高志權(quán) 三未信安副總經(jīng)理

　　我在密碼行業(yè)做了有18年的時間，說實(shí)話，整個這些年見證了中國商用密碼的發(fā)展歷程。我講這些是想先給大家科普一下什么是密碼？密碼是什么？因?yàn)槲覀兘?jīng)常接觸的密碼可能更多的是什么啊？更多的是一些網(wǎng)站的用戶名的口令，這個跟我今天要說的密碼完全沒有關(guān)系，不是那個詞匯。

　　密碼其實(shí)是數(shù)學(xué)的一種運(yùn)算，尤其是網(wǎng)絡(luò)還有計(jì)算機(jī)發(fā)展起來之后，它是一種數(shù)學(xué)計(jì)算的過程。

　　我有時候跟人說密碼是加密，但是加密又不全，因?yàn)槊艽a要做的事情可能不止加密這么簡單，它基本上要做四件事情：

　　1、私密性，就是加密，保證數(shù)據(jù)是別人看不到的。

　　2、完整性，因?yàn)槲覀兘?jīng)?？春芏?，包括《等?！防锩娴囊髷?shù)據(jù)的完整性，什么是完整性？可以用密碼的技術(shù)來保證你這個密碼被篡改之后是可被感知的，或者能夠留下記錄的，這叫完整性。

　　3、真實(shí)性，因?yàn)樵诰W(wǎng)絡(luò)包括云上很多業(yè)務(wù)的處理或者交易，不是面對面的，而是不可見的，我們要保證實(shí)體身份的真實(shí)性，這是天威他們的強(qiáng)項(xiàng)，他們做的電子認(rèn)證，電子認(rèn)證就是鑒別交易雙方實(shí)體的身份真實(shí)性。

　　4、不可否認(rèn)性，就是你做的事情，你不能說這個事情不是你做的，假如轉(zhuǎn)了一筆賬從網(wǎng)上，你不能說這不是你干的。

　　這個是一個密碼完整的一個功能，就是“四信”。

　　我們說為什么要用密碼？因?yàn)閯偛盘岬搅?，在網(wǎng)絡(luò)安全或者信息安全領(lǐng)域里面，要保證它的安全性，或者達(dá)到一種系統(tǒng)可用形成，是離不開密碼的。其實(shí)現(xiàn)在在很多的地方，我們都用到密碼，因?yàn)槊艽a它是一個基礎(chǔ)性的一個技術(shù)，或者對用戶來說它是不可驗(yàn)的，像我們?nèi)绻梦⑿呕蛘逹Q聊天是加密的，如果我們訪問一個網(wǎng)頁，網(wǎng)頁也是走了trs加密，對用戶來說我不需要做任何的東西，我只需要打開網(wǎng)頁就可以了。

　　還有我們做銀行轉(zhuǎn)賬的時候，銀行會給大家送一個U盾，這個U盾是普通百姓最直接接觸的一個純密碼的產(chǎn)品，它就是保證你身份的一種技術(shù)。

　　我們管密碼叫做幕后的一個東西，因?yàn)槟悴恢浪降子袥]有發(fā)揮作用？

　　我們看在云計(jì)算這個領(lǐng)域里面，應(yīng)該說是更離不開密碼，不管是在網(wǎng)絡(luò)信息連接也好，或者本身云端的計(jì)算或者存儲也好，都離不開密碼，這個算是最近的CSA發(fā)布的，應(yīng)該是一年多了，是一個列表。其實(shí)CSA以前從1.0、2.0、3.0到4.0，到后面專門出了一個行業(yè)驗(yàn)證報(bào)告，它會周期性的出這么一個排名。

　　數(shù)據(jù)泄露一直是在前面的，當(dāng)然引起數(shù)據(jù)泄露的這種因素肯定有很多，有些可能就是純粹的黑客的攻擊，有些是一些內(nèi)部的行為，或者說是你的授權(quán)不當(dāng)?？傊?，引起數(shù)據(jù)泄密是一個非常嚴(yán)重的，它還是影響力比較大的。這個用的好多是密碼的手段，剛才提到的不管用加密的方式也好，還是認(rèn)證的方式也好，都能夠進(jìn)一步保護(hù)好你的數(shù)據(jù)安全。

　　這是這幾年的趨勢，就是數(shù)據(jù)泄露，我們看黑客的攻擊還是占最高的比例。

　　另外就是合規(guī)性的要求，我們根據(jù)這幾年的建設(shè)經(jīng)驗(yàn)來說的話，我們不光是做中國的客戶，我們還跟很多的外企，包括國外的一些用戶，從這種感覺來說的話，就是國外它也要合規(guī)，另外它的安全意識非常強(qiáng)。你看《網(wǎng)絡(luò)安全法》發(fā)布之后，國外企業(yè)要在中國建立數(shù)據(jù)處理中心，他首先想到的是我要對數(shù)據(jù)進(jìn)行加密，他們會主動尋求數(shù)據(jù)加密的方案。

　　然后就是國內(nèi)這些用戶來說的話，更多的還是要滿足合規(guī)的需求，當(dāng)然需要達(dá)到合規(guī)需求，這里面有很多的政策，或者這種法律法規(guī)都有一些明確的要求。比如網(wǎng)絡(luò)安全法里面，明顯提到了要對重要的數(shù)據(jù)進(jìn)行加密，當(dāng)然具體什么是重要的數(shù)據(jù)？這個可能還需要自己去識別。通常來說，密碼用在等保三級和四級以上的，就是一級和二級里面目前還不是強(qiáng)制性的要求你用密碼的技術(shù)去包裝你的數(shù)據(jù)安全，你可能用其他的防護(hù)手段就可以了。但是從三級以上，明確的要求你要用密碼的技術(shù)，要實(shí)現(xiàn)你對數(shù)據(jù)的加密，要實(shí)現(xiàn)你安全的身份認(rèn)證，這個是很多政策或者條例都規(guī)定的。

　　另外就是《密碼法》也快發(fā)布了，它也會成為一個商業(yè)發(fā)，然后會對一些密碼的系統(tǒng)怎么去用好密碼？怎么合規(guī)的使用密碼？以及像這種密碼的應(yīng)用評估，有一個更明確的規(guī)定。其實(shí)現(xiàn)在密碼的評估工作已經(jīng)是陸續(xù)開展了，2017年發(fā)了一個適用的辦法，2018年大約有一百多個企業(yè)，經(jīng)過了測試性的評估。密碼應(yīng)用的評估可能在《密碼法》頒布之后會全面的開展，你不僅要做等保的測評，也要做密碼的測評，這個以后是一個趨勢。

　　另外，為什么說要構(gòu)建一個密碼資源池呢？其實(shí)密碼這個東西很早就出現(xiàn)了，我們說有網(wǎng)絡(luò)的時候就應(yīng)用到的密碼，但是隨著云計(jì)算這種信號的IT架構(gòu)的提出來，原來的那種密碼，原來你的產(chǎn)品形態(tài)，原來的工程方案到新了環(huán)境里面就很吃力，已經(jīng)不知道怎么用了。為什么呢？因?yàn)槲覀兛赡芸吹胶枚嗝艽a的實(shí)踐方式，里面是一個U盾，或者它在服務(wù)端是一個加密機(jī)，就是一個服務(wù)器的黑盒子。在傳統(tǒng)的環(huán)境里面，它是跟你的應(yīng)用服務(wù)器不屬于一起的，你的應(yīng)用服務(wù)器，比如以網(wǎng)銀為例，網(wǎng)銀的系統(tǒng)是在后端的機(jī)房里，它加密器就在一塊，它倆是背靠背的。

　　但是云化就不一樣了，我的應(yīng)用系統(tǒng)在哪我都不知道，我只知道我買的是一個服務(wù)，我只知道ERP系統(tǒng)。但是還想用加密怎么辦？我原來的盒子往哪放？不知道往哪放。所以才開始在尋求云上的一些密碼解決方案。

　　其實(shí)就是根據(jù)云計(jì)算的發(fā)展，國外的云計(jì)算比國內(nèi)的云計(jì)算確實(shí)要早很多，他們比較早的或者到目前來說，已經(jīng)系統(tǒng)性的提出來在云上一系列的密碼服務(wù)。從密鑰的管理，到數(shù)據(jù)的加密等等一些服務(wù)，在云上已經(jīng)形成一個體系了。

　　然后這里面確實(shí)有些關(guān)鍵技術(shù)需要解決，我們在云上怎么把密碼的方案或者工程能夠部署上去？以前的時候，我是一個研究盒子，現(xiàn)在研究盒子不好使了，軟件也可以實(shí)現(xiàn)密碼的方案，但是我們也知道你像從國外來說的話，有一個fei si標(biāo)準(zhǔn)，它就是來解決你的密碼方案的安全性。國內(nèi)現(xiàn)在也在推密碼安全技術(shù)的要求，也是把密碼的產(chǎn)品分成1234級，你如果用純軟件的，你的安全等級可能就不夠，你就不能用在類似于三級四級的服務(wù)系統(tǒng)里面去。所以還是要解決密碼方案的安全性，所以硬件的全窮化成為一個基礎(chǔ)。

　　再就是海量密鑰的管理，我全用硬件也不太現(xiàn)實(shí)，因?yàn)槌杀颈容^高，所以海量的密鑰怎么依托于這種核心的部件，然后再結(jié)合身份認(rèn)證的手段，實(shí)現(xiàn)一種云端安全密鑰的一個保護(hù)，這就是現(xiàn)在包括國外國內(nèi)都在用的技術(shù)，就是密鑰放在云端，但是由你來掌握的這么一種技術(shù)。

　　除了這兩個之外，另外還有很多，比如通道的加密，還有縱向的隔離，這些都是一些云計(jì)算本身的一些技術(shù)，可以幫你去做好這種安全的一些防護(hù)。

　　有了這些基礎(chǔ)之后，我們就可以把密碼的一個盒子，就把它變成了一個個虛擬化的密碼設(shè)立，它是一個虛擬化的，但是它其實(shí)還是在一個專用的盒子里，只是虛擬化有什么好處呢？我就可以把它部署到云上去了，就可以通過VPC去訪問到我自己專屬的密碼服務(wù)，構(gòu)建了這么一個密碼資源池，我們管它叫虛擬密碼機(jī)，對用戶來說它就是一個IP地址，然后里面有自己的一些密鑰。在此基礎(chǔ)上，然后再去構(gòu)建一些其他密碼的應(yīng)用，這個是密碼資源池的方案。

　　然后為了要實(shí)現(xiàn)對密碼資源池的統(tǒng)一管控、統(tǒng)一的管理，它可以去管理傳統(tǒng)的密碼設(shè)備的集成，還有密碼的服務(wù)平臺。

　　另外就是這種云端的密鑰管理，剛才提了就是個人掌握自己的密鑰，另外對于一個統(tǒng)一接口的支持，這個是我正在牽頭，正在把它作成國內(nèi)的一個行業(yè)標(biāo)準(zhǔn)。

　　結(jié)合這種基礎(chǔ)密碼的支撐，我們在上面就可以實(shí)現(xiàn)更豐富的一些密碼應(yīng)用，也就是把它做成一個個密碼的服務(wù)，你本來就是密碼資源池，給用戶提供的是一個虛擬密碼池，本身就是一個服務(wù)，底層是密碼資源服務(wù)，呢可能就是提供最基礎(chǔ)的知識，再往上提供一些像數(shù)據(jù)簽名或者加密啊，還是偏向于密碼的，但是可能是一種VPI的方式，或者其他的方式。再上面就是一些用戶直接用到的應(yīng)用服務(wù)，比如加密存儲，我用電子合同把它變成三層了，這個結(jié)構(gòu)是北京商業(yè)協(xié)會，我們?nèi)ツ暌粔K做的一個課題，就是對密碼服務(wù)進(jìn)行了一個研究，這個是出了一個白皮書的報(bào)告。

　　其實(shí)這些都是要做的，包括云的資源池，還有密碼池，然后中間的存儲，再就是密碼，最上面是應(yīng)用的實(shí)例。其實(shí)從這張圖上看云不云的好像和傳統(tǒng)沒什么大區(qū)別，因?yàn)槊艽a你把所有東西分裝之后，你跟最終的用戶，尤其從開發(fā)的角度和從使用的角度來說，它就跟傳統(tǒng)用密碼的方式是一樣的。

　　第二個跟大家講的是數(shù)據(jù)全生命周期加密。這個《數(shù)據(jù)安全管理辦法（征求意見稿）》，這是大家這兩天都在熱議的問題。這里面可能沒有提到很多跟加密有關(guān)的東西，但是這里面明確了數(shù)據(jù)的主體，也明確了什么是重要的數(shù)據(jù)，什么數(shù)據(jù)需要保護(hù)？你可能要配合著《網(wǎng)絡(luò)安全法》來看的話，這個可能就有意義了。因?yàn)楹枚嗳俗霭踩臋z查，或者安全執(zhí)法的時候，碰到了什么??？用戶說我沒有重要的數(shù)據(jù)要保護(hù)的，我不需要加密，一下把你給堵住了。通過《數(shù)據(jù)安全管理辦法（征求意見稿）》告訴你哪些數(shù)據(jù)是重要數(shù)據(jù)？你這里到底有沒有重要數(shù)據(jù)？有的話，就是需要加密。

　　從采集或者使用終端來說，三未原來是一個基礎(chǔ)密碼廠商，剛才我們提到的也是做的資源池，做底層的，更上層的密碼服務(wù)是我們合作伙伴在做。從端的解決方案來說，我們還是提供一個基礎(chǔ)方案，上面的應(yīng)用、app是合作伙伴在做。

　　傳輸這一塊也是一樣的情況，我們提供最核心的密碼模塊，然后合作伙伴可能做一些網(wǎng)關(guān)，然后來保證這種數(shù)據(jù)在傳輸過程中的安全。

　　然后靜態(tài)存儲的安全性，這個是三未這幾年一直在重點(diǎn)去投入研發(fā)做的一件事情。主要包括像這種數(shù)據(jù)庫、大數(shù)據(jù)以及文件加密、應(yīng)用加密等等。這個里面最中間的，就是密鑰管理系統(tǒng)，剛才我提到的一個密鑰基礎(chǔ)設(shè)施，也就是說要實(shí)現(xiàn)云端密鑰安全的管理，就是剛才提到的那個BIOK、BIOE，就是用戶的密鑰雖然是放在云端了，你的數(shù)據(jù)，你的密鑰雖然都在云端，但是通過這種技術(shù)保證只有你才能合法的使用這些數(shù)據(jù)，這是它的一個安全思想。

　　整個圍繞這一塊，就是以密鑰的管理為中心的，其他的這種數(shù)據(jù)加密都是一些插件或者說一些組件，然后跟很多基礎(chǔ)性的一些軟件進(jìn)行集成。但是能達(dá)到這個集成的目的，就是我剛才提到了密鑰管理的一個協(xié)議，這是本身是一個國際標(biāo)準(zhǔn)，我們要把它跟中國的密碼體制結(jié)合起來，我們在推一個國內(nèi)的密碼一個行標(biāo)。

　　首先說這個數(shù)據(jù)庫加密，因?yàn)楹芏鄻I(yè)務(wù)系統(tǒng)在改造的時候，你比如說我原來沒有加密，你現(xiàn)在突然讓我做等保的改造我怎么加密??？我再改我的應(yīng)用系統(tǒng)啊，那可能太重了，我的應(yīng)用系統(tǒng)已經(jīng)用了很多年了，開發(fā)商估計(jì)都跑路了，或者倒閉了，我怎么辦？我們可以用這種透明的解決方案，我們的數(shù)據(jù)是在數(shù)據(jù)庫里的，我們通過部署一個數(shù)據(jù)庫加密的中間件，當(dāng)然也可以用數(shù)據(jù)加密機(jī)的方式，然后把數(shù)據(jù)庫里面的，各個數(shù)據(jù)庫可能也不太一樣，把有些表，或者列進(jìn)行加密，這樣的話可以不去改造你的應(yīng)用，我只需要把數(shù)據(jù)庫重新裝一個插件，重新配置一下，會有一個工具把歷史的數(shù)據(jù)給你重新加密，然后到一個新的庫里就可以了。這樣就可以實(shí)現(xiàn)對合規(guī)性的改造，這個是數(shù)據(jù)庫的加密解決方案。

　　另外就是大數(shù)據(jù)，大數(shù)據(jù)安全性一直是一個熱點(diǎn)討論的話題，大數(shù)據(jù)方案現(xiàn)在也挺多的。我們初步現(xiàn)在有這么兩個，一個對于ADS的加密，這個ADS加密也是通過KMIP的接口，集成到hadoop里面，然后對一些指定的文件一些點(diǎn)進(jìn)行加密。另外就是對HBase，通過把密鑰管理的接口，把接口接進(jìn)去之后，然后可以用原生的加密模塊對于你這個數(shù)據(jù)進(jìn)行加密。

　　另外就是靜態(tài)存儲的加密，這個是像那種網(wǎng)絡(luò)存儲都可以用，更多用在比如說云桌面，很多企業(yè)或者單位，為了對辦公系統(tǒng)更集中的管理，他可能部署這種云桌面系統(tǒng)。但是這種云桌面系統(tǒng)好處是什么？我進(jìn)行統(tǒng)一的安全策略的配置統(tǒng)一的管理。但是也有很多人有擔(dān)心，你比如說某個領(lǐng)導(dǎo)他原來電腦里有很重要的數(shù)據(jù)，他的數(shù)據(jù)本來自己的臺式機(jī)就在辦公室，辦公室還有把鎖，它現(xiàn)在全部用成云桌面之后，所有的數(shù)據(jù)都是在NaaS上存儲，他就在想數(shù)據(jù)管理員是不是就能夠訪問到所有人的數(shù)據(jù)？包括重要領(lǐng)導(dǎo)的數(shù)據(jù)。

　　所以NaaS這種透明管理方案，就是為了防止類似于這種數(shù)據(jù)管理人員隨意的越權(quán)訪問你的數(shù)據(jù)，它雖然是透明加密，其實(shí)不是這樣，我們訪問的時候都需要去做身份認(rèn)證，身份認(rèn)證之后才能拿到你的密鑰訪問權(quán)限，才能訪問你的數(shù)據(jù)。這個里面現(xiàn)在我們在原來數(shù)據(jù)人員的基礎(chǔ)上，又增加了一層安全管理人員，但是如果你安全管理人員和數(shù)據(jù)管理人員是同一個人，可能安全性就會差很多，如果這是兩個不同的角色，他就可以做一些相互的審計(jì)，就能夠知道誰訪問了什么樣的數(shù)據(jù)，都是有跡可循的。

　　除此之外就是在云上，因?yàn)楝F(xiàn)在好多像不管是AWS也好，或者是華為也好，它們都有云存儲的服務(wù)，我們也可以把這種密鑰管理的功能直接跟它的云存儲服務(wù)進(jìn)行對接。對接上之后，我們?yōu)槭裁床挥迷茝S商自己密鑰管理的方案呢？如果我需要去做數(shù)據(jù)遷移的時候，我可以去跨云實(shí)現(xiàn)這種數(shù)據(jù)的切換。這也是第三方密鑰管理的一個好處。

　　另外就是第三方密鑰管理，可以跟云廠商的系統(tǒng)之間進(jìn)行互信的審計(jì)，要不然我用了一家的密鑰服務(wù)跟數(shù)據(jù)的服務(wù)，你所有的這種審計(jì)的功能都是由它們提供的，你可能是沒有辦法保證你數(shù)據(jù)真正的運(yùn)行。所以我們推薦，包括現(xiàn)在也是國際上一種趨勢，就是用這種第三方的密鑰管理服務(wù)，我就把安全的功能跟我的業(yè)務(wù)功能是不懂廠商來做。

　　除了加密之外，大數(shù)據(jù)除了加密之外，還有些東西需要做脫敏，其實(shí)現(xiàn)在脫敏的方案挺多的，大多是字典式的替換，但是字典式的弱點(diǎn)是什么？缺點(diǎn)是什么？還是有可能找到替換的規(guī)律，是一個比較弱的加密手段，但是如果用加密的技術(shù)去做這種脫敏的話，它的安全防護(hù)要比那種更強(qiáng)一些。

　　剛才說的這些從技術(shù)資源池到數(shù)據(jù)加密，這個是我們對于，尤其是對于私有云我們提出了一個整體的建設(shè)方案，可以實(shí)現(xiàn)從這種密碼的使用到數(shù)據(jù)的保護(hù)，整個這種技術(shù)的防護(hù)。

　　我們自己本身也做了一些應(yīng)用的發(fā)展，像SAP的中間件，SAP比較著名的是ERP軟件，它們本身就提供了密碼的安全功能，它默認(rèn)的是國外的密碼是不合規(guī)的，我們就通過把它底層的中間件提出來，實(shí)現(xiàn)合規(guī)的要求，這個是我們自己做的。其他更多的還要依賴于合作伙伴去提供一些像這種電子合同啊，或者電子印章這樣的一些安全密碼服務(wù)。