在新基（jī）建的大背（bèi）景下，随（suí）着网络安全与（yǔ）密码技术的不断演进（jìn），融合密码技（jì）术的网络安全体（tǐ）系框（kuàng）架逐（zhú）渐成为网（wǎng）络安（ān）全建设的新趋势。

在 2020 国家网络安全周举行之际，记者有幸（xìng）在现场采访到了中（zhōng）国（guó）电科集团网络（luò）安全领域首席专家、中国网安副总（zǒng）工程师、卫士通（tōng）总工（gōng）程师董贵山。就密码在新基建中的应用、服务等问（wèn）题，董贵山谈了他（tā）的（de）看法。

董（dǒng）贵山：新型基础设施主要包括三个方面内容：一是信息（xī）基础设施。主要是指（zhǐ）基（jī）于新一代信息技术演化（huà）生成的基础设施（shī），比如，以5G、物（wù）联网、工（gōng）业（yè）互联网、卫星互（hù）联网为代表的通信网络基（jī）础设施，以人工智能、云计算、区（qū）块链（liàn）为代表（biǎo）的新技术基础设施，以数据中心、智（zhì）能计算（suàn）中心为代（dài）表的算力基础设（shè）施等；二是融（róng）合基础（chǔ）设（shè）施。主要是（shì）指深度应用互联网、大数据、人（rén）工智能等（děng）技术，支撑（chēng）传统基础设施转型升级（jí），进而形（xíng）成的（de）融合基础设施，比如（rú），智能交（jiāo）通基础设施、智（zhì）慧能源基础设施等；三是创新基础设施。主（zhǔ）要是指支撑（chēng）科学研（yán）究、技术开发、产（chǎn）品研制的具有公益属性的基础设施，比如，重（chóng）大科技基（jī）础设施（shī）、科教基础（chǔ）设（shè）施、产（chǎn）业技术创新基础设施等。

从以上三个（gè）方面的分类来看，新型基础设施是（shì）未来（lái）引领（lǐng）数字经济发展（zhǎn）的关键载体和支柱，覆盖了网（wǎng）络通（tōng）信、信息计算、新兴（xìng）技（jì）术领域、行业性融合（hé）平台以及（jí）科研支撑平（píng）台，将成为数字中国在网络空（kōng）间“数字（zì）孪生”的沃土和通（tōng）路（lù）。网（wǎng）络安全（quán）作为新（xīn）基建、数字经济发展的基（jī）石， 也受到了广泛的关注与重视。

新型（xíng）基础设施具备基础平台支（zhī）撑、海量数据汇（huì）聚、广泛（fàn）实（shí）体接入、泛（fàn）在服务交付四大特性。“基础平台支撑”体（tǐ）现了新型基础设施的总体定位，不管是（shì）信息（xī）基础设施（shī）、融合基础设（shè）施还是创新基础设施，都具有显（xiǎn）著的基础（chǔ）性（xìng）和平台性，是（shì）网络通信、信息服务（wù）和科研创新的基础支撑；“海量数据汇聚”“广泛（fàn）实（shí）体接入”体现了新型基础（chǔ）设（shè）施的平台价值，信息（xī）基础设施（shī）和融合基（jī）础设施汇聚了海量的通信（xìn）数据、行业数据和科研数据，提供网络互联平台，为广泛（fàn）的网络实体（tǐ）提供网（wǎng）络接入和服（fú）务（wù）功（gōng）能；“泛在服务交（jiāo）付（fù）”体现了新型基（jī）础设（shè）施的交（jiāo）付模式，不管（guǎn）是传统（tǒng）基础设施还是信息基础设施，均是采用服务化的价值（zhí）交（jiāo）付模式，结合互（hù）联网泛在接入、网络互（hù）联的特点，新型基础设施能够为广泛的网（wǎng）络实体提供泛在化（huà）的（de）服务覆盖，最大化平台（tái）价值（zhí）。这四（sì）大特（tè）性无一不（bú）代表着巨（jù）大的（de）数据价（jià）值和平台价值，对（duì）网络攻击（jī）者具有极（jí）高的诱惑力（lì），存在（zài）极（jí）大的安（ān）全风险（xiǎn）。

董（dǒng）贵山：“网络（luò）安全（quán）与信息化是一体之（zhī）两翼，驱动之双轮”。安（ān）全是发展的保障，发展是安（ān）全的目（mù）的，网络安全和信息化建设互相依存、协调共生。新型基础设施建设是“云大物移智”的有机聚（jù）合和结构化（huà）升级，网（wǎng）络（luò）安全（quán）风险也覆盖了信（xìn）息（xī）服务平台、IoT设备、PC端（duān）、移动（dòng）端，这些承载（zǎi）着新基建业务、数据和服务的载体正在时刻接受海量网络（luò）攻击（jī）的考（kǎo）验，如何（hé）全面（miàn）保障新型基础（chǔ）设施安全也受到（dào）了业（yè）界的广泛（fàn）关（guān）注。新型基础设施（shī）作为国家级（jí）的（de）网络信息服务平台（tái）、行业融合支撑（chēng）平台和科研（yán）平（píng）台，应参考关键信息基础设施的相关要求进行安（ān）全（quán）防护设计（jì）和建（jiàn）设工作，同时针对新基建各领域（yù）特定场景进行（háng）定制化防护。传统的网络安全（quán）防护（hù）体系（xì）多（duō）具有通用性和普适性，无（wú）法细粒度的涵盖到特定场景和（hé）业务数据流转方面，而密码技术因其（qí）技术特点和防护（hù）理念（niàn）能（néng）够深（shēn）入（rù）到业务场景之中，与（yǔ）业务（wù）应用进行深入融合，像为士兵穿上“盔甲”一（yī）样（yàng），为防护对象提供“贴身防护”能力。

密码是保障网络和信息安全最有效、最（zuì）可靠（kào）、最经济的（de）关键核心技术，是网络安全的最（zuì）后一道防线，能够为新基建（jiàn）的（de）“基（jī）础平台（tái）支撑（chēng）、海量数据汇聚、广（guǎng）泛实体（tǐ）接入、泛在服务交付” 四大特性提供针对性的防护。

（1）密码为“基础（chǔ）平台支撑”构筑完善（shàn）的（de）安全防（fáng）护（hù）体系。

新型（xíng）基础设施为国家信息化建设提供新一代（dài）的基础支撑平台（tái），其（qí）平（píng）台价值极高，因此（cǐ）需要完（wán）善的安全防护能力。密码技术在（zài）网络安（ān）全防护体系中位（wèi）居核心和（hé）基础地位（wèi），依（yī）靠密码（mǎ）技术和网络安全技术（shù）能够打造集感知安全、传输安全、存储安全、计算安全、处理安全、应用安全于（yú）一体的安（ān）全防护能力，构建以密（mì）码技（jì）术为核心（xīn）、多种技术（shù）相（xiàng）互（hù）融合的新网络安全（quán）体系， 构筑新基建安全防（fáng）护体系。

（2）密码为“海量数据汇聚”建立坚实的数据保（bǎo）护能力。

新型基础设施是基于多种功能、多种要素、多种技（jì）术的体系化（huà）集成，支撑着跨领域、跨（kuà）平台和（hé）跨系统的（de）数据交换和信息共（gòng）享，提供海量数（shù）据分（fèn）析，实现数（shù）据（jù）的（de）互操（cāo）作和流（liú）程协同。密码技术提供的数（shù）据加密存储（chǔ）、可信数据（jù）汇聚、安全数据共享（xiǎng）、数据流转（zhuǎn）确权能够实现数（shù）据的全生命周期安全（quán），并对敏感数据、个人隐（yǐn）私数据（jù）提供针（zhēn）对性的（de）数据脱敏、数（shù）据加密和数据隐（yǐn）藏能力，将防护（hù）能力深入到业务流转之中。

（3）密码（mǎ）为“广泛实体接（jiē）入”提供安全的鉴（jiàn）别（bié）防（fáng）护机制。

新型基础设施（shī）的部（bù）分重（chóng）点（diǎn）领域如铁路（lù）、公路（lù）、电网、通信、管网等，为规模（mó）化的网络实体接入建（jiàn）设网（wǎng）络（luò）互联平（píng）台，实现实（shí）体（tǐ）的（de）广（guǎng）泛接入和（hé）互联通信。网络互（hù）联平台的安全稳定运行成为了新型基础（chǔ）设（shè）施建设（shè）实现（xiàn）价（jià）值的前提。基（jī）于密码技术为网络实体建立安（ān）全（quán）的数据（jù）执行和存储环境，基（jī）于密码技术建立平台侧与网络实体之间的可信鉴别和安全（quán）传（chuán）输机制，两者结合构（gòu）建从终端侧到平台（tái）侧的安全接入环境，有（yǒu）效的（de）保护平台外（wài）延的网络实体安全（quán），保（bǎo）障新型基础设施（shī）的网络实体安（ān）全和边（biān）界接入安（ān）全。

（4）密（mì）码为“泛在服（fú）务交（jiāo）付”构建泛在的密码服（fú）务能（néng）力。

从新型（xíng）基础设施（shī）的建设领域如智慧城市（shì）、物联网、车联网、充（chōng）电桩可以看出（chū），核心价（jià）值是为数字经济（jì）广（guǎng）大（dà）领域提供泛在（zài）化（huà）的服务，将基础（chǔ）能力（lì）提供给更多（duō）的（de）企业、组织（zhī）和个人（rén）去使用，拓展服务范围，让更多人享受数字经济发（fā）展（zhǎn）的红利。泛（fàn）在的服务能力一方面需要（yào）服（fú）务于各行业领（lǐng）域，密码技术需（xū）要依托各行业领（lǐng）域特性提供（gòng）相（xiàng）适应的防护能（néng）力，另（lìng）一方面需（xū）要延伸到海量（liàng）的网络实体，这些网络实体（tǐ）是新型基础设施建设的价值延伸和受益主（zhǔ）体，同（tóng）时也会成（chéng）为网络攻击的薄（báo）弱点和攻击（jī）点，成为攻击平台的（de）跳板。为此，需要建立泛在（zài）化的密码保障机制（zhì）， 为广大行业（yè）领域提供泛在的密码服务接入能力，为移动终端（duān）、PC端、IoT终端提供体系化的密码防护能力，有（yǒu）力的支持（chí）新基建泛在服务的安全稳定和可（kě）管可控。

新（xīn）型（xíng）基（jī）础设（shè）施（shī）建设一方面兼（jiān）具关键信息基（jī）础设施（shī）的价值定位（wèi），另一（yī）方面（miàn）融合新兴技术、新兴领域的业（yè）务特点，具（jù）有较高的复杂性和（hé）先进性（xìng）。因此（cǐ）需要基于密码技术为新型（xíng）基础设施设计建（jiàn）设完（wán）善的网络（luò）安全防护体系。

董贵山：当前，密码的价值得到（dào）了广泛的重视（shì），2020年1月1日，《中华人（rén）民（mín）共和国（guó）密码法》正式实施（shī），2020年成为了“密码法元年”，密（mì）码法对密码（mǎ）进行明（míng）确的定（dìng）义，密（mì）码是指采用特定变换的方法对信息进行加（jiā）密保护、安全认证的技术、产品和服（fú）务（wù）。其中，商（shāng）用密码用于保护（hù）不属（shǔ）于国（guó）家秘密的信（xìn）息，公民、法人和其他组织可以依法使用商用密码（mǎ）保护网络与信息安全。商用密（mì）码具备机密性、完整性（xìng）、真实性和不（bú）可否认（rèn）性四（sì）大防（fáng）护特性，能（néng）够应（yīng）对网络安（ān）全（quán）的数据泄露、数据篡改、身份仿冒和行为否认等风险。

商用密码是（shì）我国自主完善的技术体系，经（jīng）过二（èr）十余年的（de）发展和演进，提出（chū）了包含SM1、SM2、SM3、SM4、SM7、SM9和ZUC算法的一套完整（zhěng）自洽的商用密码算法体系，建立（lì）了覆（fù）盖（gài）密（mì）码（mǎ）算法、密码协（xié）议、密码功（gōng）能接口（kǒu）、密码产品（pǐn）规（guī）格、密码应用要求和测评规范的一套完善的（de）标准体系（xì），形成（chéng）了以密码芯片、密码板卡、密（mì）码（mǎ）整机和密码（mǎ）系统等（děng）传统（tǒng）产（chǎn）品为（wéi）主（zhǔ），多（duō）种产（chǎn）品形态和应用模式并（bìng）现（xiàn）的产品体系。

商用密码的建设受（shòu）到了政（zhèng）策、法规、标准、规（guī）范（fàn）的全面推（tuī）动（dòng）。以（yǐ）法规奠定密（mì）码（mǎ）法制基（jī）础，国家相继出（chū）台（tái）了网络安全法（fǎ）、密码（mǎ）法，加（jiā）速数据安全法（fǎ）、个人（rén）信息保护法立法进程，旨在规范（fàn）网络（luò）安全，以法理奠定（dìng）密码的核心定位（wèi）；以政策推动密（mì）码（mǎ）按需（xū）建设，国家在（zài）关键信息基础设施、政务信息化（huà）建设、信创产业等（děng）方面均以（yǐ）政策（cè）文件的方式明确了密码是网络安全和信息化（huà）建设的重要组成部（bù）分；以标（biāo）准构建密码（mǎ）使用基线，网络安（ān）全等级保护标准（zhǔn）体系的升级（jí）明确（què）了密码在（zài）等保定级（jí）和合规防护方面的基本要求，密码行业标准体系的快速增补也在全面（miàn）完善密码（mǎ）技术和产品的合规应用；以测评保障（zhàng）密码应用合规，参考网络（luò）安全（quán）等（děng）级保护（hù）的（de）测评机制（zhì）和测评要求，密码（mǎ）行业出台了密码应用安全性（xìng）评估制度，以测评来明（míng）确密码应用的合规性、正确性和有（yǒu）效性，从而保（bǎo）障（zhàng）密（mì）码应用设计的完备性和密码产品在（zài）各（gè）个环节的正（zhèng）确有效使用。

新型基础设（shè）施建设同样需要密码技术的保（bǎo）障，无论是（shì）从合法合（hé）规角（jiǎo）度还是消（xiāo）除安全（quán）风险（xiǎn）角度来（lái）看，密（mì）码技术（shù）都（dōu）是新型基（jī）础设（shè）施网络（luò）安全的最后一道防线。

从基础设施这个词汇来看，密码（mǎ）行业同样存在一（yī）个基础设施——公（gōng）钥密码基（jī）础设施（Public Key Infrastructure，PKI），公钥密码（mǎ）基（jī）础设（shè）施是（shì）一个包括硬（yìng）件、软件、人（rén）员、策略和规程的集合，用来实现基于公钥密码体（tǐ）制的（de）密钥和证书的产生、管（guǎn）理、存储、分发（fā）和撤销（xiāo）等功能（néng），目前已广泛应用于政务、金融、电力等构（gòu）架关键信息基础设施领域，为其提供可信的密钥（yào）和证书管理，建（jiàn）立网络（luò）安全的可信根。

新（xīn）型（xíng）基础设施继承了传统（tǒng）基础设（shè）施建设（shè）的（de）服务化特性，通过端（duān）到端（duān）的服务模式创造和（hé）交付价值，这一模式特性要（yào）求密码支撑能（néng）力能够提供相匹配的能力，PKI更倾向于传统的（de）安全基础设施，提（tí）供基础通（tōng）用的密码（mǎ）支撑能力，对新型基础设施建（jiàn）设的密码需求的匹配（pèi）性不高。

新型基础设施的基础平台支撑要求密码支撑（chēng）提供灵活弹性可伸缩的服务能（néng）力，海（hǎi）量数据汇聚要（yào）求密码支撑提供融合数据（jù）全生命周期的数据防护能（néng）力（lì），广泛实体接入要求（qiú）密码支撑提供（gòng）平台化的通信保护和接入管（guǎn）控（kòng）能（néng）力，泛在（zài）服（fú）务交付要求密（mì）码支（zhī）撑提供服务化的密码交付能力，让（ràng）新基（jī）建的（de）受益者（zhě）能够享受经过密码（mǎ）防护的安全新基建服务。这些能力都是（shì）传统的密码建设模式无法全面响应（yīng）的。为此我（wǒ）们（men）提供建设以密码服务平台为核心的新（xīn）型密码管理与服（fú）务基础设（shè）施，应对新型基础设施泛（fàn）在互（hù）联海量支（zhī）撑的平台特（tè）性提（tí）供泛在化、平台化的密码服务能力和一窗式、多维度（dù）的密码管理能力。

董贵山：基于我上述提到的目标，卫士（shì）通提出了集密码服务与密（mì）码管理为（wéi）一（yī）体（tǐ）的密（mì）码服（fú）务平台（tái）的（de）理念模型。在（zài）该模型的服务侧，密码服务平台包括（kuò）层次化（huà）密码服务、通用密（mì）码中间件（jiàn）和API网（wǎng）关，通过标准化（huà）集成能力（lì）集成优秀（xiù）的密码系统和密码设备；通过资源（yuán）虚拟化和微服（fú）务（wù）化设计（jì）对外提（tí）供覆盖基（jī）础密码服务、通用密码服务（wù）和安（ān）全应用服务的层次化（huà）密码（mǎ）服务能力；通过通用密（mì）码（mǎ）中间件（jiàn）封装层次（cì）化（huà）密码服务（wù）接口为应用提（tí）供一站式的密码集（jí）成能力；依（yī）托API 网（wǎng）关与（yǔ）管理侧协同实现对应（yīng）用的接入认证和访（fǎng）问控制。在管理侧，密码服务平台通过密（mì）码设备与服务管（guǎn）理提供统一的访问入口和管理（lǐ）界面，支持租户、应用、设备、服务和订单的多维度管理，对使用情况进行信息统计（jì）和可视化展现，支撑外部的密码监（jiān）管和安（ān）全运营；各类平台用户可（kě）以通（tōng）过（guò）统一访问入（rù）口（kǒu）进行登录认证，完（wán）成各自（zì）的管理职责。

密（mì）码服务平（píng）台提出“密码可用、密码好用、密码能管、密码（mǎ）好管（guǎn）”的四（sì）大服务目（mù）标。在密（mì）码可用方面，通过密（mì）码虚拟化、层（céng）次化密（mì）码服务应对（duì）目前密（mì）码资源使用率低、密码技术使用（yòng）不当、对（duì）新业务场景适应性不（bú）强（qiáng）的问（wèn）题；在密码（mǎ）好用方面，通（tōng）过（guò）通用密码（mǎ）中（zhōng）间件、标准化集成能力应对密码与应用对接困（kùn）难、密（mì）码服务接口不一致以及已建密码资源难（nán）以利旧的问题；在密码能管方面，通过API网关、密码设备与服务管理应对业务应用情况（kuàng）不可控（kòng）、密码（mǎ）使用（yòng）情况（kuàng）不可见以（yǐ）及密（mì）码资源无（wú）法统一管理等问题；在密码好管方面（miàn），通过密码服务的使用（yòng）计（jì）量和专业（yè）化技术团队应对密码（mǎ）整体（tǐ）态势无法获取、密（mì）码使用应急（jí）能力不足以及使（shǐ）用计量困难等（děng）问题（tí）。

针对新型基（jī）础设施的（de）场景（jǐng）要求，密码服务平台（tái）在基础密码服（fú）务方面能够（gòu）提供海量密钥和证书服（fú）务能力（lì）、适应（yīng）物联网、车（chē）联网的多（duō）元化证书签发和管理能力（lì）以及覆盖全网（wǎng）的（de）密码监管和管理（lǐ）能力；在通用密码服（fú）务方面能够（gòu）提供联接人机物的异（yì）构统一身（shēn）份认证服务（wù）能力、数据流（liú）转管控（kòng）与追溯机制（zhì）、物联网设备的统一（yī）标识管理能力（lì）、车联网（wǎng）平台的电子地图安全管控服务和（hé）车端密码支撑能力等（děng）针对性的密码服务能力。

董贵山：新基（jī）建（jiàn）是数字中国发展的“新”阶（jiē）段，密码服务（wù）是密码行业发（fā）展的“新”模式，两“新”碰撞，迸（bèng）发新机，以新的密码服务模式保障新基建的“内生安全”。因此为保障（zhàng）密码在（zài）新（xīn）基建中发挥更好的安（ān）全支（zhī）撑作用，需从（cóng）多个角度推进新（xīn）基（jī）建领域密码应用建设工作。

一（yī）是通过政策推动、业务驱动（dòng）等推进密码在（zài）新基建领域的广泛部署，立足（zú）密码作为（wéi）网络安全的“内置（zhì）基因”定位，实现新基建的（de）“内生安（ān）全”，推动密（mì）码在新基建的建设和示范，形（xíng）成新（xīn）基建各（gè）典型领域（yù）密码应用最佳实践。

二是从项（xiàng）目（mù）建设、场景需求中提（tí）炼业（yè）务场（chǎng）景和技术需求，开展密码技术突破和产品研制，从而能够实现（xiàn）密码技术与新基（jī）建各（gè）领域的深（shēn）度融合，以（yǐ）密码（mǎ）服务（wù）支（zhī）撑（chēng）基础设施（shī）对外安（ān）全服务。三（sān）是落实国家网络安全等级（jí）保护相（xiàng）关要求（qiú）和密码应用建设的相关要求，在新型（xíng）基础设施建设过（guò）程中要同步规划、同（tóng）步建设、同步运行密码保障系统（tǒng）并定期进（jìn）行评估。在规划过程中（zhōng），要立（lì）足新型基础设施安（ān）全要（yào）求，站在整体角度设计密码（mǎ）应用方案，在建设过程中，把（bǎ）密码（mǎ）服务融（róng）入到整（zhěng）体（tǐ）架构中（zhōng），新型（xíng）基础设施需与密码保障（zhàng）体系同步运行（háng），并通过定期安全评估、密码应用安（ān）全性评估（gū）等手（shǒu）段，持续保持密（mì）码应用的有（yǒu）效性和（hé）安全性。