在（zài）新基建的大（dà）背（bèi）景下，随着网络安（ān）全与密码（mǎ）技术的（de）不断演进，融合（hé）密码技（jì）术的网络安全（quán）体系框架逐渐成（chéng）为网络安全建设的新（xīn）趋（qū）势。

在 2020 国（guó）家网（wǎng）络安（ān）全周举行之（zhī）际，记者有幸在现（xiàn）场采访到了中国电科集团网络安全领域（yù）首（shǒu）席（xí）专家、中国网安副总工程（chéng）师（shī）、卫士通总工程师董贵（guì）山。就密码在新基建中的应（yīng）用、服务等问题，董贵山谈了他的看法。

董贵山：新型（xíng）基础设施主（zhǔ）要包括三个方面内容：一是（shì）信息基础设施。主要是指（zhǐ）基于（yú）新（xīn）一代信（xìn）息（xī）技术演化生成的基础设施（shī），比如，以5G、物（wù）联（lián）网、工业互联网（wǎng）、卫星互联（lián）网为（wéi）代表的（de）通（tōng）信网（wǎng）络基础（chǔ）设施，以人工智能、云（yún）计算、区（qū）块链为代（dài）表的（de）新技（jì）术基础（chǔ）设施，以数据中心（xīn）、智（zhì）能（néng）计算中心为代表的（de）算（suàn）力基础（chǔ）设施等；二是融（róng）合基础设施。主要是指深度应用互联网（wǎng）、大数据、人工智能等（děng）技术，支撑传统基础设施转型升级，进而形成（chéng）的融合基础设施，比如，智能交通基础设施、智慧能源基础（chǔ）设（shè）施等；三是创新基础（chǔ）设施。主要是（shì）指支撑科学研究、技术开发、产品研制（zhì）的具有公益（yì）属性的基础设施，比如，重大科（kē）技基础设施（shī）、科教基础设施、产业技术创（chuàng）新基础设施等（děng）。

从以上三个方面的（de）分类来看（kàn），新型（xíng）基础（chǔ）设施是未来引（yǐn）领数字经济（jì）发展的（de）关（guān）键载体和支柱，覆盖了网络通信（xìn）、信息计算、新兴技（jì）术领域、行业性融合平台以及科研支撑平台，将成为（wéi）数（shù）字中国在网（wǎng）络空间（jiān）“数字孪生”的（de）沃土和通路。网络（luò）安全作为（wéi）新基建（jiàn）、数字经（jīng）济发展的基石， 也受到了（le）广泛的关注与重视。

新型基础（chǔ）设施（shī）具备基础平台支撑、海量数据汇聚、广泛实体接入（rù）、泛在服务交付（fù）四大特（tè）性。“基础（chǔ）平台支撑（chēng）”体现了新型基（jī）础设施的总体定（dìng）位，不管是信息基础设施、融合基础设施还（hái）是创新基（jī）础设施，都具有显著（zhe）的基础（chǔ）性和平台性，是网络通信、信（xìn）息服务（wù）和科研创新的基础支撑；“海量（liàng）数据汇聚”“广泛实体接（jiē）入”体现了新型基础设施（shī）的平台（tái）价值，信（xìn）息基础设施和融合基础设施汇聚（jù）了海量的通信数据、行业数据和科研数据（jù），提供网络互（hù）联平台，为广泛的网络实体提供网络接（jiē）入和服务功能；“泛在服务（wù）交付”体（tǐ）现了新型（xíng）基（jī）础设（shè）施的交付（fù）模式，不管是传统基础设（shè）施还是信（xìn）息基础设（shè）施，均是采（cǎi）用服务化的（de）价值交付模式，结合互联网泛在接（jiē）入、网（wǎng）络互联的特点（diǎn），新型（xíng）基础设施能够为广泛的网络实体提供泛在化的服（fú）务（wù）覆（fù）盖，最大化平台价值。这四大特性无一不（bú）代（dài）表（biǎo）着巨大的（de）数据价值和（hé）平（píng）台价值，对网络攻（gōng）击者具有极高的诱惑力，存在极大的安全风险。

董贵山：“网络（luò）安（ān）全与（yǔ）信息化是一（yī）体之两翼（yì），驱动之双轮（lún）”。安全是发展的保障（zhàng），发展（zhǎn）是（shì）安全的（de）目的，网络安全（quán）和信息化建设（shè）互（hù）相依存、协调共生。新型基础设施建设是“云大物移智”的有机聚合和结构化（huà）升级，网络安（ān）全风险也覆盖了信（xìn）息（xī）服（fú）务平台、IoT设备（bèi）、PC端（duān）、移动端，这（zhè）些承（chéng）载着新基建业务（wù）、数（shù）据和服（fú）务的载体（tǐ）正在时刻接受海量网络攻击的考验，如何全面保（bǎo）障（zhàng）新型基础（chǔ）设施安全（quán）也（yě）受到了业界的广泛关注。新型基础设施作为国家级（jí）的（de）网络信（xìn）息服务平台、行业融合支（zhī）撑平台和科研平（píng）台，应参考关键信息基（jī）础设施的相关要求进行安全（quán）防护（hù）设（shè）计（jì）和建设工作，同时针对新基建各领域特定场景进行定（dìng）制化防护（hù）。传统的网络安全防护（hù）体系（xì）多具有通用性和普适性，无法细粒（lì）度的涵盖（gài）到特定（dìng）场景（jǐng）和业务数（shù）据流转方面（miàn），而密码（mǎ）技术（shù）因其技术特点和防护理（lǐ）念能够（gòu）深（shēn）入（rù）到业务（wù）场景之中，与业务应用进行深入融合，像（xiàng）为士兵穿上（shàng）“盔（kuī）甲”一样，为防（fáng）护对象（xiàng）提供“贴身防护”能力。

密码是保障网络和信息安全最有效、最可（kě）靠、最经济的关键核心技术，是网络安全的最后一道防线，能够为新基建的“基础平台支撑（chēng）、海量数据汇聚、广泛（fàn）实体接入（rù）、泛在服（fú）务（wù）交付” 四大特性提供针（zhēn）对（duì）性（xìng）的防护。

（1）密码为“基础平台支撑”构筑完善的安全防护体系。

新型（xíng）基（jī）础设施为国家信息化建设（shè）提供新（xīn）一代的基础支撑平台，其平台价值极高，因（yīn）此（cǐ）需要（yào）完（wán）善（shàn）的安（ān）全（quán）防护能力（lì）。密码技（jì）术在网络安全防（fáng）护体系中（zhōng）位（wèi）居核心和基础（chǔ）地位，依靠（kào）密码（mǎ）技术和网络安全技术能够打造集感知安全、传（chuán）输安全、存储（chǔ）安全（quán）、计算安全、处理安全、应用安全（quán）于一体的安全防（fáng）护能力，构（gòu）建以（yǐ）密码技术（shù）为核心、多种技术相互融合的新网络安全（quán）体系， 构筑（zhù）新基建安全（quán）防护体系。

（2）密码为“海量数据汇聚（jù）”建立（lì）坚实的数据保护能力。

新型基础设施是基于多种（zhǒng）功能、多种要素、多种技术的体系化集（jí）成，支撑着跨领域、跨平台和（hé）跨系（xì）统的（de）数据交换和信息共享，提供海量数据（jù）分析，实（shí）现（xiàn）数据的互操作和流程协同。密码技术提（tí）供的数据加密存储、可（kě）信数据汇聚、安全数据共（gòng）享、数据流转（zhuǎn）确权（quán）能够实（shí）现数据的（de）全（quán）生命周（zhōu）期安（ān）全，并对敏感数据、个人隐私数据提供针对性的（de）数（shù）据脱敏、数据（jù）加密和数据隐藏能力（lì），将防护能力深入（rù）到业务流转之中。

（3）密（mì）码为“广（guǎng）泛实体接入”提供安（ān）全的鉴别防护机制。

新型（xíng）基础设（shè）施的（de）部分重（chóng）点领域如（rú）铁路、公路、电网、通信、管网等，为（wéi）规模化的网络实体接入建设（shè）网络互联平台，实现实体（tǐ）的（de）广泛接入和互（hù）联通信（xìn）。网络互联平（píng）台的安全（quán）稳（wěn）定运行成为了新型基础设（shè）施建（jiàn）设实现价值的前提（tí）。基于（yú）密码技术为网（wǎng）络实体（tǐ）建立安全的数（shù）据执行和存储环（huán）境，基（jī）于密码技术建（jiàn）立（lì）平台侧与网络实体之间的可信鉴（jiàn）别（bié）和安全传输机制，两者（zhě）结合构建从终端侧到（dào）平台侧的安全接入（rù）环境，有效的保护平台外（wài）延的（de）网络（luò）实（shí）体安全，保障新型基础设施的网络实体安全和边界接入（rù）安全。

（4）密码为“泛（fàn）在服务交付”构（gòu）建泛在的密码（mǎ）服务能力。

从新型（xíng）基础设施（shī）的建设（shè）领域如智慧城市、物联网（wǎng）、车联（lián）网、充电桩可以（yǐ）看出，核心价值（zhí）是为数字经济广大（dà）领域提供（gòng）泛在（zài）化的服务，将基（jī）础能力提（tí）供给更多的企业、组织（zhī）和个（gè）人去使用，拓展服务范围，让更多人享受数字（zì）经济发展的（de）红利。泛（fàn）在的服务能力一方面需（xū）要（yào）服（fú）务（wù）于各行（háng）业（yè）领域，密码（mǎ）技术需要依托各行业（yè）领域（yù）特性提供相适应的（de）防护能（néng）力，另一方面需（xū）要延伸（shēn）到海量的网络实体，这（zhè）些网络实体是新（xīn）型基础设施建设（shè）的价值延伸和受益主体，同时也会成（chéng）为网络攻击的薄弱点和攻击点，成（chéng）为攻（gōng）击平台（tái）的跳板。为此，需要建立泛（fàn）在化的密码保障机（jī）制， 为（wéi）广大行业领域提供泛在的密码服务接入能力（lì），为移动终端、PC端、IoT终端提供体系化的密码防（fáng）护能力，有力的支持（chí）新基建泛在服务的安全稳定和可管可（kě）控。

新型基础设施建设一方面兼（jiān）具关键信息基础（chǔ）设施的价值定位，另一方面融合新兴（xìng）技术（shù）、新兴（xìng）领域（yù）的业务特点，具有（yǒu）较高的复杂性和先（xiān）进性。因此需要基于密码技术为新（xīn）型基础设（shè）施设计建设（shè）完（wán）善的网络安全防护体系。

董贵山：当前，密码的价值得到（dào）了广泛（fàn）的重（chóng）视，2020年1月1日，《中华人民共（gòng）和（hé）国密码法》正式（shì）实施，2020年成为了“密码法元年（nián）”，密码法对密码（mǎ）进行明确的定（dìng）义，密（mì）码是指（zhǐ）采用（yòng）特定（dìng）变换的方法（fǎ）对信息进（jìn）行加（jiā）密保护、安全认证的技术、产品和服务。其中，商用密码用于保护不属于国家（jiā）秘密的信（xìn）息，公民、法人（rén）和其他（tā）组织可以依法使用商用密码保护网络与（yǔ）信息安（ān）全。商用（yòng）密码具（jù）备（bèi）机（jī）密性（xìng）、完整性、真实（shí）性和（hé）不可否认（rèn）性四大防护特（tè）性（xìng），能够应对网络安全的数据泄露、数据篡（cuàn）改、身份仿冒和行为否认等风险。

商用密码是我国自主完善的（de）技术（shù）体系，经过二十余年（nián）的发展和演进，提出（chū）了包含SM1、SM2、SM3、SM4、SM7、SM9和ZUC算法的一套完整自洽的商用密码算法体系，建立了覆盖密（mì）码算法、密（mì）码协议、密码功能接口（kǒu）、密码（mǎ）产（chǎn）品规格（gé）、密码应用要求和（hé）测评规范（fàn）的一（yī）套完善的（de）标准体系，形成了以密码芯片、密（mì）码板卡、密码整机和（hé）密码系统（tǒng）等传（chuán）统产（chǎn）品（pǐn）为主，多种产（chǎn）品形态（tài）和应用模式并现（xiàn）的产品（pǐn）体系。

商用密码的建设（shè）受到（dào）了政策、法规、标（biāo）准、规范的全面推动。以法（fǎ）规奠定（dìng）密（mì）码法制基础，国家相继出台了（le）网络安全法（fǎ）、密码法，加速数据（jù）安全法、个人信息保护法立法进程（chéng），旨在规范网（wǎng）络安全，以法理奠定密码的核心定位；以政策推动密码按（àn）需（xū）建设，国家在关（guān）键信息基础（chǔ）设施（shī）、政务信（xìn）息化建设、信创产业等方面均以政策文件（jiàn）的方式（shì）明确了密码是网络安全（quán）和（hé）信息化建设的重要（yào）组成部分（fèn）；以标准构建密码使用基线（xiàn），网络安全（quán）等级保护标（biāo）准（zhǔn）体系的升级明确（què）了密码在等保定级（jí）和合规防护方（fāng）面的基（jī）本要求，密码行业标准体系的快速增补也在全面完善密码技术和产品的合规（guī）应用（yòng）；以测评保障密（mì）码应用合规，参考网络安（ān）全等级保护的测评（píng）机制和测评要求，密码（mǎ）行业出台了密码应用安（ān）全性评估制度，以测评来明确密码应用的合规性（xìng）、正确性和有效性，从而保障密码（mǎ）应用设计的完备（bèi）性（xìng）和（hé）密码产品在各个（gè）环节的正确有效使用。

新型（xíng）基（jī）础（chǔ）设施建（jiàn）设同样（yàng）需（xū）要密码（mǎ）技术的保（bǎo）障，无论是从（cóng）合法合规角度还是消除安全风险（xiǎn）角度来看，密码技术都是新型基础设（shè）施网络（luò）安全的最后一道防线。

从（cóng）基础设施这个词汇来（lái）看，密码行业同（tóng）样存在一个基础设施——公钥密码基础设施（shī）（Public Key Infrastructure，PKI），公钥密码（mǎ）基础设施是一个包括硬件、软件、人员、策略（luè）和规程的集合，用来实现基于公（gōng）钥密码（mǎ）体制的（de）密钥和证（zhèng）书的产生（shēng）、管（guǎn）理、存储、分发和撤（chè）销等功能（néng），目前已广泛应（yīng）用于（yú）政务、金（jīn）融、电力（lì）等构架关键信息（xī）基础（chǔ）设（shè）施领（lǐng）域，为其提供可信（xìn）的（de）密钥和（hé）证书管（guǎn）理，建立网络安（ān）全的可信根。

新型基础设施继承了传统（tǒng）基础设施建设的（de）服（fú）务化特性，通过端（duān）到（dào）端的服务模式创造（zào）和（hé）交付价（jià）值，这一模式特性要求密码支（zhī）撑能力能够提（tí）供相（xiàng）匹配的能（néng）力，PKI更倾向（xiàng）于传统的安全基础（chǔ）设施，提供基础通用的密码支撑能力，对新型基础（chǔ）设施建（jiàn）设的（de）密码需求的匹配性不高（gāo）。

新型基础设施（shī）的基础平台支撑要求密码支撑提供灵活弹性可（kě）伸缩的（de）服（fú）务能力，海量数据汇聚要求（qiú）密码支撑提供融（róng）合数据全生命周期的数据防护能力（lì），广泛实体接入要求密码支撑提供平台（tái）化的通信保护和接入管控能力，泛在服务（wù）交付要求密码支撑提供服务化的密（mì）码交付能力，让新（xīn）基建的受益者能够享受经（jīng）过密码防护（hù）的安全新基（jī）建（jiàn）服务。这些能力都（dōu）是传统（tǒng）的密码建设模（mó）式无法全面（miàn）响应的。为此我（wǒ）们提供建设以密码服务（wù）平（píng）台为核心的新型密码（mǎ）管理与（yǔ）服务基（jī）础设施（shī），应（yīng）对（duì）新（xīn）型基础设施泛在（zài）互联海量支撑的平台（tái）特（tè）性（xìng）提供（gòng）泛在化、平（píng）台化的密码服务能力和一窗式、多维度的密码管理能力。

董贵山：基于我上述提到的目标（biāo），卫（wèi）士通提（tí）出（chū）了集密码服（fú）务与密码管理（lǐ）为一体的密码服务（wù）平台（tái）的（de）理念模型。在该（gāi）模型的服务侧，密码（mǎ）服务（wù）平台（tái）包括（kuò）层次化密码服务、通用密（mì）码中间件和API网关，通过（guò）标准化集成能力集成优秀的密码系（xì）统（tǒng）和密码设备；通过资源虚拟化和微服务化设计对（duì）外提供覆（fù）盖基础（chǔ）密（mì）码服务（wù）、通用密码服务和（hé）安全应（yīng）用服务的层次化密（mì）码服务（wù）能力；通过通用（yòng）密码中（zhōng）间件封装层次化密（mì）码服务（wù）接口（kǒu）为应用提供（gòng）一站式的密码集成能力；依（yī）托API 网关与（yǔ）管理侧（cè）协同实现对应用的接入认证和访（fǎng）问（wèn）控制（zhì）。在管理（lǐ）侧，密码服务平台通过（guò）密码设（shè）备与服务管理提供统（tǒng）一的访问入口和（hé）管理界面，支持租户、应用、设备（bèi）、服务和（hé）订单的多（duō）维度管理，对使用情况进行信息统计（jì）和可（kě）视化展（zhǎn）现，支撑（chēng）外（wài）部的密码监管和安全运（yùn）营；各类平（píng）台用户可以通过（guò）统一访问入口进行登录认证，完（wán）成各（gè）自的管理职责。

密码服务平台提出“密码可用（yòng）、密（mì）码好用、密码能管、密（mì）码好管”的四大（dà）服务目标。在（zài）密码可用方面，通（tōng）过密码虚拟化、层次（cì）化密码（mǎ）服务应对目前密码资源使用（yòng）率低、密码技术（shù）使用不当、对新业务（wù）场（chǎng）景适应性（xìng）不强（qiáng）的（de）问题（tí）；在密码好（hǎo）用方面（miàn），通过通用密码中间件、标准化集（jí）成能力应对密码与（yǔ）应用对接困（kùn）难、密码服务（wù）接口不一致以及已（yǐ）建密码资源难以利旧（jiù）的问题；在（zài）密码能管方（fāng）面，通过API网关、密码（mǎ）设备与服务（wù）管（guǎn）理应对业务应用（yòng）情况不可控（kòng）、密码使用情况不可见以及密码资源无（wú）法统一管理（lǐ）等问题；在密码好（hǎo）管方面，通（tōng）过密码服务的使用（yòng）计（jì）量和专业化技（jì）术团（tuán）队应对密码（mǎ）整体态势无法获（huò）取、密码使用应急能力不足（zú）以及使用计（jì）量困难等（děng）问题。

针对新型基础（chǔ）设施的（de）场景要（yào）求，密码（mǎ）服务平台在基础密码服务方面能（néng）够（gòu）提供海量密钥（yào）和证书服（fú）务能（néng）力（lì）、适应物联网、车联网（wǎng）的（de）多元化证书签发和管理能力以（yǐ）及覆盖全网的密码监管和（hé）管（guǎn）理（lǐ）能力（lì）；在通用（yòng）密码服（fú）务方面（miàn）能够提供联接人机物的异构（gòu）统一身份认证服务能力、数据流转（zhuǎn）管控与（yǔ）追溯机制（zhì）、物联网设备的统一标识管理能力（lì）、车联网平台的（de）电（diàn）子地（dì）图安（ān）全管控（kòng）服务（wù）和车端密码支（zhī）撑能力等针（zhēn）对性（xìng）的密码服务能力。

董（dǒng）贵山：新基（jī）建是数（shù）字中国发展的“新”阶段，密（mì）码（mǎ）服务是密码行业发展的“新”模式，两“新”碰撞，迸发新机，以新的密（mì）码服务模式（shì）保障新基建的（de）“内生安全”。因此为保障密码（mǎ）在新基（jī）建（jiàn）中发挥更好的安全支撑（chēng）作用，需从多个角度推进（jìn）新基建领域（yù）密（mì）码应用建设工作。

一是（shì）通过（guò）政策推（tuī）动（dòng）、业务驱动等（děng）推（tuī）进密码在新基（jī）建领域的广（guǎng）泛部署，立足（zú）密（mì）码作（zuò）为网络安全的“内置基因”定（dìng）位，实现新基（jī）建的“内生安全”，推动密码在新（xīn）基建的建设和示范，形成新基（jī）建各典（diǎn）型领域密码应用最佳实践。

二（èr）是（shì）从项目建（jiàn）设（shè）、场（chǎng）景需求中提（tí）炼业（yè）务场景和技术需（xū）求，开展密码技（jì）术突破和产品研制，从而能够实（shí）现密码技术与新基建各领（lǐng）域的深度融（róng）合，以密（mì）码服务支撑基（jī）础设（shè）施对外安（ān）全服务。三是落实国家网络安全等级保护相关要求和（hé）密码应用建设（shè）的相关要求（qiú），在（zài）新型基础设施建设过（guò）程中要同步（bù）规划、同步建设、同步运行（háng）密码保障系统（tǒng）并（bìng）定期（qī）进行评（píng）估。在规划（huá）过（guò）程中，要立足新型基础设施安全要求，站在整体角度设计密码应用（yòng）方案，在建（jiàn）设（shè）过（guò）程中，把密码（mǎ）服务融入到整体架构中，新型基础设施需（xū）与密码保障体系同步运行，并通过（guò）定期安全（quán）评估（gū）、密（mì）码应用（yòng）安全性评估等（děng）手（shǒu）段，持（chí）续保持密码应用（yòng）的有效性和安（ān）全（quán）性。