在新（xīn）基建的大背景下，随着网络安全（quán）与密码技术（shù）的不断演进，融合密码技术的网络（luò）安全（quán）体系框架逐渐（jiàn）成为网络安（ān）全建设的（de）新趋势。

在 2020 国家网络安全周举行之际（jì），记者有幸在（zài）现场采访到了中国电科集团（tuán）网络安全领（lǐng）域首（shǒu）席（xí）专家、中（zhōng）国网安副总工程（chéng）师、卫士通（tōng）总工程师董贵山（shān）。就密码在新（xīn）基（jī）建中的应（yīng）用、服（fú）务等（děng）问题，董贵山谈（tán）了他的（de）看（kàn）法。

董（dǒng）贵（guì）山（shān）：新型基础设施主要包（bāo）括三个方面（miàn）内容：一是信息基础设施。主（zhǔ）要是指基于新一代信（xìn）息技术演化生成的基（jī）础设施，比如，以5G、物联网、工业互联网、卫星互联网为代表的通信（xìn）网络基础（chǔ）设施，以（yǐ）人（rén）工智能、云计（jì）算、区块链为代表的新技术（shù）基础设施，以（yǐ）数据中心、智能计算中心为代表的算（suàn）力基础设施等；二是融（róng）合基（jī）础（chǔ）设施。主要（yào）是指深度应用互联网、大数据、人（rén）工智能（néng）等技术，支（zhī）撑传（chuán）统基础设（shè）施转（zhuǎn）型（xíng）升（shēng）级，进（jìn）而形成的融合基（jī）础设（shè）施，比如（rú），智能交通基础（chǔ）设施、智慧能源基础设（shè）施等；三是创新基础设施。主要是指支撑科学研究、技术开发（fā）、产品（pǐn）研制（zhì）的具（jù）有公（gōng）益属性的（de）基础设施，比（bǐ）如，重大（dà）科技基础设施（shī）、科教基（jī）础设施、产（chǎn）业技术创（chuàng）新基础设（shè）施（shī）等。

从（cóng）以上（shàng）三个方面（miàn）的分类来看，新型基础设施是未（wèi）来引领数字经（jīng）济发展（zhǎn）的关（guān）键载体和支柱，覆盖了网络通信、信（xìn）息计算、新兴技（jì）术领域、行业性融（róng）合平台（tái）以及科研支撑平（píng）台，将成为数字中（zhōng）国在（zài）网（wǎng）络空间“数（shù）字（zì）孪（luán）生”的沃土和通路。网络安全作为新（xīn）基建、数字（zì）经济发展的基石， 也受（shòu）到了广泛的关注与重（chóng）视。

新型基（jī）础设（shè）施具备（bèi）基础平台支撑（chēng）、海量数据（jù）汇聚、广泛实体接入（rù）、泛（fàn）在（zài）服（fú）务交付四大特性。“基础平台支撑”体现了新型基础（chǔ）设施的（de）总体定（dìng）位，不管是信（xìn）息基（jī）础（chǔ）设（shè）施（shī）、融合（hé）基础设施还（hái）是创新基础设施，都具有显著的基础性和平台性，是网络通（tōng）信、信息（xī）服务和（hé）科研创新的基（jī）础支撑；“海量数据汇聚”“广泛实体接入”体现了新（xīn）型（xíng）基（jī）础设施的（de）平台价值（zhí），信息基础设施和融合基础设（shè）施（shī）汇聚（jù）了（le）海量的（de）通信（xìn）数据、行（háng）业（yè）数据和科研数据（jù），提供网络互联平台，为广泛的网络实体提供（gòng）网络接入和（hé）服务功能；“泛在服（fú）务交付”体现了新型基础设施的交付模（mó）式，不管是传统基础（chǔ）设（shè）施还是信息（xī）基础设施（shī），均是采用服务化的价（jià）值交付模式，结合互（hù）联网（wǎng）泛在接入、网络互联的特点，新型基础（chǔ）设施能够为广泛的网络实体提供泛在化的服务（wù）覆盖，最大化平台价值。这四（sì）大（dà）特性无一不代表着巨大（dà）的数据价值和平（píng）台价（jià）值，对网（wǎng）络攻击者具有极高的诱惑力（lì），存在极大的（de）安全风险。

董（dǒng）贵山（shān）：“网（wǎng）络安全与信息化（huà）是一体（tǐ）之两翼（yì），驱动之（zhī）双轮”。安（ān）全是发展的保障，发展是（shì）安（ān）全的目的，网络安（ān）全和信息化建设互相依存、协调共生。新型基（jī）础设施建（jiàn）设是“云大物移智”的有机（jī）聚合（hé）和结构化（huà）升级（jí），网络安全风险也覆（fù）盖了信息（xī）服务平（píng）台、IoT设备、PC端（duān）、移（yí）动端，这些承（chéng）载着（zhe）新（xīn）基建业务、数据（jù）和服务的载体正在时刻接受（shòu）海（hǎi）量网络攻（gōng）击的（de）考（kǎo）验，如何全面（miàn）保障新型基础设施安（ān）全（quán）也受（shòu）到了（le）业界的广泛关注。新型基础（chǔ）设施作为国家（jiā）级的（de）网络信息服务平台、行业融合（hé）支撑平台和科研平台，应参考关键信息基础（chǔ）设（shè）施的相关要求进行安全防护设（shè）计和建设（shè）工作，同时（shí）针对新基（jī）建各领域特定场景进行定（dìng）制化防护。传统的网络（luò）安（ān）全（quán）防（fáng）护（hù）体系多具（jù）有通（tōng）用（yòng）性和普适性，无法细粒度（dù）的涵盖到特定（dìng）场（chǎng）景和业务（wù）数（shù）据流转方面，而密（mì）码技术因其技术特点和防护理念能够（gòu）深（shēn）入到业务场（chǎng）景（jǐng）之中，与业务应用进行深入融合，像为（wéi）士兵（bīng）穿上“盔甲”一（yī）样，为（wéi）防护对象提供“贴身防护”能（néng）力。

密码是保障网络（luò）和信息（xī）安全（quán）最有效、最可（kě）靠（kào）、最经济的关键核心技术，是网络安（ān）全的最后一道防线，能够为新基建（jiàn）的“基础（chǔ）平台支（zhī）撑、海量数（shù）据汇聚、广泛实体接（jiē）入、泛在服（fú）务交付” 四大（dà）特（tè）性提供针对性的防护。

（1）密码（mǎ）为“基础平台支（zhī）撑”构筑完善的安全防护体（tǐ）系。

新型基（jī）础设施（shī）为国家信（xìn）息（xī）化建（jiàn）设提（tí）供新一代的基（jī）础支撑平台，其平台（tái）价（jià）值极高，因此需要（yào）完善的安全（quán）防护能力（lì）。密码技术在（zài）网络（luò）安（ān）全防护体（tǐ）系中位居（jū）核心和基础（chǔ）地位，依（yī）靠（kào）密码技术和网络（luò）安全技术（shù）能够打造集感知（zhī）安（ān）全（quán）、传输（shū）安（ān）全、存（cún）储安全（quán）、计算安全、处（chù）理安全（quán）、应用（yòng）安全于一体（tǐ）的（de）安全防护能力，构（gòu）建以密码技术为核心、多种技术相互融合的新（xīn）网（wǎng）络（luò）安全体系， 构筑新基建安全防（fáng）护体（tǐ）系。

（2）密码（mǎ）为（wéi）“海量数据汇聚”建（jiàn）立坚实的数（shù）据保护能力（lì）。

新型基础设施（shī）是（shì）基于（yú）多种功能（néng）、多种要素、多种技术的体系化集成（chéng），支撑着跨领域、跨平台和跨（kuà）系统的数据交换和信息共享，提供海量数据分（fèn）析，实现（xiàn）数据的互操作（zuò）和流（liú）程（chéng）协同。密码技术提供的数据加（jiā）密存（cún）储、可信数据汇聚、安（ān）全数据共享、数据流转确权（quán）能够实现（xiàn）数据的全生命周期安（ān）全，并对敏感数据（jù）、个人隐私数据提供针对（duì）性的数据脱敏、数据加密和数据隐（yǐn）藏能力，将防护能（néng）力深入到业务流转之中。

（3）密码为“广（guǎng）泛实体接入”提供安（ān）全的鉴别防护机制（zhì）。

新（xīn）型基础设施（shī）的部分（fèn）重点领（lǐng）域如铁路、公路（lù）、电网、通信、管网等，为规模（mó）化（huà）的（de）网络（luò）实体接入（rù）建设（shè）网络（luò）互（hù）联平台，实现实体的广泛接（jiē）入和互联通信。网络互（hù）联平（píng）台的安（ān）全（quán）稳定运行成为了新（xīn）型基础设施建设实现价值的前提。基于密码技（jì）术为网络实体（tǐ）建立（lì）安（ān）全的（de）数据执行（háng）和存储环境，基（jī）于密码技术建立平台侧与网络实体之间的可信鉴别和（hé）安全传输机制，两者结（jié）合构建从终端侧到平（píng）台侧的安全接入环境，有效的保护平台外延的网络实体安全，保障新型（xíng）基础（chǔ）设施的网（wǎng）络实体安全和边界接（jiē）入安全。

（4）密码为“泛在（zài）服务交付”构建（jiàn）泛在的密码服务能力。

从新型（xíng）基础设施（shī）的建设领（lǐng）域如智慧城市（shì）、物联网、车联（lián）网、充电（diàn）桩可以看出，核心（xīn）价值是为数（shù）字（zì）经（jīng）济广大领域提供泛在化的服务，将基础能（néng）力提（tí）供给更多的企业、组（zǔ）织和（hé）个人去使用，拓展服务范围，让更多人享受数字经济发展（zhǎn）的红利。泛（fàn）在的服（fú）务能（néng）力一方面（miàn）需（xū）要服（fú）务（wù）于各行业领域，密码技术需要依托（tuō）各行业领域特性（xìng）提供（gòng）相适应的防护能力，另一方面需要延伸到海量的网络实体，这些网络（luò）实体（tǐ）是新型基础设施建（jiàn）设的价值（zhí）延伸和受益主体，同（tóng）时也会成为网络（luò）攻击的薄弱点和攻（gōng）击（jī）点，成为攻击平台的跳（tiào）板。为（wéi）此，需要建立泛在化的密码保（bǎo）障机制， 为广大行业领（lǐng）域提供泛在的密码服务接入（rù）能（néng）力（lì），为移动（dòng）终端、PC端、IoT终端提供体系化的密码防护能（néng）力（lì），有力的支（zhī）持新基建泛在服（fú）务的安全稳定和可管（guǎn）可控。

新（xīn）型基础设施建设一（yī）方面兼具（jù）关键信息基（jī）础设施的价值定位，另一方面融合新兴（xìng）技术、新兴（xìng）领域的业务特点，具（jù）有较高的复（fù）杂性和先进性。因此需要（yào）基（jī）于（yú）密码技术为新型（xíng）基（jī）础（chǔ）设施设计（jì）建设完（wán）善的网络安全防护体系。

董贵山（shān）：当前，密码的价（jià）值得到（dào）了广泛的重（chóng）视（shì），2020年（nián）1月1日，《中华人民共和（hé）国密码（mǎ）法》正（zhèng）式实施，2020年（nián）成为了“密码（mǎ）法元年”，密码法对密（mì）码进（jìn）行明确（què）的定义（yì），密码是指采用特定变换的方法对（duì）信息进行加密保（bǎo）护、安全认证的技术、产（chǎn）品和服务。其中，商用密码用于（yú）保护不属于国家秘密（mì）的信息，公民、法（fǎ）人和（hé）其（qí）他组织可以依（yī）法（fǎ）使用商用密码保护网络与信息安全（quán）。商用密码（mǎ）具（jù）备机密（mì）性（xìng）、完（wán）整性、真实性和（hé）不可（kě）否认性四（sì）大防护特性，能够应对网络安全（quán）的数据泄露、数据篡（cuàn）改、身份仿冒和行为否认等风险。

商用（yòng）密（mì）码是我（wǒ）国（guó）自主完善的技术体（tǐ）系（xì），经过二十（shí）余（yú）年的发展（zhǎn）和演进，提（tí）出了包含（hán）SM1、SM2、SM3、SM4、SM7、SM9和ZUC算法的（de）一套完整自洽的商（shāng）用密码算法体系，建立了覆盖密码算法、密码协议、密码功能接口、密码产品（pǐn）规格（gé）、密码应用要求和测评规范的一套完善的（de）标准体系（xì），形成了（le）以密码芯片（piàn）、密码板卡、密码（mǎ）整机和密码系（xì）统等传统产品为（wéi）主，多种产品形（xíng）态和应用模式并现（xiàn）的产（chǎn）品体系。

商（shāng）用密（mì）码的建设（shè）受到了政策、法规、标准、规（guī）范的（de）全（quán）面推动。以（yǐ）法规（guī）奠定密码法制基础，国家相继出台了网络（luò）安全法、密码法，加速数据安全法、个人信息保护法立法进程，旨在规范（fàn）网络安（ān）全，以（yǐ）法理奠定密码的（de）核心定位；以政策（cè）推动密码按需建设，国家在关键信息基础设（shè）施（shī）、政务信息化建设（shè）、信创产（chǎn）业等方（fāng）面（miàn）均以政策文件的（de）方式明确了（le）密码是网络安全（quán）和（hé）信（xìn）息（xī）化建设（shè）的重要组成部分；以标准构（gòu）建密码使用基线，网络（luò）安全（quán）等（děng）级保护（hù）标准体系（xì）的升级明确了密码在等保定级和（hé）合规防护方面的基本要求，密（mì）码行业标准体系的快速增（zēng）补也在全面（miàn）完善密码技术和产品的合规应用；以测评保障密码应用合（hé）规，参考网（wǎng）络安全等级保护的测评机制和测评（píng）要（yào）求，密码行业出台了密码应用安全性评估制（zhì）度，以测评来明确密码（mǎ）应用的合规性、正确性和有（yǒu）效性，从（cóng）而保障密（mì）码应用（yòng）设计的完备性和密码（mǎ）产品在（zài）各（gè）个环（huán）节的正确有效使用。

新型基础（chǔ）设（shè）施建设同样（yàng）需要密码技术（shù）的保（bǎo）障，无论是从合法合规角度（dù）还是消除安全风险（xiǎn）角度来看，密码（mǎ）技术都是新型基础设施网络安全的最后一（yī）道防线。

从基础设施这个词汇来看，密码行业同样（yàng）存在一个基础设施——公钥密码（mǎ）基础设（shè）施（Public Key Infrastructure，PKI），公钥密（mì）码基础设（shè）施是（shì）一个包括硬（yìng）件（jiàn）、软件、人员、策略和规（guī）程的集合，用来实现（xiàn）基于公钥密码体制的密钥和证书（shū）的产（chǎn）生、管理、存储（chǔ）、分发（fā）和撤（chè）销等（děng）功能，目前已广泛应用于政务、金融（róng）、电力（lì）等构架关键信息（xī）基础设施领域，为其提供可信的密钥和证书（shū）管（guǎn）理，建立网（wǎng）络安全的（de）可信（xìn）根。

新型基础设施（shī）继承了传统基础设施（shī）建设的服（fú）务化特（tè）性，通过端到端的（de）服务模式创造和（hé）交（jiāo）付价值（zhí），这一模式特（tè）性要求（qiú）密码支撑能力能够提供相匹配的能力，PKI更倾向于（yú）传统的安全基础设施，提供基础通用的密码（mǎ）支撑能力，对新型基础设施（shī）建设的（de）密码需求的（de）匹配性不（bú）高。

新型基础（chǔ）设（shè）施（shī）的基础平台（tái）支（zhī）撑要（yào）求密码支撑提供灵（líng）活弹（dàn）性可伸缩的服务能力，海量数据（jù）汇聚（jù）要求密（mì）码支撑（chēng）提供融合数据全生命周期的数据防（fáng）护能（néng）力（lì），广（guǎng）泛（fàn）实（shí）体接入要（yào）求密码支（zhī）撑提（tí）供平台化的（de）通信保护（hù）和接入管控能（néng）力，泛在（zài）服（fú）务（wù）交付（fù）要求密码支撑提供（gòng）服务化的密码交付能（néng）力，让新基建（jiàn）的受益者能够享受经过密码防护的安全新基建（jiàn）服务。这些能力都（dōu）是传统的密码建设模（mó）式无法（fǎ）全（quán）面响应的。为（wéi）此我们（men）提供建设以密码（mǎ）服务（wù）平台为核心的新（xīn）型密码管理与（yǔ）服务基础设施，应对新型基础（chǔ）设施泛（fàn）在互联（lián）海量支撑（chēng）的平台（tái）特性提供泛（fàn）在化、平台化的密码服务能力和（hé）一窗式（shì）、多维度的密码管理能（néng）力。

董贵山：基（jī）于我上述提到的目标，卫士通提出了集密码服务与密（mì）码（mǎ）管理为一体的密码（mǎ）服务（wù）平台的理（lǐ）念模型。在该（gāi）模（mó）型的服务侧，密码（mǎ）服（fú）务平台包括层次化密码服务、通用密码中间（jiān）件（jiàn）和API网关，通过标（biāo）准化（huà）集（jí）成能力集成优秀的密码（mǎ）系统和密（mì）码设备；通过资源虚拟化和微（wēi）服务化设计（jì）对外提供覆盖基础密（mì）码服务、通用密（mì）码服务和（hé）安全应用服（fú）务的层次（cì）化（huà）密（mì）码服务（wù）能力（lì）；通过（guò）通用密码中间件封装层次化密（mì）码（mǎ）服（fú）务接口为应用提供一站式（shì）的密（mì）码集成能（néng）力；依托（tuō）API 网关与管理侧（cè）协同（tóng）实现对应用的接入认证和访（fǎng）问控制。在管（guǎn）理侧（cè），密码服（fú）务平台（tái）通过密（mì）码（mǎ）设（shè）备与服务管理提供统（tǒng）一的访问入口和管理界面，支持租户（hù）、应用（yòng）、设备、服务和订单（dān）的多维度管（guǎn）理，对（duì）使用情（qíng）况进（jìn）行信息统计（jì）和可（kě）视（shì）化展现（xiàn），支撑外部的密码监管和安全（quán）运营（yíng）；各类平台用（yòng）户可（kě）以通（tōng）过统（tǒng）一访问入口进行登录认证，完成各（gè）自的管理职责。

密码服务平（píng）台（tái）提（tí）出“密（mì）码（mǎ）可（kě）用、密码（mǎ）好用、密码能管、密码好管（guǎn）”的四大服（fú）务目标。在密码可用方面，通过密码虚拟化、层次化密码服（fú）务应对目前（qián）密码资源使用（yòng）率（lǜ）低（dī）、密码技术使用不当、对（duì）新业务场景适应性（xìng）不强的问题；在密码好用方面，通过通用（yòng）密码中间件（jiàn）、标（biāo）准（zhǔn）化集成能力应（yīng）对密码与应用对接困难、密码服务接口不一（yī）致以及已建（jiàn）密码资（zī）源难以利旧的（de）问题（tí）；在密（mì）码能管（guǎn）方面，通过API网关、密码（mǎ）设备与服务管理（lǐ）应对业务应用情况不可控、密码使（shǐ）用情况不可见以及（jí）密码资源（yuán）无法统一管（guǎn）理等问题；在密码好管方面，通过密码（mǎ）服务的（de）使用计量和（hé）专（zhuān）业（yè）化（huà）技（jì）术团队（duì）应对密码（mǎ）整（zhěng）体（tǐ）态势无法获取、密（mì）码使用（yòng）应（yīng）急（jí）能（néng）力不足以及使用（yòng）计量困难等问题。

针（zhēn）对新（xīn）型（xíng）基（jī）础设施的场景要求，密码服（fú）务平台（tái）在基础密码服务方面能够提供海（hǎi）量（liàng）密钥和证书（shū）服务能力、适应（yīng）物（wù）联网、车（chē）联网（wǎng）的多元化证书签发和管理能力以及（jí）覆盖全网（wǎng）的密码监管和管理能力；在通用密码服务方面能够提供联接（jiē）人机物（wù）的异构统（tǒng）一身份认证服务能力、数据流转管控与追溯机制（zhì）、物联网设（shè）备的（de）统一标识管（guǎn）理能（néng）力、车（chē）联网平台的电子地图安全管控（kòng）服务（wù）和车端密码（mǎ）支撑能力等针对性的密码（mǎ）服务能（néng）力。

董（dǒng）贵山（shān）：新基建是数字中国发展的“新”阶段（duàn），密码服务是（shì）密码行业发展的“新”模（mó）式，两“新”碰撞，迸发新机，以（yǐ）新（xīn）的（de）密码（mǎ）服务模式保障新基建（jiàn）的“内生（shēng）安全”。因此为（wéi）保障（zhàng）密码在新基建中发挥更（gèng）好的安（ān）全支撑作用，需从多（duō）个角度推进新基建领域密码应用建设（shè）工作。

一是通过政策推动（dòng）、业务驱动等推进密码在新基建领域的广泛部（bù）署，立（lì）足密码作为网络安全的（de）“内置基因（yīn）”定位，实现新（xīn）基建的（de）“内生安全”，推动密码在新基建的建设和示范（fàn），形成（chéng）新基（jī）建各（gè）典型领域密码应用（yòng）最佳实践。

二是从（cóng）项目建设（shè）、场景（jǐng）需（xū）求（qiú）中提炼业务（wù）场（chǎng）景和（hé）技术需求，开展密码技术（shù）突破和产品（pǐn）研制，从而能够实现密码（mǎ）技（jì）术与新（xīn）基建各（gè）领域的深度融（róng）合，以密码服务支撑基（jī）础设施（shī）对外安全服务。三是落（luò）实国家网络安全等级保护相关（guān）要求和密码应（yīng）用建设的相关要求，在新（xīn）型（xíng）基础设（shè）施（shī）建（jiàn）设过程中要同步规划、同步建设、同步运行密码保障系统（tǒng）并定期进行（háng）评估。在规划过程中，要立足（zú）新型基（jī）础设施安全（quán）要求，站在整（zhěng）体角度设计密码应（yīng）用方案（àn），在建设过程中，把密码服务融入（rù）到整体架构中，新型基础（chǔ）设施需与密（mì）码（mǎ）保障体（tǐ）系同步运（yùn）行（háng），并通过定期安全评估（gū）、密码应用安（ān）全性评估等手（shǒu）段，持续保持密码应用的有效性和安全性。