侵權(quán)投訴
訂閱
糾錯
加入自媒體

BCS觀察:建設(shè)以密碼為基石的內(nèi)生安全框架,推動新基建網(wǎng)絡(luò)安全與密碼應(yīng)用融合發(fā)展

2020-08-18 10:36
IT168
關(guān)注

密碼作為保護網(wǎng)絡(luò)與信息安全的重要手段,在身份識別、安全隔離、信息加密、完整性保護和抗抵賴等方面發(fā)揮著不可替代的重要作用,廣泛運用于金融、政務(wù)、通信等領(lǐng)域。隨著我國大力開展新型信息基礎(chǔ)設(shè)施建設(shè),以及《網(wǎng)絡(luò)安全法》、《密碼法》的頒布實施,極大推動了密碼應(yīng)用的發(fā)展與創(chuàng)新。在新基建的大背景下,隨著網(wǎng)絡(luò)安全與密碼技術(shù)的不斷演進,基于內(nèi)生安全框架的密碼與網(wǎng)絡(luò)安全融合發(fā)展逐漸成為新的趨勢。

在上周剛結(jié)束的2020北京網(wǎng)絡(luò)安全大會(簡稱:BCS)上,奇安信集團副總裁陳華平發(fā)表了“面向新基建的密碼應(yīng)用框架與創(chuàng)新”主題演講,系統(tǒng)性闡述了密碼應(yīng)用作為支撐新基建內(nèi)生安全框架的基石、以及密碼與網(wǎng)絡(luò)安全融合發(fā)展成為大趨勢的精彩觀點。

以下是奇安信集團副總裁陳華平演講內(nèi)容的記錄:

1. 密碼應(yīng)用是支撐新基建內(nèi)生安全框架的基石

新基建的內(nèi)核是數(shù)字基建,包括5G、工業(yè)互聯(lián)網(wǎng)、AI和數(shù)據(jù)中心等核心要素。在此基礎(chǔ)之上依次進行傳統(tǒng)基礎(chǔ)設(shè)施的數(shù)字化改造及新型基礎(chǔ)設(shè)施的數(shù)字化建設(shè),由此帶來場景化的行業(yè)應(yīng)用,包括5G應(yīng)用場景、物聯(lián)網(wǎng)、車聯(lián)網(wǎng)、工業(yè)互聯(lián)網(wǎng)、智慧城市、智慧醫(yī)療、智慧教育,以及云計算中心應(yīng)用等場景。

場景化的行業(yè)應(yīng)用要求安全能力與基礎(chǔ)設(shè)施融合,要求安全能力與行業(yè)應(yīng)用融合。這些內(nèi)生化的安全需求是傳統(tǒng)網(wǎng)絡(luò)安全框架無法滿足的,因此必須建立新一代網(wǎng)絡(luò)安全框架,推動新基建的內(nèi)生安全建設(shè)。

(1)密碼是內(nèi)生安全的基石

新一代網(wǎng)絡(luò)安全框架的建設(shè),安全由內(nèi)而外,需要穩(wěn)固的基礎(chǔ)支撐。密碼應(yīng)用嵌入信息系統(tǒng)內(nèi)核,與業(yè)務(wù)應(yīng)用緊密耦合,是建設(shè)內(nèi)生安全框架的基石。

對應(yīng)于內(nèi)生安全的一個中心、五張過濾網(wǎng),密碼應(yīng)用在網(wǎng)絡(luò)層面通過加密機、VPN、加密專用模塊實現(xiàn)傳輸加密,在身份層面通過多因子認證、可信標(biāo)識、認證網(wǎng)關(guān)實現(xiàn)認證鑒權(quán),在應(yīng)用層面通過可信模塊、完整性校驗、簽名驗簽實現(xiàn)平臺和應(yīng)用可信,在數(shù)據(jù)層面通過多種加密和訪問授權(quán)實現(xiàn)多重防護,在行為層面通過電子簽章、電子存證實現(xiàn)行為鑒別,在安全運營中心通過建設(shè)密碼應(yīng)用管理平臺,實現(xiàn)密鑰管理、證書管理、策略管理、統(tǒng)一認證。因此,密碼應(yīng)用是內(nèi)生安全的重要組成部分,是安全由內(nèi)而外的橋梁。

(2)在內(nèi)生安全框架下建設(shè)密碼應(yīng)用支撐能力

為了適應(yīng)內(nèi)生安全需求,我們需要建設(shè)密碼應(yīng)用支撐能力。本著基礎(chǔ)性、系統(tǒng)性、前瞻性的原則,積極發(fā)展創(chuàng)新領(lǐng)域的新型密碼應(yīng)用,以適應(yīng)新基建數(shù)字化轉(zhuǎn)型與業(yè)務(wù)發(fā)展的需要。重點布局硬件設(shè)備、軟件模塊、密碼系統(tǒng)、密碼應(yīng)用、密碼支撐、密碼測評、應(yīng)用創(chuàng)新等領(lǐng)域,形成密碼應(yīng)用技術(shù)體系。

●硬件設(shè)備

重點布局具有國密資質(zhì)的加密機、加密卡、可信密碼模塊、密碼卡等硬件產(chǎn)品,滿足密鑰管理、高性能加解密、可信接入,以及輕量級密碼應(yīng)用的需要,滿足標(biāo)準(zhǔn)化、高性能要求,并與密碼系統(tǒng)和軟件有良好的適配性。

●軟件模塊

重點布局具有國密資質(zhì)的軟加密、軟可信、密碼SDK、手機盾等軟件產(chǎn)品,滿足應(yīng)用透明加解密、桌面及移動和物聯(lián)網(wǎng)終端軟件可信環(huán)境、虛擬化及分布式平臺環(huán)境需要,具備定制開發(fā)能力,具備面向密碼應(yīng)用環(huán)境的高適應(yīng)性和靈活性。

●密碼系統(tǒng)

重點布局具有國密資質(zhì)的密碼認證系統(tǒng)、密鑰管理系統(tǒng)、數(shù)字證書系統(tǒng)、簽名驗簽系統(tǒng)等基礎(chǔ)密碼系統(tǒng),為我司網(wǎng)絡(luò)安全產(chǎn)品和系統(tǒng)提供底層密碼支撐。

●密碼應(yīng)用

重點布局密碼技術(shù)在身份識別、保密傳輸、隱私保護、可信認證等領(lǐng)域的應(yīng)用,與我司業(yè)務(wù)相結(jié)合,形成統(tǒng)一的網(wǎng)絡(luò)安全解決方案。

●密碼支撐

重點促進密碼技術(shù)與我司身份管理、信息系統(tǒng)安全、大數(shù)據(jù)安全、應(yīng)用開發(fā)安全等業(yè)務(wù)的融合,并以密碼技術(shù)為核心實現(xiàn)網(wǎng)絡(luò)安全與信息化和業(yè)務(wù)的融合,形成以密碼為核心的內(nèi)生安全支撐能力。

●密碼測評

重點布局密碼應(yīng)用測評工具開發(fā)、密評規(guī)范制定、密評與等保、關(guān)基保護相結(jié)合的綜合測評類廠商,實現(xiàn)密碼應(yīng)用測評能力,并對接密碼產(chǎn)品測評。

●應(yīng)用創(chuàng)新

重點布局密碼技術(shù)在云密碼應(yīng)用、物聯(lián)網(wǎng)與5G、區(qū)塊鏈、數(shù)據(jù)流通等領(lǐng)域的創(chuàng)新應(yīng)用,并與我司在上述領(lǐng)域的創(chuàng)新網(wǎng)絡(luò)安全技術(shù)相結(jié)合,依托密碼應(yīng)用在網(wǎng)絡(luò)安全創(chuàng)新應(yīng)用中取得突破。

(3)在內(nèi)生安全框架下實現(xiàn)網(wǎng)絡(luò)安全與密碼應(yīng)用融合

在內(nèi)生安全框架下,密碼應(yīng)用向平臺化和服務(wù)化方向發(fā)展。通過對信息基礎(chǔ)設(shè)施的全面覆蓋和與業(yè)務(wù)應(yīng)用的聚合,提供全面的身份認證、數(shù)據(jù)加密、傳輸安全和完整性保護能力與服務(wù),并與網(wǎng)絡(luò)安全系統(tǒng)實現(xiàn)全面的對接。

●建設(shè)密碼基礎(chǔ)設(shè)施平臺

形成對密碼算法、協(xié)議以及軟硬件實現(xiàn)的統(tǒng)一部署和對云安全、工業(yè)安全、物聯(lián)網(wǎng)密碼模塊的統(tǒng)一支撐,并根據(jù)身份安全、數(shù)據(jù)安全、應(yīng)用安全等領(lǐng)域需要進行功能開發(fā)和性能優(yōu)化;

●建設(shè)密碼中間件平臺

面向企業(yè)辦公網(wǎng)和生產(chǎn)網(wǎng),以及虛擬化、輕量級、低延時等新興應(yīng)用場景的需求,開展密碼應(yīng)用適配與國產(chǎn)化替代,為數(shù)據(jù)安全、身份安全提供密碼應(yīng)用接口;

●建設(shè)應(yīng)用開發(fā)密碼支撐服務(wù)體系

為應(yīng)用開發(fā)的密碼需求、架構(gòu)設(shè)計和開發(fā)過程提供開發(fā)套件,并為應(yīng)用測試與運營提供密碼服務(wù)支撐;

●建設(shè)密碼應(yīng)用管理平臺

統(tǒng)一管理上述平臺與體系,面向密鑰、證書、簽名等關(guān)鍵元素進行全生命周期的結(jié)構(gòu)化管理;

●建設(shè)密碼應(yīng)用測評服務(wù)體系

對接等保和關(guān)鍵基礎(chǔ)設(shè)施防護,依據(jù)密碼法和密碼應(yīng)用測評規(guī)范,對密碼應(yīng)用的正確性、有效性和合規(guī)性開展持續(xù)的測評與改進。

2. 以密碼應(yīng)用為支撐的內(nèi)生安全框架是保障新基建網(wǎng)絡(luò)安全的起點

新基建對密碼應(yīng)用來說是龐大的增量市場,既包括對現(xiàn)有密碼基礎(chǔ)設(shè)施和應(yīng)用的改造,也包括全新的密碼體系建設(shè)。不論是改造還是新建,密碼技術(shù)在新一代網(wǎng)絡(luò)安全框下,應(yīng)用于5G、大數(shù)據(jù)、云、車聯(lián)網(wǎng)、工業(yè)互聯(lián)網(wǎng)等領(lǐng)域,在實現(xiàn)加密和認證功能的同時,從網(wǎng)絡(luò)、身份、應(yīng)用、數(shù)據(jù)、行為、管理等方面推進新型數(shù)字化基礎(chǔ)設(shè)施安全的內(nèi)生和融合。在面向內(nèi)生安全的密碼技術(shù)和應(yīng)用框架基礎(chǔ)上,我們需要進一步開展面向新基建的密碼應(yīng)用創(chuàng)新,拓展新興應(yīng)用領(lǐng)域的增量市場,實現(xiàn)高質(zhì)量發(fā)展。

(1)密碼應(yīng)用是5G通信與IT網(wǎng)絡(luò)安全融合的關(guān)鍵

5G是我國正在重點建設(shè)的新一代關(guān)鍵信息基礎(chǔ)設(shè)施,在CT層面,5G標(biāo)準(zhǔn)使用了包括我國祖沖之算法在內(nèi)的多種密碼算法實現(xiàn)設(shè)備入網(wǎng)認證和用戶隱私信息保護。在IT層面,虛擬化的基礎(chǔ)設(shè)施和多樣化的業(yè)務(wù)應(yīng)用同樣需要使用密碼技術(shù)。一方面,5G網(wǎng)絡(luò)運行在IT化的基礎(chǔ)設(shè)施上,需要密碼技術(shù)保障基礎(chǔ)設(shè)施軟硬件平臺的安全可信以及虛擬機與容器的可信,另一方面,面向行業(yè)的業(yè)務(wù)應(yīng)用需要基于密碼技術(shù)實現(xiàn)對數(shù)據(jù)和平臺訪問的持續(xù)認證以實現(xiàn)對訪問行為的細粒度管控。

更重要的是,密碼技術(shù)是連接5G CT安全與IT安全的紐帶和橋梁;通過零信任打通IT與CT認證機制,比如零信任安全平臺可以通過運營商的4A系統(tǒng)獲取5G用戶入網(wǎng)和漫游認證信息,并將其作為零信任架構(gòu)下基礎(chǔ)環(huán)境安全的重要參考要素,這些信息在IT層面是無法獲得的;同時零信任安全平臺可以將IT層面持續(xù)認證和行為分析結(jié)果反饋給CT網(wǎng)絡(luò),作為移動通信網(wǎng)絡(luò)安全態(tài)勢感知和用戶入網(wǎng)控制的決策依據(jù)。實現(xiàn)5G網(wǎng)絡(luò)安全的聯(lián)動乃至一體化,對CT安全和IT安全能力都將是一次巨大的提升。而密碼的應(yīng)用在其中起到關(guān)鍵作用。

(2)密碼應(yīng)用是數(shù)據(jù)安全從封閉走向共享開放的關(guān)鍵

在大數(shù)據(jù)安全防護和共享開放方面,密碼技術(shù)起到關(guān)鍵作用。不但應(yīng)用于數(shù)據(jù)的存儲、傳輸安全,在大數(shù)據(jù)的分析和共享領(lǐng)域也將起到越來越重要的作用。數(shù)據(jù)是數(shù)字經(jīng)濟的核心資產(chǎn),隨著我國數(shù)據(jù)安全法草案的公布,全面的數(shù)據(jù)安全保障能力是新一代網(wǎng)絡(luò)安全框架不可缺少的組成部分。密碼技術(shù)不但可以用于數(shù)據(jù)的加密傳輸,如VPN網(wǎng)關(guān)、應(yīng)用層數(shù)據(jù)傳輸加密網(wǎng)關(guān)(HTTP);以及數(shù)據(jù)存儲加密,如數(shù)據(jù)庫加密統(tǒng)、文件加密;還能夠用于大數(shù)據(jù)密態(tài)分析,如關(guān)鍵字段加密、同態(tài)加密;并通過區(qū)塊鏈、多方計算等應(yīng)用推動數(shù)據(jù)共享與交換。

(3)新一代云基礎(chǔ)設(shè)施安全框架整合密碼服務(wù)能力

在云安全方面,云密碼服務(wù)是一種新的安全功能交付模式,是云計算技術(shù)與身份認證、授權(quán)訪問、傳輸加密、存儲加密等密碼技術(shù)的深度融合。如何實現(xiàn)密碼能力的虛擬化、資源化、服務(wù)化成為密碼發(fā)展的重要挑戰(zhàn)。與此同時,在新一代網(wǎng)絡(luò)安全框架整合了面向政務(wù)云、行業(yè)云及公有云的密碼產(chǎn)品、密碼使用策略、密碼服務(wù)接口和服務(wù)流程,密碼服務(wù)作為云基礎(chǔ)結(jié)構(gòu)安全的重要組件,實現(xiàn)統(tǒng)一的云安全服務(wù)交付。

(4)密碼應(yīng)用打通車聯(lián)網(wǎng)多網(wǎng)融合的安全認證與數(shù)據(jù)加密

車聯(lián)網(wǎng)是工業(yè)互聯(lián)網(wǎng)及物聯(lián)網(wǎng)領(lǐng)域中比較特殊的一個細分領(lǐng)域,一方面車輛是一個高度集成的信息物理系統(tǒng),涉及生命財產(chǎn)安全有很高的安全需求;另一方面車聯(lián)網(wǎng)的網(wǎng)絡(luò)非常復(fù)雜,它是高速移動的環(huán)境,涉及到車內(nèi)網(wǎng)、車際網(wǎng)和車云網(wǎng),其安全措施需要打通端、網(wǎng)、云,并保證高實時性和可靠性。密碼技術(shù)的應(yīng)用可以很好的滿足車聯(lián)網(wǎng)的關(guān)鍵安全需求。

對于端系統(tǒng),主要涉及車載終端設(shè)備和路側(cè)設(shè)備,車輛需要嵌入安全芯片,用以管理密鑰和加密運算,從而強化ECU和CAN總線自身脆弱性的問題,路側(cè)設(shè)備,包括交通流量采集,信號控制以及交通引導(dǎo)設(shè)備等,同樣需要通過密碼技術(shù)來保障數(shù)據(jù)采集過程的安全。

對于網(wǎng)絡(luò),由于接入方式的多樣性,傳統(tǒng)網(wǎng)絡(luò)安全技術(shù)和產(chǎn)品很難部署。而基于密碼技術(shù)的零信任的持續(xù)身份認證與動態(tài)訪問控制可以很好的解決復(fù)雜網(wǎng)絡(luò)條件下的網(wǎng)絡(luò)安全問題。

對于云端的車聯(lián)網(wǎng)應(yīng)用,需要使用密碼技術(shù)對數(shù)據(jù)進行加密,配合數(shù)據(jù)隔離、數(shù)據(jù)防泄漏、數(shù)據(jù)庫防火墻、數(shù)據(jù)審計等方式保障密鑰以及用戶數(shù)據(jù)的隱私性,同時部署認證中心進行統(tǒng)一認證。

(5)密碼應(yīng)用打破工業(yè)互聯(lián)網(wǎng)信息孤島,實現(xiàn)遠程安全協(xié)同

對于工業(yè)互聯(lián)網(wǎng),業(yè)務(wù)應(yīng)用和數(shù)據(jù)長期以來并未得到有效的保護。密碼技術(shù)的應(yīng)用可以有效的實現(xiàn)身份認證和數(shù)據(jù)加密,滿足工業(yè)現(xiàn)場環(huán)境、低功耗模式等工業(yè)系統(tǒng)端級別設(shè)備與訪問用戶身份認證,系統(tǒng)中不同網(wǎng)絡(luò)速率和連接要求的通信網(wǎng)絡(luò)的傳輸認證和傳輸加密,關(guān)鍵工藝參數(shù)等敏感數(shù)據(jù)的存儲等安全需求;同時,在橫向隔離的工業(yè)網(wǎng)絡(luò)中,基于密碼技術(shù)支撐實現(xiàn)安全的遠程接入,包括終端接入、運維接入等,滿足業(yè)務(wù)需要的同時打破信息孤島,推動工業(yè)互聯(lián)網(wǎng)信息交換,實現(xiàn)遠程協(xié)同能力。

3. 以價值為導(dǎo)向,密碼應(yīng)用融入網(wǎng)絡(luò)安全大生態(tài)

長期以來,密碼應(yīng)用是一個相對獨立的生態(tài),密碼與網(wǎng)絡(luò)安全沒有很好的融合。而在新基建的背景下,密碼應(yīng)用的建設(shè)應(yīng)融入網(wǎng)絡(luò)安全整體框架。

(1)密碼專項融入新一代網(wǎng)絡(luò)安全(十大工程五大任務(wù))框架

奇安信在新一代網(wǎng)絡(luò)安全框架的十大工程、五大任務(wù)中,專門設(shè)計了密碼專項。

在實現(xiàn)密碼基礎(chǔ)設(shè)施和應(yīng)用能力建設(shè)的同時,著重其對整個網(wǎng)絡(luò)安全框架的支撐作用和與其他安全工程及任務(wù)的聯(lián)動。包括身份安全、縱深防御、終端及接入安全、云數(shù)據(jù)中心安全、大數(shù)據(jù)應(yīng)用安全、態(tài)勢感知、系統(tǒng)安全、工業(yè)安全、內(nèi)部威脅防控在內(nèi)的每一個安全工程,都需要對接統(tǒng)一密碼應(yīng)用和管理平臺。安全運行、應(yīng)用安全、物聯(lián)網(wǎng)安全、業(yè)務(wù)安全及安全人員能力建設(shè)也同樣需要密碼應(yīng)用服務(wù)的支撐。因此,密碼專項成為新一代網(wǎng)絡(luò)安全框架的基座,為政企內(nèi)生安全建設(shè)提供堅實的基礎(chǔ)。

(2)以價值為導(dǎo)向建設(shè)網(wǎng)絡(luò)安全大生態(tài)

在數(shù)字化的生態(tài)體系當(dāng)中,伙伴之間互為資源、相互賦能,在共同提供資源、產(chǎn)品或者服務(wù)之后,按照市場規(guī)律獲得相對應(yīng)的市場回報。可以說這是一套按市場規(guī)則運作的合作體系,伙伴間的合作關(guān)系既寬松、又緊密。這種合作關(guān)系也讓伙伴更加樂于組團進行應(yīng)用創(chuàng)新。

往前看,安全行業(yè)必是贏在生態(tài),沒有一家廠商能解決所有安全領(lǐng)域問題,生態(tài)能力強、生態(tài)資源多的廠商才能為用戶產(chǎn)生更多價值。在新基建、數(shù)字化轉(zhuǎn)型的推動作用下,生態(tài)已成為安全廠商生存發(fā)展的必要條件,安全廠商應(yīng)在新一代網(wǎng)絡(luò)安全框架下,找準(zhǔn)自身的生態(tài)定位,打造以價值為導(dǎo)向的技術(shù)生態(tài)體系,進而實現(xiàn)產(chǎn)業(yè)生態(tài)繁榮。

4. 總結(jié)

隨著新基建的廣泛開展,密碼得到更多的重視和更廣泛的應(yīng)用,在新一代網(wǎng)絡(luò)安全框架中正在成為一顆耀眼的明星。在新基建的網(wǎng)絡(luò)安全建設(shè)大潮中,我們應(yīng)以密碼為基石支撐內(nèi)生安全體系建設(shè),以內(nèi)生安全框架為起點保障新基建網(wǎng)絡(luò)安全同步建設(shè),以價值為導(dǎo)向建設(shè)新基建網(wǎng)絡(luò)安全產(chǎn)業(yè)大生態(tài)。

作者:奇安信集團副總裁 陳華平編輯: 高博來源:IT168網(wǎng)站  原創(chuàng)

聲明: 本文由入駐維科號的作者撰寫,觀點僅代表作者本人,不代表OFweek立場。如有侵權(quán)或其他問題,請聯(lián)系舉報。

發(fā)表評論

0條評論,0人參與

請輸入評論內(nèi)容...

請輸入評論/評論長度6~500個字

您提交的評論過于頻繁,請輸入驗證碼繼續(xù)

暫無評論

暫無評論

    安防 獵頭職位 更多
    文章糾錯
    x
    *文字標(biāo)題:
    *糾錯內(nèi)容:
    聯(lián)系郵箱:
    *驗 證 碼:

    粵公網(wǎng)安備 44030502002758號