在新基建的（de）大背景下，随（suí）着网络安全与密码（mǎ）技（jì）术的不断演进，融合（hé）密码（mǎ）技术的网络安全体系框架逐渐成为网（wǎng）络（luò）安全建设的新趋势。

在 2020 国家网络安全周举行（háng）之际，记（jì）者有幸在现场采访到了（le）中国（guó）电科集团网络安全领域首（shǒu）席专家、中国（guó）网（wǎng）安（ān）副总工程师、卫士通总工程师董贵山（shān）。就（jiù）密码在新基建中的应用、服（fú）务等（děng）问题，董贵山谈了他的看法。

董贵山：新型基础（chǔ）设（shè）施主（zhǔ）要（yào）包括（kuò）三个方面内容：一是信息基（jī）础（chǔ）设施。主要（yào）是指基于新（xīn）一代信息技术演化生成（chéng）的基础设施，比如（rú），以5G、物联网、工业互联网、卫星（xīng）互联网为代表的通信网络基础设施，以人（rén）工智能、云计算、区块链为代（dài）表的新技术基础设施（shī），以数据（jù）中心、智能计算中心为代表的算力基础设施等（děng）；二是融合基础设施。主要是指深度应（yīng）用互联网、大数（shù）据、人工智（zhì）能等（děng）技术，支（zhī）撑传统基础设施转型（xíng）升级，进而形成的融合基础设（shè）施，比如，智能交通基础设（shè）施、智（zhì）慧能源基础设施等（děng）；三是创新基础设施。主要（yào）是指支撑（chēng）科学研究、技术开发、产（chǎn）品研制的具有公（gōng）益（yì）属性的基础（chǔ）设施，比如，重大（dà）科技（jì）基础设施（shī）、科教基础设（shè）施、产业技（jì）术创新基础设（shè）施等（děng）。

从以上三个方（fāng）面的分类来看（kàn），新型基础（chǔ）设施是未来引（yǐn）领数字经济发展的关键（jiàn）载体和支（zhī）柱，覆盖了网（wǎng）络通信（xìn）、信息计算、新兴技术领域、行业性融合平台以及科研支撑平台，将（jiāng）成（chéng）为数字中（zhōng）国在网络空间“数字孪生”的沃土和通路。网（wǎng）络安全作为新基建、数字经济发展（zhǎn）的基（jī）石， 也受到了广（guǎng）泛的关注与重视。

新型基础设施具备基础平台支（zhī）撑、海量数（shù）据汇聚、广泛实体接入、泛在服（fú）务交付四大特性。“基础平台支撑”体现了新（xīn）型基础设施的（de）总体定（dìng）位，不管（guǎn）是信息基础设施、融（róng）合基础（chǔ）设施还是创新基础设施，都（dōu）具有显著的基础性和平台性，是网络通（tōng）信、信息服务和科（kē）研创新（xīn）的基础（chǔ）支撑；“海量数据汇聚”“广泛实（shí）体接入”体现了新型基础设施的平台价值（zhí），信息基础设施和融合基础设施（shī）汇聚了（le）海量的通信数据、行（háng）业数（shù）据和（hé）科（kē）研数据，提供（gòng）网络互（hù）联（lián）平台，为广泛的网络（luò）实体提供网络接入（rù）和服务功能（néng）；“泛在服务（wù）交（jiāo）付（fù）”体现了新型基础设施的（de）交付模式（shì），不管是传统（tǒng）基础设施还是（shì）信息基础设（shè）施，均是（shì）采用服（fú）务化（huà）的价值交付模式（shì），结合互联网泛（fàn）在接入、网络互联的特点，新型基（jī）础设施（shī）能够（gòu）为广泛的网络实体提供泛在（zài）化的（de）服务（wù）覆（fù）盖，最大化平（píng）台（tái）价值。这四大特性无一不代（dài）表着（zhe）巨大的（de）数据价值和平台价值，对网络攻（gōng）击者具有（yǒu）极高（gāo）的诱（yòu）惑力，存在极大的安全风险（xiǎn）。

董贵山：“网络（luò）安全与信息化是一体之两翼（yì），驱动之双轮（lún）”。安全是发展的保障，发（fā）展是（shì）安全的目的，网络安（ān）全和信息化（huà）建设互相依存、协调共生。新型基（jī）础设施（shī）建设（shè）是“云大物移智（zhì）”的有机聚合和结（jié）构化升级，网络安全风险也覆盖了信息服务平台（tái）、IoT设备、PC端、移（yí）动端（duān），这些承载（zǎi）着新基建业（yè）务、数据和服务的载（zǎi）体正在时刻接（jiē）受海量网络攻（gōng）击的考验，如何全面保障新型基础设施安（ān）全（quán）也受到了业界（jiè）的（de）广泛关注。新型基础设施作为国家（jiā）级的网络信息（xī）服务平台、行业融合支撑平台和科研平台，应参（cān）考关键信息（xī）基础设施的相关要求进行安全防护设计和（hé）建设工作（zuò），同时针对新基建（jiàn）各领（lǐng）域特定场景进行（háng）定（dìng）制化防护。传统（tǒng）的网络安全防护体系多具（jù）有通用性和普适性，无（wú）法细粒度的涵盖到特定场景和业务数据（jù）流转方面（miàn），而密（mì）码技术（shù）因其技术特（tè）点和防护理念能（néng）够（gòu）深入到业务场景（jǐng）之中，与业（yè）务应（yīng）用（yòng）进行深入融合，像（xiàng）为士兵穿上“盔甲（jiǎ）”一样，为防护对象提供（gòng）“贴身防护”能力。

密码是保障网络（luò）和（hé）信息安全最（zuì）有效、最可靠（kào）、最经（jīng）济的关键核心技术（shù），是（shì）网络（luò）安全的（de）最后一（yī）道（dào）防（fáng）线，能够为新基建的“基（jī）础平台支撑（chēng）、海（hǎi）量数（shù）据汇聚、广泛实体接入、泛在（zài）服（fú）务（wù）交（jiāo）付” 四大（dà）特性提供针对性的防护。

（1）密码（mǎ）为“基（jī）础（chǔ）平台支撑”构筑完善的安全防（fáng）护体系。

新型基础设施为（wéi）国家信（xìn）息化建（jiàn）设提供新一代的（de）基础支撑平台，其平台价值极高（gāo），因此需要完（wán）善的安全（quán）防护（hù）能力。密码技术在（zài）网络安全防护体系中位居核心和（hé）基础地位，依靠密码技术和网络安全技术能够打造集感知（zhī）安全、传（chuán）输安全、存（cún）储安（ān）全、计算（suàn）安全、处理（lǐ）安全（quán）、应用安（ān）全（quán）于（yú）一体的安全（quán）防护能力，构建以密码（mǎ）技术为核心、多种技术相互融合的新（xīn）网（wǎng）络安全体（tǐ）系， 构筑新基建（jiàn）安全防护体系（xì）。

（2）密码为“海（hǎi）量数据（jù）汇聚”建立坚实的数据（jù）保护能力。

新（xīn）型基础设（shè）施是基（jī）于（yú）多种功能、多种要（yào）素、多种技术的体系化集成，支撑着跨领域、跨（kuà）平台和跨系统的（de）数据交换和信息共享，提（tí）供海量数据（jù）分析，实（shí）现数据（jù）的互操作和流程协同。密码技术提供的数据加密存储、可信数据（jù）汇聚、安（ān）全数据共享（xiǎng）、数据（jù）流转确权能够实现数据（jù）的全生命周期安全，并对敏感数据、个人隐（yǐn）私数据（jù）提供针对性的数据（jù）脱敏（mǐn）、数据加密和数据隐（yǐn）藏能（néng）力，将防护能（néng）力深入到业务流转之中。

（3）密码（mǎ）为“广泛实体接入”提（tí）供安全的鉴别防护机制（zhì）。

新型基础设施的部分（fèn）重点领域如铁路、公路、电网、通信、管网等，为规模化（huà）的网络实体接入建设网络互联平台，实现实（shí）体的（de）广泛接入和互联通信。网（wǎng）络（luò）互联平（píng）台（tái）的安（ān）全稳定运行成为了新型基（jī）础设施建设实现（xiàn）价值的前提。基于密码技术为网络实（shí）体建立（lì）安（ān）全的（de）数（shù）据执行和存储（chǔ）环境，基（jī）于密（mì）码技术建立平台侧（cè）与网络实体之间的可（kě）信（xìn）鉴别和安全传输（shū）机制，两者（zhě）结合构建从（cóng）终端侧到平台（tái）侧的安全接入环境，有效的保护（hù）平台外延的网络实体安全，保障（zhàng）新型基础（chǔ）设施的网络实（shí）体（tǐ）安全和边界接入（rù）安全。

（4）密码为（wéi）“泛在服务（wù）交付”构建泛在的密码服务能力（lì）。

从新型基础设施（shī）的建（jiàn）设领域如智慧城市、物（wù）联（lián）网、车（chē）联网、充（chōng）电桩可以看出，核心（xīn）价值是为数字经济广大（dà）领域提供泛（fàn）在化（huà）的服务，将基础能（néng）力提供给更多的企业、组织和（hé）个人去使（shǐ）用（yòng），拓（tuò）展（zhǎn）服务范围，让更多人（rén）享受数（shù）字经济发展的红（hóng）利（lì）。泛在的服（fú）务能力一方面需要服务于各行业领（lǐng）域，密码（mǎ）技术需（xū）要依（yī）托各行业领域特性提供相适应的（de）防护能力，另一方（fāng）面需要延伸到（dào）海（hǎi）量的（de）网络实（shí）体（tǐ），这些网络实体是新型基础设施建设的价值延伸（shēn）和受（shòu）益主体，同时也会成为网络（luò）攻击的薄（báo）弱点和攻（gōng）击点，成为攻击平（píng）台的跳板。为此，需要建（jiàn）立（lì）泛在（zài）化的密码保（bǎo）障机制， 为广大行业领域提供泛（fàn）在的（de）密（mì）码服务接入（rù）能力，为移（yí）动终端（duān）、PC端、IoT终端提供（gòng）体系（xì）化的密码（mǎ）防护能力，有（yǒu）力的支持新基建泛在服务（wù）的安全稳定和可（kě）管可控。

新型基础设施建设一方面兼具关（guān）键信息（xī）基础设施的（de）价（jià）值定位，另（lìng）一方（fāng）面融合新兴技术、新兴（xìng）领（lǐng）域的业务（wù）特点，具有较高的（de）复杂（zá）性和先进性。因此需要基于密码技术为（wéi）新型基础设施设（shè）计建设完善（shàn）的网络安（ān）全防护体系。

董贵（guì）山：当前（qián），密码的价（jià）值得到了广泛的重（chóng）视，2020年1月1日，《中华（huá）人民共和国密码法》正式实（shí）施，2020年成为了“密码法元年”，密码法对密码进行明（míng）确的定义，密码是指采用（yòng）特定变（biàn）换的方法对信息进行加密保护、安全认（rèn）证（zhèng）的（de）技（jì）术、产（chǎn）品和服务。其（qí）中，商（shāng）用密（mì）码用于（yú）保护不属于（yú）国（guó）家秘密的信息（xī），公民（mín）、法（fǎ）人和其他组织（zhī）可以依法使（shǐ）用商用（yòng）密码（mǎ）保护网络与信息安全（quán）。商用（yòng）密码具备（bèi）机密性（xìng）、完整性、真实性（xìng）和不可（kě）否认性（xìng）四大防护特性，能够应对网络（luò）安全的数据泄（xiè）露、数（shù）据篡改（gǎi）、身份仿冒和行为否认等风险。

商用（yòng）密码是我国自主完善的技术体系，经过二十余年的发展和演进，提（tí）出了包含SM1、SM2、SM3、SM4、SM7、SM9和ZUC算法的一套（tào）完整自洽的（de）商用密码算法体系，建立（lì）了（le）覆（fù）盖密码算法（fǎ）、密码协议（yì）、密码功能接口（kǒu）、密码产品规格（gé）、密（mì）码（mǎ）应用要（yào）求和测评规范的一套完善的标准体（tǐ）系（xì），形成（chéng）了以密码（mǎ）芯片、密码板卡（kǎ）、密码整机和密码系统等传（chuán）统产品为主，多种产品形（xíng）态和应用模式并（bìng）现的产品体系。

商用（yòng）密码的（de）建设（shè）受到（dào）了政策、法规、标准、规范的全面推动（dòng）。以法规奠定密码（mǎ）法制基础，国家（jiā）相继出台了网（wǎng）络安全法、密码（mǎ）法，加（jiā）速数据安（ān）全法、个人信息保（bǎo）护法立法进程，旨在规范网络安全（quán），以法理奠定（dìng）密码的（de）核心定（dìng）位；以政（zhèng）策推动密码按需建设（shè），国家在关键信息基础设施（shī）、政务信息（xī）化建设、信创产业等方面均以政策文件（jiàn）的方（fāng）式明（míng）确（què）了（le）密码是网络安全（quán）和信息化建设的重要（yào）组（zǔ）成部分；以标准（zhǔn）构建密码（mǎ）使用（yòng）基（jī）线，网络安全等级保护（hù）标（biāo）准体系的（de）升（shēng）级明确了密码在等保定级（jí）和合规防护方面的基本要求，密（mì）码行业标准体系（xì）的快速增补也在全（quán）面完善密（mì）码技术和（hé）产品的合规应用；以测评保障密码（mǎ）应用合（hé）规，参考网络安全等级（jí）保护的测（cè）评（píng）机制和测（cè）评要求（qiú），密码行业出台（tái）了密码应用安全性评（píng）估（gū）制度（dù），以测评来明确密码（mǎ）应用的合规性、正确性和有（yǒu）效（xiào）性，从而（ér）保障密码应用设计的（de）完备性和密码产品在各个环节的正确有效使用。

新型基础设施建设同（tóng）样需要密码技术的保障（zhàng），无论（lùn）是从合（hé）法合规角（jiǎo）度还是消（xiāo）除安全（quán）风险角度来（lái）看（kàn），密码技术都是新型基（jī）础设施网络安全的最（zuì）后一（yī）道防线。

从基础设施这个词（cí）汇来看，密码行业（yè）同样（yàng）存在一个（gè）基础设（shè）施——公钥密码基础设施（Public Key Infrastructure，PKI），公（gōng）钥密码基础设施是（shì）一个包括硬件、软件、人员、策略和（hé）规程（chéng）的集合，用来实现基（jī）于公钥密（mì）码体（tǐ）制的密钥和（hé）证（zhèng）书的产生、管（guǎn）理、存储、分发和（hé）撤销等功（gōng）能，目前已广泛应用于（yú）政务、金（jīn）融、电力（lì）等构架（jià）关键信息基础设施领域（yù），为（wéi）其（qí）提供可信的密钥（yào）和证书管理，建立网络安全的可信根。

新（xīn）型基（jī）础（chǔ）设施继承了（le）传统（tǒng）基础（chǔ）设施建设的服（fú）务化（huà）特（tè）性，通（tōng）过端到端的服务模式创造和交付价（jià）值，这一模式特性要求（qiú）密码支（zhī）撑能力能（néng）够提供相匹配的（de）能力，PKI更倾向（xiàng）于传统的安全基础设施，提供基（jī）础通用（yòng）的密码支撑能力，对新（xīn）型基础设（shè）施建设的密码需求的匹配性不高。

新型基（jī）础（chǔ）设（shè）施的基础平台支撑要求密码支撑提供（gòng）灵活弹性可伸缩的服务能力，海量数据汇聚要求密码支撑（chēng）提（tí）供融（róng）合数据全生命周（zhōu）期（qī）的（de）数据防（fáng）护能力，广泛实体接（jiē）入要求密码支撑提供平台化（huà）的通信保（bǎo）护和接（jiē）入管控能力（lì），泛在服务交付要求密码（mǎ）支撑提供服务化的密码交付能力，让新基建的受益（yì）者能够享受经过密码防护的（de）安全新基建服（fú）务。这些能力都是传统的密码建设模式无法全面响应的。为此我们提供建设以密码服务平台为核心的新型密码管理与服（fú）务基础设施，应对（duì）新型基础设施泛在互（hù）联海量支撑的平（píng）台特性提供泛在化、平台化（huà）的密码服务能（néng）力和一窗式、多维度的密码管理能力。

董贵山（shān）：基于我上述提到的目标，卫（wèi）士（shì）通提出了集密码服务与密码管理（lǐ）为一体（tǐ）的密码服务平台的（de）理（lǐ）念模型。在（zài）该模型的服务侧，密码（mǎ）服（fú）务（wù）平台包（bāo）括层次化密码服务、通用密码中间件和API网关，通过（guò）标准化集成能力（lì）集（jí）成（chéng）优秀的密码系（xì）统（tǒng）和密码设备；通过资（zī）源虚拟化和微服务（wù）化（huà）设（shè）计对外提供覆盖基（jī）础密码服务、通用密码服务和安全应（yīng）用服务的层（céng）次化密码服务（wù）能力；通过通用密码（mǎ）中（zhōng）间（jiān）件封（fēng）装层次（cì）化密（mì）码服务接口（kǒu）为应用提（tí）供（gòng）一站（zhàn）式的密码集成能（néng）力；依托API 网关与管（guǎn）理（lǐ）侧协同实现对应用的接入（rù）认证（zhèng）和访问控制。在管理侧，密（mì）码服务平台通过密码设备与服务管理（lǐ）提供统一（yī）的（de）访问入口和管理（lǐ）界（jiè）面，支持租（zū）户、应用、设备、服务和订（dìng）单（dān）的多维度管理，对使用情（qíng）况进（jìn）行信息统计（jì）和可视化展现（xiàn），支撑外部的密码监管和（hé）安（ān）全运营；各类平台用户可以通过（guò）统一（yī）访（fǎng）问入口进行登录（lù）认（rèn）证，完成各自的（de）管理职责。

密码服（fú）务（wù）平（píng）台提出（chū）“密码（mǎ）可（kě）用（yòng）、密码好用、密码能管、密码好（hǎo）管”的四大服务目（mù）标。在（zài）密码可用方（fāng）面，通（tōng）过密码虚拟（nǐ）化、层次化密码服务（wù）应对目前（qián）密码资源（yuán）使用率低、密码技术使（shǐ）用不当、对新业务场景适（shì）应性（xìng）不（bú）强（qiáng）的问题；在密码好用方面，通过（guò）通用密码（mǎ）中间件、标（biāo）准化集成能力应对密码与应用对接困（kùn）难（nán）、密码服务接口（kǒu）不一致以及已建密码资源难以利旧的问题；在密码能管（guǎn）方面，通过API网关、密码设备（bèi）与服务管（guǎn）理应对业（yè）务应用（yòng）情（qíng）况不可控（kòng）、密码使用情况不可见（jiàn）以及（jí）密码资源（yuán）无（wú）法统一管理等（děng）问题；在密码好管方面，通（tōng）过密码服务的使用计量和（hé）专业（yè）化技术（shù）团队应对密码整体态势无法获取、密码使用应（yīng）急能力不足（zú）以及使用计量困难等问题。

针对（duì）新型（xíng）基础（chǔ）设施的场（chǎng）景要求，密码（mǎ）服务平台（tái）在基础密（mì）码服务方面（miàn）能（néng）够提供（gòng）海量密（mì）钥和（hé）证书服务能力（lì）、适应物联网、车联网的多元（yuán）化证书签发和管理能力以及（jí）覆盖全网的密码监管和管理（lǐ）能力；在通（tōng）用密码服务方面能够提供（gòng）联接人机物的异构统（tǒng）一身份认证服务能力、数（shù）据流（liú）转管控与追溯机制、物联网设（shè）备的统一标识管理能（néng）力、车联网平台的（de）电子地图安全管控服务和车（chē）端密码支撑能力等针对性（xìng）的密码服（fú）务能力（lì）。

董贵山：新基建是数字中国发（fā）展的“新（xīn）”阶段（duàn），密（mì）码服务是（shì）密码行业发展的（de）“新”模式，两“新（xīn）”碰撞，迸发新机，以（yǐ）新的密码服（fú）务模式（shì）保障新基建的“内生安全”。因（yīn）此（cǐ）为保障密码在新基建中发挥更好的安（ān）全支撑（chēng）作用，需从多个角（jiǎo）度推进新基建领域密码（mǎ）应用建设工作。

一是（shì）通过政（zhèng）策推动（dòng）、业务驱动等推进密码在新基建领域（yù）的广泛部署，立足密码作为网（wǎng）络安全（quán）的“内置基因”定（dìng）位，实现新基（jī）建（jiàn）的“内生安全”，推动（dòng）密（mì）码在新基建的建设（shè）和示范，形成新基建各典型领域（yù）密码应（yīng）用最佳实践。

二是从项目建设、场景需求中提（tí）炼业务场景和技术（shù）需求，开展密码技术突破和（hé）产品研制，从而能够实现密码技术与新基建各领域的（de）深度融合（hé），以密（mì）码服务支撑基础设施（shī）对（duì）外安全服务。三是落实国家网络（luò）安全等级保护相关要（yào）求和密码应（yīng）用建（jiàn）设的相关要求，在新型（xíng）基础设施建设过程中要同步规划、同（tóng）步建设、同（tóng）步运行密码保障系统并定期进行评估（gū）。在规划过程中（zhōng），要（yào）立足新型基础设施（shī）安全要求，站（zhàn）在整体角度设计（jì）密码应用方（fāng）案，在建设过程（chéng）中（zhōng），把密码服务（wù）融入到整体架（jià）构（gòu）中，新型基础设施需与密码（mǎ）保障体系同步（bù）运行，并通过定期安全评估、密（mì）码应用（yòng）安全性评估等手段，持续保持密码应（yīng）用的（de）有效性和安全性。