丁香花免费高清视频在线观看-久久亚洲国产成人精品无码区-99er热精品视频国产免费-今天上午特朗普访华-国产口爆吞精在线视频

供給高質量密碼 筑牢新基建基石

 二維碼
發(fa)表時間(jian):2020-12-11 10:00

摘 要:新(xin)(xin)基(ji)(ji)建為(wei)(wei)(wei)數字經濟(ji)注(zhu)入新(xin)(xin)動能。而密(mi)碼(ma)技術(shu)作為(wei)(wei)(wei)網絡安全(quan)的(de)(de)殺(sha)手锏技術(shu)和(he)核(he)心(xin)支撐,成(cheng)為(wei)(wei)(wei)新(xin)(xin)基(ji)(ji)建安全(quan)有(you)序發展的(de)(de)關鍵保障。大力(li)推進商(shang)用密(mi)碼(ma)與(yu)新(xin)(xin)基(ji)(ji)建的(de)(de)深度融(rong)合(he),推動創(chuang)新(xin)(xin)密(mi)碼(ma)技術(shu)在新(xin)(xin)基(ji)(ji)建的(de)(de)全(quan)面應用勢在必行。通過分析新(xin)(xin)基(ji)(ji)建的(de)(de)信(xin)息基(ji)(ji)礎設施(shi)、融(rong)合(he)基(ji)(ji)礎設施(shi)、創(chuang)新(xin)(xin)基(ji)(ji)礎設施(shi)等(deng)領域面臨的(de)(de)安全(quan)挑戰(zhan),探索密(mi)碼(ma)技術(shu)與(yu)新(xin)(xin)基(ji)(ji)建在新(xin)(xin)技術(shu)、新(xin)(xin)模式(shi)、新(xin)(xin)業(ye)態等(deng)的(de)(de)融(rong)合(he)思(si)路,提出高質量密(mi)碼(ma)供給(gei),打造(zao)以密(mi)碼(ma)技術(shu)為(wei)(wei)(wei)核(he)心(xin)的(de)(de)新(xin)(xin)基(ji)(ji)建實戰(zhan)化(hua)安全(quan)防護體系。


關鍵詞:新基建;密碼應用融合;高質量供給;實戰化防護

內容目錄:

0 引 言
1 新基建賦予密碼融合新使命
1.1 新基建開拓經濟發展新航道
1.2 新基建面臨網絡安全新挑戰
1.2.1 萬物泛在互聯,失控風險攀升
1.2.2 新基建中數據要素安全威脅更為嚴峻
1.2.3 新基建對密碼性能、易用性提出高要求
1.3 新基建帶給密碼發展新機遇
2 合規與實戰并舉的新基建密碼防護
2.1 密碼支撐“信息基礎設施”
2.1.1 5G網絡
2.1.2 大數據中心
2.1.3 人工智能
2.1.4 工業互聯網
2.2 密碼保障“融合基礎設施”
2.2.1 特高壓
2.2.2 城際高速鐵路和城際軌道交通
2.2.3 新能源汽車充電樁
2.3 密碼激活“創新基礎設施”
3 供給高質量密碼,維護新基建安全新秩序
3.1 高性能密碼模塊賦能新基建內生安全
3.2 面向切面加密讓安全內嵌于業務流程
3.3 實戰化商用密碼防護體系守護新基建
4 結 語

0 引 言


新基建加速了數字經濟與實體經濟的融合發展,助推經濟社會高質量發展,但隨之而來的安全威脅正從數字世界向物理世界逐步滲透, 網絡安全形勢更加錯綜復雜,數據要素安全挑戰也更加嚴峻。安全是發展的前提,發展是安全的保障,密碼作為保護網絡與信息安全的重要手段,成為“新基建”時代重塑網絡空間安全體系的重要基石。在新基建重點布局高速密碼,將構建以密碼為核心的實戰化安全新生態。

1 新基建賦予密碼融合新使命


1.1 新基建開拓經濟發展新航道

中央指出要抓住產業數字化、數字產業化賦予的機遇,加快5G網絡、數據中心等新型基礎設施建設。2020年4月20日,國家發改委首次明確了“新基建”的定義:新型基礎設施是以新發展理念為引領,以技術創新為驅動,以信息網絡為基礎,面向高質量發展需要,提供數字轉型、智能升級、融合創新等服務的基礎設施體系,新基建包括信息基礎設施、融合基礎設施、創新基礎設施3個方面內容。

新基建是制造強國和網絡強國“兩個強國” 建設的共同支撐,開拓了國家經濟發展的新航道,滿足了人民對美好生活的新需求。而產業互聯網作為數字產業化與產業數字化的重要承載,新基建與其密不可分。新基建、產業互聯網、數據要素三者關系可以比作“航道—船—油”,三者緊密關聯、互為促進,而安全底座則決定了遠航距離。密碼技術作為網絡安全的殺手锏技術,是保障數據要素安全的核心手段,是產業互聯網的安全基因,為新基建加速發展保駕護航。

1.2 新基建面臨網絡安全新挑戰

新基建打造數字經濟新引擎,加速推動傳統行業數字化轉型。然而新基建在發展過程中,卻面臨諸多安全挑戰,不僅包括產業互聯網技術自身的安全威脅,也涉及從數字世界向實體世界逐漸滲透時產生的安全挑戰。

1.2.1 萬物泛在互聯,失控風險攀升

隨著新基建的建設,所有實體皆可通過網絡實現連接,打破了時間、空間約束,隨之而來的網絡攻擊的威脅也呈指數級增長,在沒有更高安全保障的條件下,給現實物理世界、人身安全帶來嚴峻威脅。在構建和運行的開放網絡環境中,無論是物聯網終端接入、還是數據要素流轉共享,都難以劃分出網絡邊界,所以經典網絡邊界防護模型不再適用。當前既要解決保密性、完整性、可用性的傳統安全問題,又要保證數據和服務的按需使用和安全交互,解決可信、可管、可控、可用等問題。

1.2.2 新基建中數據要素安全威脅更為嚴峻

與傳統基礎設施相比,新型基礎設施的安全敞口更廣,海量數據要素的安全風險急劇攀升。新型基礎設施業務系統數據高度集中,存儲大量用戶信息,極易成為攻擊目標,一旦遭受攻擊或入侵將引發數據泄露、系統業務功能被控制等安全問題。新型基礎設施涉及業務系統、數據庫、文件存儲等組件,這些組件接口的開放,可能會造成接口的未授權調用,導致非授權訪問、數據泄露、遠程控制等后果。

1.2.3 新基建對密碼性能、易用性提出高要求

長期以來,商用密碼技術的推廣普及,面臨著性能需求難以滿足、使用門檻高等挑戰。商用密碼產品大多以安全芯片、終端、設備等硬件產品呈現,硬件產品在云端、虛擬機端、移動端等新場景中難以靈活部署硬件密碼產品,同時硬件密碼產品受制于專用密碼芯片的實現性能。5G新基建場景中性能問題尤為凸顯,5G數據傳輸速度比先前的4G LTE蜂窩網絡快100倍,響應時間從4G的30~70毫秒降低到低1毫秒,數據處理量和并發數都極大提升。但是,目前我國常規的密碼算法實現,難以滿足 5G 場景中高性能需求。

1.3 新基建帶給密碼發展新機遇

相比傳統基建,科技創新驅動、數字化、信息網絡是新基建的三個特點。新基建深度依賴網絡數字化空間,而密碼技術則是保障網絡空間秩序和信任的核心技術和基礎支撐。面對國內外安全環境的深刻變化以及經濟高質量發展的雙重挑戰,在我國信息產業缺少自主核心技術的局面下,亟需以密碼應用為突破口,構建以密碼技術為核心的網絡安全與信任體系,大力推進商用密碼與新基建數字化技術的深度融合,推動商用密碼在新基建領域的全面應用。

同時,國家近年來頒布了一系列法律法規,推動信息基礎設施的建設與合規。其中重點包含“一法三規”:

(1)2019年正式出臺的《密碼法》,將密碼活動的相關制度上升為國家法律,強調國家積極促進密碼事業發展,保障網絡與信息安全,維護國家安全和社會公共利益,保護公民、法人和其他組織的合法權益。其中明確要求關鍵信息基礎設施等使用商用密碼保護網絡安全。
(2)2019年12月正式發布了《國家政務信息化項目建設管理辦法》(國辦發〔2019〕57號),明確要求政務信息化項目“同步規劃、同步建設、同步運行密碼保障系統并定期進行評估;按要求向發改委備案的備案文件應當包括密碼應用方案和密碼應用安全性評估報告”。
(3)目前正在公開征求意見、納入2020年立法計劃的《關鍵信息基礎設施安全保護條例》充分體現了密碼管理在國家網絡安全大局中的重要地位和作用,明確了關鍵信息基礎設施的密碼應用要求。其中,從制度機制、標準規范、教育培訓、手段建設、技術創新等方面提升通信、能源、交通、金融等行業主管部門和關鍵信息基礎設施運營單位的安全保護能力,要求關鍵信息基礎設施中的密碼使用和管理,應當遵守密碼法律、行政法規的規定。
(4)2020年7月公安部發布《貫徹落實網絡安全等級保護制度和關鍵信息基礎設施安全保護制度的指導意見》(公網安〔2019〕1960 號) 對國家政務信息系統、等保三級以上網絡應正確、有效采用密碼技術進行保護,并使用符合相關要求的密碼產品和服務。

2 合規與實戰并舉的新基建密碼防護


新基建是科技強國的重要支點,相比傳統基礎設施,新基建因其數字化特性,面臨諸多新安全問題,在信息基礎設施、融合基礎設施、創新基礎設施三大領域,通過密碼技術保障安全顯得尤為重要。而密碼技術與新基建的深度融合,對用戶合規和攻防對抗提出極高要求,推動用戶以密評合規為起點,以真實對抗結果為導向,構建敏捷實施、細粒度防護、機制可靠的密碼實戰化防護體系,也將為密碼產業發展提供指引和方向。

2.1 密碼支撐“信息基礎設施”

信息基礎設施主要指基于新一代信息技術演化生成的基礎設施,比如以5G、物聯網、工業互聯網、衛星互聯網為代表的通信網絡基礎設施,以人工智能、云計算、區塊鏈等為代表的新技術基礎設施,以數據中心、智能計算中心為代表的算力基礎設施等。

伴隨新基建的快速發展,5G網絡、大數據中心、人工智能、工業互聯網等信息基礎設施成為行業競爭新賽道,對于網絡安全提出了更多的新需求。密碼技術與信息基礎設施的融合發展,也將充分激發密碼創新創造力。

2.1.1 5G 網絡

隨著我國5G網絡建設和商用的全面展開,5G網絡從傳輸通道全面升級為數字化賦能的承載基石,正加速推動物理世界和智能世界的深度融合。由于5G網絡的獨有特性,靈活、彈性的網絡安全成為新要求。然而,密碼機、智能密碼鑰匙等傳統獨立于信息系統之外的密碼產品,一定程度上限制了用戶使用密碼技術的主動性,阻礙密碼技術的推廣和普及。

只有創新密碼產品,將密碼功能內嵌入信息化產品中,才能更好地適應未來 5G 網絡的密碼防護新需求。

2.1.2 大數據中心

大數據所蘊含的巨大潛力和價值,使其成為新型網絡攻擊的重災區。為有效應對網絡安全威脅,將密碼技術直接作用于數據,通過“小密鑰”進行安全保障,縮小安全敞口。針對數據的采集、傳輸、存儲、使用和流轉等不同環節,構建數據全生命周期安全防護,做到事前預防、事中防護和事后追溯。事前預防,可將敏感數據加密存儲于數據庫或文件系統,通過設置訪問控制策略,并結合數據加解密,防范數據泄露;事中防護,通過實施訪問控制,數據加解密策略和數據脫敏,防止敏感數據泄露、被篡改;事后追溯,針對敏感數據操作進行完整日志記錄,實現高置信度的審計。

2.1.3 人工智能

當前,主要發達國家將人工智能作為提升國家競爭力、維護國家安全的重大戰略。人工智能在加速各主體間的數據與技術互通、信息共享的同時,也擴大了網絡威脅攻擊面。基于密碼技術,構建“終端”“傳輸”“平臺”的全方位安全防護體系,可有效保障人工智能領域數據全生命周期的完整性和保密性。將安全基因融入人工智能系統設計之中,加強身份識別和監測,對威脅、危害的響應或處理決策提供信息支持;構筑安全的數據采集和處理環境,有效防止黑客攻擊和系統自身缺陷帶來的安全隱患。

2.1.4 工業互聯網

工業互聯網作為制造業與互聯網深度融合的產物,已經成為新工業革命的關鍵支撐。因此,工業互聯網自身安全可控是產業安全和國家安全的重要基礎和保障。密碼技術是構建工業互聯網安全體系的關鍵核心技術,通過結合密碼技術與多種安全防護手段,實現工業現場環境、低功耗模式等場景下,工業系統端級別設備與訪問用戶身份鑒別的安全保障需求,滿足不同網絡速率和連接要求的通信網絡傳輸認證和傳輸加密等安全需求,保障企業核心數據資產安全。

2.2 密碼保障“融合基礎設施”

融合基礎設施主要指深度應用互聯網、大數據、人工智能等技術,支撐傳統基礎設施轉型升級,進而形成融合基礎設施,比如智能交通基礎設施、智慧能源基礎設施等。

以特高壓、城際高速鐵路和城際軌道交通、新能源汽車充電樁等為代表的融合基礎設施,對推動經濟高質量發展的支撐作用正在加快釋放。提升密碼創新供給能力,為融合基礎設施產業發展和安全保駕護航。

2.2.1 特高壓

特高壓領域是經濟社會運行的神經中樞,是網絡安全防護的重中之重。然而,特高壓行業電力系統生產運行高度依賴網絡和信息技術,數據泄露、安全失控、核心技術受制于人等安全隱患,致使特高壓網絡空間安全形勢不容樂觀。因此,特高壓安全防護應從保障電力系統的數據、終端設備和網絡等方面安全著手,利用密碼技術,實現特高壓電力系統的整體安全保護。利用對稱密碼技術,對數據加密后存儲,實現數據存儲安全;利用傳輸加密和身份鑒別,保證數據的通信安全;采用密碼的身份鑒別和訪問控制,進行終端防護。

2.2.2 城際高速鐵路和城際軌道交通

伴隨城際高速鐵路和城際軌道交通網的快速擴張、規模持續擴大、技術裝備迭代升級, 該領域的網絡安全形勢日趨嚴峻和復雜。為充分應對城際高速鐵路和城際軌道交通網數字化轉型過程中面臨的安全威脅,針對車輛設備和城軌控制系統構建基于密碼技術的“主動式防護”。對于重要的業務系統、數據應采用加解密技術傳輸,結合網絡安全傳輸、系統安全保障、重要信息安全管控等技術手段,實現數據完整性和保密性,并避免中間人攻擊、網頁劫持等特定網絡攻擊。

2.2.3 新能源汽車充電樁

新能源汽車充電樁是智慧交通、智慧能源等新興數字經濟的重要組成部分。在國家頂層的帶動下,能源汽車充電樁建設爆發式增長。由于點多、面廣、分散,充電樁的每一個節點都存在重大的安全隱患,如終端易被攻擊者侵入,與本地充電站、運營平臺傳輸過程中出現數據泄露,操作系統內敏感數據安全防護措施不足等。因此,要在充電樁終端集成密碼中間件,實現身份鑒別和數據加密防護。通過加密或者數字簽名,保護重點區域內的數據文件,以保證數據的機密性、完整性、可靠性和不可抵賴性。

2.3 密碼激活“創新基礎設施”

創新基礎設施主要指支撐科學研究、技術開發、產品研制的具有公益屬性的基礎設施,比如:重大科技基礎設施、科教基礎設施、產業技術創新基礎設施等。創新基礎設施在助推各行業數字化轉型方面發揮著重要的革新引領作用,與密碼技術的相互促進、融合發展已成為普遍共識,二者呈現出扭結纏繞的發展態勢。密碼不僅能為其提供 “安全基因”,而且為科學技術研究、科技創新的信息協同平臺提供安全保障。

正如第二次世界大戰期間,破解德軍密碼的計算技術衍生出圖靈機模型,誕生了現代計算機,揭開了高速信息化社會的序幕。而今天用來破譯公鑰密碼算法的量子計算機,正成為下一代科技發展制高點。密碼技術應用將激活創新基礎設施,拉動創新基礎設施螺旋式升級發展,推動創造新服務、新業態、新價值。

3 供給高質量密碼,維護新基建安全新秩序


3.1 高性能密碼模塊賦能新基建內生安全

新基建時代,物理世界與虛擬世界邊界消弭、現實世界與數字世界深度融合,數據就是財富,安全才有價值。只有密碼,才能構建網絡可信秩序,打造安全的網絡空間。新基建融合了大量的數字化業務,對應的信息化更加錯綜復雜,業務處理實時性、準確性需求更高,這就要求內嵌密碼模塊具備高性能,在給系統帶來安全防護的同時,也能夠保證業務的正常運轉,保障業務執行的效率。

然而,長期以來商用密碼系列算法產品大多以安全芯片、終端、設備等硬件產品呈現。硬件產品的實現雖然增強了相應系統的安全性,但在云端、虛擬機端、移動端等新場景中,硬件密碼產品受制于上游密碼芯片存在性能較低等問題,面臨不能用(國密算法難以等效替換)、不好用(缺乏密碼中間件復用低)、用不好(甲方難以消化密碼技術)這三個挑戰。

商用密碼要實現能用、好用、用好的新需求,必須取得高性能實現的突破。通過對SM4算法進行等價變換,可改進SM4算法軟件實現的執行效率。SM4算法中計算最為繁重的部分是SM4算法的輪函數(每次加密中執行32次),而Sbox的計算則是輪函數中計算密集的所在。雖然可以通過查表的方式來進行快速的Sbox計算,但是查表計算方式無法有效地并行化也無法做到常量時間,這導致了Sbox的計算成為軟件實現的效率瓶頸。

在廣泛調研AES算法的軟件實現優化技巧的基礎之上,利用Intel芯片上的AES-NI來實現 SM4的Sbox計算。在此之外,利用SSSE、AVX、AVX2 指令所支持的128比特寄存器和256比特寄存器來并行處理多個SM4輸入塊的加密,進一步提升了效率,從而能夠靈活支撐商用密碼算法的完整替換,有效支撐多種場景。比如:移動端、桌面端的高性能商用密碼終端場景;服務器、虛擬機的高性能商用密碼服務端場景;高性能商用密碼冷存儲、熱存儲場景;高性能商用密碼區塊鏈場景;高性能商用密碼VPN場景、高性能商用密碼ADC 場景。

業界也取得了商用密碼算法性能優化上的突破。例如可在單顆x86平臺CPU上,SM4加解密性能突破130Gbps,同時也在進行針對國產CPU平臺上的性能優化工作。在新基建項目建設之初,特別是建設相關信息系統時,一方面要促進高速密碼應用發展,另一方面要強化密碼創新發展,為新基建注入內生安全基因,獲得與生俱來的安全防護能力。

3.2 面向切面加密讓安全內嵌于業務流程

針對已建成的新基建關聯信息系統,需要以高效方式補足已建應用系統中缺失的安全能力,這些已有的大量應用系統在建設過程中,并沒有將密碼內生安全考慮進來。然而,對已建應用系統進行開發改造以增強安全的方式涉及面廣、周期長、成本高,還存在業務中斷風險, 失去維護的系統甚至缺失源代碼而無法實施。因此,通過改造的方式增強已建應用系統安全并不可行。

針對以上情況,業界創新性地提出了面向切面安全技術,以應用層為抓手,可以將安全內嵌于業務流程之中,實現免改造應用的方式,增強數據安全防護。如圖1所示,首先,該技術對應用是透明的,既無需開發改造應用,又實現了將安全能力融入應用,以配置方式敏捷部署實施,即可滿足國密合規和實戰防護兩大需求,這種模式對應用連續運行沒有影響,也不會因為實施加密帶來業務風險。同時,通過“主體到應用內用戶,客體到字段級”的細粒度訪問控制,實現面向用戶端的動態脫敏。

其次, 該技術支持企業批量應用系統的分布式加密與集中式管控,降低維護和管理成本。在各個應用系統上只需增加安全插件和簡單配置,即可實現細粒度的加密、脫敏、審計等,實現密碼與系統安全一體化,并支持可追溯、防篡改的高置信度數據操作審計,保證可事后追責。再次,該技術完全解耦數據庫品牌和版本,全面支持企業常用的Oracle、MySQL、SQL Server、PostgreSQL、MongoDB、Teradata、Hive、國產數據庫等數據庫。

圖(tu)1 易實(shi)施的實(shi)戰化數據防護

該技術既支持服務側的存儲加密,防范惡意DBA、外包人員等內部威脅以及外部黑客;也支持結合用戶身份實現用戶側動態脫敏,防范內部業務人員越權,真正實現了將安全與業務的結合,在保證業務效果的同時實現安全。

3.3 實戰化商用密碼防護體系守護新基建

面對錯綜復雜的國際政治形勢和當前日趨嚴峻的網絡安全威脅,需要以真實對抗結果為導向,為新基建進一步構建有效的密碼實戰化防護體系。

在構建新基建商用密碼防護體系的過程中,需要將密碼與其他多種安全技術結合,共同構建實戰化防護體系。以數據庫安全防護為例,傳統的加密與防護控制組合模式中,加密施加在數據庫一側,訪問控制通過4A或IAM策略中心下發認證和權限決策,二者是分別建設的。解密和權限是兩個決策點,數據解密無法和權限體系結合,加解密和細控的分離帶來了威脅敞口,攻擊者可以繞過訪問控制,從威脅敞口直接竊取數據。密鑰是對數據秘密的濃縮,加密將明文的安全性縮小到密鑰的安全性,但單獨應用加密并不能直接解決問題,需要將加密與訪問控制、審計等技術結合,共同構建“防繞過”的數據安全防護體系。

4 結 語


新基建與產業互聯網,就是以目前最低的成本和最高的效率來使用數據、算法與算力進行勞動創造,從而共享全球新一輪科技與產業革命的成果,這既是打贏脫貧攻堅戰全面建成小康社會的內在要求,也是推動經濟高質量發展、培育國際經濟合作和競爭新優勢的必然選擇。而密碼技術作為安全基因,其應用的深度,決定了新基建建設的高度。隨著《密碼法》等“一法三規”和“放管服”政策的貫徹落實,密碼產業正在開創商用密碼新技術、新業態、新模式,并與新基建全方位、全流程、全要素深入融合,為新基建蓬勃發展保駕護航。