核心要素。在此基礎之上依次進行傳統(tǒng)基礎設施的數(shù)字化改造及新型基礎設施的數(shù)字化建設,由此帶來場景化的行業(yè)應用,包括5G應用場景、物聯(lián)網(wǎng)、車聯(lián)網(wǎng)、工業(yè)互聯(lián)網(wǎng)、智慧城市、智慧醫(yī)療、智慧教育,以及云計算中心應用等場景。
場景化的行業(yè)應用要求安全能力與基礎設施融合,要求安全能力與行業(yè)應用融合。這些內(nèi)生化的安全需求是傳統(tǒng)網(wǎng)絡安全框架無法滿足的,因此必須建立新一代網(wǎng)絡安全框架,推動新基建的內(nèi)生安全建設。
(1)密碼是內(nèi)生安全的基石
新一代網(wǎng)絡安全框架的建設,安全由內(nèi)而外,需要穩(wěn)固的基礎支撐。密碼應用嵌入信息系統(tǒng)內(nèi)核,與業(yè)務應用緊密耦合,是建設內(nèi)生安全框架的基石。
對應于內(nèi)生安全的一個中心、五張過濾網(wǎng),密碼應用在網(wǎng)絡層面通過加密機、VPN、加密專用模塊實現(xiàn)傳輸加密,在身份層面通過多因子認證、可信標識、認證網(wǎng)關實現(xiàn)認證鑒權(quán),在應用層面通過可信模塊、完整性校驗、簽名驗簽實現(xiàn)平臺和應用可信,在數(shù)據(jù)層面通過多種加密和訪問授權(quán)實現(xiàn)多重防護,在行為層面通過電子簽章、電子存證實現(xiàn)行為鑒別,在安全運營中心通過建設密碼應用管理平臺,實現(xiàn)密鑰管理、證書管理、策略管理、統(tǒng)一認證。因此,密碼應用是內(nèi)生安全的重要組成部分,是安全由內(nèi)而外的橋梁。
(2)在內(nèi)生安全框架下建設密碼應用支撐能力
為了適應內(nèi)生安全需求,我們需要建設密碼應用支撐能力。本著基礎性、系統(tǒng)性、前瞻性的原則,積極發(fā)展創(chuàng)新領域的新型密碼應用,以適應新基建數(shù)字化轉(zhuǎn)型與業(yè)務發(fā)展的需要。重點布局硬件設備、軟件模塊、密碼系統(tǒng)、密碼應用、密碼支撐、密碼測評、應用創(chuàng)新等領域,形成密碼應用技術(shù)體系。
●硬件設備
重點布局具有國密資質(zhì)的加密機、加密卡、可信密碼模塊、密碼卡等硬件產(chǎn)品,滿足密鑰管理、高性能加解密、可信接入,以及輕量級密碼應用的需要,滿足標準化、高性能要求,并與密碼系統(tǒng)和軟件有良好的適配性。
●軟件模塊
重點布局具有國密資質(zhì)的軟加密、軟可信、密碼SDK、手機盾等軟件產(chǎn)品,滿足應用透明加解密、桌面及移動和物聯(lián)網(wǎng)終端軟件可信環(huán)境、虛擬化及分布式平臺環(huán)境需要,具備定制開發(fā)能力,具備面向密碼應用環(huán)境的高適應性和靈活性。
●密碼系統(tǒng)
重點布局具有國密資質(zhì)的密碼認證系統(tǒng)、密鑰管理系統(tǒng)、數(shù)字證書系統(tǒng)、簽名驗簽系統(tǒng)等基礎密碼系統(tǒng),為我司網(wǎng)絡安全產(chǎn)品和系統(tǒng)提供底層密碼支撐。
●密碼應用
重點布局密碼技術(shù)在身份識別、保密傳輸、隱私保護、可信認證等領域的應用,與我司業(yè)務相結(jié)合,形成統(tǒng)一的網(wǎng)絡安全解決方案。
●密碼支撐
重點促進密碼技術(shù)與我司身份管理、信息系統(tǒng)安全、大數(shù)據(jù)安全、應用開發(fā)安全等業(yè)務的融合,并以密碼技術(shù)為核心實現(xiàn)網(wǎng)絡安全與信息化和業(yè)務的融合,形成以密碼為核心的內(nèi)生安全支撐能力。
●密碼測評
重點布局密碼應用測評工具開發(fā)、密評規(guī)范制定、密評與等保、關基保護相結(jié)合的綜合測評類廠商,實現(xiàn)密碼應用測評能力,并對接密碼產(chǎn)品測評。
●應用創(chuàng)新
重點布局密碼技術(shù)在云密碼應用、物聯(lián)網(wǎng)與5G、區(qū)塊鏈、數(shù)據(jù)流通等領域的創(chuàng)新應用,并與我司在上述領域的創(chuàng)新網(wǎng)絡安全技術(shù)相結(jié)合,依托密碼應用在網(wǎng)絡安全創(chuàng)新應用中取得突破。
(3)在內(nèi)生安全框架下實現(xiàn)網(wǎng)絡安全與密碼應用融合
在內(nèi)生安全框架下,密碼應用向平臺化和服務化方向發(fā)展。通過對信息基礎設施的全面覆蓋和與業(yè)務應用的聚合,提供全面的身份認證、數(shù)據(jù)加密、傳輸安全和完整性保護能力與服務,并與網(wǎng)絡安全系統(tǒng)實現(xiàn)全面的對接。
●建設密碼基礎設施平臺
形成對密碼算法、協(xié)議以及軟硬件實現(xiàn)的統(tǒng)一部署和對云安全、工業(yè)安全、物聯(lián)網(wǎng)密碼模塊的統(tǒng)一支撐,并根據(jù)身份安全、數(shù)據(jù)安全、應用安全等領域需要進行功能開發(fā)和性能優(yōu)化;
●建設密碼中間件平臺
面向企業(yè)辦公網(wǎng)和生產(chǎn)網(wǎng),以及虛擬化、輕量級、低延時等新興應用場景的需求,開展密碼應用適配與國產(chǎn)化替代,為數(shù)據(jù)安全、身份安全提供密碼應用接口;
●建設應用開發(fā)密碼支撐服務體系
為應用開發(fā)的密碼需求、架構(gòu)設計和開發(fā)過程提供開發(fā)套件,并為應用測試與運營提供密碼服務支撐;
●建設密碼應用管理平臺
統(tǒng)一管理上述平臺與體系,面向密鑰、證書、簽名等關鍵元素進行全生命周期的結(jié)構(gòu)化管理;
●建設密碼應用測評服務體系
對接等保和關鍵基礎設施防護,依據(jù)密碼法和密碼應用測評規(guī)范,對密碼應用的正確性、有效性和合規(guī)性開展持續(xù)的測評與改進。
2. 以密碼應用為支撐的內(nèi)生安全框架是保障新基建網(wǎng)絡安全的起點
新基建對密碼應用來說是龐大的增量市場,既包括對現(xiàn)有密碼基礎設施和應用的改造,也包括全新的密碼體系建設。不論是改造還是新建,密碼技術(shù)在新一代網(wǎng)絡安全框下,應用于5G、大數(shù)據(jù)、云、車聯(lián)網(wǎng)、工業(yè)互聯(lián)網(wǎng)等領域,在實現(xiàn)加密和認證功能的同時,從網(wǎng)絡、身份、應用、數(shù)據(jù)、行為、管理等方面推進新型數(shù)字化基礎設施安全的內(nèi)生和融合。在面向內(nèi)生安全的密碼技術(shù)和應用框架基礎上,我們需要進一步開展面向新基建的密碼應用創(chuàng)新,拓展新興應用領域的增量市場,實現(xiàn)高質(zhì)量發(fā)展。
(1)密碼應用是5G通信與IT網(wǎng)絡安全融合的關鍵
5G是我國正在重點建設的新一代關鍵信息基礎設施,在CT層面,5G標準使用了包括我國祖沖之算法在內(nèi)的多種密碼算法實現(xiàn)設備入網(wǎng)認證和用戶隱私信息保護。在IT層面,虛擬化的基礎設施和多樣化的業(yè)務應用同樣需要使用密碼技術(shù)。一方面,5G網(wǎng)絡運行在IT化的基礎設施上,需要密碼技術(shù)保障基礎設施軟硬件平臺的安全可信以及虛擬機與容器的可信,另一方面,面向行業(yè)的業(yè)務應用需要基于密碼技術(shù)實現(xiàn)對數(shù)據(jù)和平臺訪問的持續(xù)認證以實現(xiàn)對訪問行為的細粒度管控。
更重要的是,密碼技術(shù)是連接5G CT安全與IT安全的紐帶和橋梁;通過零信任打通IT與CT認證機制,比如零信任安全平臺可以通過運營商的4A系統(tǒng)獲取5G用戶入網(wǎng)和漫游認證信息,并將其作為零信任架構(gòu)下基礎環(huán)境安全的重要參考要素,這些信息在IT層面是無法獲得的;同時零信任安全平臺可以將IT層面持續(xù)認證和行為分析結(jié)果反饋給CT網(wǎng)絡,作為移動通信網(wǎng)絡安全態(tài)勢感知和用戶入網(wǎng)控制的決策依據(jù)。實現(xiàn)5G網(wǎng)絡安全的聯(lián)動乃至一體化,對CT安全和IT安全能力都將是一次巨大的提升。而密碼的應用在其中起到關鍵作用。
(2)密碼應用是數(shù)據(jù)安全從封閉走向共享開放的關鍵
在大數(shù)據(jù)安全防護和共享開放方面,密碼技術(shù)起到關鍵作用。不但應用于數(shù)據(jù)的存儲、傳輸安全,在大數(shù)據(jù)的分析和共享領域也將起到越來越重要的作用。數(shù)據(jù)是數(shù)字經(jīng)濟的核心資產(chǎn),隨著我國數(shù)據(jù)安全法草案的公布,全面的數(shù)據(jù)安全保障能力是新一代網(wǎng)絡安全框架不可缺少的組成部分。密碼技術(shù)不但可以用于數(shù)據(jù)的加密傳輸,如VPN網(wǎng)關、應用層數(shù)據(jù)傳輸加密網(wǎng)關(HTTP);以及數(shù)據(jù)存儲加密,如數(shù)據(jù)庫加密統(tǒng)、文件加密;還能夠用于大數(shù)據(jù)密態(tài)分析,如關鍵字段加密、同態(tài)加密;并通過區(qū)塊鏈、多方計算等應用推動數(shù)據(jù)共享與交換。
(3)新一代云基礎設施安全框架整合密碼服務能力
在云安全方面,云密碼服務是一種新的安全功能交付模式,是云計算技術(shù)與身份認證、授權(quán)訪問、傳輸加密、存儲加密等密碼技術(shù)的深度融合。如何實現(xiàn)密碼能力的虛擬化、資源化、服務化成為密碼發(fā)展的重要挑戰(zhàn)。與此同時,在新一代網(wǎng)絡安全框架整合了面向政務云、行業(yè)云及公有云的密碼產(chǎn)品、密碼使用策略、密碼服務接口和服務流程,密碼服務作為云基礎結(jié)構(gòu)安全的重要組件,實現(xiàn)統(tǒng)一的云安全服務交付。
(4)密碼應用打通車聯(lián)網(wǎng)多網(wǎng)融合的安全認證與數(shù)據(jù)加密
車聯(lián)網(wǎng)是工業(yè)互聯(lián)網(wǎng)及物聯(lián)網(wǎng)領域中比較特殊的一個細分領域,一方面車輛是一個高度集成的信息物理系統(tǒng),涉及生命財產(chǎn)安全有很高的安全需求;另一方面車聯(lián)網(wǎng)的網(wǎng)絡非常復雜,它是高速移動的環(huán)境,涉及到車內(nèi)網(wǎng)、車際網(wǎng)和車云網(wǎng),其安全措施需要打通端、網(wǎng)、云,并保證高實時性和可靠性。密碼技術(shù)的應用可以很好的滿足車聯(lián)網(wǎng)的關鍵安全需求。
對于端系統(tǒng),主要涉及車載終端設備和路側(cè)設備,車輛需要嵌入安全芯片,用以管理密鑰和加密運算,從而強化ECU和CAN總線自身脆弱性的問題,路側(cè)設備,包括交通流量采集,信號控制以及交通引導設備等,同樣需要通過密碼技術(shù)來保障數(shù)據(jù)采集過程的安全。
對于網(wǎng)絡,由于接入方式的多樣性,傳統(tǒng)網(wǎng)絡安全技術(shù)和產(chǎn)品很難部署。而基于密碼技術(shù)的零信任的持續(xù)身份認證與動態(tài)訪問控制可以很好的解決復雜網(wǎng)絡條件下的網(wǎng)絡安全問題。
對于云端的車聯(lián)網(wǎng)應用,需要使用密碼技術(shù)對數(shù)據(jù)進行加密,配合數(shù)據(jù)隔離、數(shù)據(jù)防泄漏、數(shù)據(jù)庫防火墻、數(shù)據(jù)審計等方式保障密鑰以及用戶數(shù)據(jù)的隱私性,同時部署認證中心進行統(tǒng)一認證。
(5)密碼應用打破工業(yè)互聯(lián)網(wǎng)信息孤島,實現(xiàn)遠程安全協(xié)同
對于工業(yè)互聯(lián)網(wǎng),業(yè)務應用和數(shù)據(jù)長期以來并未得到有效的保護。密碼技術(shù)的應用可以有效的實現(xiàn)身份認證和數(shù)據(jù)加密,滿足工業(yè)現(xiàn)場環(huán)境、低功耗模式等工業(yè)系統(tǒng)端級別設備與訪問用戶身份認證,系統(tǒng)中不同網(wǎng)絡速率和連接要求的通信網(wǎng)絡的傳輸認證和傳輸加密,關鍵工藝參數(shù)等敏感數(shù)據(jù)的存儲等安全需求;同時,在橫向隔離的工業(yè)網(wǎng)絡中,基于密碼技術(shù)支撐實現(xiàn)安全的遠程接入,包括終端接入、運維接入等,滿足業(yè)務需要的同時打破信息孤島,推動工業(yè)互聯(lián)網(wǎng)信息交換,實現(xiàn)遠程協(xié)同能力。
3. 以價值為導向,密碼應用融入網(wǎng)絡安全大生態(tài)
長期以來,密碼應用是一個相對獨立的生態(tài),密碼與網(wǎng)絡安全沒有很好的融合。而在新基建的背景下,密碼應用的建設應融入網(wǎng)絡安全整體框架。
(1)密碼專項融入新一代網(wǎng)絡安全(十大工程五大任務)框架
奇安信在新一代網(wǎng)絡安全框架的十大工程、五大任務中,專門設計了密碼專項。
在實現(xiàn)密碼基礎設施和應用能力建設的同時,著重其對整個網(wǎng)絡安全框架的支撐作用和與其他安全工程及任務的聯(lián)動。包括身份安全、縱深防御、終端及接入安全、云數(shù)據(jù)中心安全、大數(shù)據(jù)應用安全、態(tài)勢感知、系統(tǒng)安全、工業(yè)安全、內(nèi)部威脅防控在內(nèi)的每一個安全工程,都需要對接統(tǒng)一密碼應用和管理平臺。安全運行、應用安全、物聯(lián)網(wǎng)安全、業(yè)務安全及安全人員能力建設也同樣需要密碼應用服務的支撐。因此,密碼專項成為新一代網(wǎng)絡安全框架的基座,為政企內(nèi)生安全建設提供堅實的基礎。
(2)以價值為導向建設網(wǎng)絡安全大生態(tài)
在數(shù)字化的生態(tài)體系當中,伙伴之間互為資源、相互賦能,在共同提供資源、產(chǎn)品或者服務之后,按照市場規(guī)律獲得相對應的市場回報?梢哉f這是一套按市場規(guī)則運作的合作體系,伙伴間的合作關系既寬松、又緊密。這種合作關系也讓伙伴更加樂于組團進行應用創(chuàng)新。
往前看,安全行業(yè)必是贏在生態(tài),沒有一家廠商能解決所有安全領域問題,生態(tài)能力強、生態(tài)資源多的廠商才能為用戶產(chǎn)生更多價值。在新基建、數(shù)字化轉(zhuǎn)型的推動作用下,生態(tài)已成為安全廠商生存發(fā)展的必要條件,安全廠商應在新一代網(wǎng)絡安全框架下,找準自身的生態(tài)定位,打造以價值為導向的技術(shù)生態(tài)體系,進而實現(xiàn)產(chǎn)業(yè)生態(tài)繁榮。
4. 總結(jié)
隨著新基建的廣泛開展,密碼得到更多的重視和更廣泛的應用,在新一代網(wǎng)絡安全框架中正在成為一顆耀眼的明星。在新基建的網(wǎng)絡安全建設大潮中,我們應以密碼為基石支撐內(nèi)生安全體系建設,以內(nèi)生安全框架為起點保障新基建網(wǎng)絡安全同步建設,以價值為導向建設新基建網(wǎng)絡安全產(chǎn)業(yè)大生態(tài)。
作者:奇安信集團副總裁 陳華平編輯: 高博來源:IT168網(wǎng)站 原創(chuàng)
請輸入評論內(nèi)容...
請輸入評論/評論長度6~500個字
圖片新聞
最新活動更多
- 高級軟件工程師 廣東省/深圳市
- 自動化高級工程師 廣東省/深圳市
- 光器件研發(fā)工程師 福建省/福州市
- 銷售總監(jiān)(光器件) 北京市/海淀區(qū)
- 激光器高級銷售經(jīng)理 上海市/虹口區(qū)
- 光器件物理工程師 北京市/海淀區(qū)
- 激光研發(fā)工程師 北京市/昌平區(qū)
- 技術(shù)專家 廣東省/江門市
- 封裝工程師 北京市/海淀區(qū)
- 結(jié)構(gòu)工程師 廣東省/深圳市