關(guān)于瑞術(shù)
黨建活動

供給高質(zhì)量密碼 筑牢新基建基石

 二維碼
發(fā)表時間:2020-12-11 10:00

摘 要:新基建為數(shù)字經(jīng)濟(jì)注入新動能。而密碼技術(shù)作為網(wǎng)絡(luò)安全的殺手锏技術(shù)和核心支撐,成為新基建安全有序發(fā)展的關(guān)鍵保障。大力推進(jìn)商用密碼與新基建的深度融合,推動創(chuàng)新密碼技術(shù)在新基建的全面應(yīng)用勢在必行。通過分析新基建的信息基礎(chǔ)設(shè)施、融合基礎(chǔ)設(shè)施、創(chuàng)新基礎(chǔ)設(shè)施等領(lǐng)域面臨的安全挑戰(zhàn),探索密碼技術(shù)與新基建在新技術(shù)、新模式、新業(yè)態(tài)等的融合思路,提出高質(zhì)量密碼供給,打造以密碼技術(shù)為核心的新基建實戰(zhàn)化安全防護(hù)體系。


關(guān)鍵詞:新基建;密碼應(yīng)用融合;高質(zhì)量供給;實戰(zhàn)化防護(hù)

內(nèi)容目錄:

0 引 言
1 新基建賦予密碼融合新使命
1.1 新基建開拓經(jīng)濟(jì)發(fā)展新航道
1.2 新基建面臨網(wǎng)絡(luò)安全新挑戰(zhàn)
1.2.1 萬物泛在互聯(lián),失控風(fēng)險攀升
1.2.2 新基建中數(shù)據(jù)要素安全威脅更為嚴(yán)峻
1.2.3 新基建對密碼性能、易用性提出高要求
1.3 新基建帶給密碼發(fā)展新機遇
2 合規(guī)與實戰(zhàn)并舉的新基建密碼防護(hù)
2.1 密碼支撐“信息基礎(chǔ)設(shè)施”
2.1.1 5G網(wǎng)絡(luò)
2.1.2 大數(shù)據(jù)中心
2.1.3 人工智能
2.1.4 工業(yè)互聯(lián)網(wǎng)
2.2 密碼保障“融合基礎(chǔ)設(shè)施”
2.2.1 特高壓
2.2.2 城際高速鐵路和城際軌道交通
2.2.3 新能源汽車充電樁
2.3 密碼激活“創(chuàng)新基礎(chǔ)設(shè)施”
3 供給高質(zhì)量密碼,維護(hù)新基建安全新秩序
3.1 高性能密碼模塊賦能新基建內(nèi)生安全
3.2 面向切面加密讓安全內(nèi)嵌于業(yè)務(wù)流程
3.3 實戰(zhàn)化商用密碼防護(hù)體系守護(hù)新基建
4 結(jié) 語

0 引 言


新基建加速了數(shù)字經(jīng)濟(jì)與實體經(jīng)濟(jì)的融合發(fā)展,助推經(jīng)濟(jì)社會高質(zhì)量發(fā)展,但隨之而來的安全威脅正從數(shù)字世界向物理世界逐步滲透, 網(wǎng)絡(luò)安全形勢更加錯綜復(fù)雜,數(shù)據(jù)要素安全挑戰(zhàn)也更加嚴(yán)峻。安全是發(fā)展的前提,發(fā)展是安全的保障,密碼作為保護(hù)網(wǎng)絡(luò)與信息安全的重要手段,成為“新基建”時代重塑網(wǎng)絡(luò)空間安全體系的重要基石。在新基建重點布局高速密碼,將構(gòu)建以密碼為核心的實戰(zhàn)化安全新生態(tài)。

1 新基建賦予密碼融合新使命


1.1 新基建開拓經(jīng)濟(jì)發(fā)展新航道

中央指出要抓住產(chǎn)業(yè)數(shù)字化、數(shù)字產(chǎn)業(yè)化賦予的機遇,加快5G網(wǎng)絡(luò)、數(shù)據(jù)中心等新型基礎(chǔ)設(shè)施建設(shè)。2020年4月20日,國家發(fā)改委首次明確了“新基建”的定義:新型基礎(chǔ)設(shè)施是以新發(fā)展理念為引領(lǐng),以技術(shù)創(chuàng)新為驅(qū)動,以信息網(wǎng)絡(luò)為基礎(chǔ),面向高質(zhì)量發(fā)展需要,提供數(shù)字轉(zhuǎn)型、智能升級、融合創(chuàng)新等服務(wù)的基礎(chǔ)設(shè)施體系,新基建包括信息基礎(chǔ)設(shè)施、融合基礎(chǔ)設(shè)施、創(chuàng)新基礎(chǔ)設(shè)施3個方面內(nèi)容。

新基建是制造強國和網(wǎng)絡(luò)強國“兩個強國” 建設(shè)的共同支撐,開拓了國家經(jīng)濟(jì)發(fā)展的新航道,滿足了人民對美好生活的新需求。而產(chǎn)業(yè)互聯(lián)網(wǎng)作為數(shù)字產(chǎn)業(yè)化與產(chǎn)業(yè)數(shù)字化的重要承載,新基建與其密不可分。新基建、產(chǎn)業(yè)互聯(lián)網(wǎng)、數(shù)據(jù)要素三者關(guān)系可以比作“航道—船—油”,三者緊密關(guān)聯(lián)、互為促進(jìn),而安全底座則決定了遠(yuǎn)航距離。密碼技術(shù)作為網(wǎng)絡(luò)安全的殺手锏技術(shù),是保障數(shù)據(jù)要素安全的核心手段,是產(chǎn)業(yè)互聯(lián)網(wǎng)的安全基因,為新基建加速發(fā)展保駕護(hù)航。

1.2 新基建面臨網(wǎng)絡(luò)安全新挑戰(zhàn)

新基建打造數(shù)字經(jīng)濟(jì)新引擎,加速推動傳統(tǒng)行業(yè)數(shù)字化轉(zhuǎn)型。然而新基建在發(fā)展過程中,卻面臨諸多安全挑戰(zhàn),不僅包括產(chǎn)業(yè)互聯(lián)網(wǎng)技術(shù)自身的安全威脅,也涉及從數(shù)字世界向?qū)嶓w世界逐漸滲透時產(chǎn)生的安全挑戰(zhàn)。

1.2.1 萬物泛在互聯(lián),失控風(fēng)險攀升

隨著新基建的建設(shè),所有實體皆可通過網(wǎng)絡(luò)實現(xiàn)連接,打破了時間、空間約束,隨之而來的網(wǎng)絡(luò)攻擊的威脅也呈指數(shù)級增長,在沒有更高安全保障的條件下,給現(xiàn)實物理世界、人身安全帶來嚴(yán)峻威脅。在構(gòu)建和運行的開放網(wǎng)絡(luò)環(huán)境中,無論是物聯(lián)網(wǎng)終端接入、還是數(shù)據(jù)要素流轉(zhuǎn)共享,都難以劃分出網(wǎng)絡(luò)邊界,所以經(jīng)典網(wǎng)絡(luò)邊界防護(hù)模型不再適用。當(dāng)前既要解決保密性、完整性、可用性的傳統(tǒng)安全問題,又要保證數(shù)據(jù)和服務(wù)的按需使用和安全交互,解決可信、可管、可控、可用等問題。

1.2.2 新基建中數(shù)據(jù)要素安全威脅更為嚴(yán)峻

與傳統(tǒng)基礎(chǔ)設(shè)施相比,新型基礎(chǔ)設(shè)施的安全敞口更廣,海量數(shù)據(jù)要素的安全風(fēng)險急劇攀升。新型基礎(chǔ)設(shè)施業(yè)務(wù)系統(tǒng)數(shù)據(jù)高度集中,存儲大量用戶信息,極易成為攻擊目標(biāo),一旦遭受攻擊或入侵將引發(fā)數(shù)據(jù)泄露、系統(tǒng)業(yè)務(wù)功能被控制等安全問題。新型基礎(chǔ)設(shè)施涉及業(yè)務(wù)系統(tǒng)、數(shù)據(jù)庫、文件存儲等組件,這些組件接口的開放,可能會造成接口的未授權(quán)調(diào)用,導(dǎo)致非授權(quán)訪問、數(shù)據(jù)泄露、遠(yuǎn)程控制等后果。

1.2.3 新基建對密碼性能、易用性提出高要求

長期以來,商用密碼技術(shù)的推廣普及,面臨著性能需求難以滿足、使用門檻高等挑戰(zhàn)。商用密碼產(chǎn)品大多以安全芯片、終端、設(shè)備等硬件產(chǎn)品呈現(xiàn),硬件產(chǎn)品在云端、虛擬機端、移動端等新場景中難以靈活部署硬件密碼產(chǎn)品,同時硬件密碼產(chǎn)品受制于專用密碼芯片的實現(xiàn)性能。5G新基建場景中性能問題尤為凸顯,5G數(shù)據(jù)傳輸速度比先前的4G LTE蜂窩網(wǎng)絡(luò)快100倍,響應(yīng)時間從4G的30~70毫秒降低到低1毫秒,數(shù)據(jù)處理量和并發(fā)數(shù)都極大提升。但是,目前我國常規(guī)的密碼算法實現(xiàn),難以滿足 5G 場景中高性能需求。

1.3 新基建帶給密碼發(fā)展新機遇

相比傳統(tǒng)基建,科技創(chuàng)新驅(qū)動、數(shù)字化、信息網(wǎng)絡(luò)是新基建的三個特點。新基建深度依賴網(wǎng)絡(luò)數(shù)字化空間,而密碼技術(shù)則是保障網(wǎng)絡(luò)空間秩序和信任的核心技術(shù)和基礎(chǔ)支撐。面對國內(nèi)外安全環(huán)境的深刻變化以及經(jīng)濟(jì)高質(zhì)量發(fā)展的雙重挑戰(zhàn),在我國信息產(chǎn)業(yè)缺少自主核心技術(shù)的局面下,亟需以密碼應(yīng)用為突破口,構(gòu)建以密碼技術(shù)為核心的網(wǎng)絡(luò)安全與信任體系,大力推進(jìn)商用密碼與新基建數(shù)字化技術(shù)的深度融合,推動商用密碼在新基建領(lǐng)域的全面應(yīng)用。

同時,國家近年來頒布了一系列法律法規(guī),推動信息基礎(chǔ)設(shè)施的建設(shè)與合規(guī)。其中重點包含“一法三規(guī)”:

(1)2019年正式出臺的《密碼法》,將密碼活動的相關(guān)制度上升為國家法律,強調(diào)國家積極促進(jìn)密碼事業(yè)發(fā)展,保障網(wǎng)絡(luò)與信息安全,維護(hù)國家安全和社會公共利益,保護(hù)公民、法人和其他組織的合法權(quán)益。其中明確要求關(guān)鍵信息基礎(chǔ)設(shè)施等使用商用密碼保護(hù)網(wǎng)絡(luò)安全。
(2)2019年12月正式發(fā)布了《國家政務(wù)信息化項目建設(shè)管理辦法》(國辦發(fā)〔2019〕57號),明確要求政務(wù)信息化項目“同步規(guī)劃、同步建設(shè)、同步運行密碼保障系統(tǒng)并定期進(jìn)行評估;按要求向發(fā)改委備案的備案文件應(yīng)當(dāng)包括密碼應(yīng)用方案和密碼應(yīng)用安全性評估報告”。
(3)目前正在公開征求意見、納入2020年立法計劃的《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》充分體現(xiàn)了密碼管理在國家網(wǎng)絡(luò)安全大局中的重要地位和作用,明確了關(guān)鍵信息基礎(chǔ)設(shè)施的密碼應(yīng)用要求。其中,從制度機制、標(biāo)準(zhǔn)規(guī)范、教育培訓(xùn)、手段建設(shè)、技術(shù)創(chuàng)新等方面提升通信、能源、交通、金融等行業(yè)主管部門和關(guān)鍵信息基礎(chǔ)設(shè)施運營單位的安全保護(hù)能力,要求關(guān)鍵信息基礎(chǔ)設(shè)施中的密碼使用和管理,應(yīng)當(dāng)遵守密碼法律、行政法規(guī)的規(guī)定。
(4)2020年7月公安部發(fā)布《貫徹落實網(wǎng)絡(luò)安全等級保護(hù)制度和關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)制度的指導(dǎo)意見》(公網(wǎng)安〔2019〕1960 號) 對國家政務(wù)信息系統(tǒng)、等保三級以上網(wǎng)絡(luò)應(yīng)正確、有效采用密碼技術(shù)進(jìn)行保護(hù),并使用符合相關(guān)要求的密碼產(chǎn)品和服務(wù)。

2 合規(guī)與實戰(zhàn)并舉的新基建密碼防護(hù)


新基建是科技強國的重要支點,相比傳統(tǒng)基礎(chǔ)設(shè)施,新基建因其數(shù)字化特性,面臨諸多新安全問題,在信息基礎(chǔ)設(shè)施、融合基礎(chǔ)設(shè)施、創(chuàng)新基礎(chǔ)設(shè)施三大領(lǐng)域,通過密碼技術(shù)保障安全顯得尤為重要。而密碼技術(shù)與新基建的深度融合,對用戶合規(guī)和攻防對抗提出極高要求,推動用戶以密評合規(guī)為起點,以真實對抗結(jié)果為導(dǎo)向,構(gòu)建敏捷實施、細(xì)粒度防護(hù)、機制可靠的密碼實戰(zhàn)化防護(hù)體系,也將為密碼產(chǎn)業(yè)發(fā)展提供指引和方向。

2.1 密碼支撐“信息基礎(chǔ)設(shè)施”

信息基礎(chǔ)設(shè)施主要指基于新一代信息技術(shù)演化生成的基礎(chǔ)設(shè)施,比如以5G、物聯(lián)網(wǎng)、工業(yè)互聯(lián)網(wǎng)、衛(wèi)星互聯(lián)網(wǎng)為代表的通信網(wǎng)絡(luò)基礎(chǔ)設(shè)施,以人工智能、云計算、區(qū)塊鏈等為代表的新技術(shù)基礎(chǔ)設(shè)施,以數(shù)據(jù)中心、智能計算中心為代表的算力基礎(chǔ)設(shè)施等。

伴隨新基建的快速發(fā)展,5G網(wǎng)絡(luò)、大數(shù)據(jù)中心、人工智能、工業(yè)互聯(lián)網(wǎng)等信息基礎(chǔ)設(shè)施成為行業(yè)競爭新賽道,對于網(wǎng)絡(luò)安全提出了更多的新需求。密碼技術(shù)與信息基礎(chǔ)設(shè)施的融合發(fā)展,也將充分激發(fā)密碼創(chuàng)新創(chuàng)造力。

2.1.1 5G 網(wǎng)絡(luò)

隨著我國5G網(wǎng)絡(luò)建設(shè)和商用的全面展開,5G網(wǎng)絡(luò)從傳輸通道全面升級為數(shù)字化賦能的承載基石,正加速推動物理世界和智能世界的深度融合。由于5G網(wǎng)絡(luò)的獨有特性,靈活、彈性的網(wǎng)絡(luò)安全成為新要求。然而,密碼機、智能密碼鑰匙等傳統(tǒng)獨立于信息系統(tǒng)之外的密碼產(chǎn)品,一定程度上限制了用戶使用密碼技術(shù)的主動性,阻礙密碼技術(shù)的推廣和普及。

只有創(chuàng)新密碼產(chǎn)品,將密碼功能內(nèi)嵌入信息化產(chǎn)品中,才能更好地適應(yīng)未來 5G 網(wǎng)絡(luò)的密碼防護(hù)新需求。

2.1.2 大數(shù)據(jù)中心

大數(shù)據(jù)所蘊含的巨大潛力和價值,使其成為新型網(wǎng)絡(luò)攻擊的重災(zāi)區(qū)。為有效應(yīng)對網(wǎng)絡(luò)安全威脅,將密碼技術(shù)直接作用于數(shù)據(jù),通過“小密鑰”進(jìn)行安全保障,縮小安全敞口。針對數(shù)據(jù)的采集、傳輸、存儲、使用和流轉(zhuǎn)等不同環(huán)節(jié),構(gòu)建數(shù)據(jù)全生命周期安全防護(hù),做到事前預(yù)防、事中防護(hù)和事后追溯。事前預(yù)防,可將敏感數(shù)據(jù)加密存儲于數(shù)據(jù)庫或文件系統(tǒng),通過設(shè)置訪問控制策略,并結(jié)合數(shù)據(jù)加解密,防范數(shù)據(jù)泄露;事中防護(hù),通過實施訪問控制,數(shù)據(jù)加解密策略和數(shù)據(jù)脫敏,防止敏感數(shù)據(jù)泄露、被篡改;事后追溯,針對敏感數(shù)據(jù)操作進(jìn)行完整日志記錄,實現(xiàn)高置信度的審計。

2.1.3 人工智能

當(dāng)前,主要發(fā)達(dá)國家將人工智能作為提升國家競爭力、維護(hù)國家安全的重大戰(zhàn)略。人工智能在加速各主體間的數(shù)據(jù)與技術(shù)互通、信息共享的同時,也擴(kuò)大了網(wǎng)絡(luò)威脅攻擊面?;诿艽a技術(shù),構(gòu)建“終端”“傳輸”“平臺”的全方位安全防護(hù)體系,可有效保障人工智能領(lǐng)域數(shù)據(jù)全生命周期的完整性和保密性。將安全基因融入人工智能系統(tǒng)設(shè)計之中,加強身份識別和監(jiān)測,對威脅、危害的響應(yīng)或處理決策提供信息支持;構(gòu)筑安全的數(shù)據(jù)采集和處理環(huán)境,有效防止黑客攻擊和系統(tǒng)自身缺陷帶來的安全隱患。

2.1.4 工業(yè)互聯(lián)網(wǎng)

工業(yè)互聯(lián)網(wǎng)作為制造業(yè)與互聯(lián)網(wǎng)深度融合的產(chǎn)物,已經(jīng)成為新工業(yè)革命的關(guān)鍵支撐。因此,工業(yè)互聯(lián)網(wǎng)自身安全可控是產(chǎn)業(yè)安全和國家安全的重要基礎(chǔ)和保障。密碼技術(shù)是構(gòu)建工業(yè)互聯(lián)網(wǎng)安全體系的關(guān)鍵核心技術(shù),通過結(jié)合密碼技術(shù)與多種安全防護(hù)手段,實現(xiàn)工業(yè)現(xiàn)場環(huán)境、低功耗模式等場景下,工業(yè)系統(tǒng)端級別設(shè)備與訪問用戶身份鑒別的安全保障需求,滿足不同網(wǎng)絡(luò)速率和連接要求的通信網(wǎng)絡(luò)傳輸認(rèn)證和傳輸加密等安全需求,保障企業(yè)核心數(shù)據(jù)資產(chǎn)安全。

2.2 密碼保障“融合基礎(chǔ)設(shè)施”

融合基礎(chǔ)設(shè)施主要指深度應(yīng)用互聯(lián)網(wǎng)、大數(shù)據(jù)、人工智能等技術(shù),支撐傳統(tǒng)基礎(chǔ)設(shè)施轉(zhuǎn)型升級,進(jìn)而形成融合基礎(chǔ)設(shè)施,比如智能交通基礎(chǔ)設(shè)施、智慧能源基礎(chǔ)設(shè)施等。

以特高壓、城際高速鐵路和城際軌道交通、新能源汽車充電樁等為代表的融合基礎(chǔ)設(shè)施,對推動經(jīng)濟(jì)高質(zhì)量發(fā)展的支撐作用正在加快釋放。提升密碼創(chuàng)新供給能力,為融合基礎(chǔ)設(shè)施產(chǎn)業(yè)發(fā)展和安全保駕護(hù)航。

2.2.1 特高壓

特高壓領(lǐng)域是經(jīng)濟(jì)社會運行的神經(jīng)中樞,是網(wǎng)絡(luò)安全防護(hù)的重中之重。然而,特高壓行業(yè)電力系統(tǒng)生產(chǎn)運行高度依賴網(wǎng)絡(luò)和信息技術(shù),數(shù)據(jù)泄露、安全失控、核心技術(shù)受制于人等安全隱患,致使特高壓網(wǎng)絡(luò)空間安全形勢不容樂觀。因此,特高壓安全防護(hù)應(yīng)從保障電力系統(tǒng)的數(shù)據(jù)、終端設(shè)備和網(wǎng)絡(luò)等方面安全著手,利用密碼技術(shù),實現(xiàn)特高壓電力系統(tǒng)的整體安全保護(hù)。利用對稱密碼技術(shù),對數(shù)據(jù)加密后存儲,實現(xiàn)數(shù)據(jù)存儲安全;利用傳輸加密和身份鑒別,保證數(shù)據(jù)的通信安全;采用密碼的身份鑒別和訪問控制,進(jìn)行終端防護(hù)。

2.2.2 城際高速鐵路和城際軌道交通

伴隨城際高速鐵路和城際軌道交通網(wǎng)的快速擴(kuò)張、規(guī)模持續(xù)擴(kuò)大、技術(shù)裝備迭代升級, 該領(lǐng)域的網(wǎng)絡(luò)安全形勢日趨嚴(yán)峻和復(fù)雜。為充分應(yīng)對城際高速鐵路和城際軌道交通網(wǎng)數(shù)字化轉(zhuǎn)型過程中面臨的安全威脅,針對車輛設(shè)備和城軌控制系統(tǒng)構(gòu)建基于密碼技術(shù)的“主動式防護(hù)”。對于重要的業(yè)務(wù)系統(tǒng)、數(shù)據(jù)應(yīng)采用加解密技術(shù)傳輸,結(jié)合網(wǎng)絡(luò)安全傳輸、系統(tǒng)安全保障、重要信息安全管控等技術(shù)手段,實現(xiàn)數(shù)據(jù)完整性和保密性,并避免中間人攻擊、網(wǎng)頁劫持等特定網(wǎng)絡(luò)攻擊。

2.2.3 新能源汽車充電樁

新能源汽車充電樁是智慧交通、智慧能源等新興數(shù)字經(jīng)濟(jì)的重要組成部分。在國家頂層的帶動下,能源汽車充電樁建設(shè)爆發(fā)式增長。由于點多、面廣、分散,充電樁的每一個節(jié)點都存在重大的安全隱患,如終端易被攻擊者侵入,與本地充電站、運營平臺傳輸過程中出現(xiàn)數(shù)據(jù)泄露,操作系統(tǒng)內(nèi)敏感數(shù)據(jù)安全防護(hù)措施不足等。因此,要在充電樁終端集成密碼中間件,實現(xiàn)身份鑒別和數(shù)據(jù)加密防護(hù)。通過加密或者數(shù)字簽名,保護(hù)重點區(qū)域內(nèi)的數(shù)據(jù)文件,以保證數(shù)據(jù)的機密性、完整性、可靠性和不可抵賴性。

2.3 密碼激活“創(chuàng)新基礎(chǔ)設(shè)施”

創(chuàng)新基礎(chǔ)設(shè)施主要指支撐科學(xué)研究、技術(shù)開發(fā)、產(chǎn)品研制的具有公益屬性的基礎(chǔ)設(shè)施,比如:重大科技基礎(chǔ)設(shè)施、科教基礎(chǔ)設(shè)施、產(chǎn)業(yè)技術(shù)創(chuàng)新基礎(chǔ)設(shè)施等。創(chuàng)新基礎(chǔ)設(shè)施在助推各行業(yè)數(shù)字化轉(zhuǎn)型方面發(fā)揮著重要的革新引領(lǐng)作用,與密碼技術(shù)的相互促進(jìn)、融合發(fā)展已成為普遍共識,二者呈現(xiàn)出扭結(jié)纏繞的發(fā)展態(tài)勢。密碼不僅能為其提供 “安全基因”,而且為科學(xué)技術(shù)研究、科技創(chuàng)新的信息協(xié)同平臺提供安全保障。

正如第二次世界大戰(zhàn)期間,破解德軍密碼的計算技術(shù)衍生出圖靈機模型,誕生了現(xiàn)代計算機,揭開了高速信息化社會的序幕。而今天用來破譯公鑰密碼算法的量子計算機,正成為下一代科技發(fā)展制高點。密碼技術(shù)應(yīng)用將激活創(chuàng)新基礎(chǔ)設(shè)施,拉動創(chuàng)新基礎(chǔ)設(shè)施螺旋式升級發(fā)展,推動創(chuàng)造新服務(wù)、新業(yè)態(tài)、新價值。

3 供給高質(zhì)量密碼,維護(hù)新基建安全新秩序


3.1 高性能密碼模塊賦能新基建內(nèi)生安全

新基建時代,物理世界與虛擬世界邊界消弭、現(xiàn)實世界與數(shù)字世界深度融合,數(shù)據(jù)就是財富,安全才有價值。只有密碼,才能構(gòu)建網(wǎng)絡(luò)可信秩序,打造安全的網(wǎng)絡(luò)空間。新基建融合了大量的數(shù)字化業(yè)務(wù),對應(yīng)的信息化更加錯綜復(fù)雜,業(yè)務(wù)處理實時性、準(zhǔn)確性需求更高,這就要求內(nèi)嵌密碼模塊具備高性能,在給系統(tǒng)帶來安全防護(hù)的同時,也能夠保證業(yè)務(wù)的正常運轉(zhuǎn),保障業(yè)務(wù)執(zhí)行的效率。

然而,長期以來商用密碼系列算法產(chǎn)品大多以安全芯片、終端、設(shè)備等硬件產(chǎn)品呈現(xiàn)。硬件產(chǎn)品的實現(xiàn)雖然增強了相應(yīng)系統(tǒng)的安全性,但在云端、虛擬機端、移動端等新場景中,硬件密碼產(chǎn)品受制于上游密碼芯片存在性能較低等問題,面臨不能用(國密算法難以等效替換)、不好用(缺乏密碼中間件復(fù)用低)、用不好(甲方難以消化密碼技術(shù))這三個挑戰(zhàn)。

商用密碼要實現(xiàn)能用、好用、用好的新需求,必須取得高性能實現(xiàn)的突破。通過對SM4算法進(jìn)行等價變換,可改進(jìn)SM4算法軟件實現(xiàn)的執(zhí)行效率。SM4算法中計算最為繁重的部分是SM4算法的輪函數(shù)(每次加密中執(zhí)行32次),而Sbox的計算則是輪函數(shù)中計算密集的所在。雖然可以通過查表的方式來進(jìn)行快速的Sbox計算,但是查表計算方式無法有效地并行化也無法做到常量時間,這導(dǎo)致了Sbox的計算成為軟件實現(xiàn)的效率瓶頸。

在廣泛調(diào)研AES算法的軟件實現(xiàn)優(yōu)化技巧的基礎(chǔ)之上,利用Intel芯片上的AES-NI來實現(xiàn) SM4的Sbox計算。在此之外,利用SSSE、AVX、AVX2 指令所支持的128比特寄存器和256比特寄存器來并行處理多個SM4輸入塊的加密,進(jìn)一步提升了效率,從而能夠靈活支撐商用密碼算法的完整替換,有效支撐多種場景。比如:移動端、桌面端的高性能商用密碼終端場景;服務(wù)器、虛擬機的高性能商用密碼服務(wù)端場景;高性能商用密碼冷存儲、熱存儲場景;高性能商用密碼區(qū)塊鏈場景;高性能商用密碼VPN場景、高性能商用密碼ADC 場景。

業(yè)界也取得了商用密碼算法性能優(yōu)化上的突破。例如可在單顆x86平臺CPU上,SM4加解密性能突破130Gbps,同時也在進(jìn)行針對國產(chǎn)CPU平臺上的性能優(yōu)化工作。在新基建項目建設(shè)之初,特別是建設(shè)相關(guān)信息系統(tǒng)時,一方面要促進(jìn)高速密碼應(yīng)用發(fā)展,另一方面要強化密碼創(chuàng)新發(fā)展,為新基建注入內(nèi)生安全基因,獲得與生俱來的安全防護(hù)能力。

3.2 面向切面加密讓安全內(nèi)嵌于業(yè)務(wù)流程

針對已建成的新基建關(guān)聯(lián)信息系統(tǒng),需要以高效方式補足已建應(yīng)用系統(tǒng)中缺失的安全能力,這些已有的大量應(yīng)用系統(tǒng)在建設(shè)過程中,并沒有將密碼內(nèi)生安全考慮進(jìn)來。然而,對已建應(yīng)用系統(tǒng)進(jìn)行開發(fā)改造以增強安全的方式涉及面廣、周期長、成本高,還存在業(yè)務(wù)中斷風(fēng)險, 失去維護(hù)的系統(tǒng)甚至缺失源代碼而無法實施。因此,通過改造的方式增強已建應(yīng)用系統(tǒng)安全并不可行。

針對以上情況,業(yè)界創(chuàng)新性地提出了面向切面安全技術(shù),以應(yīng)用層為抓手,可以將安全內(nèi)嵌于業(yè)務(wù)流程之中,實現(xiàn)免改造應(yīng)用的方式,增強數(shù)據(jù)安全防護(hù)。如圖1所示,首先,該技術(shù)對應(yīng)用是透明的,既無需開發(fā)改造應(yīng)用,又實現(xiàn)了將安全能力融入應(yīng)用,以配置方式敏捷部署實施,即可滿足國密合規(guī)和實戰(zhàn)防護(hù)兩大需求,這種模式對應(yīng)用連續(xù)運行沒有影響,也不會因為實施加密帶來業(yè)務(wù)風(fēng)險。同時,通過“主體到應(yīng)用內(nèi)用戶,客體到字段級”的細(xì)粒度訪問控制,實現(xiàn)面向用戶端的動態(tài)脫敏。

其次, 該技術(shù)支持企業(yè)批量應(yīng)用系統(tǒng)的分布式加密與集中式管控,降低維護(hù)和管理成本。在各個應(yīng)用系統(tǒng)上只需增加安全插件和簡單配置,即可實現(xiàn)細(xì)粒度的加密、脫敏、審計等,實現(xiàn)密碼與系統(tǒng)安全一體化,并支持可追溯、防篡改的高置信度數(shù)據(jù)操作審計,保證可事后追責(zé)。再次,該技術(shù)完全解耦數(shù)據(jù)庫品牌和版本,全面支持企業(yè)常用的Oracle、MySQL、SQL Server、PostgreSQL、MongoDB、Teradata、Hive、國產(chǎn)數(shù)據(jù)庫等數(shù)據(jù)庫。

圖1 易實施的實戰(zhàn)化數(shù)據(jù)防護(hù)

該技術(shù)既支持服務(wù)側(cè)的存儲加密,防范惡意DBA、外包人員等內(nèi)部威脅以及外部黑客;也支持結(jié)合用戶身份實現(xiàn)用戶側(cè)動態(tài)脫敏,防范內(nèi)部業(yè)務(wù)人員越權(quán),真正實現(xiàn)了將安全與業(yè)務(wù)的結(jié)合,在保證業(yè)務(wù)效果的同時實現(xiàn)安全。

3.3 實戰(zhàn)化商用密碼防護(hù)體系守護(hù)新基建

面對錯綜復(fù)雜的國際政治形勢和當(dāng)前日趨嚴(yán)峻的網(wǎng)絡(luò)安全威脅,需要以真實對抗結(jié)果為導(dǎo)向,為新基建進(jìn)一步構(gòu)建有效的密碼實戰(zhàn)化防護(hù)體系。

在構(gòu)建新基建商用密碼防護(hù)體系的過程中,需要將密碼與其他多種安全技術(shù)結(jié)合,共同構(gòu)建實戰(zhàn)化防護(hù)體系。以數(shù)據(jù)庫安全防護(hù)為例,傳統(tǒng)的加密與防護(hù)控制組合模式中,加密施加在數(shù)據(jù)庫一側(cè),訪問控制通過4A或IAM策略中心下發(fā)認(rèn)證和權(quán)限決策,二者是分別建設(shè)的。解密和權(quán)限是兩個決策點,數(shù)據(jù)解密無法和權(quán)限體系結(jié)合,加解密和細(xì)控的分離帶來了威脅敞口,攻擊者可以繞過訪問控制,從威脅敞口直接竊取數(shù)據(jù)。密鑰是對數(shù)據(jù)秘密的濃縮,加密將明文的安全性縮小到密鑰的安全性,但單獨應(yīng)用加密并不能直接解決問題,需要將加密與訪問控制、審計等技術(shù)結(jié)合,共同構(gòu)建“防繞過”的數(shù)據(jù)安全防護(hù)體系。

4 結(jié) 語


新基建與產(chǎn)業(yè)互聯(lián)網(wǎng),就是以目前最低的成本和最高的效率來使用數(shù)據(jù)、算法與算力進(jìn)行勞動創(chuàng)造,從而共享全球新一輪科技與產(chǎn)業(yè)革命的成果,這既是打贏脫貧攻堅戰(zhàn)全面建成小康社會的內(nèi)在要求,也是推動經(jīng)濟(jì)高質(zhì)量發(fā)展、培育國際經(jīng)濟(jì)合作和競爭新優(yōu)勢的必然選擇。而密碼技術(shù)作為安全基因,其應(yīng)用的深度,決定了新基建建設(shè)的高度。隨著《密碼法》等“一法三規(guī)”和“放管服”政策的貫徹落實,密碼產(chǎn)業(yè)正在開創(chuàng)商用密碼新技術(shù)、新業(yè)態(tài)、新模式,并與新基建全方位、全流程、全要素深入融合,為新基建蓬勃發(fā)展保駕護(hù)航。