關(guān)于瑞術(shù)

公司概況

新聞動(dòng)態(tài)

聯(lián)系我們

黨建活動(dòng)

供給高質(zhì)量密碼　筑牢新基建基石

二維碼

發(fā)表時(shí)間：2020-12-11 10:00

摘　要：新基建為數(shù)字經(jīng)濟(jì)注入新動(dòng)能。而密碼技術(shù)作為網(wǎng)絡(luò)安全的殺手锏技術(shù)和核心支撐，成為新基建安全有序發(fā)展的關(guān)鍵保障。大力推進(jìn)商用密碼與新基建的深度融合，推動(dòng)創(chuàng)新密碼技術(shù)在新基建的全面應(yīng)用勢(shì)在必行。通過(guò)分析新基建的信息基礎(chǔ)設(shè)施、融合基礎(chǔ)設(shè)施、創(chuàng)新基礎(chǔ)設(shè)施等領(lǐng)域面臨的安全挑戰(zhàn)，探索密碼技術(shù)與新基建在新技術(shù)、新模式、新業(yè)態(tài)等的融合思路，提出高質(zhì)量密碼供給，打造以密碼技術(shù)為核心的新基建實(shí)戰(zhàn)化安全防護(hù)體系。

關(guān)鍵詞：新基建；密碼應(yīng)用融合；高質(zhì)量供給；實(shí)戰(zhàn)化防護(hù)

內(nèi)容目錄：

0　引　言

1　新基建賦予密碼融合新使命

1.1　新基建開(kāi)拓經(jīng)濟(jì)發(fā)展新航道

1.2　新基建面臨網(wǎng)絡(luò)安全新挑戰(zhàn)

1.2.1　萬(wàn)物泛在互聯(lián)，失控風(fēng)險(xiǎn)攀升

1.2.2　新基建中數(shù)據(jù)要素安全威脅更為嚴(yán)峻

1.2.3　新基建對(duì)密碼性能、易用性提出高要求

1.3　新基建帶給密碼發(fā)展新機(jī)遇

2　合規(guī)與實(shí)戰(zhàn)并舉的新基建密碼防護(hù)

2.1　密碼支撐“信息基礎(chǔ)設(shè)施”

2.1.1　5G網(wǎng)絡(luò)

2.1.2　大數(shù)據(jù)中心

2.1.3　人工智能

2.1.4　工業(yè)互聯(lián)網(wǎng)

2.2　密碼保障“融合基礎(chǔ)設(shè)施”

2.2.1　特高壓

2.2.2　城際高速鐵路和城際軌道交通

2.2.3　新能源汽車(chē)充電樁

2.3　密碼激活“創(chuàng)新基礎(chǔ)設(shè)施”

3　供給高質(zhì)量密碼，維護(hù)新基建安全新秩序

3.1　高性能密碼模塊賦能新基建內(nèi)生安全

3.2　面向切面加密讓安全內(nèi)嵌于業(yè)務(wù)流程

3.3　實(shí)戰(zhàn)化商用密碼防護(hù)體系守護(hù)新基建

4　結(jié)　語(yǔ)

0　引　言

新基建加速了數(shù)字經(jīng)濟(jì)與實(shí)體經(jīng)濟(jì)的融合發(fā)展，助推經(jīng)濟(jì)社會(huì)高質(zhì)量發(fā)展，但隨之而來(lái)的安全威脅正從數(shù)字世界向物理世界逐步滲透，網(wǎng)絡(luò)安全形勢(shì)更加錯(cuò)綜復(fù)雜，數(shù)據(jù)要素安全挑戰(zhàn)也更加嚴(yán)峻。安全是發(fā)展的前提，發(fā)展是安全的保障，密碼作為保護(hù)網(wǎng)絡(luò)與信息安全的重要手段，成為“新基建”時(shí)代重塑網(wǎng)絡(luò)空間安全體系的重要基石。在新基建重點(diǎn)布局高速密碼，將構(gòu)建以密碼為核心的實(shí)戰(zhàn)化安全新生態(tài)。

1　新基建賦予密碼融合新使命

1.1　新基建開(kāi)拓經(jīng)濟(jì)發(fā)展新航道

中央指出要抓住產(chǎn)業(yè)數(shù)字化、數(shù)字產(chǎn)業(yè)化賦予的機(jī)遇，加快5G網(wǎng)絡(luò)、數(shù)據(jù)中心等新型基礎(chǔ)設(shè)施建設(shè)。2020年4月20日，國(guó)家發(fā)改委首次明確了“新基建”的定義：新型基礎(chǔ)設(shè)施是以新發(fā)展理念為引領(lǐng)，以技術(shù)創(chuàng)新為驅(qū)動(dòng)，以信息網(wǎng)絡(luò)為基礎(chǔ)，面向高質(zhì)量發(fā)展需要，提供數(shù)字轉(zhuǎn)型、智能升級(jí)、融合創(chuàng)新等服務(wù)的基礎(chǔ)設(shè)施體系，新基建包括信息基礎(chǔ)設(shè)施、融合基礎(chǔ)設(shè)施、創(chuàng)新基礎(chǔ)設(shè)施3個(gè)方面內(nèi)容。

新基建是制造強(qiáng)國(guó)和網(wǎng)絡(luò)強(qiáng)國(guó)“兩個(gè)強(qiáng)國(guó)” 建設(shè)的共同支撐，開(kāi)拓了國(guó)家經(jīng)濟(jì)發(fā)展的新航道，滿(mǎn)足了人民對(duì)美好生活的新需求。而產(chǎn)業(yè)互聯(lián)網(wǎng)作為數(shù)字產(chǎn)業(yè)化與產(chǎn)業(yè)數(shù)字化的重要承載，新基建與其密不可分。新基建、產(chǎn)業(yè)互聯(lián)網(wǎng)、數(shù)據(jù)要素三者關(guān)系可以比作“航道—船—油”，三者緊密關(guān)聯(lián)、互為促進(jìn)，而安全底座則決定了遠(yuǎn)航距離。密碼技術(shù)作為網(wǎng)絡(luò)安全的殺手锏技術(shù)，是保障數(shù)據(jù)要素安全的核心手段，是產(chǎn)業(yè)互聯(lián)網(wǎng)的安全基因，為新基建加速發(fā)展保駕護(hù)航。

1.2　新基建面臨網(wǎng)絡(luò)安全新挑戰(zhàn)

新基建打造數(shù)字經(jīng)濟(jì)新引擎，加速推動(dòng)傳統(tǒng)行業(yè)數(shù)字化轉(zhuǎn)型。然而新基建在發(fā)展過(guò)程中，卻面臨諸多安全挑戰(zhàn)，不僅包括產(chǎn)業(yè)互聯(lián)網(wǎng)技術(shù)自身的安全威脅，也涉及從數(shù)字世界向?qū)嶓w世界逐漸滲透時(shí)產(chǎn)生的安全挑戰(zhàn)。

1.2.1　萬(wàn)物泛在互聯(lián)，失控風(fēng)險(xiǎn)攀升

隨著新基建的建設(shè)，所有實(shí)體皆可通過(guò)網(wǎng)絡(luò)實(shí)現(xiàn)連接，打破了時(shí)間、空間約束，隨之而來(lái)的網(wǎng)絡(luò)攻擊的威脅也呈指數(shù)級(jí)增長(zhǎng)，在沒(méi)有更高安全保障的條件下，給現(xiàn)實(shí)物理世界、人身安全帶來(lái)嚴(yán)峻威脅。在構(gòu)建和運(yùn)行的開(kāi)放網(wǎng)絡(luò)環(huán)境中，無(wú)論是物聯(lián)網(wǎng)終端接入、還是數(shù)據(jù)要素流轉(zhuǎn)共享，都難以劃分出網(wǎng)絡(luò)邊界，所以經(jīng)典網(wǎng)絡(luò)邊界防護(hù)模型不再適用。當(dāng)前既要解決保密性、完整性、可用性的傳統(tǒng)安全問(wèn)題，又要保證數(shù)據(jù)和服務(wù)的按需使用和安全交互，解決可信、可管、可控、可用等問(wèn)題。

1.2.2　新基建中數(shù)據(jù)要素安全威脅更為嚴(yán)峻

與傳統(tǒng)基礎(chǔ)設(shè)施相比，新型基礎(chǔ)設(shè)施的安全敞口更廣，海量數(shù)據(jù)要素的安全風(fēng)險(xiǎn)急劇攀升。新型基礎(chǔ)設(shè)施業(yè)務(wù)系統(tǒng)數(shù)據(jù)高度集中，存儲(chǔ)大量用戶(hù)信息，極易成為攻擊目標(biāo)，一旦遭受攻擊或入侵將引發(fā)數(shù)據(jù)泄露、系統(tǒng)業(yè)務(wù)功能被控制等安全問(wèn)題。新型基礎(chǔ)設(shè)施涉及業(yè)務(wù)系統(tǒng)、數(shù)據(jù)庫(kù)、文件存儲(chǔ)等組件，這些組件接口的開(kāi)放，可能會(huì)造成接口的未授權(quán)調(diào)用，導(dǎo)致非授權(quán)訪問(wèn)、數(shù)據(jù)泄露、遠(yuǎn)程控制等后果。

1.2.3　新基建對(duì)密碼性能、易用性提出高要求

長(zhǎng)期以來(lái)，商用密碼技術(shù)的推廣普及，面臨著性能需求難以滿(mǎn)足、使用門(mén)檻高等挑戰(zhàn)。商用密碼產(chǎn)品大多以安全芯片、終端、設(shè)備等硬件產(chǎn)品呈現(xiàn)，硬件產(chǎn)品在云端、虛擬機(jī)端、移動(dòng)端等新場(chǎng)景中難以靈活部署硬件密碼產(chǎn)品，同時(shí)硬件密碼產(chǎn)品受制于專(zhuān)用密碼芯片的實(shí)現(xiàn)性能。5G新基建場(chǎng)景中性能問(wèn)題尤為凸顯，5G數(shù)據(jù)傳輸速度比先前的4G LTE蜂窩網(wǎng)絡(luò)快100倍，響應(yīng)時(shí)間從4G的30～70毫秒降低到低1毫秒，數(shù)據(jù)處理量和并發(fā)數(shù)都極大提升。但是，目前我國(guó)常規(guī)的密碼算法實(shí)現(xiàn)，難以滿(mǎn)足 5G 場(chǎng)景中高性能需求。

1.3　新基建帶給密碼發(fā)展新機(jī)遇

相比傳統(tǒng)基建，科技創(chuàng)新驅(qū)動(dòng)、數(shù)字化、信息網(wǎng)絡(luò)是新基建的三個(gè)特點(diǎn)。新基建深度依賴(lài)網(wǎng)絡(luò)數(shù)字化空間，而密碼技術(shù)則是保障網(wǎng)絡(luò)空間秩序和信任的核心技術(shù)和基礎(chǔ)支撐。面對(duì)國(guó)內(nèi)外安全環(huán)境的深刻變化以及經(jīng)濟(jì)高質(zhì)量發(fā)展的雙重挑戰(zhàn)，在我國(guó)信息產(chǎn)業(yè)缺少自主核心技術(shù)的局面下，亟需以密碼應(yīng)用為突破口，構(gòu)建以密碼技術(shù)為核心的網(wǎng)絡(luò)安全與信任體系，大力推進(jìn)商用密碼與新基建數(shù)字化技術(shù)的深度融合，推動(dòng)商用密碼在新基建領(lǐng)域的全面應(yīng)用。

同時(shí)，國(guó)家近年來(lái)頒布了一系列法律法規(guī)，推動(dòng)信息基礎(chǔ)設(shè)施的建設(shè)與合規(guī)。其中重點(diǎn)包含“一法三規(guī)”：

（1）2019年正式出臺(tái)的《密碼法》，將密碼活動(dòng)的相關(guān)制度上升為國(guó)家法律，強(qiáng)調(diào)國(guó)家積極促進(jìn)密碼事業(yè)發(fā)展，保障網(wǎng)絡(luò)與信息安全，維護(hù)國(guó)家安全和社會(huì)公共利益，保護(hù)公民、法人和其他組織的合法權(quán)益。其中明確要求關(guān)鍵信息基礎(chǔ)設(shè)施等使用商用密碼保護(hù)網(wǎng)絡(luò)安全。

（2）2019年12月正式發(fā)布了《國(guó)家政務(wù)信息化項(xiàng)目建設(shè)管理辦法》（國(guó)辦發(fā)〔2019〕57號(hào)），明確要求政務(wù)信息化項(xiàng)目“同步規(guī)劃、同步建設(shè)、同步運(yùn)行密碼保障系統(tǒng)并定期進(jìn)行評(píng)估；按要求向發(fā)改委備案的備案文件應(yīng)當(dāng)包括密碼應(yīng)用方案和密碼應(yīng)用安全性評(píng)估報(bào)告”。

（3）目前正在公開(kāi)征求意見(jiàn)、納入2020年立法計(jì)劃的《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》充分體現(xiàn)了密碼管理在國(guó)家網(wǎng)絡(luò)安全大局中的重要地位和作用，明確了關(guān)鍵信息基礎(chǔ)設(shè)施的密碼應(yīng)用要求。其中，從制度機(jī)制、標(biāo)準(zhǔn)規(guī)范、教育培訓(xùn)、手段建設(shè)、技術(shù)創(chuàng)新等方面提升通信、能源、交通、金融等行業(yè)主管部門(mén)和關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)單位的安全保護(hù)能力，要求關(guān)鍵信息基礎(chǔ)設(shè)施中的密碼使用和管理，應(yīng)當(dāng)遵守密碼法律、行政法規(guī)的規(guī)定。

（4）2020年7月公安部發(fā)布《貫徹落實(shí)網(wǎng)絡(luò)安全等級(jí)保護(hù)制度和關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)制度的指導(dǎo)意見(jiàn)》（公網(wǎng)安〔2019〕1960 號(hào)）對(duì)國(guó)家政務(wù)信息系統(tǒng)、等保三級(jí)以上網(wǎng)絡(luò)應(yīng)正確、有效采用密碼技術(shù)進(jìn)行保護(hù)，并使用符合相關(guān)要求的密碼產(chǎn)品和服務(wù)。

2　合規(guī)與實(shí)戰(zhàn)并舉的新基建密碼防護(hù)

新基建是科技強(qiáng)國(guó)的重要支點(diǎn)，相比傳統(tǒng)基礎(chǔ)設(shè)施，新基建因其數(shù)字化特性，面臨諸多新安全問(wèn)題，在信息基礎(chǔ)設(shè)施、融合基礎(chǔ)設(shè)施、創(chuàng)新基礎(chǔ)設(shè)施三大領(lǐng)域，通過(guò)密碼技術(shù)保障安全顯得尤為重要。而密碼技術(shù)與新基建的深度融合，對(duì)用戶(hù)合規(guī)和攻防對(duì)抗提出極高要求，推動(dòng)用戶(hù)以密評(píng)合規(guī)為起點(diǎn)，以真實(shí)對(duì)抗結(jié)果為導(dǎo)向，構(gòu)建敏捷實(shí)施、細(xì)粒度防護(hù)、機(jī)制可靠的密碼實(shí)戰(zhàn)化防護(hù)體系，也將為密碼產(chǎn)業(yè)發(fā)展提供指引和方向。

2.1　密碼支撐“信息基礎(chǔ)設(shè)施”

信息基礎(chǔ)設(shè)施主要指基于新一代信息技術(shù)演化生成的基礎(chǔ)設(shè)施，比如以5G、物聯(lián)網(wǎng)、工業(yè)互聯(lián)網(wǎng)、衛(wèi)星互聯(lián)網(wǎng)為代表的通信網(wǎng)絡(luò)基礎(chǔ)設(shè)施，以人工智能、云計(jì)算、區(qū)塊鏈等為代表的新技術(shù)基礎(chǔ)設(shè)施，以數(shù)據(jù)中心、智能計(jì)算中心為代表的算力基礎(chǔ)設(shè)施等。

伴隨新基建的快速發(fā)展，5G網(wǎng)絡(luò)、大數(shù)據(jù)中心、人工智能、工業(yè)互聯(lián)網(wǎng)等信息基礎(chǔ)設(shè)施成為行業(yè)競(jìng)爭(zhēng)新賽道，對(duì)于網(wǎng)絡(luò)安全提出了更多的新需求。密碼技術(shù)與信息基礎(chǔ)設(shè)施的融合發(fā)展，也將充分激發(fā)密碼創(chuàng)新創(chuàng)造力。

2.1.1　5G 網(wǎng)絡(luò)

隨著我國(guó)5G網(wǎng)絡(luò)建設(shè)和商用的全面展開(kāi)，5G網(wǎng)絡(luò)從傳輸通道全面升級(jí)為數(shù)字化賦能的承載基石，正加速推動(dòng)物理世界和智能世界的深度融合。由于5G網(wǎng)絡(luò)的獨(dú)有特性，靈活、彈性的網(wǎng)絡(luò)安全成為新要求。然而，密碼機(jī)、智能密碼鑰匙等傳統(tǒng)獨(dú)立于信息系統(tǒng)之外的密碼產(chǎn)品，一定程度上限制了用戶(hù)使用密碼技術(shù)的主動(dòng)性，阻礙密碼技術(shù)的推廣和普及。

只有創(chuàng)新密碼產(chǎn)品，將密碼功能內(nèi)嵌入信息化產(chǎn)品中，才能更好地適應(yīng)未來(lái) 5G 網(wǎng)絡(luò)的密碼防護(hù)新需求。

2.1.2　大數(shù)據(jù)中心

大數(shù)據(jù)所蘊(yùn)含的巨大潛力和價(jià)值，使其成為新型網(wǎng)絡(luò)攻擊的重災(zāi)區(qū)。為有效應(yīng)對(duì)網(wǎng)絡(luò)安全威脅，將密碼技術(shù)直接作用于數(shù)據(jù)，通過(guò)“小密鑰”進(jìn)行安全保障，縮小安全敞口。針對(duì)數(shù)據(jù)的采集、傳輸、存儲(chǔ)、使用和流轉(zhuǎn)等不同環(huán)節(jié)，構(gòu)建數(shù)據(jù)全生命周期安全防護(hù)，做到事前預(yù)防、事中防護(hù)和事后追溯。事前預(yù)防，可將敏感數(shù)據(jù)加密存儲(chǔ)于數(shù)據(jù)庫(kù)或文件系統(tǒng)，通過(guò)設(shè)置訪問(wèn)控制策略，并結(jié)合數(shù)據(jù)加解密，防范數(shù)據(jù)泄露；事中防護(hù)，通過(guò)實(shí)施訪問(wèn)控制，數(shù)據(jù)加解密策略和數(shù)據(jù)脫敏，防止敏感數(shù)據(jù)泄露、被篡改；事后追溯，針對(duì)敏感數(shù)據(jù)操作進(jìn)行完整日志記錄，實(shí)現(xiàn)高置信度的審計(jì)。

2.1.3　人工智能

當(dāng)前，主要發(fā)達(dá)國(guó)家將人工智能作為提升國(guó)家競(jìng)爭(zhēng)力、維護(hù)國(guó)家安全的重大戰(zhàn)略。人工智能在加速各主體間的數(shù)據(jù)與技術(shù)互通、信息共享的同時(shí)，也擴(kuò)大了網(wǎng)絡(luò)威脅攻擊面。基于密碼技術(shù)，構(gòu)建“終端”“傳輸”“平臺(tái)”的全方位安全防護(hù)體系，可有效保障人工智能領(lǐng)域數(shù)據(jù)全生命周期的完整性和保密性。將安全基因融入人工智能系統(tǒng)設(shè)計(jì)之中，加強(qiáng)身份識(shí)別和監(jiān)測(cè)，對(duì)威脅、危害的響應(yīng)或處理決策提供信息支持；構(gòu)筑安全的數(shù)據(jù)采集和處理環(huán)境，有效防止黑客攻擊和系統(tǒng)自身缺陷帶來(lái)的安全隱患。

2.1.4　工業(yè)互聯(lián)網(wǎng)

工業(yè)互聯(lián)網(wǎng)作為制造業(yè)與互聯(lián)網(wǎng)深度融合的產(chǎn)物，已經(jīng)成為新工業(yè)革命的關(guān)鍵支撐。因此，工業(yè)互聯(lián)網(wǎng)自身安全可控是產(chǎn)業(yè)安全和國(guó)家安全的重要基礎(chǔ)和保障。密碼技術(shù)是構(gòu)建工業(yè)互聯(lián)網(wǎng)安全體系的關(guān)鍵核心技術(shù)，通過(guò)結(jié)合密碼技術(shù)與多種安全防護(hù)手段，實(shí)現(xiàn)工業(yè)現(xiàn)場(chǎng)環(huán)境、低功耗模式等場(chǎng)景下，工業(yè)系統(tǒng)端級(jí)別設(shè)備與訪問(wèn)用戶(hù)身份鑒別的安全保障需求，滿(mǎn)足不同網(wǎng)絡(luò)速率和連接要求的通信網(wǎng)絡(luò)傳輸認(rèn)證和傳輸加密等安全需求，保障企業(yè)核心數(shù)據(jù)資產(chǎn)安全。

2.2　密碼保障“融合基礎(chǔ)設(shè)施”

融合基礎(chǔ)設(shè)施主要指深度應(yīng)用互聯(lián)網(wǎng)、大數(shù)據(jù)、人工智能等技術(shù)，支撐傳統(tǒng)基礎(chǔ)設(shè)施轉(zhuǎn)型升級(jí)，進(jìn)而形成融合基礎(chǔ)設(shè)施，比如智能交通基礎(chǔ)設(shè)施、智慧能源基礎(chǔ)設(shè)施等。

以特高壓、城際高速鐵路和城際軌道交通、新能源汽車(chē)充電樁等為代表的融合基礎(chǔ)設(shè)施，對(duì)推動(dòng)經(jīng)濟(jì)高質(zhì)量發(fā)展的支撐作用正在加快釋放。提升密碼創(chuàng)新供給能力，為融合基礎(chǔ)設(shè)施產(chǎn)業(yè)發(fā)展和安全保駕護(hù)航。

2.2.1　特高壓

特高壓領(lǐng)域是經(jīng)濟(jì)社會(huì)運(yùn)行的神經(jīng)中樞，是網(wǎng)絡(luò)安全防護(hù)的重中之重。然而，特高壓行業(yè)電力系統(tǒng)生產(chǎn)運(yùn)行高度依賴(lài)網(wǎng)絡(luò)和信息技術(shù)，數(shù)據(jù)泄露、安全失控、核心技術(shù)受制于人等安全隱患，致使特高壓網(wǎng)絡(luò)空間安全形勢(shì)不容樂(lè)觀。因此，特高壓安全防護(hù)應(yīng)從保障電力系統(tǒng)的數(shù)據(jù)、終端設(shè)備和網(wǎng)絡(luò)等方面安全著手，利用密碼技術(shù)，實(shí)現(xiàn)特高壓電力系統(tǒng)的整體安全保護(hù)。利用對(duì)稱(chēng)密碼技術(shù)，對(duì)數(shù)據(jù)加密后存儲(chǔ)，實(shí)現(xiàn)數(shù)據(jù)存儲(chǔ)安全；利用傳輸加密和身份鑒別，保證數(shù)據(jù)的通信安全；采用密碼的身份鑒別和訪問(wèn)控制，進(jìn)行終端防護(hù)。

2.2.2　城際高速鐵路和城際軌道交通

伴隨城際高速鐵路和城際軌道交通網(wǎng)的快速擴(kuò)張、規(guī)模持續(xù)擴(kuò)大、技術(shù)裝備迭代升級(jí)，該領(lǐng)域的網(wǎng)絡(luò)安全形勢(shì)日趨嚴(yán)峻和復(fù)雜。為充分應(yīng)對(duì)城際高速鐵路和城際軌道交通網(wǎng)數(shù)字化轉(zhuǎn)型過(guò)程中面臨的安全威脅，針對(duì)車(chē)輛設(shè)備和城軌控制系統(tǒng)構(gòu)建基于密碼技術(shù)的“主動(dòng)式防護(hù)”。對(duì)于重要的業(yè)務(wù)系統(tǒng)、數(shù)據(jù)應(yīng)采用加解密技術(shù)傳輸，結(jié)合網(wǎng)絡(luò)安全傳輸、系統(tǒng)安全保障、重要信息安全管控等技術(shù)手段，實(shí)現(xiàn)數(shù)據(jù)完整性和保密性，并避免中間人攻擊、網(wǎng)頁(yè)劫持等特定網(wǎng)絡(luò)攻擊。

2.2.3　新能源汽車(chē)充電樁

新能源汽車(chē)充電樁是智慧交通、智慧能源等新興數(shù)字經(jīng)濟(jì)的重要組成部分。在國(guó)家頂層的帶動(dòng)下，能源汽車(chē)充電樁建設(shè)爆發(fā)式增長(zhǎng)。由于點(diǎn)多、面廣、分散，充電樁的每一個(gè)節(jié)點(diǎn)都存在重大的安全隱患，如終端易被攻擊者侵入，與本地充電站、運(yùn)營(yíng)平臺(tái)傳輸過(guò)程中出現(xiàn)數(shù)據(jù)泄露，操作系統(tǒng)內(nèi)敏感數(shù)據(jù)安全防護(hù)措施不足等。因此，要在充電樁終端集成密碼中間件，實(shí)現(xiàn)身份鑒別和數(shù)據(jù)加密防護(hù)。通過(guò)加密或者數(shù)字簽名，保護(hù)重點(diǎn)區(qū)域內(nèi)的數(shù)據(jù)文件，以保證數(shù)據(jù)的機(jī)密性、完整性、可靠性和不可抵賴(lài)性。

2.3　密碼激活“創(chuàng)新基礎(chǔ)設(shè)施”

創(chuàng)新基礎(chǔ)設(shè)施主要指支撐科學(xué)研究、技術(shù)開(kāi)發(fā)、產(chǎn)品研制的具有公益屬性的基礎(chǔ)設(shè)施，比如：重大科技基礎(chǔ)設(shè)施、科教基礎(chǔ)設(shè)施、產(chǎn)業(yè)技術(shù)創(chuàng)新基礎(chǔ)設(shè)施等。創(chuàng)新基礎(chǔ)設(shè)施在助推各行業(yè)數(shù)字化轉(zhuǎn)型方面發(fā)揮著重要的革新引領(lǐng)作用，與密碼技術(shù)的相互促進(jìn)、融合發(fā)展已成為普遍共識(shí)，二者呈現(xiàn)出扭結(jié)纏繞的發(fā)展態(tài)勢(shì)。密碼不僅能為其提供 “安全基因”，而且為科學(xué)技術(shù)研究、科技創(chuàng)新的信息協(xié)同平臺(tái)提供安全保障。

正如第二次世界大戰(zhàn)期間，破解德軍密碼的計(jì)算技術(shù)衍生出圖靈機(jī)模型，誕生了現(xiàn)代計(jì)算機(jī)，揭開(kāi)了高速信息化社會(huì)的序幕。而今天用來(lái)破譯公鑰密碼算法的量子計(jì)算機(jī)，正成為下一代科技發(fā)展制高點(diǎn)。密碼技術(shù)應(yīng)用將激活創(chuàng)新基礎(chǔ)設(shè)施，拉動(dòng)創(chuàng)新基礎(chǔ)設(shè)施螺旋式升級(jí)發(fā)展，推動(dòng)創(chuàng)造新服務(wù)、新業(yè)態(tài)、新價(jià)值。

3　供給高質(zhì)量密碼，維護(hù)新基建安全新秩序

3.1　高性能密碼模塊賦能新基建內(nèi)生安全

新基建時(shí)代，物理世界與虛擬世界邊界消弭、現(xiàn)實(shí)世界與數(shù)字世界深度融合，數(shù)據(jù)就是財(cái)富，安全才有價(jià)值。只有密碼，才能構(gòu)建網(wǎng)絡(luò)可信秩序，打造安全的網(wǎng)絡(luò)空間。新基建融合了大量的數(shù)字化業(yè)務(wù)，對(duì)應(yīng)的信息化更加錯(cuò)綜復(fù)雜，業(yè)務(wù)處理實(shí)時(shí)性、準(zhǔn)確性需求更高，這就要求內(nèi)嵌密碼模塊具備高性能，在給系統(tǒng)帶來(lái)安全防護(hù)的同時(shí)，也能夠保證業(yè)務(wù)的正常運(yùn)轉(zhuǎn)，保障業(yè)務(wù)執(zhí)行的效率。

然而，長(zhǎng)期以來(lái)商用密碼系列算法產(chǎn)品大多以安全芯片、終端、設(shè)備等硬件產(chǎn)品呈現(xiàn)。硬件產(chǎn)品的實(shí)現(xiàn)雖然增強(qiáng)了相應(yīng)系統(tǒng)的安全性，但在云端、虛擬機(jī)端、移動(dòng)端等新場(chǎng)景中，硬件密碼產(chǎn)品受制于上游密碼芯片存在性能較低等問(wèn)題，面臨不能用（國(guó)密算法難以等效替換）、不好用（缺乏密碼中間件復(fù)用低）、用不好（甲方難以消化密碼技術(shù)）這三個(gè)挑戰(zhàn)。

商用密碼要實(shí)現(xiàn)能用、好用、用好的新需求，必須取得高性能實(shí)現(xiàn)的突破。通過(guò)對(duì)SM4算法進(jìn)行等價(jià)變換，可改進(jìn)SM4算法軟件實(shí)現(xiàn)的執(zhí)行效率。SM4算法中計(jì)算最為繁重的部分是SM4算法的輪函數(shù)（每次加密中執(zhí)行32次），而Sbox的計(jì)算則是輪函數(shù)中計(jì)算密集的所在。雖然可以通過(guò)查表的方式來(lái)進(jìn)行快速的Sbox計(jì)算，但是查表計(jì)算方式無(wú)法有效地并行化也無(wú)法做到常量時(shí)間，這導(dǎo)致了Sbox的計(jì)算成為軟件實(shí)現(xiàn)的效率瓶頸。

在廣泛調(diào)研AES算法的軟件實(shí)現(xiàn)優(yōu)化技巧的基礎(chǔ)之上，利用Intel芯片上的AES-NI來(lái)實(shí)現(xiàn) SM4的Sbox計(jì)算。在此之外，利用SSSE、AVX、AVX2 指令所支持的128比特寄存器和256比特寄存器來(lái)并行處理多個(gè)SM4輸入塊的加密，進(jìn)一步提升了效率，從而能夠靈活支撐商用密碼算法的完整替換，有效支撐多種場(chǎng)景。比如：移動(dòng)端、桌面端的高性能商用密碼終端場(chǎng)景；服務(wù)器、虛擬機(jī)的高性能商用密碼服務(wù)端場(chǎng)景；高性能商用密碼冷存儲(chǔ)、熱存儲(chǔ)場(chǎng)景；高性能商用密碼區(qū)塊鏈場(chǎng)景；高性能商用密碼VPN場(chǎng)景、高性能商用密碼ADC 場(chǎng)景。

業(yè)界也取得了商用密碼算法性能優(yōu)化上的突破。例如可在單顆x86平臺(tái)CPU上，SM4加解密性能突破130Gbps，同時(shí)也在進(jìn)行針對(duì)國(guó)產(chǎn)CPU平臺(tái)上的性能優(yōu)化工作。在新基建項(xiàng)目建設(shè)之初，特別是建設(shè)相關(guān)信息系統(tǒng)時(shí)，一方面要促進(jìn)高速密碼應(yīng)用發(fā)展，另一方面要強(qiáng)化密碼創(chuàng)新發(fā)展，為新基建注入內(nèi)生安全基因，獲得與生俱來(lái)的安全防護(hù)能力。

3.2　面向切面加密讓安全內(nèi)嵌于業(yè)務(wù)流程

針對(duì)已建成的新基建關(guān)聯(lián)信息系統(tǒng)，需要以高效方式補(bǔ)足已建應(yīng)用系統(tǒng)中缺失的安全能力，這些已有的大量應(yīng)用系統(tǒng)在建設(shè)過(guò)程中，并沒(méi)有將密碼內(nèi)生安全考慮進(jìn)來(lái)。然而，對(duì)已建應(yīng)用系統(tǒng)進(jìn)行開(kāi)發(fā)改造以增強(qiáng)安全的方式涉及面廣、周期長(zhǎng)、成本高，還存在業(yè)務(wù)中斷風(fēng)險(xiǎn)，失去維護(hù)的系統(tǒng)甚至缺失源代碼而無(wú)法實(shí)施。因此，通過(guò)改造的方式增強(qiáng)已建應(yīng)用系統(tǒng)安全并不可行。

針對(duì)以上情況，業(yè)界創(chuàng)新性地提出了面向切面安全技術(shù)，以應(yīng)用層為抓手，可以將安全內(nèi)嵌于業(yè)務(wù)流程之中，實(shí)現(xiàn)免改造應(yīng)用的方式，增強(qiáng)數(shù)據(jù)安全防護(hù)。如圖1所示，首先，該技術(shù)對(duì)應(yīng)用是透明的，既無(wú)需開(kāi)發(fā)改造應(yīng)用，又實(shí)現(xiàn)了將安全能力融入應(yīng)用，以配置方式敏捷部署實(shí)施，即可滿(mǎn)足國(guó)密合規(guī)和實(shí)戰(zhàn)防護(hù)兩大需求，這種模式對(duì)應(yīng)用連續(xù)運(yùn)行沒(méi)有影響，也不會(huì)因?yàn)閷?shí)施加密帶來(lái)業(yè)務(wù)風(fēng)險(xiǎn)。同時(shí)，通過(guò)“主體到應(yīng)用內(nèi)用戶(hù)，客體到字段級(jí)”的細(xì)粒度訪問(wèn)控制，實(shí)現(xiàn)面向用戶(hù)端的動(dòng)態(tài)脫敏。

其次，該技術(shù)支持企業(yè)批量應(yīng)用系統(tǒng)的分布式加密與集中式管控，降低維護(hù)和管理成本。在各個(gè)應(yīng)用系統(tǒng)上只需增加安全插件和簡(jiǎn)單配置，即可實(shí)現(xiàn)細(xì)粒度的加密、脫敏、審計(jì)等，實(shí)現(xiàn)密碼與系統(tǒng)安全一體化，并支持可追溯、防篡改的高置信度數(shù)據(jù)操作審計(jì)，保證可事后追責(zé)。再次，該技術(shù)完全解耦數(shù)據(jù)庫(kù)品牌和版本，全面支持企業(yè)常用的Oracle、MySQL、SQL Server、PostgreSQL、MongoDB、Teradata、Hive、國(guó)產(chǎn)數(shù)據(jù)庫(kù)等數(shù)據(jù)庫(kù)。

圖1　易實(shí)施的實(shí)戰(zhàn)化數(shù)據(jù)防護(hù)

該技術(shù)既支持服務(wù)側(cè)的存儲(chǔ)加密，防范惡意DBA、外包人員等內(nèi)部威脅以及外部黑客；也支持結(jié)合用戶(hù)身份實(shí)現(xiàn)用戶(hù)側(cè)動(dòng)態(tài)脫敏，防范內(nèi)部業(yè)務(wù)人員越權(quán)，真正實(shí)現(xiàn)了將安全與業(yè)務(wù)的結(jié)合，在保證業(yè)務(wù)效果的同時(shí)實(shí)現(xiàn)安全。

3.3　實(shí)戰(zhàn)化商用密碼防護(hù)體系守護(hù)新基建

面對(duì)錯(cuò)綜復(fù)雜的國(guó)際政治形勢(shì)和當(dāng)前日趨嚴(yán)峻的網(wǎng)絡(luò)安全威脅，需要以真實(shí)對(duì)抗結(jié)果為導(dǎo)向，為新基建進(jìn)一步構(gòu)建有效的密碼實(shí)戰(zhàn)化防護(hù)體系。

在構(gòu)建新基建商用密碼防護(hù)體系的過(guò)程中，需要將密碼與其他多種安全技術(shù)結(jié)合，共同構(gòu)建實(shí)戰(zhàn)化防護(hù)體系。以數(shù)據(jù)庫(kù)安全防護(hù)為例，傳統(tǒng)的加密與防護(hù)控制組合模式中，加密施加在數(shù)據(jù)庫(kù)一側(cè)，訪問(wèn)控制通過(guò)4A或IAM策略中心下發(fā)認(rèn)證和權(quán)限決策，二者是分別建設(shè)的。解密和權(quán)限是兩個(gè)決策點(diǎn)，數(shù)據(jù)解密無(wú)法和權(quán)限體系結(jié)合，加解密和細(xì)控的分離帶來(lái)了威脅敞口，攻擊者可以繞過(guò)訪問(wèn)控制，從威脅敞口直接竊取數(shù)據(jù)。密鑰是對(duì)數(shù)據(jù)秘密的濃縮，加密將明文的安全性縮小到密鑰的安全性，但單獨(dú)應(yīng)用加密并不能直接解決問(wèn)題，需要將加密與訪問(wèn)控制、審計(jì)等技術(shù)結(jié)合，共同構(gòu)建“防繞過(guò)”的數(shù)據(jù)安全防護(hù)體系。

4　結(jié)　語(yǔ)

新基建與產(chǎn)業(yè)互聯(lián)網(wǎng)，就是以目前最低的成本和最高的效率來(lái)使用數(shù)據(jù)、算法與算力進(jìn)行勞動(dòng)創(chuàng)造，從而共享全球新一輪科技與產(chǎn)業(yè)革命的成果，這既是打贏脫貧攻堅(jiān)戰(zhàn)全面建成小康社會(huì)的內(nèi)在要求，也是推動(dòng)經(jīng)濟(jì)高質(zhì)量發(fā)展、培育國(guó)際經(jīng)濟(jì)合作和競(jìng)爭(zhēng)新優(yōu)勢(shì)的必然選擇。而密碼技術(shù)作為安全基因，其應(yīng)用的深度，決定了新基建建設(shè)的高度。隨著《密碼法》等“一法三規(guī)”和“放管服”政策的貫徹落實(shí)，密碼產(chǎn)業(yè)正在開(kāi)創(chuàng)商用密碼新技術(shù)、新業(yè)態(tài)、新模式，并與新基建全方位、全流程、全要素深入融合，為新基建蓬勃發(fā)展保駕護(hù)航。

上一篇2021年數(shù)據(jù)加密的六大趨勢(shì)

下一篇《政務(wù)信息系統(tǒng)密碼應(yīng)用與安全性評(píng)估工作指南》

文章分類(lèi)：行業(yè)新聞

分享到：

供給高質(zhì)量密碼 筑牢新基建基石

供給高質(zhì)量密碼　筑牢新基建基石