“网络安全为(wéi)人民,网络(luò)安(ān)全靠人(rén)民。”9月16日,卫士通多位网(wǎng)络安(ān)全专家已(yǐ)“奔赴”各(gè)级网(wǎng)络安全宣传周活动,通(tōng)过线上与线下相结(jié)合的方(fāng)式,兼(jiān)顾行业人(rén)士与普通大众的不同关(guān)注点,从密码在网络(luò)安全中的核心(xīn)作用、泛在化(huà)应用、以及创(chuàng)新服务(wù)方式进行了多方位、多(duō)层级的观点分享。
核心 | 夯实新(xīn)型基础设施网络安全底座
中国电科集团网络安全领域首席(xí)专家、中国网安副总工程师、卫士通总工程(chéng)师董贵山(shān)出席第七届国家网络安全宣传周(zhōu)新型(xíng)基础设(shè)施网络安(ān)全高峰论(lùn)坛,并(bìng)作“保障工业互联网安(ān)全,服务(wù)制造业高质量发展”主题演讲(jiǎng),系统地阐(chǎn)述和(hé)分析了我国工业(yè)互联网的(de)发展背景、潜在(zài)安全风险及相关(guān)政策要求,并提出了构建体系(xì)化安全(quán)防(fáng)护能力,夯实以工业互联网为代(dài)表的新型(xíng)基(jī)础设施网(wǎng)络安全(quán)底(dǐ)座的三点建议。
▲图 董贵山作主题演(yǎn)讲
一是,建(jiàn)议借鉴企业工业信息安(ān)全整体保障实施原(yuán)则。企业工业信息安全整体保障是中国网安(ān)基于正确的网络(luò)安全观提(tí)出的“整(zhěng)体安全(quán)、动(dòng)态安全、相对安(ān)全、合规与赋能、技术(shù)与(yǔ)管理”的企(qǐ)业工业信息安全整体保障实施原则(zé),并在中国网安相(xiàng)关工作中广泛应用,对其他企业开(kāi)展(zhǎn)工业信息安全保障将(jiāng)起到借鉴作用。
二是(shì),严格履行“七项义务(wù),四类防护(hù)”的基(jī)本要求。《网络安全法》对网(wǎng)络运营者的最基本义务和安(ān)全要(yào)求做了明确(què)规定,各工业(yè)企业应履行网络运行安(ān)全义务、网络产品(pǐn)和服务安全(quán)义务、关(guān)键(jiàn)信息基础(chǔ)设施安全(quán)保护义务、公(gōng)民(mín)个人信息保护义务、网络信息安全管理义(yì)务、对(duì)监管机关的(de)执法(fǎ)协助义务(wù)和(hé)其(qí)他法(fǎ)定义务,实现网(wǎng)页防(fáng)篡(cuàn)改、服务防中断、系统防病毒、数据防泄漏。
三(sān)是,利用密码算法(fǎ)保障工业互联网数据(jù)的多方安全共(gòng)享(xiǎng),达到工业数据安全的价值流动。密码(mǎ)技(jì)术(shù)在网(wǎng)络安全(quán)防护体系中(zhōng)位(wèi)居核心和基础地(dì)位(wèi),其提供的可信数(shù)据汇聚、数(shù)据加密(mì)存储、安全数据共享、安全多方计算、数据流(liú)转确权能够实现数(shù)据(jù)的全(quán)生命周期安全,并针对(duì)敏感数据、企业核心数据提供针(zhēn)对性的数据脱(tuō)敏、数据加密和数(shù)据隐藏能(néng)力,将防护能力深入到业务流转之中(zhōng),能够有(yǒu)效的保(bǎo)护安全隐私(sī),维护企业利益(yì),在数据可(kě)用不可见的基础上实现数据(jù)价值的流转(zhuǎn)和(hé)交互。
广度 | 拓展密(mì)码泛在化应用
国(guó)家网(wǎng)络安全(quán)宣传周同期,成都市的相关活(huó)动也在火(huǒ)热进(jìn)行,卫士通结合现场展(zhǎn)示、专家演讲、互动游戏(xì),从“密(mì)码(mǎ)的内涵与意(yì)义”、“密码泛在化内涵与意义”、“密码领域典型(xíng)实践与应用”三方面向成(chéng)都市民普及了“密码泛在化”进程、应(yīng)用及意义。
▲图 周阳作(zuò)主题演讲
卫士(shì)通方案中心技术专(zhuān)家周阳在演讲中特别选(xuǎn)取(qǔ)大众最常接触的生活场景,通俗易懂的向成(chéng)都市民(mín)进行分享。周阳(yáng)通过诸如黑客(kè)攻击政府网站窃(qiè)取公民和企业信(xìn)息,就医人员医疗信(xìn)息遭泄露导(dǎo)致个人敏感信息被窃取(qǔ),12306遭泄露数据撞库攻击,考(kǎo)生网上报考信息泄(xiè)露,伪(wěi)造印章,虚开发票(piào),伪(wěi)造文件造成国家财产损失等大众在日常生活中接触到的场景案例引(yǐn)入,带(dài)领听众一起总结了数字生(shēng)活(huó)正面四大主要痛点,临时(shí)身份(fèn)鉴别有“短板”、个人信息缺“保护” 、数据安(ān)全有“欠缺”、文(wén)件印章缺“可信”。
而(ér)解决这些痛点的一大法宝,便是“密码”!经过20多年的发展,我国商用密码已经应用到社会生产生(shēng)活的各个方面,在网络和信(xìn)息安全中发挥着越来越(yuè)重要的基础支撑作用。在政务服务,基于商用(yòng)密码技(jì)术,防(fáng)止政务服务、防疫健康信息码(mǎ)使(shǐ)用过程中的公众隐私(sī)数据泄露(lù),电子(zǐ)证(zhèng)照、电(diàn)子印章真实有效,保障市(shì)民数字生活安全(quán)。在社会保障,密钥(yào)管理(lǐ)系统作为(wéi)社保卡制卡(kǎ)体系的核心(xīn),主要负(fù)责各(gè)类密钥(yào)的生(shēng)成(chéng)、存(cún)储(chǔ)与分发,密(mì)钥管(guǎn)理系统中的密钥(yào)按密钥类(lèi)型(xíng)、应用类型(xíng)和交易种类进行定义,并通(tōng)过(guò)分散变化(huà)等机制进行(háng)分级管(guǎn)理(lǐ),避免(miǎn)单(dān)个密钥(yào)被攻破之后(hòu)影响整体系统的密钥安全。在(zài)医疗卫生方面,密码技术的应用保(bǎo)障(zhàng)了新(xīn)形势下的医疗电子体系稳定发展,其中安全可信的电子(zǐ)病历以电子认证和电子签名为手段(duàn),形成完善的技术保障体系,营运安(ān)全(quán)可信的电子病历应(yīng)用环境,等等。
深(shēn)度 | 创新(xīn)密码服务方式(shì)
卫士通方案(àn)中心(xīn)商用密码专家周君平在(zài)国家网络(luò)安全宣传周(zhōu)内蒙分(fèn)会场的(de)线上论坛上,作(zuò)“推动商(shāng)用密(mì)码应(yīng)用,创新密码(mǎ)服务能力”主题演讲。她表示,随着密码技术的(de)深(shēn)度、广度(dù)融合(hé)发展趋势(shì),不(bú)仅促进(jìn)了产业链全生态(tài)的建立健全(quán),而且还催生了密码服务“平台化”创新应用(yòng)模式。
▲图 周君平
该模式(shì)通过构建一体化的密码服务平台,将为各(gè)行业重要信(xìn)息系统提供统(tǒng)一(yī)、弹性、高效、规模化的(de)密码应用(yòng)服务。一体化密码服务平(píng)台将采用微服务(wù)架(jià)构对密码服务基础(chǔ)支(zhī)撑设备、系统的能力进行抽象封装,形成(chéng)密(mì)码服务能力(lì),并(bìng)通过API网关将密码服务的能力(lì)采用(yòng)标准统一的接口,以API的形(xíng)式或SDK的形式向安全应用提供。同(tóng)时基(jī)于(yú)平台管控实现对(duì)平台(tái)的应用接入管理,密码资源、资(zī)产的统(tǒng)计管理,基于(yú)密码监管服务实(shí)现对密码设备、密(mì)码资源、密(mì)码(mǎ)服务调用(yòng)情况(kuàng)的统一监管,基于安全运(yùn)营服务使用,实现租户管(guǎn)理、平(píng)台运营状态监(jiān)控、资源(yuán)可用性监控等(děng)。这种商用密码(mǎ)创新(xīn)服(fú)务方式(shì)有以下几个特点:
1.服务化(huà) 以服务(wù)替代产品(pǐn),降低采购成本和运维成(chéng)本,提升信(xìn)息(xī)化建设敏捷性,缓解安(ān)全建设(shè)的困扰(rǎo)。
2.精准化 将密码业务(wù)深植于业务之(zhī)中,由专业的密(mì)码厂商(shāng)提供服(fú)务,实(shí)时跟踪学界和(hé)业界的前沿进展,着力开展技(jì)术演进和(hé)模式创新,保(bǎo)持服务能力的持续迭代和更(gèng)新。
3.泛在化 面向目前数字政府建设的多云部署趋势,提(tí)供支持不同云服务平台的泛在接入(rù)能力。
4.合(hé)规化 以商用密(mì)码(mǎ)和等级保护相关(guān)规定为(wéi)指导,以安(ān)全合规为底线,避免(miǎn)业务应用的合规风险(xiǎn)。
5.简略化 为业务应用(yòng)提供便(biàn)捷的密码(mǎ)服务接口,缓解现在业务应用(yòng)开发商的密(mì)码研发(fā)难度(dù),弥补安全应用短板。依托密钥管理、密码应用等服(fú)务能力,联(lián)通(tōng)前(qián)端业务服务(wù)商和后端基础服务商,结合密钥管理(lǐ)和身(shēn)份(fèn)服务入(rù)口,形成(chéng)以密码(mǎ)服务为(wéi)核心的互联网信任(rèn)服务生态,支撑(chēng)网络空间安全。
