“网络安全(quán)为(wéi)人民,网络安全靠人民。”9月16日,卫士通(tōng)多位网络安全(quán)专家(jiā)已“奔赴”各级网络安全宣传周活动,通过线上与(yǔ)线(xiàn)下相(xiàng)结合的方式(shì),兼(jiān)顾行业(yè)人士与普(pǔ)通大(dà)众(zhòng)的不同关注点(diǎn),从(cóng)密码在网络安全(quán)中的(de)核心作用、泛在(zài)化应用(yòng)、以及创新服(fú)务方式进行了多方位(wèi)、多(duō)层级的观点(diǎn)分享。
核心 | 夯实新型基础设施网络安全底座
中(zhōng)国电科集团网络安(ān)全领域首席(xí)专家、中国网安副总工程师、卫士通总工程师董贵山出(chū)席第七届国家网络安全宣(xuān)传周新型(xíng)基础设施网络安(ān)全高(gāo)峰论坛(tán),并作“保障(zhàng)工业互联(lián)网安全(quán),服务制造业高质量发展”主题演讲,系(xì)统地阐述和分析了(le)我(wǒ)国工业(yè)互联网的发(fā)展背景(jǐng)、潜在安全风险及相(xiàng)关政策要求,并提(tí)出了构建体(tǐ)系化(huà)安全(quán)防护(hù)能力,夯实(shí)以工业互联网为代表的新型(xíng)基础设施网络(luò)安全底座的三点建(jiàn)议。
▲图 董贵山作主题演讲
一是,建(jiàn)议借鉴企业工业信(xìn)息安(ān)全整(zhěng)体保障实施原则。企(qǐ)业工业信息安全(quán)整体(tǐ)保障是中国网安基于正确的网(wǎng)络安全观提出的“整体安全、动态安(ān)全、相对(duì)安(ān)全、合规与赋能、技术与(yǔ)管理”的企业工业信息(xī)安全整体保障(zhàng)实施原则,并在中国网安相关工作中(zhōng)广泛应用,对其(qí)他(tā)企业开展工业信(xìn)息安全保障将起到借鉴作用。
二是(shì),严(yán)格(gé)履行“七(qī)项义务,四类(lèi)防护”的基本要求。《网(wǎng)络安全法》对网络运营者的最基本(běn)义务和安全要求做了(le)明确规(guī)定,各工业企业应履行网络运行(háng)安全(quán)义务、网(wǎng)络(luò)产品和服务安全义务、关键信息基础设施安(ān)全(quán)保护义务(wù)、公民个人信息(xī)保护义(yì)务、网络信息安全管理义务、对(duì)监管机关的执法协助(zhù)义务和其他法(fǎ)定义(yì)务,实现网页防篡改、服(fú)务(wù)防中(zhōng)断、系(xì)统(tǒng)防病毒、数据防泄漏。
三是,利(lì)用密码算法保障(zhàng)工业互联网(wǎng)数(shù)据的多方安全共享(xiǎng),达到工业数据(jù)安全的价值流(liú)动。密码技术在网络安全防护体系中位居(jū)核心和基础地位(wèi),其(qí)提(tí)供的(de)可信数(shù)据汇聚、数据加密(mì)存储、安全数据共享、安全多(duō)方计算、数据流转确权能够实现数据的全生命周期安全,并针对敏(mǐn)感(gǎn)数据、企业核心数据提供(gòng)针对性的数据脱敏、数据加密和数据隐藏能力,将防护能(néng)力深入(rù)到业务流(liú)转(zhuǎn)之中,能够(gòu)有效(xiào)的保护安全隐私,维护企业(yè)利益,在数据可用(yòng)不可见的基础上实现数据(jù)价值的流转和交互。
广(guǎng)度(dù) | 拓展密码泛在(zài)化应用
国家网(wǎng)络安全宣传周同期(qī),成都市(shì)的相(xiàng)关活动也在火热进行,卫(wèi)士(shì)通结(jié)合现场展示、专家演讲、互动(dòng)游戏,从(cóng)“密码的内涵与意义(yì)”、“密码(mǎ)泛在化内涵(hán)与意(yì)义”、“密码领域典型实践与应用(yòng)”三方面向成都市民普(pǔ)及了“密码泛在(zài)化”进(jìn)程(chéng)、应用及意义。
▲图(tú) 周(zhōu)阳作(zuò)主题演讲
卫士通(tōng)方案中心技(jì)术专(zhuān)家(jiā)周阳在演讲中(zhōng)特别选(xuǎn)取大众最常接触的生活场景,通(tōng)俗易(yì)懂(dǒng)的向成都市(shì)民进行(háng)分享。周阳通过诸如黑客攻击政府网站窃(qiè)取公民和企业信息,就(jiù)医(yī)人员医(yī)疗信息遭泄(xiè)露导致个(gè)人敏感信息被(bèi)窃取(qǔ),12306遭(zāo)泄露数据(jù)撞库攻击,考生网上(shàng)报考(kǎo)信息泄露(lù),伪造印章,虚开发(fā)票,伪造文(wén)件造(zào)成(chéng)国家财产损失等大众在(zài)日常(cháng)生活(huó)中接触到的场景案例引(yǐn)入,带领听众一(yī)起总结了数(shù)字生活正面(miàn)四大主(zhǔ)要痛(tòng)点,临时身份鉴别(bié)有(yǒu)“短板”、个人(rén)信息缺“保护” 、数据安全有“欠缺(quē)”、文件印(yìn)章(zhāng)缺“可(kě)信”。
而解决(jué)这些痛点的一(yī)大法宝,便是“密码(mǎ)”!经(jīng)过20多年的发展(zhǎn),我国商用密码已经应用(yòng)到社会生(shēng)产生(shēng)活的各个方面,在(zài)网络和信息(xī)安全中发挥(huī)着越来越重要的基础支撑作用。在政(zhèng)务服务,基于商用密(mì)码技术,防止政务服(fú)务、防疫健(jiàn)康信(xìn)息码使用过程(chéng)中的公(gōng)众隐私(sī)数(shù)据泄露,电子证照、电子印章真实有效(xiào),保障市民数字生活安全。在社(shè)会保障,密钥管理系统作为社保卡制(zhì)卡体系的核心,主要负责各(gè)类(lèi)密钥(yào)的(de)生成、存储与分(fèn)发(fā),密(mì)钥管理系统中的密钥按密钥类型、应用类型和交(jiāo)易种类进行(háng)定义,并通过(guò)分散变(biàn)化(huà)等机制进行分级管理,避免单个密钥被(bèi)攻破之(zhī)后(hòu)影响整体系统的密钥安全。在医疗卫生方面,密码技术的应用(yòng)保障了(le)新形势下(xià)的(de)医疗电子体系稳定(dìng)发展,其中安全(quán)可信的电子病历以电子认证和电(diàn)子签名为手段,形成完(wán)善(shàn)的技(jì)术(shù)保障体(tǐ)系,营运安(ān)全可信的电子病历应(yīng)用环境(jìng),等等。
深度 | 创新密码服务方式
卫士(shì)通方案中心商用密码专家周君平(píng)在国家网络安全宣(xuān)传周内(nèi)蒙分会场的线上论坛上,作“推动商用密码(mǎ)应用,创新(xīn)密码服(fú)务能力”主题演讲。她(tā)表(biǎo)示,随着密码技术的深度、广度融(róng)合发展趋势,不仅促(cù)进了产(chǎn)业链全生(shēng)态的建(jiàn)立健全,而且还催(cuī)生了密码服务(wù)“平(píng)台化”创新应用模式。
▲图(tú) 周君(jun1)平(píng)
该模(mó)式通过构(gòu)建一体化(huà)的密码服务平台,将为各行业(yè)重(chóng)要信息系统提供统一、弹性、高(gāo)效、规模化的(de)密码应(yīng)用(yòng)服务。一(yī)体化密码服务平台(tái)将采用微服(fú)务架构对密码(mǎ)服(fú)务基(jī)础支撑设(shè)备、系统的能力进行抽象封装,形成密码服务能力,并通过API网关将密码服务的(de)能力(lì)采(cǎi)用(yòng)标准统一的接口,以API的(de)形式或SDK的(de)形式向(xiàng)安(ān)全应用(yòng)提供。同时基于(yú)平台(tái)管控(kòng)实现对平(píng)台(tái)的应用接入管理(lǐ),密码资源、资产的统计管理,基于密(mì)码(mǎ)监管(guǎn)服务实(shí)现对密码设备、密码资(zī)源、密码服务调(diào)用情况的(de)统一监管,基于安全运营(yíng)服(fú)务使用,实现租户管理(lǐ)、平台运营状态监控、资源可用性监控等。这种商用(yòng)密码创新服务方式有以下几个特点(diǎn):
1.服务化 以服(fú)务替代产品,降低采购成本和运维成本,提升信息化建设敏捷性,缓解安全建设的困(kùn)扰。
2.精(jīng)准化 将密码(mǎ)业务(wù)深植于业务之中,由专业的密码厂商提供服务,实时(shí)跟踪学界和业界的前沿进展,着(zhe)力开展技术演进和模式(shì)创新,保(bǎo)持服务能力的持续迭代(dài)和更新。
3.泛在化 面向目(mù)前数字(zì)政府(fǔ)建设的(de)多(duō)云部署趋势,提供支持(chí)不(bú)同云(yún)服务平台的泛在接(jiē)入能力(lì)。
4.合规化 以商(shāng)用密码和等(děng)级保护相关规定为指导(dǎo),以安全(quán)合规(guī)为(wéi)底线,避免业务应用(yòng)的合规风险。
5.简(jiǎn)略化(huà) 为业务应用提供便(biàn)捷(jié)的密码服(fú)务(wù)接口,缓解现在(zài)业务应用开(kāi)发商的密(mì)码研发难度,弥(mí)补安全应(yīng)用短板。依托(tuō)密(mì)钥(yào)管理(lǐ)、密码应用等服务能力,联通前(qián)端业务(wù)服务(wù)商和(hé)后端基础服务商,结合密(mì)钥管理和身份服务(wù)入口,形(xíng)成以密码服务(wù)为(wéi)核(hé)心的互联网信任(rèn)服务生态,支撑网络空间安全。
