7月4日,由信息安全与通信保密杂志社主办的“第二届商用密码高性能技术与产业论坛”在京举办,会议以“供给高质量国密,重构数据安全防线”为主题,国家密码管理局商用密码管理办公室副主任霍炜、国家科技部高新司处长李宏刚、以及业界专家、企业家和行业精英出席会议。中国电子科技集团首席专家、卫士通公司总工程师董贵山受邀发表了主题演讲。
▲董贵山
一、密码是解决云安全问题的最有效手段
据国际数据公司IDC数据显示,云计算时代安全问题是用户(75%)首要关注的问题。大部分用户对于业务上云、应用上云、数据上云之后的安全问题犹豫不决,其中,最受关注的问题之一就是数据安全问题。
董贵山表示,安全是云计算中最重要的考虑点,而密码是解决云安全问题的最有效手段。密码因其解决网络安全问题的经济性、便捷性、有效性,以及在处理海量数据机密性保护、复杂网络实体认证等方面具有的独特优势,成为云计算产业持续发展的“内在”基因。云计算的蓬勃发展催生云上密码应用,云计算的发展带来公有云、私有云、混合云等多种业务形态,为适应云计算的多种形态必将催生新的密码应用模式,云计算发展驱动了网络、资源、终端的多维度融合,使数据逐步成为业务发展的核心和驱动力,同时使云环境下对密码和安全服务化的需求日渐迫切。密码服务化是顺应云计算发展的必然趋势,结合云服务的发展路线,将密码能力以服务的方式输出可以有效适应云场景下的网络和信息安全保障需求,以安全服务和业务服务为基础逐步扩展为基于商用密码的宝博手机客户端-官网首页生态。
二、国家对密码管理与应用愈加重视
近些年,国家层面愈加重视对密码管理与应用的规范化,继《商用密码管理条例》之后,密集颁布了《中华人民共和国网络安全法》《中华人民共和国密码法(草案征求意见稿)》《关键信息基础设施安全保护条例(征求意见稿)》《金融和重要领域密码应用与创新发展工作规划(2018-2022年)》《网络安全等级保护2.0》,对于数据安全、密码应用、测评要求还有同步体系化建设方面都提出了迫切的管理要求。
今年《信息安全技术 网络安全等级保护基本要求》国家标准的落地,也响应了密码技术应用的相关要求,新标准横向扩展了对云计算、移动互联网、物联网、工业控制系统、大数据的安全要求,纵向扩展了对等保测评机构的规范管理。最新的等保2.0《基本要求》和《云计算扩展要求》中,有20多处提到了密码技术的应用,涉及身份鉴别、数据的完整性和保密性、抗抵赖等应用场景,同时对密码技术产品的使用也提出要求,如:应遵循密码相关的国家标准和行业标准、应使用国家密码主管部门认证核准的密码技术和产品等。在新的政策和形势下,随着《中华人民共和国密码法》的颁布,对密码应用、密码安全、密码发展促进、监督管理等方面都提出了新的要求,等级保护应在设计、建设、以及测评等各方面依照新政策新标准的相关要求,科学指导密码技术合规、正确、有效使用。
三、基于密码高性能核心要求的云平台密码应用
密码技术在云平台中的典型应用是以基础设施为支撑提供Iaas层和Paas层服务,密码云具有高性能、高安全、高可靠的技术特色。卫士通所提出的密码技术云化应用实践是以打造密码云的形式为各类云环境提供密码服务。以政务云为例,结合政务云本身的架构模式解决云平台上“密钥如何管,密码如何用,系统如何建”等问题,实现政务云平台“用上密码、用全密码和用好密码”的三特性进行密码整体应用的设计。
四、云平台密码应用的建议
基于卫士通云平台密码应用,董贵山还提出了几点建议:第一,要构建密码服务云,优化密码服务方式,提供便捷的基础密码运算接口,打造完善的密码应用服务体系,构建按需的密钥管理服务能力,拓展多方联合的密码服务生态;第二,改变思路,提高意识,加强密码在云计算安全的核心支撑作用;第三,加强密码应用评估监管,提升密码应用新局面。
