在新基建的大（dà）背（bèi）景下，随着（zhe）网络安（ān）全与密码（mǎ）技术的不（bú）断演进，融合密（mì）码技（jì）术的网络安全体系框架逐渐成为网络安全建（jiàn）设（shè）的新趋势（shì）。

在（zài） 2020 国家网络（luò）安全周举行之（zhī）际，记者有幸在（zài）现场（chǎng）采访到（dào）了中国（guó）电科集团网络安全领域首席（xí）专家、中（zhōng）国网安副（fù）总工程（chéng）师、卫士（shì）通总工程师董贵山。就密码在（zài）新基（jī）建中的（de）应用（yòng）、服（fú）务等问题，董贵山（shān）谈了他（tā）的看（kàn）法。

董（dǒng）贵（guì）山：新型（xíng）基础设施主要包括三个（gè）方面内容：一是信息基（jī）础设施（shī）。主要是指基于新一代（dài）信息技术演化生成的基础设施，比如，以（yǐ）5G、物（wù）联网、工业互联（lián）网、卫星互（hù）联网为代（dài）表的（de）通信网络基础设施（shī），以人工智能、云计算（suàn）、区（qū）块链为（wéi）代表的新技术基础设施，以数据中心、智能计（jì）算中心为（wéi）代表（biǎo）的算（suàn）力基础设施等；二是融合基础设施。主要是（shì）指深度应用（yòng）互联网、大数据、人工（gōng）智能等技（jì）术，支撑传统基（jī）础设施转型升级，进而形成（chéng）的融合基础设施，比如，智能交通基础设施、智慧（huì）能源基础设（shè）施等；三是（shì）创（chuàng）新基础（chǔ）设施。主要是指支撑科学（xué）研究、技术开发、产品研制的具（jù）有公益属性的基（jī）础（chǔ）设施，比如，重大科技基（jī）础设施、科教基础设施（shī）、产（chǎn）业技（jì）术创新（xīn）基础设施等。

从以上三个方面的分（fèn）类来看，新（xīn）型基（jī）础设施是未来引领数字经济（jì）发展（zhǎn）的关键载体和（hé）支柱，覆盖了网络（luò）通信、信息（xī）计算、新（xīn）兴技术（shù）领域、行业性（xìng）融合平台以及（jí）科研支撑平台，将成为数字（zì）中国在网络空（kōng）间“数字孪生（shēng）”的沃土和通路。网络（luò）安（ān）全作为新基（jī）建、数字经济发展的基石， 也（yě）受到了广泛（fàn）的关注与重（chóng）视。

新型基础设施具备基础平台支撑、海量数据汇聚、广（guǎng）泛实体（tǐ）接入、泛（fàn）在服务交付四大特性。“基础（chǔ）平（píng）台支撑”体现了新型基（jī）础设施的总体定位，不（bú）管（guǎn）是（shì）信息基础设施、融合基（jī）础设施还是创（chuàng）新基础（chǔ）设施，都具有显著的（de）基础性和平（píng）台性，是网络通信、信息服务和科研创新（xīn）的基础支撑；“海量数据汇聚”“广（guǎng）泛（fàn）实体（tǐ）接入”体现了新（xīn）型（xíng）基础设（shè）施的平台价值，信息基础设施（shī）和（hé）融合基础设施汇聚了海量的通信数（shù）据、行业数据和科研数（shù）据，提供网络互联平台，为广泛的（de）网络实体提供（gòng）网（wǎng）络（luò）接入（rù）和（hé）服务功能；“泛在服（fú）务交付（fù）”体现了新（xīn）型基（jī）础设（shè）施的交付模式，不（bú）管是传统（tǒng）基础设施还是信息基础设施，均是（shì）采用服（fú）务（wù）化的价值交付模式，结合互联网（wǎng）泛（fàn）在（zài）接入、网络（luò）互联的特点，新（xīn）型基础设施（shī）能够（gòu）为广泛的网络（luò）实（shí）体（tǐ）提供泛在化的服务覆盖，最大化（huà）平台价值（zhí）。这四大特性无一（yī）不代表着巨大的数（shù）据价值和平台（tái）价值，对网络（luò）攻击者（zhě）具有极高的诱惑力，存在极大的安全风险。

董贵山：“网络安全与（yǔ）信息化（huà）是一体之两翼，驱动之双轮”。安（ān）全是发展的保障（zhàng），发展是安（ān）全（quán）的目的，网（wǎng）络安全和信（xìn）息化建设互相依存、协调共生。新（xīn）型（xíng）基础（chǔ）设（shè）施建设是“云大物移智（zhì）”的有（yǒu）机聚合（hé）和结构化升级，网络安全风险也覆盖了信息服（fú）务平（píng）台、IoT设备、PC端、移（yí）动（dòng）端，这些承载着新基建业务、数据和（hé）服务的载体正在时刻（kè）接受海（hǎi）量（liàng）网络攻击的考验（yàn），如何（hé）全（quán）面保障新型基础设施安（ān）全也受到（dào）了业界的广泛关注。新（xīn）型基础（chǔ）设施作为国家级的网（wǎng）络信（xìn）息服务（wù）平台、行（háng）业融合支撑平台和科研（yán）平（píng）台，应参考（kǎo）关（guān）键信息基础设施的相关要求进行安（ān）全（quán）防护设计和建设工作，同（tóng）时针对新基建各领（lǐng）域特定场景进（jìn）行定制化防护。传（chuán）统的网（wǎng）络（luò）安全防护体系多具有通（tōng）用性和普（pǔ）适性，无法细粒度的涵（hán）盖到特定场景和（hé）业务（wù）数据流转（zhuǎn）方面，而（ér）密码技术（shù）因其技术特点和防护（hù）理念能（néng）够深入到业务场景之（zhī）中，与（yǔ）业务（wù）应用进行深入融合，像为士兵穿（chuān）上“盔甲”一样，为防（fáng）护对（duì）象（xiàng）提供“贴身防护”能力。

密（mì）码（mǎ）是保（bǎo）障网络和信息安全最有效、最可靠、最（zuì）经济的关键核心技术，是（shì）网络安全的最后（hòu）一道（dào）防线，能够为新基建的“基础平台支撑（chēng）、海量数据（jù）汇（huì）聚、广泛实体（tǐ）接入、泛在服务交付” 四（sì）大特性（xìng）提供针对（duì）性的防（fáng）护。

（1）密码为“基础平台（tái）支撑”构（gòu）筑完善的（de）安全防护体系。

新型基础设施为国家信息（xī）化（huà）建设提供新一代的（de）基础支（zhī）撑平台（tái），其平台价（jià）值极（jí）高，因此需要（yào）完善的安全防护（hù）能力。密码技术在（zài）网（wǎng）络安全防护体（tǐ）系中位居核心和基础地（dì）位，依靠密码技术和（hé）网络安全技术能够（gòu）打造集感知安全、传输安全、存储安全（quán）、计算安（ān）全、处理安（ān）全、应用安（ān）全（quán）于（yú）一（yī）体的安全防护能力，构（gòu）建（jiàn）以（yǐ）密码技术为（wéi）核心、多（duō）种（zhǒng）技术（shù）相（xiàng）互融合（hé）的新（xīn）网（wǎng）络安全体（tǐ）系， 构筑新（xīn）基建安（ān）全防护体系。

（2）密（mì）码为“海量数据汇聚”建立坚实的数（shù）据保护能力。

新型基础设施（shī）是基于多（duō）种功能、多（duō）种（zhǒng）要素（sù）、多种技术的体系化集成，支撑着跨领域、跨平台和跨系统的数据（jù）交换和信息共享，提（tí）供海量数据分析，实现数据的（de）互操（cāo）作和流（liú）程协同。密码技术提供的（de）数据加密存储（chǔ）、可（kě）信（xìn）数据汇（huì）聚（jù）、安（ān）全（quán）数据（jù）共享、数（shù）据流转确权能够实现数据的全生命周（zhōu）期（qī）安全，并对敏感数据、个人隐私数据提（tí）供针对性的数据（jù）脱敏、数据加密和（hé）数据（jù）隐藏能力，将（jiāng）防护（hù）能力深入到（dào）业务流转之中。

（3）密码为“广泛实体接入（rù）”提供安全的鉴别防护机（jī）制。

新型（xíng）基础设施的部分重点（diǎn）领域如铁路、公路、电网、通信、管网等，为规模化的网络实体（tǐ）接（jiē）入（rù）建设网络互联平台，实现实体（tǐ）的广泛接入和互联通信。网络互联平台（tái）的安全稳定运行成为了新型（xíng）基础设施建设（shè）实现价值的前（qián）提。基（jī）于密（mì）码技（jì）术为网络实体建立安全的（de）数据执行和存储环境，基于（yú）密码技（jì）术建立平台侧与网（wǎng）络（luò）实体之（zhī）间的可信鉴别和安全传输（shū）机制（zhì），两者结合构（gòu）建从终端（duān）侧到平台侧的安（ān）全接（jiē）入环境，有效的（de）保护平（píng）台（tái）外延的网（wǎng）络（luò）实体安（ān）全，保障新（xīn）型基础设施的（de）网络实体安全和边界接入安全。

（4）密（mì）码为“泛（fàn）在服务交付”构建泛在的密码服务能力。

从新（xīn）型基础（chǔ）设施（shī）的建设领域如智慧城市（shì）、物（wù）联网、车（chē）联（lián）网（wǎng）、充电（diàn）桩（zhuāng）可以看出，核心（xīn）价值是（shì）为数字经济广大领域提供泛在化的服务，将（jiāng）基础能力提供给更多的企业、组织和个人去使用，拓（tuò）展服（fú）务范围，让更多人享受（shòu）数（shù）字（zì）经（jīng）济发展的红利。泛在的服务能（néng）力一方面（miàn）需要（yào）服务（wù）于各行业领域（yù），密码技术需要依（yī）托（tuō）各行业领域特性提（tí）供相适应的防护能力，另一（yī）方面需要延伸到海量的网络实（shí）体，这些网络实体是新型基础设（shè）施（shī）建（jiàn）设的价值（zhí）延伸和（hé）受益主体，同时也会成为网（wǎng）络攻击的薄弱（ruò）点和（hé）攻击点，成为攻击平（píng）台（tái）的跳板。为（wéi）此，需要建（jiàn）立泛在化的密码保障机制， 为（wéi）广大行业（yè）领（lǐng）域提（tí）供泛在的密码服务接入能（néng）力（lì），为移动终端、PC端、IoT终端提供体系化的密码防护能力（lì），有（yǒu）力（lì）的支持新基建泛在服务的安（ān）全稳定（dìng）和可管可控。

新（xīn）型基础（chǔ）设施（shī）建设一方面（miàn）兼具关键信息（xī）基（jī）础设施的价值定位（wèi），另一（yī）方面融合新兴技术、新兴（xìng）领域的业务（wù）特点（diǎn），具（jù）有较（jiào）高的复杂性和先进性（xìng）。因此需（xū）要基（jī）于密码技术为（wéi）新型基（jī）础设施设计（jì）建设完善（shàn）的网络（luò）安全防护体系。

董（dǒng）贵山：当前，密码的价值得到了广（guǎng）泛的重（chóng）视，2020年1月1日，《中华人民共和国密码法》正式实施，2020年成为了（le）“密码法（fǎ）元年”，密码（mǎ）法对（duì）密码进行明确的（de）定义（yì），密码是指（zhǐ）采用特定变换的方法对信息进行加（jiā）密保（bǎo）护、安全认证的技术（shù）、产品和服务。其中，商用密码用于保护不（bú）属于（yú）国家秘密的信息，公民、法人（rén）和（hé）其他组织可以依法使（shǐ）用商用密码（mǎ）保护网络与（yǔ）信息（xī）安全。商用密码具备（bèi）机密（mì）性、完整性、真实性（xìng）和不可否认性四大防护特（tè）性，能够应对网（wǎng）络安（ān）全的数据（jù）泄露、数据篡改、身份（fèn）仿冒和行为否认等风险。

商用密码是我国自主（zhǔ）完善的技术体系，经过二十余年的发展和演进，提出了包（bāo）含（hán）SM1、SM2、SM3、SM4、SM7、SM9和ZUC算法的（de）一套完（wán）整自洽的商用（yòng）密码算法体（tǐ）系，建立了覆（fù）盖密码（mǎ）算法、密（mì）码协（xié）议、密码功能接口（kǒu）、密码产品规格、密码应用要求（qiú）和测评规范（fàn）的一（yī）套完善的标（biāo）准体（tǐ）系，形成了以密（mì）码芯（xīn）片、密码板卡、密码整机和密码系（xì）统等传统产品为主，多（duō）种产（chǎn）品形态和应用模（mó）式并现的（de）产品体系。

商用密码（mǎ）的建设受到了政（zhèng）策、法规、标（biāo）准、规范的全面推动。以法规奠定（dìng）密码法制基（jī）础，国家相继出台了（le）网络安全法（fǎ）、密码法，加速数据安全（quán）法、个（gè）人信息保护法立法进程（chéng），旨在规（guī）范网络安全，以法（fǎ）理奠定密码的（de）核心定位；以政策推动密（mì）码按需建设（shè），国家在关（guān）键信息（xī）基础设施（shī）、政务信息化建设、信创（chuàng）产业等方面均以政策文件的方式明（míng）确了（le）密码是网（wǎng）络（luò）安全和信（xìn）息化建（jiàn）设的重要组成部分；以标准构建密码使用基线，网（wǎng）络安（ān）全等（děng）级保护（hù）标（biāo）准体系（xì）的（de）升级明确了（le）密码在等保（bǎo）定（dìng）级（jí）和合规防护方面的基（jī）本要求，密（mì）码行业标准体系的快速（sù）增补也在全面（miàn）完善（shàn）密码技（jì）术和（hé）产品的合规应用；以测评保障（zhàng）密（mì）码应用（yòng）合规，参考（kǎo）网络（luò）安全等级保（bǎo）护的测评（píng）机制和测评要求，密码行（háng）业出台了密码（mǎ）应用安全性评估（gū）制度，以测（cè）评来明确密码应用（yòng）的合规性、正确性和有效性，从而保障密码（mǎ）应用设（shè）计的（de）完备性和（hé）密（mì）码（mǎ）产品在各个环节（jiē）的正确有效使用。

新型基础设施建设（shè）同样需要密码技（jì）术（shù）的保障，无论（lùn）是从合（hé）法合（hé）规角度还是消（xiāo）除安全风险角度来看，密码技术都是新型基础设施网络安（ān）全（quán）的最后一道防线。

从基础设施这个词汇来（lái）看，密码行（háng）业同样存在一个基础设（shè）施（shī）——公钥密码基础设施（Public Key Infrastructure，PKI），公钥密码基础（chǔ）设施是（shì）一个包括硬（yìng）件、软件、人员、策略和规程的集合（hé），用来（lái）实（shí）现基于公钥密码体制（zhì）的（de）密（mì）钥和证书的（de）产生、管理、存（cún）储、分发（fā）和撤销等（děng）功能，目前已广（guǎng）泛应（yīng）用于（yú）政务、金融、电力等构架（jià）关键（jiàn）信（xìn）息基（jī）础设施领域（yù），为其提供可信的密钥和证书管（guǎn）理（lǐ），建立网络安全的可信根。

新型基础设施继承了传（chuán）统基础设（shè）施建设（shè）的服务化特性，通过端到端的服务模（mó）式创造和交付价值，这一模（mó）式特性（xìng）要求（qiú）密码支撑能力能够提供相匹配的能力，PKI更倾向（xiàng）于传统的安全基（jī）础设施，提（tí）供基础通（tōng）用的密码支撑（chēng）能力（lì），对新型基础设施（shī）建设的（de）密码需（xū）求的匹配（pèi）性不（bú）高。

新（xīn）型基础设施（shī）的基础平台（tái）支（zhī）撑要求密码（mǎ）支撑提供灵活弹性可伸缩的服（fú）务（wù）能力，海量数据汇（huì）聚要求（qiú）密码支撑（chēng）提供融合数据（jù）全生命周期的（de）数据防护能力，广泛实体接（jiē）入要求密码（mǎ）支撑提供（gòng）平台（tái）化的通信（xìn）保护和接入（rù）管控（kòng）能（néng）力，泛在服（fú）务交付要求（qiú）密（mì）码支撑提供服务化的密码交付能力，让新基建的受益者（zhě）能够享受经过密码防护的安全（quán）新基建服务。这（zhè）些能力都是传统的密码（mǎ）建设模式无法全面响应（yīng）的。为此我们提（tí）供建设（shè）以密码（mǎ）服务（wù）平台为核（hé）心的新型密码管理与（yǔ）服务基础设（shè）施（shī），应对新型基（jī）础设施泛在互联海量（liàng）支撑的（de）平（píng）台特性提供（gòng）泛在（zài）化（huà）、平台化的（de）密码服（fú）务能力和一窗式、多（duō）维（wéi）度的密码管理能力（lì）。

董贵山：基于我上述提到的目（mù）标（biāo），卫（wèi）士通提出了集密码服务与密码管（guǎn）理为一体的密（mì）码（mǎ）服务平台的理念模型。在该模型的服务侧，密码服务（wù）平台包括（kuò）层次化密（mì）码服务、通用密码中（zhōng）间件和API网关，通过标准化集成能力集成优（yōu）秀的（de）密码系（xì）统（tǒng）和密（mì）码设备；通过资源虚拟化（huà）和微服务化设计对外提供覆（fù）盖基础密码（mǎ）服务、通用密码服务和安全应用服（fú）务的（de）层次化密码服务能力；通过通用密码中间件封（fēng）装层次化密码服务（wù）接口为（wéi）应用提供一（yī）站式的（de）密码集成能力；依托API 网关与管理侧协同（tóng）实现（xiàn）对（duì）应用的接入认证和访问（wèn）控制。在管（guǎn）理侧，密码（mǎ）服（fú）务平台通过密码设备与（yǔ）服务管（guǎn）理提供统（tǒng）一的访问入口（kǒu）和（hé）管理界面，支持租户、应用、设备、服务和订单的多维度（dù）管理，对使用情况进行信息（xī）统计和可视化展现（xiàn），支撑外部的密码监管（guǎn）和安全运营；各类平台用户可以通过统一访问入（rù）口进行登录认证，完成各自的管理（lǐ）职责。

密码服务平台（tái）提出（chū）“密码（mǎ）可用、密码好用（yòng）、密码能管、密码好（hǎo）管（guǎn）”的四（sì）大服（fú）务（wù）目标。在（zài）密码（mǎ）可用方面，通过（guò）密码虚拟化、层（céng）次（cì）化密码服务应对目前密码资源使用率低、密码（mǎ）技术使用不当、对新业务场（chǎng）景适应性不强的问题；在密码好用方（fāng）面，通（tōng）过通用密码中间件（jiàn）、标准化集（jí）成能（néng）力应（yīng）对密（mì）码与应用（yòng）对接困（kùn）难、密（mì）码服务接口不一致以及已（yǐ）建密码资源（yuán）难以利旧的问题；在（zài）密（mì）码能管方面，通过API网（wǎng）关、密（mì）码设备（bèi）与服务管（guǎn）理应（yīng）对业（yè）务应用情况不可控、密码使（shǐ）用情况不可（kě）见以及（jí）密（mì）码资源无法统（tǒng）一管（guǎn）理（lǐ）等问题；在密码好（hǎo）管方面，通过密码（mǎ）服（fú）务的使用计量和专业化技术团（tuán）队（duì）应对（duì）密（mì）码整体态势无法获（huò）取、密（mì）码使用应急能力不足（zú）以（yǐ）及使用计量（liàng）困难等问题。

针对新（xīn）型基础设（shè）施（shī）的场景（jǐng）要求，密码服务平台在（zài）基础密码服务方面能够（gòu）提供海量密钥和证书服务能力、适应物（wù）联网、车联网的多（duō）元化证书（shū）签发和（hé）管理能力以及覆盖全网的密码监（jiān）管（guǎn）和管理（lǐ）能（néng）力；在通用密码服务方面能够提供联接（jiē）人机物的异构统一身份（fèn）认证服（fú）务能力（lì）、数据（jù）流转（zhuǎn）管控与追溯机制、物联（lián）网设备的统一标识管理能力、车联（lián）网平台的电子地图（tú）安全管控（kòng）服务和车端（duān）密码支撑能力等针对性的密（mì）码服务能力（lì）。

董（dǒng）贵山：新基建是数（shù）字中（zhōng）国（guó）发展（zhǎn）的（de）“新”阶段，密码（mǎ）服务是（shì）密码行业发展的“新”模（mó）式（shì），两“新”碰（pèng）撞，迸发新（xīn）机，以新的密（mì）码服务模式保障新基建的“内（nèi）生安全”。因此为保障密码在（zài）新基（jī）建（jiàn）中发挥更好的安（ān）全支撑作（zuò）用，需从（cóng）多个角（jiǎo）度（dù）推进新基建领域密（mì）码应（yīng）用建（jiàn）设工作。

一是通过政策推动、业务（wù）驱动等推进密码在新基建领域的广泛部署，立足密码作为网络（luò）安全的“内（nèi）置（zhì）基（jī）因”定位，实现新基建的（de）“内生安（ān）全（quán）”，推动（dòng）密码在新基建的建设和示范，形成新基建各典型领（lǐng）域密码应用最佳实践。

二是从项（xiàng）目建设、场景需（xū）求中提炼业务场景和技术需求，开（kāi）展密码（mǎ）技术突破和产品研（yán）制，从而能够实现密码技术与新（xīn）基建各领域的深度融合，以密码服务支（zhī）撑基础（chǔ）设施对外（wài）安全服务。三是落实国家网（wǎng）络安全等（děng）级保护相关要求和（hé）密（mì）码应用建设的相（xiàng）关要求，在新型基础设（shè）施建（jiàn）设过程（chéng）中要（yào）同步规划、同（tóng）步建设、同步（bù）运（yùn）行（háng）密码保障系统并定期进行评估（gū）。在规划过程中，要（yào）立（lì）足新（xīn）型（xíng）基（jī）础设施（shī）安全要求，站在整体角度（dù）设（shè）计（jì）密码（mǎ）应用方案，在建设过（guò）程中，把密码服务（wù）融入（rù）到整体架构中，新型（xíng）基础设施需与密（mì）码保障体系同步（bù）运行（háng），并（bìng）通过定期安全（quán）评估、密码应用安（ān）全性（xìng）评估等手段（duàn），持续保（bǎo）持密（mì）码（mǎ）应用的有效性和（hé）安全性。