石峰 耿方 吕松 蒋亚丽
(1.西部安全认证中心有限责任公司 宁夏回族自治区银川市 750001)
(2.山东大学软件学院 山东省济南市 250101)
随着数字化、网络化的不断演进,密码亦从“神秘”走向普及,密码应用需求遍布各行各业,2019 年10 月26 日,十三届全国人大常委会第十四次会议审议通过《中华人民共和国密码法》,2020 年1 月1 日起施行,《密码法》实施旨在深入践行“密码安全为人民”的理念、切实增强密码管理法治化水平、积极推进重要领域和网络空间密码融合应用、着力加强密码自主创新和人才培养。本文根据我国密码产业现状,立足于全面贯彻《密码法》,提出了构建公共密码服务平台思路,意在通过该平台的一站式服务,解决高效、合规的使用密码,突发事件预警、纠纷仲裁、密码应用咨询、评估、设计、监理、安全培训等系列问题,提升密码服务科学化、规范化、法治化水平,推进我国密码产业的健康发展。
党的十八大以来,在党中央、国务院高度重视下,在各方面共同努力下,我国密码不断发展壮大,并取得了丰硕的成果。大数据、云计算、人工智能等新技术新业态新模式,对密码服务应用提出了更高要求;我国密码赖以运行的关键元器件和工程实现技术受制于人的局面没有得到根本性改变,密码创新发展存在明显短板弱项,密码科技创新和产业发展面临新机遇新挑战。面对我国现阶段关键信息基础设施防控能力较弱,网络信息产品核心技术受制于人,网络安全事件频发,网络安全形势日趋严峻的现状,国家应该从顶层设计规划设计做好以下重点任务.
以市场需求为中心打造全产业链条体系,从国家层面,加大资金投入构建公共密码服务平台将密码产业上中下游的相关资源进行整合,形成完整产业链条。加强密码领域共性、前瞻、战略性技术研究与科技攻关,围绕涉及商用密码长远发展和国家安全的问题,加强密码基础理论研究前瞻布局,强化原始创新,增强源头供给,突破核心关键技术,通过构建密公共密码服务平台汇集优势企业进行密码领域共性技术、前瞻技术、战略性技术的研究,建立全社会协同攻关创新的体制机制。完善密码检测认证体系建设,提升风险防范能力,综合发挥密码产品检测认证、密码应用安全评估和关键基础设施密码安全审查的技术把关作用,整合社会资源,合理规划布局,建立国家密码测评认证体系。优化密码产业生态体系建设,通过建立规范、标准、先进的密码公共安全服务标杆,提升公共服务的集约化和标准化水平。以总体国家安全观为统领,全面贯彻落实《密码法》推进商用密码全面应用。
密码作为国家重要战略资源,密码工作是党和国家的一项特殊重要工作,直接关系国家政治安全、经济安全、国防安全和信息安全,是“由网络大国走向网络强国”的重要抓手,是我国安全产业安全和制造业高质量发展的强力保障,因此,国家应该从顶层规划设计好公共密码服务平台,用于监管用户安全、合规、高效使用密码技术,提升态势感知、安全防护、应急处置能力,培育一批影响力大、竞争力强的龙头骨干企业,并加速各领域与密码技术的融合,推动安全产业生态高速发展,持续提升我国网络安全国际影响力和话语权。
2.2.1 我国由网络大国迈向网络强国的必由之路、必然选择
近年来,在持续的政策推动下,网络安全保护到达了史无前例的高度。2014 年2 月,中央网络安全和信息化领导小组成立,由习总书记亲自担任组长,并提出“没有网络安全就没有国家安全,没有信息化就没有现代化,中国要由网络大国走向网络强国”。作为信息安全的核心技术的密码技术从上个世纪90 年代国务院颁布《商用密码管理条例》,到2020 年1 月1 日《中华人民共和国密码法》的正式实施,标志着我国商用密码的发展和管理从此走上了法治化的轨道。贯彻落实《中华人民共和国密码法》,推动我国的“由网络大国到走向网络强国”的强国战略,需紧紧围绕党和国家战略需求,致力于增强密码原始创新能力,建设以公共密码服务、密码应用产业链供需对接、密码应用监测感知为核心的“一站式”公共密码服务平台是完成国家安全产业顶层设计的必要一环、是我国“由网络大国走向网络强国”必由之路、必然选择。
2.2.2 国内产业安全和制造业高质量发展的强力保障
国内安全产业的发展离不开密码技术保护,特别是制造业高质量发展更离不开密码技术的保驾护航。国家应围绕安全产业、先进制造业的安全需求,继续加大密码应用的支持力度,在构建密公共密码服务平台的基础上,加大工业互联网、先进制造业的密码应用的监管和投入力度。建立完善的工业互联网、先进制造业的密码标准体系,完善顶层规划,加强密码应用的指导性、加强核心技术研究,提升密码应用的适用性,加快标准制定,推动成果转化,促进工业互联网平台、先进制造业等安全产业的密码应用产业化。从根本上保障工业互联网平台、安全产业、先进制造业的安全,让密码技术成为推动国内安全产业安全和制造业高质量发展的强力保障。
2.2.3 “数字经济时代”应对国内、国际重大突发公共安全事件的重要保障
数字经济时代,大数据在为组织创造价值的同时,也面临着严峻的安全风险。一方面,数据经济发展特性使得数据在不同主体间的流通和加工成为不可避免的趋势,由此也打破了数据安全管理边界,弱化了管理主体风险控制能力;另一方面,随着数据资源商业价值的凸显,针对数据的攻击、窃取、滥用、劫持等活动持续泛滥,并呈现出产业化、高科技化和跨国化等特性,对国家的数据生态治理水平和组织的数据安全管理能力提出全新挑战。2016 年9 月22 日,全球互联网巨头雅虎用户账户信息失窃事件、2017 年3 月“京东内部员工泄露用户数据”案、2021 年5 月7 日,美国大型成品油管道运营商科洛尼尔管道运输公司遭受了勒索软件的攻击等综合近年来国内外重大数据安全事件发现,造成该类事件发生主要有以下原因:第一相关人员安全意识、重视程度不够,法律意识淡薄;第二未采用密码技术或相关类产品进行保护私密数据,第三应用系统设计之初缺乏统筹的安全设计和相关的安全评估,第四系统缺乏有效的应急处理预案,第五缺乏有效的密码应用态势的监测。密码技术作为信息安全的最核心技术,同样是数字经济时代是维护网络空间安全的重要防护手段,构建集密码服务、密码应用产业链供需对接、密码应用检测态势感知的公共密码服务平台是维护网络空间安全的重要手段,也是应对国内、国际重大突发公共安全事件重要手段。
本方案运用工业互联网架构,采用云计算、大数据、微服务等技术,重点围绕密码应用产业链供需对接平台、密码技术服务平台、密码应用监测感知平台“三大平台”进行总体规划设计,总体架构如图1。
图1:“一站式”公共密码服务平台总体架构
为具体的密码产品应用环境,包括各类工业和信息化行业典型应用场景,并通过各类异构网络通信协议向平台传输密码应用数据供密码应用监测感知平台使用
IaaS 层为部署层,基于私有云、公有云、专有云等基础平台进行部署,可灵活适应于多种平台服务场景。
PaaS 层为平台层:包含了密码产品资源池、三大平台,以及基于三大平台形成的各类工具库与标准。
密码应用产业链供需对接平台,由密码产品供需发布系统、智能交易撮合系统、交易管理系统、运营管理系统构成,为密码产品供需双方提供供需信息发布和交易撮合能力,解决了采购方与供应商之间信息不通畅及信息推荐精度效率较低的问题,能有效提升全产业链的沟通交流效率,赋能密码产业应用发展。
密码技术服务平台,包括密码运算基础服务系统、统一身份认证系统和数字证书系统,具备数字证书管理、身份认证管理和密码服务功能,利用数字证书服务、统一身份认证入口、底层基础密码服务等,为工业和信息化行业密码企业与密码应用方信息发布、采购订单到物流管理等业务提供全面的密码认证服务。同时还为中小企业用户提供云上密码服务,在不采购密码设备的情况下,完成“密码即服务”的云上密码应用,为中小企业节约密码应用成本,简化密码应用流程。
密码应用监测感知平台,其采集密码应用、密码系统/设备,密钥、证书等密码资源信息,基于数据建模、分类归并和融合分析等手段,监测和呈现密码运行态势,实现密码风险事件预测告警和辅助决策。
密码产品资源池为方案在实施过程中形成的基础密码产品,如高速密码卡、服务器密码机、签名验签服务器等,密码平台类产品,如统一密码服务管理平台、数字证书认证系统密钥管理系统、统一身份认证系统等产品,密码应用类产品,如安全传输网关、协同签名系统、签名验签服务器、电子签章系统、隐私数据加密系统等密码资源。
平台工具库与标准规范为依托三大平台,在密码应用测评、密码应用服务、密码应用分析等方面形成工具集,以及与平台相配套的标准与规范,以保障整体平台的可用性与易用性。
SaaS 层:为面向用户的服务层,基于三大平台、密码产品资源池和工具库为用户提供从密码应用咨询、密码应用设计到密码应用运维的“一站式”服务,让用户切实体验到密码应用的简单与便捷性。
围绕畅通密码全产业链的沟通交流渠道,提升工业和信息化行业密码应用产业供给水平的目标,工业和信息化行业密码应用产业基础公共服务平台,通过一体化的设计,在平台内布局了密码应用产业链供需对接平台、密码应用态势感知平台、密码技术服务平台三大子平台系统,面向密码产品供需双方提供产品展示、需求发布、智能交易撮合、密码数据采集、实时分析汇总、风险诊断、安全性标准化评估、企业培育、信息交互的一站式服务,促进密码产品快速高效地应用落地,赋能密码产业应用发展。平台设计具有如下先进性:
密码应用产业链供需对接平台,创造性地将智能推荐算法应用于交易撮合系统中,通过对用户的精准画像,为密码产品供需双方提供定制化、智能化的交易撮合服务,解决了采购方与供应商之间信息不通畅及信息推荐精度效率较低的问题,大幅提升密码产品全产业链的沟通交流效率。
平台设计利用区块链技术的点对点、分布式、不可篡改、抗抵赖、可追溯等特性,重塑供需信息发布、进销项发票管理、电子合同管理、追踪溯源管理等平台内各系统的核心功能,实现了供需信息发布、交易服务,保证供需发布数据及交易数据的全程记录留痕、可追溯,历史数据不可篡改;解决了传统信息系统存在的单点故障、易被篡改、难追溯的难题。
密码应用态势感知平台,根据业务侧信息系统特别是密码系统、密码终端的数据特点,创新地将密码态势数据的采集汇聚、统计分析、统一呈现和预测告警等功能集于一体,为行业密码应用提供密码应用信息系统整体态势感知预警、密码应用安全性标准化评估、密码应用现状分析汇总及风险研判的一站式服务,实现了密码资源统一呈现、密码要素合规、系统风险可标识预测、威胁预警可辅助决策的目标;解决了密码产品在应用过程中难以统一监测、预估风险的问题。
密码技术服务平台以国产密码运算为基础、“密码资源池”为支撑、密码服务为思想、密码资源集中管理为手段,采用微服务等技术,高度整合密码运算资源,通过统一设备管理、密钥管理和策略管理,为用户提供加解密、签名验签、电子签章、数字证书、时间戳、协同签名、VPN 等一站式的密码服务和可视化的密码资源运维管理服务,具备层次化、服务化、松耦合、可扩展、安全可靠、高稳定的特点,满足了密码公共服务平台内的密码业务需求,有效覆盖了密码公共服务平台的业务需求,为平台的内生安全提供了保障。
构建公共密码服务平台是全面贯彻落实《中华人民共和国密码法》提升工业和信息化行业密码应用产业供给水平的重要抓手,通过该平台提供的“一站式服务”可以解决密码的高效、合规使用问题,解决应用系统在使用密码技术时的合规性检查,突发事件预警,密码应用咨询、评估、设计、监理、安全培训等一系列的安全服务问题,还可以通过平台检测数据让主管部门时时掌握密码应用合规情况及安全态势,研判密码管理工作成果,分析密码市场态势,完善密码管理体系,指导密码应用创新。推进密码应用安全性评估的标准化,促进我国密码应用标准的国际化,补强商用密码产业基础支撑短板,均衡密码应用产业分布和布局。实现安全互信、开放共享的网络安全文明,推动重要领域持续加大密码应用,推动密码技术产品服务体系创新。