01  宏（hóng）观政策（cè）为密码泛（fàn）在化保驾护（hù）航

密（mì）码是保障网络空间安全（quán）的核心技术和（hé）基础（chǔ）支撑。过去，密（mì）码（mǎ）主要用（yòng）来保护重要IT系统的（de）通信与存储安全（quán）问题，普（pǔ）通老百姓很（hěn）少（shǎo）和它打交（jiāo）道。如今，密码已经应用到各（gè）行各业（yè），影（yǐng）响我们（men）生活的（de）方方（fāng）面面。密码产品也从传统的密码（mǎ）机（jī）、密钥管理系（xì）统等整机形态，衍生发展为安全芯片、软（ruǎn）件（jiàn）密码模块、IP核、密码板卡（kǎ）等不同形态，密码和IT技术呈现融合发展的（de）趋势，密码的服务化（huà）更是打破了密码产品的形态限制。密码应（yīng）用已（yǐ）经呈现出多元化、融合化、泛在（zài）化等新（xīn）特点（diǎn）。

近年来，我国不断健全密码（mǎ）相关的政策法规，先后制定和实施了网络安全法（fǎ）、密（mì）码法、36号（hào）文、GM/T0054、等保 2.0标准（zhǔn）等系列（liè）法规政策标准，从顶层构建了（le）密码与网信事业的宏伟蓝图（tú）。在宏观（guān）政策的指引下，我国密码事业经历了从无到有（yǒu）、从初创到规范完（wán）善的阶（jiē）段，取得了跨越式的发（fā）展，这也为全面推进密码工作和密码泛在化应用奠（diàn）定了坚实有力的（de）基础（chǔ）。

02  安全（quán）风险呈现泛在化趋（qū）势（shì）

物联网、云计算、5G、大数据、人工智能等创新技术正在（zài）加速驱动物理世界与（yǔ）信息（xī）世（shì）界的融合。我们（men）在享受高（gāo）新技（jì）术带来（lái）的信息红利的同时，也无形中打（dǎ）破了固有的（de）网络边界，加剧了信息泛（fàn）在化（huà）的（de）发（fā）展趋势。物理世（shì）界（jiè）与信息空间的泛在（zài）融合，也将物理空（kōng）间的（de）违法破坏（huài）行为（wéi）引入虚拟世界，网络空间（jiān）变得更加复杂。

信息技术的（de）融合，既（jì）加速了信息化进程，也增大（dà）了网（wǎng）络攻（gōng）击的可能性，网络安全问（wèn）题异（yì）常严峻。近年来网络（luò）安全事件层出不穷、形式各异，涉及到物联网（wǎng）安（ān）全、数（shù）据安全、虚拟化安全等方方（fāng）面面。比（bǐ）如，在（zài）物联网（wǎng）领域，视频监控弱密码、偷拍（pāi）、DDoS攻击（jī）等事件屡见（jiàn）不（bú）鲜；大量（liàng）智能门锁存在通信监（jiān）听、门卡复（fù）制、APP攻击（jī）等安全风（fēng）险（xiǎn）；传感（gǎn）器网络（luò）等无人值守设备分布广泛，被攻破而（ér）不（bú）被发现的事件（jiàn）也时常被事后报道。随着信息技术的发展，网络安（ān）全风险加速扩散，网络（luò）安全问（wèn）题已然泛化。

03  密码技术的泛在化应用思（sī）路

面对（duì）快速发展的（de）信息技术（shù）及泛在多变的网络安全需求，需要对网络（luò）空（kōng）间进（jìn）行体系性的安全防护。密（mì）码是网络信息安全的核心（xīn）技术（shù），是整个网络信任体系（xì）的基础支撑，依托密（mì）码技术在认证、加密等（děng）方面（miàn）的重要作用，构建以密码为基（jī）石的网络安全体系，能够有力解决网络与信息安全问题。我们在开展具体密码工作（zuò）时，需注意密码技术（shù）与业务应用的结合。在不同的（de）业（yè）务场景中，应（yīng）当采用不同的密（mì）码（mǎ）技术路线或者组合（hé）。总的来说，包括经典密码技（jì）术、创新（xīn）密码技术（shù）、前沿密码技术三个方面。

经典密码技术指的是常见的对称密码、PKI/CA公钥（yào）密码及标识密码技术。这类密码技术属于基（jī）石性（xìng）技术，已经被（bèi）广泛应用，能够解（jiě）决传（chuán）统信息（xī）系统（tǒng）安全认证与数（shù）据加密等问题。

我们重点想（xiǎng）提一些创新密码应（yīng）用的工作思路。我们在实（shí）践过程中，发现诸如工（gōng）业控制、移动办公、智能家（jiā）居等新兴场景都（dōu）存在密码应用需（xū）求，然而（ér）受（shòu）限于（yú）具体场景和环境，传统的（de）密码技术往往无法直接应用（yòng）。此（cǐ）时（shí），我们就需要转（zhuǎn）变思路，对密码应用的方法（fǎ）进行创新和调整。第一种（zhǒng）思路是“融”，即密码融合设计（jì），在设计之（zhī）初将密码流程（chéng）融入到业务应用及通信（xìn）协（xié）议中，避（bì）免后期堆叠密码设备带来的性能（néng）开销（xiāo）、系统损害等影响。第二种思路是“变”，我（wǒ）们（men）对传（chuán）统（tǒng）密码技（jì）术进行（háng）场景（jǐng）化（huà）的适配改造（zào），以应对差异化的密码需求，如轻（qīng）量化密码协议、短证（zhèng）书（shū）等。第三种（zhǒng）思路是“合”，我们可以对加密、认证、授权、安全管理（lǐ）等功能进行整合，以能（néng）力打包的形式对接（jiē）应（yīng）用系统，提供“一揽子”的密（mì）码解决方案，减轻应用的密码集成难度，快速实现密码赋能。

密码技术在（zài）不断（duàn）发展，学术界（jiè）对零信任、区（qū）块链、安全多方计（jì）算、同态加密、格密（mì）码、抗（kàng）量（liàng）子密码等前沿密码技（jì）术进行（háng）了广（guǎng）泛的研究，部分成（chéng）果已经应用到信息（xī）系统中，相信未来前沿密（mì）码技（jì）术会（huì）得到更加（jiā）广泛和全面的（de）应用。

04  终端侧的密码产品部（bù）署

终端种类众多、形态各异。不（bú）同种类（lèi）的终端在价（jià）格成本、网络数据能（néng）力、软硬件架构（gòu）等（děng）方（fāng）面存在着巨大区别，终端侧（cè）的密码产品部署需求也存在着差异性，需要因地制宜。

终端侧的（de）密码产品部署（shǔ）主要涵盖三种形式：安装软件密码模块、内嵌（qiàn）硬件密码模块以及外接安（ān）全网关。对于（yú）PC、手机、高性能嵌入（rù）式设备，我们（men）可（kě）以部署软（ruǎn）件（jiàn）密（mì）码模块，借（jiè）助CPU的强大运算能力，实现高性能的（de）密码运算，无需额外（wài）增加硬件（jiàn）成本。面向智（zhì）能门锁、车载控制器（qì）等安全性较高的终（zhōng）端，我（wǒ）们可以采用设（shè）备内嵌密码硬件的方（fāng）式（shì），包（bāo）括板载安全芯（xīn）片、内接密码模块、使用基于密码的安全（quán）通信（xìn）模组等（děng），提供硬（yìng）件级安（ān）全防护能（néng）力（lì），保障设（shè）备（bèi）安全（quán）。针对微型传（chuán）感器、大型进口设备、老旧IT设（shè）备等难以（yǐ）施行（háng）密码改造的场景，我（wǒ）们可以接入安（ān）全网关，通过门卫式（shì）安全防护，保证设备（bèi）的接入安全与通信（xìn）安（ān）全问题。

05  密码的服务（wù）化之道

近年来，越（yuè）来越多的应用迁移上（shàng）云。我们如果要分别对不同的信（xìn）息系统进行（háng）密码应用，工作量巨大，密码（mǎ）资源浪费严重（chóng）。此时，我们可以借助云化、虚拟化的思想将密码（mǎ）能力服务化，按需提供密码资（zī）源，不（bú）同应用（yòng）系统只需通（tōng）过服务（wù）调用的方式即可安全地获取密码能力，从（cóng）而快速实现密码应用改造（zào）。

一个可行的实践路线（xiàn）是（shì）构建密码服务平台。我（wǒ）所在（zài）的（de）卫士（shì）通（tōng）公（gōng）司作为综（zōng）合（hé）实力较强的密码企业，正（zhèng）在从传（chuán）统密码产品（pǐn）提供商向平台型（xíng）安全（quán）服务（wù）提供商转型，密码（mǎ）服务平台（tái）便（biàn）是（shì）一（yī）个重要的（de）抓手。密码服（fú）务平台不（bú）直（zhí）接提（tí）供密码产品，面向（xiàng）应（yīng）用提供场景化的（de）密码（mǎ）服务，提升（shēng）合规的（de）密码应用效率，降低应（yīng）用与密码对（duì）接的难度。我们看到，越来越（yuè）多的政务（wù）云正在（zài）采用密码服务平台，实现云上应用的快（kuài）速对接。可以预（yù）见，密码服务是促进密（mì）码泛在化（huà）落（luò）地的（de）重要（yào）且有效的技术路径（jìng）。

06  基础软硬件的内生安全机（jī）制

长久以来，计算机系统基础软硬件的（de）安全（quán）及密码措施都是各自为政，较（jiào）为独立。如果要（yào）做（zuò）一个安全（quán）浏览器，我（wǒ）们可能会在浏览器（qì）内（nèi）部集成OpenSSL算法库；如果要做一个加（jiā）密数（shù）据库，我们（men）可（kě）能为数据库配用密码硬件（jiàn）；如果要做安全（quán）启动（dòng），我（wǒ）们需要为计算机配置TPCM、TCM等可信计算芯片。计算（suàn）机系统各个软硬（yìng）件之间的密（mì）码能力缺乏（fá）协同，烟囱式存在。另外（wài），各类软硬件厂（chǎng）商（shāng）自行（háng）建设（shè）密码，也存在着（zhe）合规性（xìng）的问题。

我们在构建自（zì）主信息系（xì）统（tǒng）时，可以从系统体系的（de）角（jiǎo）度出发，使用一套密（mì）码（mǎ）方案（àn），贯通计算机基（jī）础软（ruǎn）硬件的各（gè）个（gè）环节，实（shí）现密（mì）码运（yùn）算（suàn）和可（kě）信（xìn）计算。基础此种（zhǒng）思想，如卫（wèi）士通与龙芯联合推出（chū）的内（nèi）嵌安全SE的国产处（chù）理器，打通（tōng）了（le）CPU、Bioses、操作系统、中间件、数据库、浏览器（qì）等各环节，构建（jiàn）了内生安全（quán）的（de）基础软硬（yìng）件密码（mǎ）应用生态。

07  典型（xíng）案例

分享两个场景（jǐng）化案例。一是视频融合通信，包含视（shì）频监控、直播、会商等多种业务模式。我们可以采用端到端的安（ān）全（quán）方式对视频终端、服务端进行密码（mǎ）改造，对（duì）大带宽、高清、多路、实时音视（shì）频进行加解密。GB35114便（biàn）是此类方式的标准化（huà）落地，未来（lái）也将会有更多音视频密（mì）码应（yīng）用（yòng）的标准指（zhǐ）导相关（guān）工作（zuò）。二是物联网（wǎng）密码（mǎ）应用，我们可以建立覆（fù）盖物联网“端-边-网（wǎng）-云”的密码应用体系。端，指的是物（wù）联网终端侧部署（shǔ）安全芯片/软件密码模块等密码（mǎ）产品，实（shí）现终端安全防护；边，指的（de）是提供安全边缘网关，安全接入物联网终端（duān）；网，指的（de）是基于密（mì）码技术保障物联网通信安全；云，指（zhǐ）的是物联（lián）网（wǎng）平台具备（bèi）密码与安全能力。

08  密码应用推进思考

密码事业的政策性较强（qiáng），我们密码（mǎ）工作者要时刻（kè）关注国家（jiā）政策法规，尤其是中央、地（dì）方（fāng）、大型机关单位的商（shāng）密规（guī）划，这将带（dài）来大量（liàng）的密码泛在化建（jiàn）设项目（mù）。另外，随着等保2.0、密评工作（zuò）的广（guǎng）泛、有序开展，更（gèng）多（duō）的细分领域将会开（kāi）展密码工（gōng）作，密码市场规模迅速扩大。我们（men）在专注既有业务领域的同时，应不断（duàn）开拓新的行（háng）业用户和业（yè）务领域，拓（tuò）展密码（mǎ）应用的范围。

密码应用和改造需要达到什（shí）么（me）程度？是（shì）否密码措（cuò）施越多越好？如何让更多的行业用户、企业单位放下对密码（mǎ）或安全的固有成见，愿意用密码？这些问题都值得我们思考。我们在做（zuò）密码应用和推广的时候，一（yī）定（dìng）要（yào）结合行业政策与应用实际，按需地开展密码应用（yòng），密码应用（yòng）的强度不能单一量化，做到合（hé）规的同时，保证相当的安全性。

09  从业者建议

在密码泛在（zài）化的背景环境下，我（wǒ）们从业者需（xū）要哪（nǎ）些（xiē）方面的（de）能力素养？我认为，至少需要三方面的能力。第（dì）一，完备的密（mì）码知识。密码（mǎ）技术（shù）不断（duàn）发展（zhǎn），我们需要（yào）广泛涉猎密码（mǎ）知识（shí），同时也应当潜心钻研一些（xiē）重点的（de）密码知识，尤（yóu）其是我们工作中可能用（yòng）到的密码技术。第二，全栈的（de）密（mì）码设计能力（lì）。包括（kuò）密码算法、产品化（huà）设计、接口对接、协议优化等等，只有具（jù）备了全栈的设（shè）计能力，才（cái）能应对（duì）复杂多变的情况，准确地对密码（mǎ）方案进（jìn）行优化和改造。第三，快速理解业务应（yīng）用的能力（lì）。密码和业务不（bú）能是“两张皮”，密码的设计必须（xū）基（jī）于（yú）业（yè）务实际，密码工（gōng）作者应（yīng）当理解业务（wù）流（liú）程并（bìng）梳理（lǐ）出安全痛点及密码应（yīng）用需求，才能做好密码建设的实（shí）际工（gōng）作。

1月15日，人社部发文拟新增“密（mì）码技术应用员”职业，并将其（qí）定（dìng）义为（wéi）运用（yòng）密（mì）码技术，从事信（xìn）息系统安（ān）全密码保（bǎo）障的架构设计、系（xì）统集成、检（jiǎn）测评估、运维管理、密码咨询等相（xiàng）关密码服务的人员。“密码技术应用员”作为（wéi）密码泛在化的一个专门职业被正式提出，这无疑会促进密（mì）码泛（fàn）在（zài）化的应用（yòng）与推广工作。同时，作为密码从业者的（de）我们，也（yě）应当参照（zhào）“密码（mǎ）技（jì）术应用员”的（de）要（yào）求积极提升个（gè）人能（néng）力。

10  密码泛在化的未来

传统信息行业、新技术业务（wù）领域快（kuài）速（sù）发展并交相辉映（yìng），信（xìn）息（xī）世界正朝着相互渗透、多元发（fā）展的方（fāng）向演进（jìn）。我们（men）有（yǒu）理（lǐ）由相信，未来（lái），密码就是信息世（shì）界不可或缺的组件，密码（mǎ）也将作为泛化信（xìn）息世界的安全（quán）基石（shí），有力（lì）保障信（xìn）息世界的安全持（chí）续（xù）发展。密码人，大有可为。