密碼作為保護網絡與信息安全的重要手段，在身份識別、安全隔離、信息加密、完整性保護和抗抵賴等方面發揮著不可替代的重要作用，廣泛運用于金融、政務、通信等領域。隨著我國大力開展新型信息基礎設施建設，以及《網絡安全法》、《密碼法》的頒布實施，極大推動了密碼應用的發展與創新。在新基建的大背景下，隨著網絡安全與密碼技術的不斷演進，基于內生安全框架的密碼與網絡安全融合發展逐漸成為新的趨勢。

在上周剛結束的 2020 北京網絡安全大會（簡稱：BCS）上，奇安信集團副總裁陳華平發表了“面向新基建的密碼應用框架與創新”主題演講，系統性闡述了密碼應用作為支撐新基建內生安全框架的基石、以及密碼與網絡安全融合發展成為大趨勢的精彩觀點。

以下是奇安信集團副總裁陳華平演講內容的記錄：

1． 密碼應用是支撐新基建內生安全框架的基石

新基建的內核是數字基建，包括 5G、工業互聯網、AI 和數據中心等核心要素。在此基礎之上依次進行傳統基礎設施的數字化改造及新型基礎設施的數字化建設，由此帶來場景化的行業應用，包括 5G 應用場景、物聯網、車聯網、工業互聯網、智慧城市、智慧醫療、智慧教育，以及云計算中心應用等場景。

場景化的行業應用要求安全能力與基礎設施融合，要求安全能力與行業應用融合。這些內生化的安全需求是傳統網絡安全框架無法滿足的，因此必須建立新一代網絡安全框架，推動新基建的內生安全建設。

（1）密碼是內生安全的基石

新一代網絡安全框架的建設，安全由內而外，需要穩固的基礎支撐。密碼應用嵌入信息系統內核，與業務應用緊密耦合，是建設內生安全框架的基石。

對應于內生安全的一個中心、五張過濾網，密碼應用在網絡層面通過加密機、VPN、加密專用模塊實現傳輸加密，在身份層面通過多因子認證、可信標識、認證網關實現認證鑒權，在應用層面通過可信模塊、完整性校驗、簽名驗簽實現平臺和應用可信，在數據層面通過多種加密和訪問授權實現多重防護，在行為層面通過電子簽章、電子存證實現行為鑒別，在安全運營中心通過建設密碼應用管理平臺，實現密鑰管理、證書管理、策略管理、統一認證。因此，密碼應用是內生安全的重要組成部分，是安全由內而外的橋梁。

（2）在內生安全框架下建設密碼應用支撐能力

為了適應內生安全需求，我們需要建設密碼應用支撐能力。本著基礎性、系統性、前瞻性的原則，積極發展創新領域的新型密碼應用，以適應新基建數字化轉型與業務發展的需要。重點布局硬件設備、軟件模塊、密碼系統、密碼應用、密碼支撐、密碼測評、應用創新等領域，形成密碼應用技術體系。

●硬件設備

重點布局具有國密資質的加密機、加密卡、可信密碼模塊、密碼卡等硬件產品，滿足密鑰管理、高性能加解密、可信接入，以及輕量級密碼應用的需要，滿足標準化、高性能要求，并與密碼系統和軟件有良好的適配性。

●軟件模塊

重點布局具有國密資質的軟加密、軟可信、密碼 SDK、手機盾等軟件產品，滿足應用透明加解密、桌面及移動和物聯網終端軟件可信環境、虛擬化及分布式平臺環境需要，具備定制開發能力，具備面向密碼應用環境的高適應性和靈活性。

●密碼系統

重點布局具有國密資質的密碼認證系統、密鑰管理系統、數字證書系統、簽名驗簽系統等基礎密碼系統，為我司網絡安全產品和系統提供底層密碼支撐。

●密碼應用

重點布局密碼技術在身份識別、保密傳輸、隱私保護、可信認證等領域的應用，與我司業務相結合，形成統一的網絡安全解決方案。

●密碼支撐

重點促進密碼技術與我司身份管理、信息系統安全、大數據安全、應用開發安全等業務的融合，并以密碼技術為核心實現網絡安全與信息化和業務的融合，形成以密碼為核心的內生安全支撐能力。

●密碼測評

重點布局密碼應用測評工具開發、密評規范制定、密評與等保、關基保護相結合的綜合測評類廠商，實現密碼應用測評能力，并對接密碼產品測評。

●應用創新

重點布局密碼技術在云密碼應用、物聯網與 5G、區塊鏈、數據流通等領域的創新應用，并與我司在上述領域的創新網絡安全技術相結合，依托密碼應用在網絡安全創新應用中取得突破。

（3）在內生安全框架下實現網絡安全與密碼應用融合

在內生安全框架下，密碼應用向平臺化和服務化方向發展。通過對信息基礎設施的全面覆蓋和與業務應用的聚合，提供全面的身份認證、數據加密、傳輸安全和完整性保護能力與服務，并與網絡安全系統實現全面的對接。

●建設密碼基礎設施平臺

形成對密碼算法、協議以及軟硬件實現的統一部署和對云安全、工業安全、物聯網密碼模塊的統一支撐，并根據身份安全、數據安全、應用安全等領域需要進行功能開發和性能優化；

●建設密碼中間件平臺

面向企業辦公網和生產網，以及虛擬化、輕量級、低延時等新興應用場景的需求，開展密碼應用適配與國產化替代，為數據安全、身份安全提供密碼應用接口；

●建設應用開發密碼支撐服務體系

為應用開發的密碼需求、架構設計和開發過程提供開發套件，并為應用測試與運營提供密碼服務支撐；

●建設密碼應用管理平臺

統一管理上述平臺與體系，面向密鑰、證書、簽名等關鍵元素進行全生命周期的結構化管理；

●建設密碼應用測評服務體系

對接等保和關鍵基礎設施防護，依據密碼法和密碼應用測評規范，對密碼應用的正確性、有效性和合規性開展持續的測評與改進。

2． 以密碼應用為支撐的內生安全框架是保障新基建網絡安全的起點

新基建對密碼應用來說是龐大的增量市場，既包括對現有密碼基礎設施和應用的改造，也包括全新的密碼體系建設。不論是改造還是新建，密碼技術在新一代網絡安全框下，應用于 5G、大數據、云、車聯網、工業互聯網等領域，在實現加密和認證功能的同時，從網絡、身份、應用、數據、行為、管理等方面推進新型數字化基礎設施安全的內生和融合。在面向內生安全的密碼技術和應用框架基礎上，我們需要進一步開展面向新基建的密碼應用創新，拓展新興應用領域的增量市場，實現高質量發展。

（1）密碼應用是 5G 通信與 IT 網絡安全融合的關鍵

5G 是我國正在重點建設的新一代關鍵信息基礎設施，在 CT 層面，5G 標準使用了包括我國祖沖之算法在內的多種密碼算法實現設備入網認證和用戶隱私信息保護。在 IT 層面，虛擬化的基礎設施和多樣化的業務應用同樣需要使用密碼技術。一方面，5G 網絡運行在 IT 化的基礎設施上，需要密碼技術保障基礎設施軟硬件平臺的安全可信以及虛擬機與容器的可信，另一方面，面向行業的業務應用需要基于密碼技術實現對數據和平臺訪問的持續認證以實現對訪問行為的細粒度管控。

更重要的是，密碼技術是連接 5G CT 安全與 IT 安全的紐帶和橋梁；通過零信任打通 IT 與 CT 認證機制，比如零信任安全平臺可以通過運營商的 4A 系統獲取 5G 用戶入網和漫游認證信息，并將其作為零信任架構下基礎環境安全的重要參考要素，這些信息在 IT 層面是無法獲得的；同時零信任安全平臺可以將 IT 層面持續認證和行為分析結果反饋給 CT 網絡，作為移動通信網絡安全態勢感知和用戶入網控制的決策依據。實現 5G 網絡安全的聯動乃至一體化，對 CT 安全和 IT 安全能力都將是一次巨大的提升。而密碼的應用在其中起到關鍵作用。

（2）密碼應用是數據安全從封閉走向共享開放的關鍵

在大數據安全防護和共享開放方面，密碼技術起到關鍵作用。不但應用于數據的存儲、傳輸安全，在大數據的分析和共享領域也將起到越來越重要的作用。數據是數字經濟的核心資產，隨著我國數據安全法草案的公布，全面的數據安全保障能力是新一代網絡安全框架不可缺少的組成部分。密碼技術不但可以用于數據的加密傳輸，如 VPN 網關、應用層數據傳輸加密網關（HTTP）；以及數據存儲加密，如數據庫加密統、文件加密；還能夠用于大數據密態分析，如關鍵字段加密、同態加密；并通過區塊鏈、多方計算等應用推動數據共享與交換。

（3）新一代云基礎設施安全框架整合密碼服務能力

在云安全方面，云密碼服務是一種新的安全功能交付模式，是云計算技術與身份認證、授權訪問、傳輸加密、存儲加密等密碼技術的深度融合。如何實現密碼能力的虛擬化、資源化、服務化成為密碼發展的重要挑戰。與此同時，在新一代網絡安全框架整合了面向政務云、行業云及公有云的密碼產品、密碼使用策略、密碼服務接口和服務流程，密碼服務作為云基礎結構安全的重要組件，實現統一的云安全服務交付。

（4）密碼應用打通車聯網多網融合的安全認證與數據加密

車聯網是工業互聯網及物聯網領域中比較特殊的一個細分領域，一方面車輛是一個高度集成的信息物理系統，涉及生命財產安全有很高的安全需求；另一方面車聯網的網絡非常復雜，它是高速移動的環境，涉及到車內網、車際網和車云網，其安全措施需要打通端、網、云，并保證高實時性和可靠性。密碼技術的應用可以很好的滿足車聯網的關鍵安全需求。

對于端系統，主要涉及車載終端設備和路側設備，車輛需要嵌入安全芯片，用以管理密鑰和加密運算，從而強化 ECU 和 CAN 總線自身脆弱性的問題，路側設備，包括交通流量采集，信號控制以及交通引導設備等，同樣需要通過密碼技術來保障數據采集過程的安全。

對于網絡，由于接入方式的多樣性，傳統網絡安全技術和產品很難部署。而基于密碼技術的零信任的持續身份認證與動態訪問控制可以很好的解決復雜網絡條件下的網絡安全問題。

對于云端的車聯網應用，需要使用密碼技術對數據進行加密，配合數據隔離、數據防泄漏、數據庫防火墻、數據審計等方式保障密鑰以及用戶數據的隱私性，同時部署認證中心進行統一認證。

（5）密碼應用打破工業互聯網信息孤島，實現遠程安全協同

對于工業互聯網，業務應用和數據長期以來并未得到有效的保護。密碼技術的應用可以有效的實現身份認證和數據加密，滿足工業現場環境、低功耗模式等工業系統端級別設備與訪問用戶身份認證，系統中不同網絡速率和連接要求的通信網絡的傳輸認證和傳輸加密，關鍵工藝參數等敏感數據的存儲等安全需求；同時，在橫向隔離的工業網絡中，基于密碼技術支撐實現安全的遠程接入，包括終端接入、運維接入等，滿足業務需要的同時打破信息孤島，推動工業互聯網信息交換，實現遠程協同能力。

3． 以價值為導向，密碼應用融入網絡安全大生態

長期以來，密碼應用是一個相對獨立的生態，密碼與網絡安全沒有很好的融合。而在新基建的背景下，密碼應用的建設應融入網絡安全整體框架。

（1）密碼專項融入新一代網絡安全（十大工程五大任務）框架

奇安信在新一代網絡安全框架的十大工程、五大任務中，專門設計了密碼專項。

在實現密碼基礎設施和應用能力建設的同時，著重其對整個網絡安全框架的支撐作用和與其他安全工程及任務的聯動。包括身份安全、縱深防御、終端及接入安全、云數據中心安全、大數據應用安全、態勢感知、系統安全、工業安全、內部威脅防控在內的每一個安全工程，都需要對接統一密碼應用和管理平臺。安全運行、應用安全、物聯網安全、業務安全及安全人員能力建設也同樣需要密碼應用服務的支撐。因此，密碼專項成為新一代網絡安全框架的基座，為政企內生安全建設提供堅實的基礎。

（2）以價值為導向建設網絡安全大生態

在數字化的生態體系當中，伙伴之間互為資源、相互賦能，在共同提供資源、產品或者服務之后，按照市場規律獲得相對應的市場回報?？梢哉f這是一套按市場規則運作的合作體系，伙伴間的合作關系既寬松、又緊密。這種合作關系也讓伙伴更加樂于組團進行應用創新。

往前看，安全行業必是贏在生態，沒有一家廠商能解決所有安全領域問題，生態能力強、生態資源多的廠商才能為用戶產生更多價值。在新基建、數字化轉型的推動作用下，生態已成為安全廠商生存發展的必要條件，安全廠商應在新一代網絡安全框架下，找準自身的生態定位，打造以價值為導向的技術生態體系，進而實現產業生態繁榮。

4． 總結

隨著新基建的廣泛開展，密碼得到更多的重視和更廣泛的應用，在新一代網絡安全框架中正在成為一顆耀眼的明星。在新基建的網絡安全建設大潮中，我們應以密碼為基石支撐內生安全體系建設，以內生安全框架為起點保障新基建網絡安全同步建設，以價值為導向建設新基建網絡安全產業大生態。
責任編輯:pj