记者���:2020年4月20日(rì)国家发改委相关负责人(rén)首(shǒu)次明确新型基础设施的范围����,请问新(xīn)型基础设施具体(tǐ)包括(kuò)哪些内容����,又有哪些特性���?
董贵山(shān)���:新型基础设施(shī)主要包括三个方(fāng)面内容��:一是(shì)信息基础设施����。主要是(shì)指基于新一代信息技术演化生成的基础设施���,比如����,以5G���、物联网����、工业互联网���、卫星互联(lián)网(wǎng)为代表的通(tōng)信网络基础设施���,以(yǐ)人工智能�����、云计算(suàn)��、区块链为代表的新(xīn)技(jì)术基础设施�����,以(yǐ)数据中心����、智能计算中心为代表的算(suàn)力基础(chǔ)设施等����;二(èr)是(shì)融合基(jī)础设(shè)施����。主要是(shì)指深度应用互联网��、大数据���、人工智能等技术���,支撑传(chuán)统基础设施转型升级��,进而形成的融合基础设施���,比如(rú)���,智能交通基础设施���、智(zhì)慧能源(yuán)基(jī)础设施等��;三是创新(xīn)基础设施����。主要是指支撑科学研究(jiū)����、技术开发���、产(chǎn)品研制的具有公益属性的基础设施��,比如��,重大(dà)科技基础设施���、科教基础设施(shī)���、产业技术创新(xīn)基础设(shè)施等���。
从以上(shàng)三(sān)个(gè)方面(miàn)的(de)分类来看(kàn)���,新型基础设施是未来引领数字经济发展的(de)关键载体和支柱�����,覆盖了(le)网络通(tōng)信���、信息(xī)计(jì)算���、新兴技术(shù)领(lǐng)域��、行业性融合平台以及科研支撑平台�����,将成为数字中国在(zài)网络(luò)空间“数字孪生”的沃土(tǔ)和通路�����。网络安全作为新基建���、数字经济(jì)发展的基石���, 也受到了广泛的(de)关注与重(chóng)视�����。
新(xīn)型基础设施具备基础平(píng)台支撑�����、海量数据汇聚���、广泛(fàn)实体接入��、泛(fàn)在服(fú)务(wù)交付四大特性���。“基础平台(tái)支撑(chēng)”体现了新(xīn)型基础设施的总体定(dìng)位����,不管是信息基础设(shè)施���、融(róng)合基础设施(shī)还是创新基础设施��,都(dōu)具有显著的(de)基础(chǔ)性和平台性���,是网络通信���、信息服务和科研创新的基础(chǔ)支(zhī)撑��;“海量(liàng)数据汇(huì)聚”“广泛实体(tǐ)接(jiē)入”体现了新型基础(chǔ)设施的(de)平台价(jià)值(zhí)���,信息基础设施和(hé)融(róng)合基础设施汇聚了(le)海量的通信数据���、行业数据和科研数据���,提供网(wǎng)络互联平台�����,为(wéi)广泛的网络实体提供(gòng)网络接入和服务功(gōng)能���;“泛(fàn)在服务交付(fù)”体现了新(xīn)型基础设施(shī)的(de)交(jiāo)付模式����,不管是传统基(jī)础设施还(hái)是信息基础设(shè)施���,均是采(cǎi)用服务化的价值交付模式��,结合互(hù)联网泛在接入��、网络互联的特点����,新型基(jī)础(chǔ)设施能够(gòu)为广泛的(de)网络实(shí)体提供(gòng)泛在化的服务覆盖�����,最大化平台价值��。这(zhè)四大特性无一不代表着巨大的数据价值和(hé)平台价值����,对网络攻击者具有极高的诱惑力���,存在极(jí)大的安全(quán)风险(xiǎn)��。
记者��:密码技(jì)术在新基建中扮演什(shí)么(me)样的角色��?
董(dǒng)贵山��:“网络安全与信(xìn)息化(huà)是一体之两翼��,驱动之双轮”���。安全是发展的保障(zhàng)��,发展是(shì)安全的(de)目的���,网络(luò)安全和信(xìn)息化建设互相依存����、协调共生(shēng)����。新型基(jī)础设施建设是“云大物移智”的有(yǒu)机聚合(hé)和结构化升级(jí)����,网(wǎng)络安(ān)全风险也覆盖了信息服务平台��、IoT设备��、PC端���、移动端�����,这些承载(zǎi)着新基(jī)建业务�����、数据(jù)和服务的载(zǎi)体(tǐ)正在(zài)时刻接受海量(liàng)网络攻击的(de)考验����,如何(hé)全面保(bǎo)障新型基础设施安全(quán)也受(shòu)到(dào)了(le)业界的广泛(fàn)关(guān)注��。新(xīn)型基础设施作为国家级的网络信(xìn)息服务平台����、行业融合支撑平台和(hé)科研平台��,应参考关(guān)键信息基础设施的相关要(yào)求(qiú)进行(háng)安全防护设计和(hé)建(jiàn)设工作���,同时针对新(xīn)基建各领域特定(dìng)场景进行定制化防护����。传(chuán)统的网络安全防护体系多具(jù)有(yǒu)通(tōng)用性(xìng)和普适性���,无法细粒度的涵(hán)盖到特定场景和业务数(shù)据流转方面�����,而密码技术因其技术特点和防护理念能够深(shēn)入到业务场景之中���,与(yǔ)业务应用进行(háng)深入融合���,像(xiàng)为士兵穿上“盔(kuī)甲(jiǎ)”一样��,为防护(hù)对象提供“贴身防护”能力����。
密码是(shì)保障网络和信息(xī)安全最有效(xiào)����、最可靠��、最(zuì)经济的关键核心技术��,是网络安全的最后一道防线(xiàn)���,能够为新基建的“基础平台(tái)支撑�����、海量(liàng)数据(jù)汇聚�����、广泛实体接入����、泛在服(fú)务交付(fù)” 四大特性提(tí)供针对性(xìng)的防护(hù)���。
(1)密(mì)码为(wéi)“基(jī)础平台(tái)支撑”构筑完善的安全防护体系���。
新型基础设施为国家信息化(huà)建设提供新一代(dài)的基(jī)础支撑平(píng)台���,其平台价值极高�����,因此需要完(wán)善的安全防护能力���。密码技术在网络安全防护体系中位居(jū)核心和基础地位����,依靠密码技术和网络安全技术能够打造集感知安全���、传输安全���、存(cún)储(chǔ)安(ān)全�����、计(jì)算安全��、处理安全(quán)�����、应(yīng)用安(ān)全于一体的安全防护能力���,构建以(yǐ)密码技术为核心��、多种技(jì)术相(xiàng)互融合的新网络安全体系����, 构筑新基建安全防(fáng)护体(tǐ)系����。
(2)密码为“海量(liàng)数据汇聚”建立坚实的数据保护能力���。
新型基础设施是(shì)基于(yú)多种(zhǒng)功能(néng)���、多种要素��、多种技术(shù)的体系化集成���,支撑着跨领域(yù)��、跨平台(tái)和跨系(xì)统的数据交换和信(xìn)息共享���,提(tí)供(gòng)海量数据分析���,实现数据的互(hù)操作和流程协同���。密码技术提供的数据加密存(cún)储����、可信数据汇聚�����、安全数据(jù)共(gòng)享(xiǎng)����、数据流转(zhuǎn)确(què)权能够实现数据的全生(shēng)命周期安全(quán)���,并对(duì)敏感(gǎn)数据��、个人隐私数据提供针对性的(de)数(shù)据脱敏��、数据加(jiā)密和数据隐藏能力(lì)�����,将防护能力深入到业务流(liú)转(zhuǎn)之中��。
(3)密码为(wéi)“广泛实(shí)体接入”提供安全的鉴别防护机制��。
新型基础设施的部分重点领域如铁(tiě)路���、公(gōng)路���、电网��、通信��、管网等����,为规模化的网络实体接入(rù)建设网(wǎng)络互(hù)联平(píng)台���,实现实体(tǐ)的广泛接(jiē)入和(hé)互联(lián)通信����。网络互(hù)联(lián)平台的安全(quán)稳定运行成为了新型基础设施(shī)建设实现价值的前提���。基于密码技术为(wéi)网络实体建立(lì)安全的数据(jù)执(zhí)行和(hé)存储环境���,基于密码(mǎ)技(jì)术建立平台侧与(yǔ)网络实体之间的可信鉴别和安全传输机制����,两者结合构(gòu)建从终端侧到平台侧的安全(quán)接(jiē)入环境��,有(yǒu)效的保护平台外(wài)延(yán)的网络实体安全����,保障新型基础设(shè)施的网络实体(tǐ)安全和(hé)边界接入安(ān)全����。
(4)密码为(wéi)“泛在服务交付”构建(jiàn)泛在的密码服务(wù)能力���。
从新型基础设施的建设领域如智慧城(chéng)市���、物联(lián)网��、车联(lián)网���、充(chōng)电桩(zhuāng)可以看出��,核(hé)心价值(zhí)是为数字经济广大领域提供泛在化的服务�����,将基础能力提供给更(gèng)多的企业����、组(zǔ)织和(hé)个人去(qù)使用��,拓展服(fú)务范围(wéi)��,让(ràng)更多人(rén)享受(shòu)数字(zì)经济发展的红利��。泛在的服务能力一方面(miàn)需(xū)要服务于(yú)各行业领域(yù)��,密(mì)码技术需要(yào)依托各行业领域特性提供相适应的防护能力����,另一方(fāng)面需要延伸到(dào)海量的网络(luò)实(shí)体���,这些网(wǎng)络实体是新型基础设施建设(shè)的(de)价值(zhí)延伸和(hé)受益(yì)主体�����,同时也会(huì)成为(wéi)网络攻击的(de)薄弱点和攻击点��,成为攻击平台(tái)的跳板����。为(wéi)此����,需要建立泛在化的密码保(bǎo)障机制��, 为广大行业领域提供泛(fàn)在的密码服务接入能力���,为移动终端�����、PC端��、IoT终端提供体(tǐ)系(xì)化的密(mì)码防护能力��,有力的支持新基(jī)建泛在服务的安全(quán)稳定和可管可控(kòng)���。
新型基础设施建设(shè)一方面兼具关(guān)键信息(xī)基础设(shè)施的价值定位��,另一方面融(róng)合新兴技术����、新兴领域的业务特点���,具有较高(gāo)的复杂性和先进性���。因此需要基于密码技术(shù)为新型基础设施设计建(jiàn)设完(wán)善(shàn)的网络安全防护体系��。
记者(zhě)��:密码法的发布对新基建的(de)推(tuī)动(dòng)工(gōng)作有哪些影响��?
董贵山����:当前����,密码的价值得(dé)到了广泛的重视���,2020年1月(yuè)1日�����,《中华人民共(gòng)和(hé)国(guó)密码法(fǎ)》正(zhèng)式实施��,2020年成为(wéi)了“密码法元年”�����,密码法对密码进行明(míng)确(què)的定义��,密码是指采用特(tè)定变换(huàn)的方法对信息进行加密保护����、安全认证的技术���、产品(pǐn)和(hé)服务�����。其中(zhōng)��,商(shāng)用(yòng)密码用于保护不属于(yú)国(guó)家秘密的信息��,公民���、法人和其他组织可以依法使用商用(yòng)密码保护网(wǎng)络与信息安全���。商用密码具备机密性(xìng)���、完(wán)整性����、真(zhēn)实(shí)性和不(bú)可否认(rèn)性四大防护(hù)特性��,能够应对(duì)网络安全的数据(jù)泄露���、数据篡改����、身份仿冒和行为否认等风险(xiǎn)��。
商(shāng)用密码是我(wǒ)国自主(zhǔ)完善的技术体(tǐ)系���,经过二十余年的发展和(hé)演进��,提(tí)出了包含SM1���、SM2�����、SM3���、SM4��、SM7����、SM9和ZUC算法的(de)一套完整自(zì)洽的商用密码(mǎ)算法体系����,建立了覆盖(gài)密码算法����、密(mì)码协(xié)议���、密码功能接口���、密码产(chǎn)品规格(gé)����、密(mì)码应(yīng)用(yòng)要求和测评规范的(de)一套(tào)完善的标准体系���,形成了(le)以密码芯(xīn)片��、密码板卡���、密码整机和密码系统等传统产品为(wéi)主��,多种产(chǎn)品形态和应用模式并现的产品体系��。
商用(yòng)密码的建设受到了政策���、法规(guī)����、标准(zhǔn)��、规范的全面推动����。以法规奠定密码法制基础�����,国家相继出台了网络安全法����、密码法���,加速数据(jù)安全法���、个人信息保护法立法进(jìn)程�����,旨在(zài)规(guī)范网络安全���,以法(fǎ)理奠定密码的核心定位��;以政策推动密码按需建(jiàn)设����,国家在关键信息基础设施����、政务信息化建设��、信创产业等方面均以政策文件的(de)方式明确了密码是(shì)网络安全和信息化建设的重要组成部分��;以标准构建密(mì)码使(shǐ)用(yòng)基线��,网络安全等级保护(hù)标准(zhǔn)体系的升级(jí)明确了密码在等保定级(jí)和合规防护方(fāng)面的基本要求���,密码行(háng)业标(biāo)准体系的快(kuài)速增(zēng)补也在(zài)全面完善密(mì)码技术和产(chǎn)品的(de)合规(guī)应用���;以测评保障密码(mǎ)应用合规��,参考网络安全等级保护的测评机(jī)制和测评要求���,密码行业出台(tái)了密码(mǎ)应(yīng)用(yòng)安全性评估(gū)制(zhì)度����,以测评来(lái)明确密码应用的合规性��、正确性(xìng)和有效性��,从而保障密码应用(yòng)设(shè)计的完备性和(hé)密码(mǎ)产品在各个环节的正确有效使用����。
新型(xíng)基础(chǔ)设(shè)施建设同样需要密码技(jì)术的保障(zhàng)���,无论(lùn)是从合(hé)法合规角(jiǎo)度还是消除安(ān)全风险角度来看���,密码技术都是新型基础设施(shī)网(wǎng)络安全的(de)最后一道防线����。
从基础(chǔ)设施这个(gè)词汇来(lái)看��,密码行业同样存在一个基(jī)础设施——公(gōng)钥密码基础设施(Public Key Infrastructure��,PKI)����,公(gōng)钥(yào)密码基础(chǔ)设施是一个包括硬件���、软件�����、人员(yuán)���、策略(luè)和规程的集合(hé)�����,用来实(shí)现基(jī)于(yú)公(gōng)钥密码体制的密钥(yào)和证书(shū)的产(chǎn)生���、管理����、存储���、分发和撤销等功能(néng)��,目前(qián)已广泛(fàn)应用于政(zhèng)务���、金融(róng)�����、电力等(děng)构架关键信息基础设施(shī)领域�����,为其(qí)提供可信的密钥和证书管理�����,建立网络安全(quán)的可信根���。
新型基础(chǔ)设施继承了传统基(jī)础设(shè)施建设的服务化特性����,通过端(duān)到(dào)端(duān)的服务模式创造(zào)和交付(fù)价值(zhí)����,这一(yī)模(mó)式特性(xìng)要求密码支撑能力能够提供相匹配的能力(lì)��,PKI更倾(qīng)向于传(chuán)统的安全基础设施(shī)����,提(tí)供基础通用(yòng)的密码支撑能力���,对新型基础设施建(jiàn)设(shè)的密码需求的匹配性(xìng)不高��。
新(xīn)型基础设施的基础平台(tái)支撑要求密码支撑提供灵活弹性可伸缩的服务能力�����,海量数据汇聚要求密码支(zhī)撑提供(gòng)融合数据全生命(mìng)周(zhōu)期的数(shù)据防护能力��,广泛实体接入要求密码支撑提供平台化的(de)通(tōng)信保护和(hé)接入管(guǎn)控能力(lì)���,泛在服务交付(fù)要(yào)求密码支撑提供服务化(huà)的密码交付能力����,让新基建的受益者能够享受经过密码(mǎ)防护的安全新基建服务(wù)���。这些(xiē)能力都是传统的密码建设模(mó)式无法(fǎ)全面响(xiǎng)应的(de)���。为此我们(men)提(tí)供建(jiàn)设以密码服务平台为(wéi)核心的新(xīn)型(xíng)密码管理与服务基础(chǔ)设(shè)施����,应对新型基础设施泛在(zài)互联海量支撑的(de)平台特性(xìng)提供泛在化�����、平台化(huà)的密码(mǎ)服(fú)务能力和一窗式��、多维度的密码管(guǎn)理能力��。
记者�����:新基(jī)建场景中(zhōng)�����,您认为这种新的密码服务模式能(néng)够带来什么价值(zhí)����?
董(dǒng)贵(guì)山(shān)���:基于(yú)我上述提到(dào)的目标���,卫(wèi)士通提出(chū)了集密码服务与密码管(guǎn)理为(wéi)一体的密码服务平台的理(lǐ)念模(mó)型��。在该模型的服务(wù)侧����,密码服务(wù)平台包括层次化密(mì)码服务���、通用(yòng)密码中间件和API网(wǎng)关��,通(tōng)过标(biāo)准化集成能力集成(chéng)优秀的密(mì)码系统和(hé)密码设备���;通过资源虚拟化和(hé)微服(fú)务(wù)化设计(jì)对(duì)外提供覆(fù)盖基础密码服务���、通用密(mì)码服务(wù)和安全(quán)应用服务的层次化密码服(fú)务能力����;通过通用密码中(zhōng)间件(jiàn)封装(zhuāng)层(céng)次化密码服务(wù)接口为应(yīng)用(yòng)提供一站式(shì)的密码集成能力(lì)���;依托API 网(wǎng)关与管(guǎn)理侧(cè)协同实现对应用(yòng)的接入认证和访问控制���。在管理(lǐ)侧��,密码服务平台通过密码设备与服务管理提供统一的访问(wèn)入(rù)口和管理(lǐ)界面���,支持租(zū)户����、应用��、设备���、服(fú)务和订(dìng)单的多维度管理����,对使用情况(kuàng)进行(háng)信(xìn)息(xī)统(tǒng)计和可视化(huà)展现(xiàn)��,支撑外部(bù)的密码(mǎ)监管和安全(quán)运(yùn)营(yíng)����;各类平台用(yòng)户(hù)可(kě)以通(tōng)过统一访问入口进行登录认证�����,完成各自(zì)的管理职责�����。
密码服(fú)务平(píng)台提出“密码(mǎ)可用����、密(mì)码好用���、密码能(néng)管���、密(mì)码好管”的四大服务目(mù)标���。在密(mì)码可用方面��,通过密码虚拟化(huà)��、层次(cì)化密码服(fú)务应对目前密码资源(yuán)使用率低���、密码(mǎ)技术使用不当���、对新(xīn)业务(wù)场景适应性不强的(de)问题��;在(zài)密码好用方面(miàn)���,通过通用密码中(zhōng)间件(jiàn)���、标准化集成能力应对(duì)密码与应用(yòng)对(duì)接困难���、密码(mǎ)服务接(jiē)口不一致以及已建密码(mǎ)资源难以利旧的问题����;在(zài)密(mì)码能管方(fāng)面���,通过API网关(guān)����、密码设备(bèi)与服务管理应对业务应用情况不(bú)可控��、密码使用情况(kuàng)不可见以及密码资源(yuán)无法统一管理等问题��;在密(mì)码好管方面����,通(tōng)过密码服务(wù)的使用计量和专业化技(jì)术团(tuán)队应对密码整(zhěng)体态(tài)势无法获取(qǔ)����、密码(mǎ)使用应急能力不足以(yǐ)及使用计量困难等(děng)问题����。
针对新型基(jī)础设施的场景要求��,密码服务平台在基础密码服务方(fāng)面(miàn)能(néng)够提供海(hǎi)量密钥和(hé)证书服务能力��、适应物联网��、车(chē)联网的(de)多元化证书(shū)签(qiān)发和管理能力以及覆盖全网(wǎng)的(de)密码(mǎ)监管(guǎn)和(hé)管理能力(lì)�����;在通用密码服务方面能够(gòu)提供联接人机物的(de)异(yì)构统(tǒng)一(yī)身份认证服务能力�����、数据流转管控与追(zhuī)溯机(jī)制(zhì)����、物联网设备(bèi)的(de)统一标识管理能力���、车联网平台(tái)的电子(zǐ)地图安全管控服务和车(chē)端密码支(zhī)撑能力等(děng)针对性(xìng)的(de)密码服务能力���。
记者�����:您认为应该(gāi)从哪些(xiē)方面推进新基建领(lǐng)域密码应用建设工作���。
董贵山����:新基建是数字中国发展的(de)“新”阶段(duàn)���,密(mì)码服务是密码(mǎ)行业发展(zhǎn)的“新”模式�����,两“新(xīn)”碰撞(zhuàng)��,迸发新机����,以新的密码(mǎ)服务(wù)模式保障新基建的(de)“内生安全”�����。因(yīn)此为保障(zhàng)密码在新基(jī)建中(zhōng)发挥更好的安全(quán)支撑作用(yòng)���,需从多个角度推进新基建领域密码应用建设工作����。
一是通过政(zhèng)策推动�����、业务驱(qū)动(dòng)等推(tuī)进密码在新基(jī)建领域(yù)的(de)广泛部署���,立足密(mì)码作(zuò)为网(wǎng)络安(ān)全的“内置(zhì)基因”定位��,实现新基建的(de)“内生安全”���,推动密(mì)码在新基(jī)建的建设和示范��,形成(chéng)新基建各典型领(lǐng)域密码应用最佳实践(jiàn)���。
二是从项目建设����、场景需求中提炼业(yè)务场景和技术需(xū)求���,开展密(mì)码技术突(tū)破(pò)和产品研制����,从而能够实(shí)现密码技术与(yǔ)新基建各(gè)领域的(de)深度融合����,以(yǐ)密码服务支撑基(jī)础设施对外安全服务���。三是落实国家(jiā)网络安全等级保护相关要求和密码应用建(jiàn)设的相关要求���,在新型基础设(shè)施建设过(guò)程(chéng)中(zhōng)要同(tóng)步(bù)规划��、同步建设���、同步(bù)运行密码保(bǎo)障(zhàng)系统并定期(qī)进行评估��。在规划过程中(zhōng)�����,要(yào)立(lì)足新型(xíng)基础设施安全要求����,站在整(zhěng)体角度设(shè)计密码应用方案����,在(zài)建设过程中��,把密码服务融(róng)入到(dào)整体架构中���,新(xīn)型基(jī)础设施(shī)需与密码保障体系同步运行��,并通过定期(qī)安全评(píng)估���、密码应(yīng)用安全性评(píng)估等(děng)手段��,持续保持(chí)密码应用的有效性(xìng)和安全性����。
