记者���:2020年4月20日国家发改委相关负责(zé)人首次明确新型基础(chǔ)设施(shī)的范围��,请问新型基(jī)础设施具体包(bāo)括哪些内容���,又(yòu)有(yǒu)哪些特性�����?
董贵山���:新(xīn)型基础设施(shī)主(zhǔ)要包括三个方(fāng)面内容����:一是(shì)信息基础设施���。主要(yào)是指(zhǐ)基于新一代信息技术演化生成的基础设施���,比如(rú)��,以(yǐ)5G�����、物联网����、工业互联(lián)网���、卫星互(hù)联(lián)网为代表的通信网络基础设施����,以人工智能���、云计算���、区块链为代表的新技术基础设施(shī)��,以数据中心���、智能计算(suàn)中心为代表的(de)算力基础设(shè)施(shī)等���;二是融合基础设施��。主要(yào)是指深度应用互联网��、大数(shù)据��、人工(gōng)智能等(děng)技术���,支撑传统(tǒng)基础设施转型(xíng)升级(jí)����,进而形成的(de)融合(hé)基础设(shè)施���,比如(rú)���,智能交通基础设施����、智慧(huì)能源基础设施等(děng)����;三是创(chuàng)新基础设施����。主要是指支撑科学研究���、技术开发����、产品(pǐn)研制的具有公益属性的基础设施�����,比如(rú)�����,重大科技(jì)基(jī)础设施����、科教(jiāo)基础(chǔ)设施�����、产业技(jì)术创新基础设施等(děng)����。
从(cóng)以上三个方面的(de)分类来看���,新型基(jī)础设施是未来引领数字经济(jì)发展的关键载体和支(zhī)柱����,覆盖了网(wǎng)络通信���、信息计算����、新兴技(jì)术领域���、行业性融合平台以及科(kē)研支撑平台(tái)����,将成为(wéi)数字(zì)中国在(zài)网(wǎng)络(luò)空间“数字孪生”的(de)沃土和通路��。网络安全作为新基建��、数字经(jīng)济发展的基(jī)石����, 也受(shòu)到了(le)广泛的关注与重(chóng)视���。
新型基(jī)础(chǔ)设施具备基础平台支撑(chēng)����、海量数据汇聚���、广泛实体接入(rù)��、泛在服务交付四大特性����。“基础平台支撑”体现了(le)新型基础设施(shī)的总体定位��,不管是(shì)信息基础设施���、融合基础(chǔ)设(shè)施(shī)还是(shì)创新基(jī)础设施(shī)����,都具有(yǒu)显著的基础性(xìng)和平台性����,是网络通信����、信息服务和科研创新的基础支撑����;“海量数(shù)据汇聚”“广泛实体接入”体现了新型基础(chǔ)设施的平台价值(zhí)���,信息基础设施和融(róng)合基础设施汇聚了海量的通信数据��、行业(yè)数据(jù)和科研数据���,提供网(wǎng)络互联平台��,为广泛(fàn)的(de)网络实(shí)体(tǐ)提供网络(luò)接入和(hé)服务功能����;“泛(fàn)在服务交付”体(tǐ)现(xiàn)了新型(xíng)基础设(shè)施的交付模式�����,不管是传统(tǒng)基础设施还是(shì)信息基础设施��,均是采用服务化的价值交付(fù)模式��,结合互联网泛在接入(rù)��、网络互联的特点����,新型(xíng)基础设施能够为(wéi)广泛(fàn)的网络实(shí)体提(tí)供泛在化的服务覆盖�����,最大化平台价值�����。这四大特性(xìng)无一(yī)不代表着(zhe)巨(jù)大的数据价值和平台价值���,对网络攻击者具有极高(gāo)的诱惑力��,存在极大(dà)的安全风险��。
记者��:密码技术在(zài)新基建(jiàn)中扮演什么(me)样的角色����?
董贵山��:“网络安全与信息化是一体之两(liǎng)翼���,驱动之双轮”���。安(ān)全是发展的保障�����,发展是安全的目(mù)的����,网络安(ān)全和信息化建设互相依存���、协调共生��。新型(xíng)基础(chǔ)设施建设是“云大物移智”的有机(jī)聚合和结构化升级����,网(wǎng)络安全风(fēng)险也覆(fù)盖了信息服务平台��、IoT设备����、PC端(duān)���、移动端����,这些承载着(zhe)新基建业务�����、数(shù)据和服(fú)务(wù)的载体正在(zài)时刻接受海量(liàng)网络攻击的考验��,如(rú)何(hé)全面保(bǎo)障新型基础设施安(ān)全也受(shòu)到了业界的广泛关(guān)注����。新型基础设施作为国家级的网络信息服务平(píng)台�����、行业(yè)融合支撑平台和科研平台(tái)��,应参考关键(jiàn)信息(xī)基(jī)础设施的相关要求进行安(ān)全防护(hù)设(shè)计和建设工作���,同时针对新基建各领域特定场(chǎng)景进(jìn)行定制化防护����。传统的网络安全防护体系多具(jù)有通用性和普适性����,无法细粒度的涵盖到特定场(chǎng)景和业务(wù)数据流转方(fāng)面��,而(ér)密码技(jì)术因其技术特(tè)点和防护(hù)理念能够深(shēn)入到业务场景之中��,与业(yè)务(wù)应用进行深入融合��,像为士兵穿(chuān)上“盔甲(jiǎ)”一样���,为防护对象提供“贴身防护”能力(lì)���。
密(mì)码(mǎ)是保障网络和信息安全最有效��、最(zuì)可靠���、最(zuì)经济的关键核心技术�����,是网络(luò)安全的最后(hòu)一道防线���,能够为新基建的(de)“基础平台支(zhī)撑���、海量数(shù)据汇聚���、广泛实体接入���、泛在服务交付” 四大特性提(tí)供针对性的(de)防护���。
(1)密码为(wéi)“基础平台支(zhī)撑(chēng)”构筑(zhù)完(wán)善的安全防护体系�����。
新型基础设施为国家信息化建设(shè)提(tí)供新一代的(de)基(jī)础支撑平台���,其平台价值极高����,因(yīn)此(cǐ)需要完善的安全防护能力���。密(mì)码技术在网络安全防护体系中位居核心和基(jī)础(chǔ)地位(wèi)���,依靠密码技术和网络安全技术能(néng)够打造集感(gǎn)知安全���、传输安全����、存储安全(quán)�����、计算安全���、处理安(ān)全����、应(yīng)用安(ān)全于一(yī)体的安全防护能力(lì)���,构建(jiàn)以密码技术为核心��、多种技术相互融合的新网络安全体系���, 构筑新(xīn)基建安全防护体系����。
(2)密码(mǎ)为“海量数据汇聚”建立坚实的数据保护能(néng)力����。
新型基础设施是基于多种(zhǒng)功能��、多种要素���、多种技(jì)术的体系化集(jí)成����,支撑着跨领域����、跨平台和跨系统的数据交换和信(xìn)息共享����,提供(gòng)海量数据分析���,实现数据的(de)互操(cāo)作(zuò)和流程协同����。密码(mǎ)技术提供的数据加密存储(chǔ)��、可信数据汇聚���、安全数据(jù)共(gòng)享���、数(shù)据流(liú)转确权(quán)能够实现(xiàn)数据的全生命周期安全(quán)��,并对(duì)敏感数据(jù)���、个人隐私(sī)数据(jù)提供(gòng)针对性的数据脱(tuō)敏���、数(shù)据加密和(hé)数据(jù)隐藏(cáng)能力����,将(jiāng)防(fáng)护能力深入到业务流转之(zhī)中����。
(3)密(mì)码为“广泛实(shí)体接入”提供(gòng)安全的(de)鉴别防护机制��。
新型基础设施的部(bù)分重点(diǎn)领域如铁路����、公路����、电网�����、通信���、管(guǎn)网等����,为规模化的网络实体接入(rù)建设网(wǎng)络互联平台���,实现实体的广泛接(jiē)入和互联通信���。网络互联平(píng)台(tái)的安全稳定运行成为了新型(xíng)基础设施建设实现价值的前提���。基于密码技术为网络实(shí)体建立安全的数据(jù)执(zhí)行和存储环境��,基于密码技术(shù)建立平台侧与(yǔ)网络实体之(zhī)间(jiān)的可信鉴别和安全传(chuán)输机制����,两者结合构建从(cóng)终端侧到(dào)平台侧的(de)安(ān)全接入环境�����,有效(xiào)的保护平台外延(yán)的网络(luò)实体安全����,保(bǎo)障新型(xíng)基础设施(shī)的网络实(shí)体安全和边界接入安全���。
(4)密(mì)码为“泛在服务(wù)交付”构建(jiàn)泛在的密码服务(wù)能力���。
从新型(xíng)基础设施的建设领域如智慧城市(shì)���、物联网���、车联网(wǎng)���、充(chōng)电桩(zhuāng)可以看出(chū)���,核心价值是为数字经(jīng)济广(guǎng)大领域提供泛在化的服务(wù)�����,将基础能力提供给更多的企(qǐ)业(yè)��、组织和(hé)个人去(qù)使用����,拓(tuò)展服务范围���,让更多人享受数字经(jīng)济发(fā)展的红利���。泛在的服务能(néng)力(lì)一方面需(xū)要(yào)服务于各行业领域���,密码技术需要依托(tuō)各行业领(lǐng)域特性(xìng)提供(gòng)相适应(yīng)的防护能力����,另一方面需要延伸到海量的网络实(shí)体���,这(zhè)些网络实体是(shì)新型基础(chǔ)设施建(jiàn)设的(de)价值延伸和受益主体���,同时也会成为网(wǎng)络攻击(jī)的薄弱点和攻(gōng)击(jī)点(diǎn)����,成为攻击平(píng)台的跳板���。为此���,需要建(jiàn)立泛在(zài)化(huà)的密码保(bǎo)障(zhàng)机制��, 为广大行(háng)业(yè)领域(yù)提供泛(fàn)在的密(mì)码服务接入能(néng)力���,为移动终端����、PC端����、IoT终端提供体系化的密(mì)码(mǎ)防(fáng)护能(néng)力����,有力的支持新基建泛在服务的安全稳(wěn)定和可管可(kě)控��。
新型(xíng)基础设施建设一方面兼具关(guān)键(jiàn)信息基础设施(shī)的价值(zhí)定(dìng)位(wèi)����,另一方(fāng)面融(róng)合(hé)新兴技术���、新(xīn)兴(xìng)领域的业务特点����,具有较高的复杂性(xìng)和先进(jìn)性�����。因此需要基于密码技术为(wéi)新(xīn)型基础设施设(shè)计建设(shè)完善的网络安全防护体系�����。
记(jì)者��:密码法的(de)发布对新(xīn)基建的推动工作(zuò)有哪(nǎ)些影响���?
董贵山���:当前��,密(mì)码的价值得到了广泛的重视(shì)���,2020年1月1日�����,《中华人民共和国密码法(fǎ)》正式实(shí)施����,2020年成为了(le)“密码法元年”���,密(mì)码(mǎ)法对密码进行(háng)明(míng)确的定义��,密码是指采用特定变换的方法对信息(xī)进行加密保护���、安全认证的技术����、产品和服务���。其中����,商用(yòng)密(mì)码用于保护(hù)不属于国家秘密的信息(xī)��,公民���、法人(rén)和其他组织可以(yǐ)依法使(shǐ)用商(shāng)用密码保护网络(luò)与信(xìn)息安(ān)全����。商用密码具备(bèi)机密性����、完整性����、真(zhēn)实性和不可否认性四大防护(hù)特性(xìng)�����,能够应对网络安全的数(shù)据泄露��、数(shù)据篡改��、身份仿冒和行为否认等风险��。
商用密码是(shì)我国(guó)自主完善的技术体系���,经过二十余年的发(fā)展和演进��,提出了包含(hán)SM1��、SM2���、SM3����、SM4����、SM7��、SM9和ZUC算法的一(yī)套完(wán)整(zhěng)自(zì)洽的商用密码算法体系(xì)���,建立(lì)了覆盖密码算(suàn)法��、密码协议��、密码(mǎ)功能接口����、密码产品规(guī)格����、密码(mǎ)应(yīng)用要求和(hé)测评(píng)规范(fàn)的一套完(wán)善的标准体(tǐ)系���,形成(chéng)了(le)以密码芯片(piàn)����、密码板卡�����、密码(mǎ)整(zhěng)机和(hé)密(mì)码系统(tǒng)等传统产品为主����,多种产品形态和应用模式并现的产品(pǐn)体系����。
商用密码的(de)建(jiàn)设受到了(le)政策���、法规���、标准���、规范的全面(miàn)推动���。以法规(guī)奠定密码法(fǎ)制(zhì)基础���,国家相(xiàng)继出台了网络安全法��、密(mì)码(mǎ)法����,加速数(shù)据安全法(fǎ)���、个(gè)人信息保护法立法进(jìn)程(chéng)���,旨在规范网络安全(quán)����,以法(fǎ)理奠定密码的核心(xīn)定位���;以政策推动密码按需建设�����,国(guó)家在关(guān)键信息基础设(shè)施����、政(zhèng)务信息化(huà)建设��、信创(chuàng)产(chǎn)业等方面均以政策文件的方式明确了密码是网络(luò)安全和(hé)信息化建(jiàn)设的(de)重要组成部分(fèn)���;以标准构建(jiàn)密码使用基线��,网络安全等(děng)级保护标准(zhǔn)体系的升级明确了密码在等保定级和合规防护方(fāng)面的基本要求����,密码行(háng)业标准体系(xì)的快速增补也在全面完善密码技术和(hé)产品的合规应用����;以(yǐ)测评保(bǎo)障密码应(yīng)用合规���,参考网络安(ān)全(quán)等级保护的测评机制和测评要求(qiú)����,密码行业出台了密码(mǎ)应用安全性评(píng)估制度���,以测评来明确密码应用的合规性��、正确(què)性和有效性��,从而保障(zhàng)密码应(yīng)用(yòng)设计的完备性和密码产品在各个环(huán)节的正确(què)有效使用(yòng)����。
新型基础(chǔ)设施建设同样需要密码技术的保障���,无论是从合法(fǎ)合规角(jiǎo)度还是消除安(ān)全风险角(jiǎo)度来看��,密码技术都是新型基(jī)础设施(shī)网络安(ān)全(quán)的最后一(yī)道防(fáng)线����。
从基础(chǔ)设施(shī)这个词汇(huì)来看�����,密(mì)码行业(yè)同样(yàng)存(cún)在一个基础设(shè)施——公钥密(mì)码基础设施(Public Key Infrastructure����,PKI)��,公钥密码(mǎ)基础(chǔ)设施是一个(gè)包(bāo)括(kuò)硬件(jiàn)����、软件���、人(rén)员�����、策略和规(guī)程的集合��,用(yòng)来实(shí)现(xiàn)基于公(gōng)钥密(mì)码体制(zhì)的密钥(yào)和证书(shū)的产生��、管理����、存储��、分发和撤销等功能����,目前已广泛应用于政务(wù)����、金融��、电力等(děng)构架(jià)关键信息基础设施领域��,为其(qí)提供可信的密(mì)钥和证(zhèng)书管理��,建立网络安全的可信根��。
新型(xíng)基础设施继承了传统基础(chǔ)设施(shī)建设的(de)服务化(huà)特性���,通过端到(dào)端的服务模(mó)式创(chuàng)造和交付价值���,这(zhè)一模式特性要求密码(mǎ)支撑(chēng)能力能够提供相匹配的能力(lì)���,PKI更倾向于传统的安全基础设施����,提供基础通用的密码支撑(chēng)能力��,对新(xīn)型(xíng)基础(chǔ)设施建设的密码需求的匹配性不高����。
新型基础设施的基础平台支撑(chēng)要求(qiú)密码(mǎ)支撑提供灵活(huó)弹性可伸(shēn)缩的服务能(néng)力�����,海量数据汇聚要(yào)求密码支撑(chēng)提供融(róng)合数据全生命周期的(de)数据防护能力���,广泛实体接入要求(qiú)密码(mǎ)支撑提供平(píng)台化的通(tōng)信(xìn)保护和接入管控(kòng)能力��,泛在服务(wù)交付要求密码支撑提供服务(wù)化(huà)的密码(mǎ)交付能力��,让新基(jī)建(jiàn)的受益者能够享受经过(guò)密码防护的安全新基建服(fú)务���。这些能力都是传统的密码建设模式无法全面响应的��。为(wéi)此我们(men)提供(gòng)建设以密码服务平(píng)台为核心的新型密(mì)码管理与服务基(jī)础设(shè)施���,应(yīng)对(duì)新(xīn)型基础设施泛在互联海量(liàng)支撑(chēng)的平(píng)台特性提供泛在(zài)化���、平台化的密码服(fú)务能(néng)力和一窗(chuāng)式����、多(duō)维度的密码管(guǎn)理(lǐ)能(néng)力(lì)���。
记者��:新基(jī)建场景中����,您认(rèn)为这种新的密码服(fú)务模式能够带(dài)来什么价值�����?
董贵(guì)山���:基于我上述提到的(de)目标�����,卫(wèi)士通提出(chū)了集密(mì)码服务与(yǔ)密码管理为(wéi)一体的密(mì)码服务(wù)平台(tái)的理念模型����。在该模型(xíng)的(de)服务侧���,密码服务平台包括(kuò)层次化密码(mǎ)服务����、通用密(mì)码中间(jiān)件(jiàn)和API网关���,通过标准化集成能力集成优秀的密(mì)码系(xì)统和(hé)密码设备�����;通过资源虚拟化和微服务化设计对(duì)外提供覆盖基础密码服(fú)务��、通用密(mì)码服(fú)务(wù)和安(ān)全应用(yòng)服(fú)务的层次化密码服务(wù)能力(lì)��;通过(guò)通用密码中(zhōng)间(jiān)件封装层次化密码服务接口为应用提供一站式的密码(mǎ)集成能力���;依托(tuō)API 网关与管理侧协同实(shí)现对应(yīng)用的接入认证(zhèng)和(hé)访问(wèn)控制����。在管理侧���,密(mì)码服务(wù)平台通过密码设备与服务管理提供统一的访(fǎng)问(wèn)入口和管(guǎn)理界面����,支持租户�����、应用���、设(shè)备����、服务和(hé)订单的多维度(dù)管(guǎn)理���,对使用情况进行信息统计和可视化展现���,支撑外部的密(mì)码监管和安全运营����;各类平(píng)台用户可(kě)以通过统一访问入口进行登录(lù)认证�����,完成各自的管理职(zhí)责����。
密码(mǎ)服务平台提出“密码可用��、密(mì)码好用����、密码能管��、密码(mǎ)好(hǎo)管”的四大服务目标���。在(zài)密码可用方面�����,通过(guò)密码虚拟化��、层次化(huà)密码服务(wù)应对目(mù)前密码(mǎ)资(zī)源使用率低����、密(mì)码技术使(shǐ)用不(bú)当����、对新(xīn)业务场景适应(yīng)性(xìng)不强的问题����;在密码好用方(fāng)面���,通(tōng)过通用密码中间件(jiàn)��、标准(zhǔn)化集(jí)成能(néng)力(lì)应对密码与应用对接困难(nán)����、密码服务接(jiē)口不一致以及已建密码资(zī)源(yuán)难以利旧的问题���;在密码能管方面����,通过API网关��、密码设备与服务管理(lǐ)应对(duì)业务应(yīng)用情况不可控���、密码使用情况不可见以及密码资源无法统一管理等问题��;在密(mì)码好管方面���,通过密码服(fú)务的使用(yòng)计量和专业(yè)化(huà)技术团队应(yīng)对密码整体态势(shì)无法获(huò)取�����、密(mì)码使用应急能(néng)力不足以及使用计量困难等问题(tí)���。
针对新型基(jī)础设施的场景要求���,密码服务平台在基础密码服务方(fāng)面(miàn)能够(gòu)提供海量密钥和证(zhèng)书服务能力���、适应物联网����、车联网(wǎng)的(de)多元化证书签发和管理能力以(yǐ)及覆盖全(quán)网的密码监管和(hé)管理能力��;在(zài)通用密(mì)码服(fú)务方(fāng)面能够提供联接人机物的异(yì)构统一身份认证服务(wù)能力���、数(shù)据流转管控与追(zhuī)溯机(jī)制����、物(wù)联网设备的统一(yī)标识管理能力��、车联(lián)网平台的电子地图安(ān)全管控服(fú)务和(hé)车端(duān)密码支撑能力等针对性(xìng)的密码服务能(néng)力��。
记者��:您认为(wéi)应该从哪些方面推进新基建领(lǐng)域密码应用建设工作����。
董贵山���:新基(jī)建是数字(zì)中国发展的“新”阶段���,密(mì)码服务是密码行业发展的“新(xīn)”模式����,两“新”碰撞����,迸发新机���,以新的(de)密码服务(wù)模式保障新基建的“内生安全”���。因此为保(bǎo)障密码在新基建中发挥更(gèng)好的安全支撑作用����,需从多个(gè)角(jiǎo)度推进新基建领域密码应用(yòng)建(jiàn)设工作���。
一是(shì)通(tōng)过政(zhèng)策推动����、业务驱动等推进密码在新基建领域的广泛部(bù)署�����,立足密码作为网络安全的“内置基因”定位(wèi)��,实现新基(jī)建(jiàn)的“内生安全(quán)”���,推动密码在(zài)新基建的建设和示范���,形成新基建(jiàn)各典型领域(yù)密码应用最(zuì)佳实践���。
二是从(cóng)项目建设���、场(chǎng)景需求中提炼业务场景(jǐng)和技术需(xū)求����,开展密码技术突破和(hé)产品研(yán)制�����,从而能够实现密码(mǎ)技术与新基建各领域的深度融(róng)合(hé)��,以(yǐ)密码服务支撑基础(chǔ)设(shè)施对外安全服务����。三是落实(shí)国家网络安(ān)全等级保护相关要求(qiú)和(hé)密码应用(yòng)建设的相(xiàng)关要求����,在新型基础设施(shī)建设过程中要同步(bù)规(guī)划���、同(tóng)步建设����、同步运(yùn)行密码(mǎ)保障系统并定期进行评估����。在规(guī)划过程中����,要(yào)立足新型(xíng)基础设施安全要求��,站在(zài)整体角度设(shè)计密码应用方案(àn)���,在建设过(guò)程(chéng)中�����,把密码(mǎ)服务融入到整体架构中����,新型基础(chǔ)设施需与密码保障体系同步运行����,并通过(guò)定期安全(quán)评估����、密码应(yīng)用安(ān)全性评估等手段���,持续保持密码应用的有效性和安全性(xìng)����。
