密码作为保护网络与信息安全的重要手段,在身份识别、安全隔离、信息加密、完整性保护和抗抵赖等方面发挥着不可替代的重要作用,广泛运用于金融、政务、通信等领域。随着我国大力开展新型信息基础设施建设,以及《网络安全法》、《密码法》的颁布实施,极大推动了密码应用的发展与创新。在新基建的大背景下,随着网络安全与密码技术的不断演进,基于内生安全框架的密码与网络安全融合发展逐渐成为新的趋势。
在上周刚结束的2020北京网络安全大会(简称:BCS)上,奇安信集团副总裁陈华平发表了“面向新基建的密码应用框架与创新”主题演讲,系统性阐述了密码应用作为支撑新基建内生安全框架的基石、以及密码与网络安全融合发展成为大趋势的精彩观点。
以下是奇安信集团副总裁陈华平演讲内容的记录:
1. 密码应用是支撑新基建内生安全框架的基石
新基建的内核是数字基建,包括5G、工业互联网、AI和数据中心等核心要素。在此基础之上依次进行传统基础设施的数字化改造及新型基础设施的数字化建设,由此带来场景化的行业应用,包括5G应用场景、物联网、车联网、工业互联网、智慧城市、智慧医疗、智慧教育,以及云计算中心应用等场景。
场景化的行业应用要求安全能力与基础设施融合,要求安全能力与行业应用融合。这些内生化的安全需求是传统网络安全框架无法满足的,因此必须建立新一代网络安全框架,推动新基建的内生安全建设。
(1)密码是内生安全的基石
新一代网络安全框架的建设,安全由内而外,需要稳固的基础支撑。密码应用嵌入信息系统内核,与业务应用紧密耦合,是建设内生安全框架的基石。
对应于内生安全的一个中心、五张过滤网,密码应用在网络层面通过加密机、VPN、加密专用模块实现传输加密,在身份层面通过多因子认证、可信标识、认证网关实现认证鉴权,在应用层面通过可信模块、完整性校验、签名验签实现平台和应用可信,在数据层面通过多种加密和访问授权实现多重防护,在行为层面通过电子签章、电子存证实现行为鉴别,在安全运营中心通过建设密码应用管理平台,实现密钥管理、证书管理、策略管理、统一认证。因此,密码应用是内生安全的重要组成部分,是安全由内而外的桥梁。
(2)在内生安全框架下建设密码应用支撑能力
为了适应内生安全需求,我们需要建设密码应用支撑能力。本着基础性、系统性、前瞻性的原则,积极发展创新领域的新型密码应用,以适应新基建数字化转型与业务发展的需要。重点布局硬件设备、软件模块、密码系统、密码应用、密码支撑、密码测评、应用创新等领域,形成密码应用技术体系。
●硬件设备
重点布局具有国密资质的加密机、加密卡、可信密码模块、密码卡等硬件产品,满足密钥管理、高性能加解密、可信接入,以及轻量级密码应用的需要,满足标准化、高性能要求,并与密码系统和软件有良好的适配性。
●软件模块
重点布局具有国密资质的软加密、软可信、密码SDK、手机盾等软件产品,满足应用透明加解密、桌面及移动和物联网终端软件可信环境、虚拟化及分布式平台环境需要,具备定制开发能力,具备面向密码应用环境的高适应性和灵活性。
●密码系统
重点布局具有国密资质的密码认证系统、密钥管理系统、数字证书系统、签名验签系统等基础密码系统,为我司网络安全产品和系统提供底层密码支撑。
●密码应用
重点布局密码技术在身份识别、保密传输、隐私保护、可信认证等领域的应用,与我司业务相结合,形成统一的网络安全解决方案。
●密码支撑
重点促进密码技术与我司身份管理、信息系统安全、大数据安全、应用开发安全等业务的融合,并以密码技术为核心实现网络安全与信息化和业务的融合,形成以密码为核心的内生安全支撑能力。
●密码测评
重点布局密码应用测评工具开发、密评规范制定、密评与等保、关基保护相结合的综合测评类厂商,实现密码应用测评能力,并对接密码产品测评。
●应用创新
重点布局密码技术在云密码应用、物联网与5G、区块链、数据流通等领域的创新应用,并与我司在上述领域的创新网络安全技术相结合,依托密码应用在网络安全创新应用中取得突破。
(3)在内生安全框架下实现网络安全与密码应用融合
在内生安全框架下,密码应用向平台化和服务化方向发展。通过对信息基础设施的全面覆盖和与业务应用的聚合,提供全面的身份认证、数据加密、传输安全和完整性保护能力与服务,并与网络安全系统实现全面的对接。
●建设密码基础设施平台
形成对密码算法、协议以及软硬件实现的统一部署和对云安全、工业安全、物联网密码模块的统一支撑,并根据身份安全、数据安全、应用安全等领域需要进行功能开发和性能优化;
●建设密码中间件平台
面向企业办公网和生产网,以及虚拟化、轻量级、低延时等新兴应用场景的需求,开展密码应用适配与国产化替代,为数据安全、身份安全提供密码应用接口;
●建设应用开发密码支撑服务体系
为应用开发的密码需求、架构设计和开发过程提供开发套件,并为应用测试与运营提供密码服务支撑;
●建设密码应用管理平台
统一管理上述平台与体系,面向密钥、证书、签名等关键元素进行全生命周期的结构化管理;
●建设密码应用测评服务体系
对接等保和关键基础设施防护,依据密码法和密码应用测评规范,对密码应用的正确性、有效性和合规性开展持续的测评与改进。
2. 以密码应用为支撑的内生安全框架是保障新基建网络安全的起点
新基建对密码应用来说是庞大的增量市场,既包括对现有密码基础设施和应用的改造,也包括全新的密码体系建设。不论是改造还是新建,密码技术在新一代网络安全框下,应用于5G、大数据、云、车联网、工业互联网等领域,在实现加密和认证功能的同时,从网络、身份、应用、数据、行为、管理等方面推进新型数字化基础设施安全的内生和融合。在面向内生安全的密码技术和应用框架基础上,我们需要进一步开展面向新基建的密码应用创新,拓展新兴应用领域的增量市场,实现高质量发展。
(1)密码应用是5G通信与IT网络安全融合的关键
5G是我国正在重点建设的新一代关键信息基础设施,在CT层面,5G标准使用了包括我国祖冲之算法在内的多种密码算法实现设备入网认证和用户隐私信息保护。在IT层面,虚拟化的基础设施和多样化的业务应用同样需要使用密码技术。一方面,5G网络运行在IT化的基础设施上,需要密码技术保障基础设施软硬件平台的安全可信以及虚拟机与容器的可信,另一方面,面向行业的业务应用需要基于密码技术实现对数据和平台访问的持续认证以实现对访问行为的细粒度管控。
更重要的是,密码技术是连接5G CT安全与IT安全的纽带和桥梁;通过零信任打通IT与CT认证机制,比如零信任安全平台可以通过运营商的4A系统获取5G用户入网和漫游认证信息,并将其作为零信任架构下基础环境安全的重要参考要素,这些信息在IT层面是无法获得的;同时零信任安全平台可以将IT层面持续认证和行为分析结果反馈给CT网络,作为移动通信网络安全态势感知和用户入网控制的决策依据。实现5G网络安全的联动乃至一体化,对CT安全和IT安全能力都将是一次巨大的提升。而密码的应用在其中起到关键作用。
(2)密码应用是数据安全从封闭走向共享开放的关键
在大数据安全防护和共享开放方面,密码技术起到关键作用。不但应用于数据的存储、传输安全,在大数据的分析和共享领域也将起到越来越重要的作用。数据是数字经济的核心资产,随着我国数据安全法草案的公布,全面的数据安全保障能力是新一代网络安全框架不可缺少的组成部分。密码技术不但可以用于数据的加密传输,如VPN网关、应用层数据传输加密网关(HTTP);以及数据存储加密,如数据库加密统、文件加密;还能够用于大数据密态分析,如关键字段加密、同态加密;并通过区块链、多方计算等应用推动数据共享与交换。
(3)新一代云基础设施安全框架整合密码服务能力
在云安全方面,云密码服务是一种新的安全功能交付模式,是云计算技术与身份认证、授权访问、传输加密、存储加密等密码技术的深度融合。如何实现密码能力的虚拟化、资源化、服务化成为密码发展的重要挑战。与此同时,在新一代网络安全框架整合了面向政务云、行业云及公有云的密码产品、密码使用策略、密码服务接口和服务流程,密码服务作为云基础结构安全的重要组件,实现统一的云安全服务交付。
(4)密码应用打通车联网多网融合的安全认证与数据加密
车联网是工业互联网及物联网领域中比较特殊的一个细分领域,一方面车辆是一个高度集成的信息物理系统,涉及生命财产安全有很高的安全需求;另一方面车联网的网络非常复杂,它是高速移动的环境,涉及到车内网、车际网和车云网,其安全措施需要打通端、网、云,并保证高实时性和可靠性。密码技术的应用可以很好的满足车联网的关键安全需求。
对于端系统,主要涉及车载终端设备和路侧设备,车辆需要嵌入安全芯片,用以管理密钥和加密运算,从而强化ECU和CAN总线自身脆弱性的问题,路侧设备,包括交通流量采集,信号控制以及交通引导设备等,同样需要通过密码技术来保障数据采集过程的安全。
对于网络,由于接入方式的多样性,传统网络安全技术和产品很难部署。而基于密码技术的零信任的持续身份认证与动态访问控制可以很好的解决复杂网络条件下的网络安全问题。
对于云端的车联网应用,需要使用密码技术对数据进行加密,配合数据隔离、数据防泄漏、数据库防火墙、数据审计等方式保障密钥以及用户数据的隐私性,同时部署认证中心进行统一认证。
(5)密码应用打破工业互联网信息孤岛,实现远程安全协同
对于工业互联网,业务应用和数据长期以来并未得到有效的保护。密码技术的应用可以有效的实现身份认证和数据加密,满足工业现场环境、低功耗模式等工业系统端级别设备与访问用户身份认证,系统中不同网络速率和连接要求的通信网络的传输认证和传输加密,关键工艺参数等敏感数据的存储等安全需求;同时,在横向隔离的工业网络中,基于密码技术支撑实现安全的远程接入,包括终端接入、运维接入等,满足业务需要的同时打破信息孤岛,推动工业互联网信息交换,实现远程协同能力。
3. 以价值为导向,密码应用融入网络安全大生态
长期以来,密码应用是一个相对独立的生态,密码与网络安全没有很好的融合。而在新基建的背景下,密码应用的建设应融入网络安全整体框架。
(1)密码专项融入新一代网络安全(十大工程五大任务)框架
奇安信在新一代网络安全框架的十大工程、五大任务中,专门设计了密码专项。
在实现密码基础设施和应用能力建设的同时,着重其对整个网络安全框架的支撑作用和与其他安全工程及任务的联动。包括身份安全、纵深防御、终端及接入安全、云数据中心安全、大数据应用安全、态势感知、系统安全、工业安全、内部威胁防控在内的每一个安全工程,都需要对接统一密码应用和管理平台。安全运行、应用安全、物联网安全、业务安全及安全人员能力建设也同样需要密码应用服务的支撑。因此,密码专项成为新一代网络安全框架的基座,为政企内生安全建设提供坚实的基础。
(2)以价值为导向建设网络安全大生态
在数字化的生态体系当中,伙伴之间互为资源、相互赋能,在共同提供资源、产品或者服务之后,按照市场规律获得相对应的市场回报。可以说这是一套按市场规则运作的合作体系,伙伴间的合作关系既宽松、又紧密。这种合作关系也让伙伴更加乐于组团进行应用创新。
往前看,安全行业必是赢在生态,没有一家厂商能解决所有安全领域问题,生态能力强、生态资源多的厂商才能为用户产生更多价值。在新基建、数字化转型的推动作用下,生态已成为安全厂商生存发展的必要条件,安全厂商应在新一代网络安全框架下,找准自身的生态定位,打造以价值为导向的技术生态体系,进而实现产业生态繁荣。
4. 总结
随着新基建的广泛开展,密码得到更多的重视和更广泛的应用,在新一代网络安全框架中正在成为一颗耀眼的明星。在新基建的网络安全建设大潮中,我们应以密码为基石支撑内生安全体系建设,以内生安全框架为起点保障新基建网络安全同步建设,以价值为导向建设新基建网络安全产业大生态。
作者:奇安信集团副总裁 陈华平编辑: 高博来源:IT168网站 原创