供给高质量密码 筑牢新基建基石

 二维码
发表时间:2020-12-11 10:00

摘 要:新基建为数字经济注入新动能。而密码技术作为网络安全的杀手锏技术和核心支撑,成为新基建安全有序发展的关键保障。大力推进商用密码与新基建的深度融合,推动创新密码技术在新基建的全面应用势在必行。通过分析新基建的信息基础设施、融合基础设施、创新基础设施等领域面临的安全挑战,探索密码技术与新基建在新技术、新模式、新业态等的融合思路,提出高质量密码供给,打造以密码技术为核心的新基建实战化安全防护体系。


关键词:新基建;密码应用融合;高质量供给;实战化防护

内容目录:

0 引 言
1 新基建赋予密码融合新使命
1.1 新基建开拓经济发展新航道
1.2 新基建面临网络安全新挑战
1.2.1 万物泛在互联,失控风险攀升
1.2.2 新基建中数据要素安全威胁更为严峻
1.2.3 新基建对密码性能、易用性提出高要求
1.3 新基建带给密码发展新机遇
2 合规与实战并举的新基建密码防护
2.1 密码支撑“信息基础设施”
2.1.1 5G网络
2.1.2 大数据中心
2.1.3 人工智能
2.1.4 工业互联网
2.2 密码保障“融合基础设施”
2.2.1 特高压
2.2.2 城际高速铁路和城际轨道交通
2.2.3 新能源汽车充电桩
2.3 密码激活“创新基础设施”
3 供给高质量密码,维护新基建安全新秩序
3.1 高性能密码模块赋能新基建内生安全
3.2 面向切面加密让安全内嵌于业务流程
3.3 实战化商用密码防护体系守护新基建
4 结 语

0 引 言


新基建加速了数字经济与实体经济的融合发展,助推经济社会高质量发展,但随之而来的安全威胁正从数字世界向物理世界逐步渗透, 网络安全形势更加错综复杂,数据要素安全挑战也更加严峻。安全是发展的前提,发展是安全的保障,密码作为保护网络与信息安全的重要手段,成为“新基建”时代重塑网络空间安全体系的重要基石。在新基建重点布局高速密码,将构建以密码为核心的实战化安全新生态。

1 新基建赋予密码融合新使命


1.1 新基建开拓经济发展新航道

中央指出要抓住产业数字化、数字产业化赋予的机遇,加快5G网络、数据中心等新型基础设施建设。2020年4月20日,国家发改委首次明确了“新基建”的定义:新型基础设施是以新发展理念为引领,以技术创新为驱动,以信息网络为基础,面向高质量发展需要,提供数字转型、智能升级、融合创新等服务的基础设施体系,新基建包括信息基础设施、融合基础设施、创新基础设施3个方面内容。

新基建是制造强国和网络强国“两个强国” 建设的共同支撑,开拓了国家经济发展的新航道,满足了人民对美好生活的新需求。而产业互联网作为数字产业化与产业数字化的重要承载,新基建与其密不可分。新基建、产业互联网、数据要素三者关系可以比作“航道—船—油”,三者紧密关联、互为促进,而安全底座则决定了远航距离。密码技术作为网络安全的杀手锏技术,是保障数据要素安全的核心手段,是产业互联网的安全基因,为新基建加速发展保驾护航。

1.2 新基建面临网络安全新挑战

新基建打造数字经济新引擎,加速推动传统行业数字化转型。然而新基建在发展过程中,却面临诸多安全挑战,不仅包括产业互联网技术自身的安全威胁,也涉及从数字世界向实体世界逐渐渗透时产生的安全挑战。

1.2.1 万物泛在互联,失控风险攀升

随着新基建的建设,所有实体皆可通过网络实现连接,打破了时间、空间约束,随之而来的网络攻击的威胁也呈指数级增长,在没有更高安全保障的条件下,给现实物理世界、人身安全带来严峻威胁。在构建和运行的开放网络环境中,无论是物联网终端接入、还是数据要素流转共享,都难以划分出网络边界,所以经典网络边界防护模型不再适用。当前既要解决保密性、完整性、可用性的传统安全问题,又要保证数据和服务的按需使用和安全交互,解决可信、可管、可控、可用等问题。

1.2.2 新基建中数据要素安全威胁更为严峻

与传统基础设施相比,新型基础设施的安全敞口更广,海量数据要素的安全风险急剧攀升。新型基础设施业务系统数据高度集中,存储大量用户信息,极易成为攻击目标,一旦遭受攻击或入侵将引发数据泄露、系统业务功能被控制等安全问题。新型基础设施涉及业务系统、数据库、文件存储等组件,这些组件接口的开放,可能会造成接口的未授权调用,导致非授权访问、数据泄露、远程控制等后果。

1.2.3 新基建对密码性能、易用性提出高要求

长期以来,商用密码技术的推广普及,面临着性能需求难以满足、使用门槛高等挑战。商用密码产品大多以安全芯片、终端、设备等硬件产品呈现,硬件产品在云端、虚拟机端、移动端等新场景中难以灵活部署硬件密码产品,同时硬件密码产品受制于专用密码芯片的实现性能。5G新基建场景中性能问题尤为凸显,5G数据传输速度比先前的4G LTE蜂窝网络快100倍,响应时间从4G的30~70毫秒降低到低1毫秒,数据处理量和并发数都极大提升。但是,目前我国常规的密码算法实现,难以满足 5G 场景中高性能需求。

1.3 新基建带给密码发展新机遇

相比传统基建,科技创新驱动、数字化、信息网络是新基建的三个特点。新基建深度依赖网络数字化空间,而密码技术则是保障网络空间秩序和信任的核心技术和基础支撑。面对国内外安全环境的深刻变化以及经济高质量发展的双重挑战,在我国信息产业缺少自主核心技术的局面下,亟需以密码应用为突破口,构建以密码技术为核心的网络安全与信任体系,大力推进商用密码与新基建数字化技术的深度融合,推动商用密码在新基建领域的全面应用。

同时,国家近年来颁布了一系列法律法规,推动信息基础设施的建设与合规。其中重点包含“一法三规”:

(1)2019年正式出台的《密码法》,将密码活动的相关制度上升为国家法律,强调国家积极促进密码事业发展,保障网络与信息安全,维护国家安全和社会公共利益,保护公民、法人和其他组织的合法权益。其中明确要求关键信息基础设施等使用商用密码保护网络安全。
(2)2019年12月正式发布了《国家政务信息化项目建设管理办法》(国办发〔2019〕57号),明确要求政务信息化项目“同步规划、同步建设、同步运行密码保障系统并定期进行评估;按要求向发改委备案的备案文件应当包括密码应用方案和密码应用安全性评估报告”。
(3)目前正在公开征求意见、纳入2020年立法计划的《关键信息基础设施安全保护条例》充分体现了密码管理在国家网络安全大局中的重要地位和作用,明确了关键信息基础设施的密码应用要求。其中,从制度机制、标准规范、教育培训、手段建设、技术创新等方面提升通信、能源、交通、金融等行业主管部门和关键信息基础设施运营单位的安全保护能力,要求关键信息基础设施中的密码使用和管理,应当遵守密码法律、行政法规的规定。
(4)2020年7月公安部发布《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》(公网安〔2019〕1960 号) 对国家政务信息系统、等保三级以上网络应正确、有效采用密码技术进行保护,并使用符合相关要求的密码产品和服务。

2 合规与实战并举的新基建密码防护


新基建是科技强国的重要支点,相比传统基础设施,新基建因其数字化特性,面临诸多新安全问题,在信息基础设施、融合基础设施、创新基础设施三大领域,通过密码技术保障安全显得尤为重要。而密码技术与新基建的深度融合,对用户合规和攻防对抗提出极高要求,推动用户以密评合规为起点,以真实对抗结果为导向,构建敏捷实施、细粒度防护、机制可靠的密码实战化防护体系,也将为密码产业发展提供指引和方向。

2.1 密码支撑“信息基础设施”

信息基础设施主要指基于新一代信息技术演化生成的基础设施,比如以5G、物联网、工业互联网、卫星互联网为代表的通信网络基础设施,以人工智能、云计算、区块链等为代表的新技术基础设施,以数据中心、智能计算中心为代表的算力基础设施等。

伴随新基建的快速发展,5G网络、大数据中心、人工智能、工业互联网等信息基础设施成为行业竞争新赛道,对于网络安全提出了更多的新需求。密码技术与信息基础设施的融合发展,也将充分激发密码创新创造力。

2.1.1 5G 网络

随着我国5G网络建设和商用的全面展开,5G网络从传输通道全面升级为数字化赋能的承载基石,正加速推动物理世界和智能世界的深度融合。由于5G网络的独有特性,灵活、弹性的网络安全成为新要求。然而,密码机、智能密码钥匙等传统独立于信息系统之外的密码产品,一定程度上限制了用户使用密码技术的主动性,阻碍密码技术的推广和普及。

只有创新密码产品,将密码功能内嵌入信息化产品中,才能更好地适应未来 5G 网络的密码防护新需求。

2.1.2 大数据中心

大数据所蕴含的巨大潜力和价值,使其成为新型网络攻击的重灾区。为有效应对网络安全威胁,将密码技术直接作用于数据,通过“小密钥”进行安全保障,缩小安全敞口。针对数据的采集、传输、存储、使用和流转等不同环节,构建数据全生命周期安全防护,做到事前预防、事中防护和事后追溯。事前预防,可将敏感数据加密存储于数据库或文件系统,通过设置访问控制策略,并结合数据加解密,防范数据泄露;事中防护,通过实施访问控制,数据加解密策略和数据脱敏,防止敏感数据泄露、被篡改;事后追溯,针对敏感数据操作进行完整日志记录,实现高置信度的审计。

2.1.3 人工智能

当前,主要发达国家将人工智能作为提升国家竞争力、维护国家安全的重大战略。人工智能在加速各主体间的数据与技术互通、信息共享的同时,也扩大了网络威胁攻击面。基于密码技术,构建“终端”“传输”“平台”的全方位安全防护体系,可有效保障人工智能领域数据全生命周期的完整性和保密性。将安全基因融入人工智能系统设计之中,加强身份识别和监测,对威胁、危害的响应或处理决策提供信息支持;构筑安全的数据采集和处理环境,有效防止黑客攻击和系统自身缺陷带来的安全隐患。

2.1.4 工业互联网

工业互联网作为制造业与互联网深度融合的产物,已经成为新工业革命的关键支撑。因此,工业互联网自身安全可控是产业安全和国家安全的重要基础和保障。密码技术是构建工业互联网安全体系的关键核心技术,通过结合密码技术与多种安全防护手段,实现工业现场环境、低功耗模式等场景下,工业系统端级别设备与访问用户身份鉴别的安全保障需求,满足不同网络速率和连接要求的通信网络传输认证和传输加密等安全需求,保障企业核心数据资产安全。

2.2 密码保障“融合基础设施”

融合基础设施主要指深度应用互联网、大数据、人工智能等技术,支撑传统基础设施转型升级,进而形成融合基础设施,比如智能交通基础设施、智慧能源基础设施等。

以特高压、城际高速铁路和城际轨道交通、新能源汽车充电桩等为代表的融合基础设施,对推动经济高质量发展的支撑作用正在加快释放。提升密码创新供给能力,为融合基础设施产业发展和安全保驾护航。

2.2.1 特高压

特高压领域是经济社会运行的神经中枢,是网络安全防护的重中之重。然而,特高压行业电力系统生产运行高度依赖网络和信息技术,数据泄露、安全失控、核心技术受制于人等安全隐患,致使特高压网络空间安全形势不容乐观。因此,特高压安全防护应从保障电力系统的数据、终端设备和网络等方面安全着手,利用密码技术,实现特高压电力系统的整体安全保护。利用对称密码技术,对数据加密后存储,实现数据存储安全;利用传输加密和身份鉴别,保证数据的通信安全;采用密码的身份鉴别和访问控制,进行终端防护。

2.2.2 城际高速铁路和城际轨道交通

伴随城际高速铁路和城际轨道交通网的快速扩张、规模持续扩大、技术装备迭代升级, 该领域的网络安全形势日趋严峻和复杂。为充分应对城际高速铁路和城际轨道交通网数字化转型过程中面临的安全威胁,针对车辆设备和城轨控制系统构建基于密码技术的“主动式防护”。对于重要的业务系统、数据应采用加解密技术传输,结合网络安全传输、系统安全保障、重要信息安全管控等技术手段,实现数据完整性和保密性,并避免中间人攻击、网页劫持等特定网络攻击。

2.2.3 新能源汽车充电桩

新能源汽车充电桩是智慧交通、智慧能源等新兴数字经济的重要组成部分。在国家顶层的带动下,能源汽车充电桩建设爆发式增长。由于点多、面广、分散,充电桩的每一个节点都存在重大的安全隐患,如终端易被攻击者侵入,与本地充电站、运营平台传输过程中出现数据泄露,操作系统内敏感数据安全防护措施不足等。因此,要在充电桩终端集成密码中间件,实现身份鉴别和数据加密防护。通过加密或者数字签名,保护重点区域内的数据文件,以保证数据的机密性、完整性、可靠性和不可抵赖性。

2.3 密码激活“创新基础设施”

创新基础设施主要指支撑科学研究、技术开发、产品研制的具有公益属性的基础设施,比如:重大科技基础设施、科教基础设施、产业技术创新基础设施等。创新基础设施在助推各行业数字化转型方面发挥着重要的革新引领作用,与密码技术的相互促进、融合发展已成为普遍共识,二者呈现出扭结缠绕的发展态势。密码不仅能为其提供 “安全基因”,而且为科学技术研究、科技创新的信息协同平台提供安全保障。

正如第二次世界大战期间,破解德军密码的计算技术衍生出图灵机模型,诞生了现代计算机,揭开了高速信息化社会的序幕。而今天用来破译公钥密码算法的量子计算机,正成为下一代科技发展制高点。密码技术应用将激活创新基础设施,拉动创新基础设施螺旋式升级发展,推动创造新服务、新业态、新价值。

3 供给高质量密码,维护新基建安全新秩序


3.1 高性能密码模块赋能新基建内生安全

新基建时代,物理世界与虚拟世界边界消弭、现实世界与数字世界深度融合,数据就是财富,安全才有价值。只有密码,才能构建网络可信秩序,打造安全的网络空间。新基建融合了大量的数字化业务,对应的信息化更加错综复杂,业务处理实时性、准确性需求更高,这就要求内嵌密码模块具备高性能,在给系统带来安全防护的同时,也能够保证业务的正常运转,保障业务执行的效率。

然而,长期以来商用密码系列算法产品大多以安全芯片、终端、设备等硬件产品呈现。硬件产品的实现虽然增强了相应系统的安全性,但在云端、虚拟机端、移动端等新场景中,硬件密码产品受制于上游密码芯片存在性能较低等问题,面临不能用(国密算法难以等效替换)、不好用(缺乏密码中间件复用低)、用不好(甲方难以消化密码技术)这三个挑战。

商用密码要实现能用、好用、用好的新需求,必须取得高性能实现的突破。通过对SM4算法进行等价变换,可改进SM4算法软件实现的执行效率。SM4算法中计算最为繁重的部分是SM4算法的轮函数(每次加密中执行32次),而Sbox的计算则是轮函数中计算密集的所在。虽然可以通过查表的方式来进行快速的Sbox计算,但是查表计算方式无法有效地并行化也无法做到常量时间,这导致了Sbox的计算成为软件实现的效率瓶颈。

在广泛调研AES算法的软件实现优化技巧的基础之上,利用Intel芯片上的AES-NI来实现 SM4的Sbox计算。在此之外,利用SSSE、AVX、AVX2 指令所支持的128比特寄存器和256比特寄存器来并行处理多个SM4输入块的加密,进一步提升了效率,从而能够灵活支撑商用密码算法的完整替换,有效支撑多种场景。比如:移动端、桌面端的高性能商用密码终端场景;服务器、虚拟机的高性能商用密码服务端场景;高性能商用密码冷存储、热存储场景;高性能商用密码区块链场景;高性能商用密码VPN场景、高性能商用密码ADC 场景。

业界也取得了商用密码算法性能优化上的突破。例如可在单颗x86平台CPU上,SM4加解密性能突破130Gbps,同时也在进行针对国产CPU平台上的性能优化工作。在新基建项目建设之初,特别是建设相关信息系统时,一方面要促进高速密码应用发展,另一方面要强化密码创新发展,为新基建注入内生安全基因,获得与生俱来的安全防护能力。

3.2 面向切面加密让安全内嵌于业务流程

针对已建成的新基建关联信息系统,需要以高效方式补足已建应用系统中缺失的安全能力,这些已有的大量应用系统在建设过程中,并没有将密码内生安全考虑进来。然而,对已建应用系统进行开发改造以增强安全的方式涉及面广、周期长、成本高,还存在业务中断风险, 失去维护的系统甚至缺失源代码而无法实施。因此,通过改造的方式增强已建应用系统安全并不可行。

针对以上情况,业界创新性地提出了面向切面安全技术,以应用层为抓手,可以将安全内嵌于业务流程之中,实现免改造应用的方式,增强数据安全防护。如图1所示,首先,该技术对应用是透明的,既无需开发改造应用,又实现了将安全能力融入应用,以配置方式敏捷部署实施,即可满足国密合规和实战防护两大需求,这种模式对应用连续运行没有影响,也不会因为实施加密带来业务风险。同时,通过“主体到应用内用户,客体到字段级”的细粒度访问控制,实现面向用户端的动态脱敏。

其次, 该技术支持企业批量应用系统的分布式加密与集中式管控,降低维护和管理成本。在各个应用系统上只需增加安全插件和简单配置,即可实现细粒度的加密、脱敏、审计等,实现密码与系统安全一体化,并支持可追溯、防篡改的高置信度数据操作审计,保证可事后追责。再次,该技术完全解耦数据库品牌和版本,全面支持企业常用的Oracle、MySQL、SQL Server、PostgreSQL、MongoDB、Teradata、Hive、国产数据库等数据库。

图1 易实施的实战化数据防护

该技术既支持服务侧的存储加密,防范恶意DBA、外包人员等内部威胁以及外部黑客;也支持结合用户身份实现用户侧动态脱敏,防范内部业务人员越权,真正实现了将安全与业务的结合,在保证业务效果的同时实现安全。

3.3 实战化商用密码防护体系守护新基建

面对错综复杂的国际政治形势和当前日趋严峻的网络安全威胁,需要以真实对抗结果为导向,为新基建进一步构建有效的密码实战化防护体系。

在构建新基建商用密码防护体系的过程中,需要将密码与其他多种安全技术结合,共同构建实战化防护体系。以数据库安全防护为例,传统的加密与防护控制组合模式中,加密施加在数据库一侧,访问控制通过4A或IAM策略中心下发认证和权限决策,二者是分别建设的。解密和权限是两个决策点,数据解密无法和权限体系结合,加解密和细控的分离带来了威胁敞口,攻击者可以绕过访问控制,从威胁敞口直接窃取数据。密钥是对数据秘密的浓缩,加密将明文的安全性缩小到密钥的安全性,但单独应用加密并不能直接解决问题,需要将加密与访问控制、审计等技术结合,共同构建“防绕过”的数据安全防护体系。

4 结 语


新基建与产业互联网,就是以目前最低的成本和最高的效率来使用数据、算法与算力进行劳动创造,从而共享全球新一轮科技与产业革命的成果,这既是打赢脱贫攻坚战全面建成小康社会的内在要求,也是推动经济高质量发展、培育国际经济合作和竞争新优势的必然选择。而密码技术作为安全基因,其应用的深度,决定了新基建建设的高度。随着《密码法》等“一法三规”和“放管服”政策的贯彻落实,密码产业正在开创商用密码新技术、新业态、新模式,并与新基建全方位、全流程、全要素深入融合,为新基建蓬勃发展保驾护航。


文章分类: 行业新闻
分享到: