“网络安全为人民,网(wǎng)络安全靠人民。”9月(yuè)16日,卫士通多位(wèi)网络安全(quán)专家(jiā)已“奔赴(fù)”各级网络安(ān)全(quán)宣传周活动,通过(guò)线上(shàng)与线下(xià)相结合的方式,兼顾行业人士与普通大众的不(bú)同关(guān)注点,从密(mì)码在网络安(ān)全中的核心作用、泛在化应用、以及创新服务方式进行(háng)了多方位、多层级的观点分(fèn)享。
核心 | 夯实新型基础设施网络(luò)安全底座
中国电科集团网络(luò)安全领域首席专家、中国网安副总工程师、卫士通总工程师董贵山出席第七届国(guó)家(jiā)网络安全宣(xuān)传周(zhōu)新型基础设(shè)施(shī)网络(luò)安全高峰论坛,并作“保障工业(yè)互联网安(ān)全(quán),服务(wù)制造业高质量发展(zhǎn)”主题演讲,系统地阐述和分析了我国(guó)工业互(hù)联网的发(fā)展背景、潜在安全风险及相(xiàng)关政策要求,并提出了构建体系化安全防护能力(lì),夯实(shí)以工业互(hù)联网为代表的新型基础设施网络安全底座的三点建议(yì)。
▲图 董贵山作主题演讲
一(yī)是,建(jiàn)议借鉴企业工业信息安全整(zhěng)体保障(zhàng)实施原(yuán)则。企业工业信(xìn)息安全整体保(bǎo)障是中国(guó)网(wǎng)安基于正确的网(wǎng)络安全(quán)观提(tí)出的“整体安全、动态(tài)安全、相(xiàng)对安全、合规(guī)与赋(fù)能、技术与管理”的企业工业信息(xī)安全整体保障实施(shī)原则,并(bìng)在中国网(wǎng)安相关工作中广泛应用,对其(qí)他企业开(kāi)展工(gōng)业信息(xī)安全保障将起到借鉴作用。
二(èr)是,严格履行“七(qī)项义务,四类防护”的基本要求。《网络安全法》对网络运(yùn)营者的最基本义务(wù)和安全(quán)要求做了明确规定,各工业企(qǐ)业应履(lǚ)行(háng)网络运行安(ān)全义务、网络产(chǎn)品和服务(wù)安全义务、关键信息基础设施安(ān)全保护义务、公民个人信息保护义务、网络信(xìn)息安全管理义(yì)务、对监管机关的执法协(xié)助义务和其他法定义务,实现网页防篡改、服务防(fáng)中断、系统(tǒng)防病毒、数据防泄(xiè)漏。
三是,利(lì)用密码算法保障(zhàng)工业互联网(wǎng)数据的多方安全(quán)共享,达到工业(yè)数据安全(quán)的价(jià)值流动。密(mì)码技术在网络安全防(fáng)护体系中位居(jū)核(hé)心和基础地位,其提供(gòng)的可信数据汇聚、数据加密存储、安全数据共(gòng)享、安全多方计算、数据流转确权能够实(shí)现数据的(de)全生命(mìng)周期安(ān)全,并针对(duì)敏感(gǎn)数据、企业核心(xīn)数据提供针对性(xìng)的数据脱敏、数据加密(mì)和数据隐藏能力,将防护能力深入到业务流转之(zhī)中,能够有效的保护安全隐私,维护企业利(lì)益,在数据可用不可见的基础上实现数(shù)据价值的流转和(hé)交互。
广度 | 拓展(zhǎn)密码泛(fàn)在(zài)化应用(yòng)
国家网络安全宣传周同期,成都市的相关活动也在火热进行,卫(wèi)士(shì)通(tōng)结合现场(chǎng)展(zhǎn)示、专家演讲、互动(dòng)游戏,从“密(mì)码的内涵与意义(yì)”、“密码泛在(zài)化内涵与意义”、“密码领域典型实践与应用”三方面向(xiàng)成(chéng)都市民普及了“密(mì)码泛在化”进(jìn)程、应用及意(yì)义(yì)。
▲图 周阳作(zuò)主题演讲
卫士通(tōng)方案(àn)中心(xīn)技术专家周阳在演(yǎn)讲(jiǎng)中特(tè)别选(xuǎn)取大众最常接触的生活场景,通俗(sú)易懂的向成(chéng)都市民进行分享(xiǎng)。周阳通过诸如黑客攻击政府网站窃取公民和企业(yè)信息,就医人员医疗信息遭泄露导致个人敏感信息被窃取,12306遭泄(xiè)露数据撞库攻(gōng)击,考生网上报(bào)考信息泄露,伪造印(yìn)章,虚开(kāi)发(fā)票,伪造文件(jiàn)造成国家财产损失等大众在日(rì)常生活中接(jiē)触到的场景(jǐng)案例引入,带领听众(zhòng)一起总结了数字生活正(zhèng)面四大主(zhǔ)要(yào)痛点,临时身份鉴别有“短板”、个人信(xìn)息缺“保护” 、数(shù)据安全有“欠(qiàn)缺(quē)”、文件印章缺“可信”。
而解(jiě)决(jué)这些痛点的一(yī)大法(fǎ)宝(bǎo),便是“密码”!经过20多年(nián)的(de)发展,我国商(shāng)用密(mì)码已经应用到社会生产生活的各个方(fāng)面,在网络和信息安全(quán)中发挥着越来越重要的基础(chǔ)支撑作用。在政(zhèng)务服务,基于商用密码技术,防止政(zhèng)务服务(wù)、防(fáng)疫健康信息码使(shǐ)用过程中的公众隐私(sī)数据泄露,电子证照、电(diàn)子(zǐ)印章真实有效,保障市民数字(zì)生活安(ān)全(quán)。在社会保障,密(mì)钥管理系统(tǒng)作为社保卡制(zhì)卡体系的核心,主要(yào)负责各类密(mì)钥的生成、存储与分(fèn)发,密钥管理系统中的密钥按密钥(yào)类型、应用类型和交易(yì)种类进行定义,并(bìng)通过分散(sàn)变(biàn)化等机制(zhì)进行分级管理,避免(miǎn)单个密钥被攻(gōng)破(pò)之后影响整体系统的密钥安全。在医疗卫(wèi)生方面,密码技术的应用(yòng)保障(zhàng)了新(xīn)形势下的医疗电子(zǐ)体系稳定发展,其中安全可信的电子病历以电子(zǐ)认证和电子签名(míng)为手段,形(xíng)成完善的技术保障体(tǐ)系,营运安全可信的(de)电子病历应用(yòng)环境,等等。
深度 | 创(chuàng)新密码(mǎ)服务(wù)方式
卫士通方案中心商(shāng)用(yòng)密码(mǎ)专家(jiā)周君平在国家网络安全宣传周内蒙分会场的线(xiàn)上论坛上,作“推(tuī)动商用密码应用,创新密码服务(wù)能(néng)力”主题演(yǎn)讲。她表示,随着密(mì)码技术的深(shēn)度、广(guǎng)度融合发展趋势,不仅(jǐn)促进了产业链全生(shēng)态的建立健全,而(ér)且还催(cuī)生(shēng)了密码服务“平台化”创新应用模式(shì)。
▲图 周君(jun1)平
该模式通过构建一体(tǐ)化的密码服务平台,将为(wéi)各行业重要信息系统(tǒng)提供统一、弹性、高(gāo)效、规模化的密码应(yīng)用服务。一体化密码(mǎ)服务(wù)平(píng)台将采(cǎi)用微服务架构(gòu)对密码服(fú)务基础(chǔ)支撑设备、系统的能力(lì)进行(háng)抽(chōu)象封装(zhuāng),形成密码(mǎ)服务能力,并通(tōng)过(guò)API网关(guān)将密码(mǎ)服务(wù)的能力采用标准(zhǔn)统一的接口,以API的形式或SDK的(de)形式向安全应(yīng)用提供。同时基(jī)于平(píng)台管(guǎn)控实现(xiàn)对平台的应用接入管理,密码资源、资产的统计管理,基于密码(mǎ)监(jiān)管(guǎn)服务实(shí)现对密码设备、密码资源、密码服务调用情况的统一监管,基(jī)于安(ān)全运营服务使用,实现租户管理、平台运营状(zhuàng)态监控、资源可用性监控等。这种商用密码创(chuàng)新服务方式有以下几(jǐ)个特点:
1.服务化 以服务替(tì)代产(chǎn)品,降低采购成本(běn)和(hé)运维成本,提升信息(xī)化建(jiàn)设敏捷性,缓解安全建设的困扰(rǎo)。
2.精准化 将密码业(yè)务深(shēn)植于业务(wù)之中,由专(zhuān)业的密码厂商提供服(fú)务,实时跟踪(zōng)学界和业界的(de)前沿进展,着力(lì)开展技(jì)术演进和模式(shì)创(chuàng)新,保(bǎo)持服务能(néng)力的持续迭代和更新(xīn)。
3.泛在(zài)化(huà) 面向目(mù)前数字政府建设的多云部署趋势,提(tí)供支持不同(tóng)云服务平台的泛在接入能力。
4.合规化 以商用密码(mǎ)和等级保(bǎo)护(hù)相关(guān)规(guī)定为指导,以(yǐ)安全合规为底(dǐ)线,避免业务应用的合(hé)规风险。
5.简略化 为业务(wù)应用提供便捷的密码服(fú)务接口,缓解现在业务应用开发商的密(mì)码研(yán)发难(nán)度,弥补安全应用短(duǎn)板(bǎn)。依托密钥管理、密码应用等服务能力,联通(tōng)前端业(yè)务服务商和后端基础服务商,结合密钥(yào)管(guǎn)理和(hé)身份服(fú)务入口,形(xíng)成以密码服务为核心的互联网信(xìn)任(rèn)服(fú)务生态,支(zhī)撑网络(luò)空间安全(quán)。
