“网络安全为人民,网络安全靠人民。”9月16日(rì),卫士(shì)通多位(wèi)网络安全(quán)专家已“奔赴(fù)”各级网络(luò)安全宣传(chuán)周活动,通过线上与线下相(xiàng)结合的方(fāng)式,兼顾(gù)行业人士与普通大众的不同关注点(diǎn),从(cóng)密码在(zài)网络安全中的核心作用、泛在(zài)化(huà)应用、以(yǐ)及创(chuàng)新服务方式进行(háng)了多方位、多层级的观点分享(xiǎng)。
核心 | 夯实新(xīn)型基础设施网络安(ān)全底座
中国(guó)电科集团网络安(ān)全(quán)领域首席(xí)专家、中(zhōng)国网安(ān)副总工程师、卫士通(tōng)总工程师董贵山出席第七届国家网络安全宣传(chuán)周新(xīn)型基础设施(shī)网络安全高峰论坛,并作“保(bǎo)障工业(yè)互联网安全,服务制造业高质量发(fā)展”主题演讲,系(xì)统地(dì)阐述和分析了我国工(gōng)业互(hù)联网的发展背景、潜在(zài)安(ān)全风险及(jí)相关政策要(yào)求,并提出了构建体系化(huà)安全防(fáng)护能(néng)力,夯实(shí)以工(gōng)业(yè)互联网为代(dài)表的新型基(jī)础设施(shī)网络(luò)安全底座的三点建议。
▲图 董贵山作主题演讲
一(yī)是,建议借鉴企业工业信(xìn)息安全整体保障实施(shī)原则(zé)。企业工业(yè)信(xìn)息安全(quán)整体保障是(shì)中(zhōng)国网安基于正确的网络安(ān)全观提出(chū)的“整体(tǐ)安全、动态安全、相对安全、合规与赋能、技术与管理”的企业工业信(xìn)息安全(quán)整体(tǐ)保障(zhàng)实施原则,并在中(zhōng)国网安相关工作中广泛应(yīng)用,对(duì)其他(tā)企业开展工(gōng)业信息(xī)安全(quán)保障将(jiāng)起到(dào)借鉴作用。
二是,严格(gé)履行“七项义务,四类防(fáng)护”的基(jī)本(běn)要求。《网络(luò)安(ān)全法》对网(wǎng)络运(yùn)营(yíng)者(zhě)的(de)最基本义务和安全要求做了明确规定,各工业企业应履行网(wǎng)络运(yùn)行安(ān)全义务、网络产(chǎn)品和服务安全义务、关键信息基础设施(shī)安全保护义务、公民个人(rén)信(xìn)息保(bǎo)护义务、网络信息安全管理义务、对监管机关的执法协助义务和其他法定(dìng)义(yì)务,实现网页防篡改、服务防中(zhōng)断、系统防病毒、数据防泄(xiè)漏(lòu)。
三是,利用密码(mǎ)算法保(bǎo)障工业互联网数(shù)据的(de)多方安全共享,达到(dào)工业数据(jù)安全的价值流(liú)动。密码(mǎ)技术在网络安全防护体(tǐ)系中位居核心和基础(chǔ)地位,其提供(gòng)的可信(xìn)数据汇聚、数据(jù)加密存储、安全数据(jù)共享(xiǎng)、安全多方计(jì)算、数据流转确权能够实现数据的全生命(mìng)周期安全,并针对敏感数据(jù)、企业核(hé)心数据提供(gòng)针对性的数据脱(tuō)敏、数(shù)据加密和(hé)数据隐(yǐn)藏能力(lì),将(jiāng)防护能(néng)力深入(rù)到业(yè)务流转之中(zhōng),能够有(yǒu)效的保护安(ān)全隐(yǐn)私(sī),维护企(qǐ)业利益,在(zài)数据(jù)可用不可(kě)见的基础上实现数据(jù)价值的流转和交互(hù)。
广度 | 拓展(zhǎn)密码泛在化应用
国家网络安全宣(xuān)传周同期,成都(dōu)市的(de)相(xiàng)关活动也(yě)在(zài)火热进行,卫士通(tōng)结合现场展示(shì)、专家演讲、互动(dòng)游戏,从“密码的内涵与意义(yì)”、“密码泛在化内(nèi)涵与意义”、“密(mì)码领域典型实践与(yǔ)应用”三方面向(xiàng)成都(dōu)市民普及了“密码泛在化”进程、应用及意义。
▲图 周阳作主题演讲(jiǎng)
卫士通方案中心技术专家周阳在演讲中特(tè)别选取大(dà)众最常接触的(de)生活场景,通俗(sú)易懂(dǒng)的向成都市民进行(háng)分享(xiǎng)。周阳通(tōng)过诸(zhū)如黑客攻击政府网站窃取(qǔ)公(gōng)民和企业(yè)信息,就医人(rén)员医疗信(xìn)息遭泄露导致个(gè)人敏感信息被(bèi)窃取,12306遭泄露(lù)数据撞(zhuàng)库(kù)攻击,考生网上报考(kǎo)信息泄露,伪造印章,虚开(kāi)发票,伪造文件造成国家财产损失(shī)等大众在日常(cháng)生活中接(jiē)触到的场景案(àn)例(lì)引入,带领听众一(yī)起总结了数字(zì)生活正面四大主要痛点,临时身(shēn)份鉴别有“短板(bǎn)”、个(gè)人(rén)信(xìn)息(xī)缺“保护” 、数据安全有“欠缺”、文(wén)件印章缺“可信”。
而解决这些(xiē)痛点的一大法(fǎ)宝,便是(shì)“密码”!经(jīng)过20多年的发展,我国(guó)商用密码已经应用(yòng)到社会生产生活(huó)的各个方面,在网络和(hé)信息安全(quán)中发挥着越(yuè)来越(yuè)重要的基础支撑作用。在政务服务,基于商用(yòng)密码技术,防止政务服(fú)务、防疫(yì)健(jiàn)康信息码使用过程中的公(gōng)众隐私数据泄露,电子(zǐ)证(zhèng)照、电子印章真实(shí)有(yǒu)效,保障市民数字(zì)生活安全。在(zài)社会保障(zhàng),密钥管理(lǐ)系统作(zuò)为社(shè)保(bǎo)卡制卡体系的核心,主要负责各类密钥的生成、存储(chǔ)与分发,密钥管(guǎn)理(lǐ)系统中(zhōng)的(de)密钥按密(mì)钥类型、应用类型(xíng)和(hé)交(jiāo)易种类进行定义(yì),并(bìng)通过分散变化等机制进行分(fèn)级管理,避(bì)免(miǎn)单个密钥被攻破之(zhī)后影响整体系统的(de)密钥安全。在(zài)医疗(liáo)卫(wèi)生(shēng)方面(miàn),密码技术的应用保(bǎo)障了新形势下的医疗电(diàn)子体系稳定(dìng)发展,其(qí)中(zhōng)安全可(kě)信的电(diàn)子病历(lì)以电子(zǐ)认证和电子(zǐ)签(qiān)名(míng)为手段,形成(chéng)完善的技术保障体系,营运(yùn)安全可信(xìn)的电子病历应用环境,等等(děng)。
深度(dù) | 创(chuàng)新密码服(fú)务方式
卫士通方案中心商用密码专家周(zhōu)君(jun1)平在国家网络(luò)安全宣传周内蒙分会场的(de)线上论坛上,作(zuò)“推(tuī)动商用密码应用,创新密(mì)码服务能力(lì)”主题演讲(jiǎng)。她表示,随着密码(mǎ)技术的深度、广度融合(hé)发展趋势,不(bú)仅促进了产业(yè)链全生态的建立健全,而且还催(cuī)生了密(mì)码服务(wù)“平台化”创新应(yīng)用模式。
▲图 周君(jun1)平
该模式(shì)通(tōng)过构建(jiàn)一体化(huà)的密码服务平(píng)台,将为各(gè)行业重要信(xìn)息系统提供统一、弹性(xìng)、高效、规模化(huà)的密码应用(yòng)服务。一体化密码服务平台将采用微服务架构对密码服务(wù)基础支撑设(shè)备、系统的能力进行抽象封装,形(xíng)成(chéng)密码服(fú)务能力,并通过API网关将密码服(fú)务(wù)的能力采用标准统一(yī)的接口(kǒu),以API的形式或SDK的形式向安全(quán)应(yīng)用(yòng)提供。同时基于平台管控实现对平台的应用接入管理,密码(mǎ)资(zī)源(yuán)、资产的统计管理,基(jī)于(yú)密码监管服务实现对密码设备、密码资源(yuán)、密(mì)码服务(wù)调用情况的统一监管,基于安全运(yùn)营服务使(shǐ)用,实现租户管理、平台(tái)运营状(zhuàng)态(tài)监(jiān)控、资源可用性(xìng)监控等。这种商用密码创新(xīn)服务方(fāng)式有(yǒu)以下几个特点(diǎn):
1.服务化(huà) 以服务替(tì)代产品,降(jiàng)低采购(gòu)成本和运维成本,提升信(xìn)息(xī)化建设敏捷(jié)性,缓解安全建(jiàn)设的困(kùn)扰。
2.精准化 将(jiāng)密码业(yè)务深植于(yú)业(yè)务之(zhī)中,由专(zhuān)业(yè)的密码(mǎ)厂(chǎng)商提供服务,实时跟踪学(xué)界和业界的前(qián)沿进展,着(zhe)力开展技术演进和模式创新,保持服务能力的持续迭代和更新。
3.泛在化(huà) 面向目前数字政府建(jiàn)设(shè)的多(duō)云(yún)部署趋势,提供支持不同云服务平台的(de)泛在接入能(néng)力。
4.合规化 以(yǐ)商用密码和等级保(bǎo)护相关(guān)规定(dìng)为指(zhǐ)导,以安全合规为底线,避免业务应用的合规风险。
5.简略(luè)化 为业务应用提供便捷的密码服(fú)务(wù)接口,缓解现在(zài)业(yè)务应用开发商的密码研发难度,弥补安全应用短(duǎn)板。依托密钥管理、密码应(yīng)用(yòng)等服务能力,联通前端业(yè)务服务商和后端(duān)基(jī)础服务(wù)商,结合密(mì)钥管理和身份服务入口,形(xíng)成以密码服务为核心的互(hù)联网信任服务(wù)生态(tài),支撑网络空间(jiān)安全。
