在新基建的大背（bèi）景下，随着（zhe）网络（luò）安全与（yǔ）密码技术的（de）不断演进，融合（hé）密码（mǎ）技术的网络安全体系（xì）框架逐渐成为网络安（ān）全建设的新趋势。

在 2020 国家网络安全周举行之（zhī）际，记者有（yǒu）幸在现场采访到了中国电科（kē）集团网（wǎng）络安全领（lǐng）域（yù）首席专家、中国网（wǎng）安副总工程师、卫士通总工程师董贵山。就密码在新（xīn）基建中的应用（yòng）、服务等（děng）问（wèn）题，董（dǒng）贵山谈（tán）了（le）他的看法。

董贵山：新型基础设（shè）施主（zhǔ）要包括（kuò）三个（gè）方面（miàn）内容：一是信息基础设施（shī）。主要是（shì）指基（jī）于（yú）新一代信息技术演（yǎn）化生成的基础设（shè）施，比如，以5G、物联网、工业互联网、卫星互联网（wǎng）为（wéi）代表的通信网络基础（chǔ）设施，以人工智能、云计算、区块链为代（dài）表的新技术基础设施，以数据中心、智能计算中（zhōng）心（xīn）为代表的（de）算（suàn）力基础设施等；二是融合基础（chǔ）设施。主要是指深度（dù）应用互联网、大数据、人工智能等技术，支撑传（chuán）统基（jī）础设施转型升（shēng）级，进（jìn）而形成的融合基础设施（shī），比如，智能交通基础设施、智（zhì）慧能源基础设（shè）施等；三是创新基础设施。主要（yào）是指支撑科学（xué）研究、技术开发、产品研制的具有公益属性的基（jī）础设施，比如，重（chóng）大（dà）科技（jì）基础（chǔ）设施、科教基（jī）础设施（shī）、产业技术创新基础（chǔ）设施等。

从以上三个方面的（de）分类来（lái）看，新型基础设施是未来引领数字经济发展的关（guān）键（jiàn）载体和（hé）支柱，覆盖了网络通信、信息计算、新兴技术领域、行（háng）业性融合（hé）平台以及科研支撑平台，将成为数字中国在（zài）网络空间“数字孪生”的沃土和通路。网络安全作为新基建（jiàn）、数字经济发展的基石， 也受到了广泛的关注（zhù）与重视。

新型基础（chǔ）设施具备基础（chǔ）平（píng）台（tái）支（zhī）撑、海（hǎi）量数据（jù）汇聚、广泛实体接入、泛在服务交付四大特性。“基础平台支撑”体现（xiàn）了新型基础设施的总体定（dìng）位，不管是信息（xī）基础设施、融合（hé）基础设施还是创新基（jī）础（chǔ）设施，都具有显著的（de）基础（chǔ）性和平台性，是网络通信、信息服务和科研创新的基础支撑；“海量数据汇聚”“广泛实体接入”体现（xiàn）了新型基（jī）础设施的平（píng）台价值（zhí），信息基础设（shè）施和融合基础设（shè）施汇聚了海量的通信数据、行业（yè）数（shù）据和（hé）科（kē）研数据，提供网络互联（lián）平台，为广泛的（de）网（wǎng）络实体提（tí）供网络接（jiē）入和服务功能；“泛在服务交付（fù）”体现（xiàn）了新（xīn）型基础设施的（de）交（jiāo）付（fù）模式，不（bú）管是传统基础设施还是信息基础设施，均是采用服务（wù）化的价值交付（fù）模式，结合（hé）互联网（wǎng）泛在（zài）接入、网络互（hù）联的特点，新型（xíng）基础设施能够为广泛的网（wǎng）络实体提供泛（fàn）在化的（de）服务覆（fù）盖，最大化平台价值。这四大（dà）特性无（wú）一不（bú）代表着巨（jù）大（dà）的（de）数据价值和（hé）平台（tái）价值，对（duì）网络攻击者具有极高的诱惑力，存在极大的安全（quán）风（fēng）险。

董贵山：“网（wǎng）络安全与信（xìn）息化是一体之两翼，驱动（dòng）之双轮”。安全是发展的保（bǎo）障，发展是（shì）安（ān）全的（de）目的，网（wǎng）络安全和信息化建设互相（xiàng）依（yī）存、协调共生。新型基（jī）础设施建设是“云大物（wù）移智”的（de）有机聚合和结构（gòu）化升级（jí），网络安全风险也覆盖了信息服务平（píng）台、IoT设备、PC端（duān）、移动端，这些承载着新基建业务、数据和服务的载体（tǐ）正在（zài）时刻接受海（hǎi）量网络攻击的考验，如何全面保障新型基础设施安全（quán）也受到了（le）业界的广泛关注。新型基（jī）础设（shè）施作为国家级的网（wǎng）络信（xìn）息服务平台（tái）、行业（yè）融合支撑平（píng）台和科（kē）研平台，应参考关键（jiàn）信（xìn）息基础设施的相关要求进行安全（quán）防护（hù）设计和建设工作，同时针（zhēn）对新基建各领域特定场景进行定制化防护。传统的网（wǎng）络安全防护体系多具（jù）有通用性和普适性，无（wú）法细粒（lì）度的（de）涵盖到特定场景和业务数据流转（zhuǎn）方（fāng）面，而密码技术因其技术特点（diǎn）和防护理念能够深入到（dào）业务场景（jǐng）之（zhī）中，与（yǔ）业务应用进行深入融合，像为士兵（bīng）穿上“盔（kuī）甲”一样，为防护对（duì）象提供“贴身防（fáng）护”能力。

密码（mǎ）是（shì）保障网络（luò）和信息安全最有效、最可靠、最经（jīng）济的关键核心（xīn）技术，是网络安全的最后（hòu）一（yī）道防线，能够为新基建的“基础（chǔ）平台（tái）支撑、海（hǎi）量数据汇（huì）聚、广泛实体接（jiē）入、泛在（zài）服务交付” 四大特（tè）性提供针（zhēn）对性的防（fáng）护。

（1）密（mì）码为“基（jī）础平台支撑”构筑完善的安全防护（hù）体系。

新型基础（chǔ）设施为国家信息化（huà）建设提供新一代的基础支撑（chēng）平台，其平台（tái）价值（zhí）极高，因此需要完善的安全防护（hù）能力。密码技术在网络安（ān）全防护体系中（zhōng）位居核心和基础地位，依靠密码技术（shù）和（hé）网络安全技术能够打造集感知安全、传输（shū）安全、存（cún）储安全、计算安全、处理安全、应用安全于（yú）一体的安全防护（hù）能力，构建以密码技术（shù）为（wéi）核心、多（duō）种技（jì）术相互融合的新网络安（ān）全体（tǐ）系， 构筑（zhù）新基（jī）建安全防护体系。

（2）密码（mǎ）为“海量数据（jù）汇（huì）聚”建立坚（jiān）实的（de）数（shù）据（jù）保护（hù）能力。

新型基础设（shè）施是基于多种功（gōng）能、多种要素、多种技术的体系化集成，支撑着（zhe）跨领域、跨平（píng）台（tái）和跨（kuà）系（xì）统的数（shù）据（jù）交换（huàn）和信息共享，提供（gòng）海量数据分析，实现数（shù）据的互（hù）操作和流程协（xié）同。密码（mǎ）技术提供的数（shù）据加密存储、可信数据汇（huì）聚（jù）、安全数据共享（xiǎng）、数据流转确权（quán）能够（gòu）实（shí）现数据的全生命（mìng）周（zhōu）期安全，并（bìng）对（duì）敏（mǐn）感数据、个人隐（yǐn）私数据（jù）提供针对性的数据脱敏、数（shù）据加密和数据（jù）隐藏能力，将防护能（néng）力深入（rù）到业务（wù）流转之中。

（3）密码（mǎ）为“广泛实体（tǐ）接入”提供安全的鉴别防护机制。

新型基础（chǔ）设施的部分（fèn）重点领域如（rú）铁路、公（gōng）路、电网、通信、管网等，为（wéi）规模化（huà）的（de）网络实体（tǐ）接入建（jiàn）设网络互（hù）联平台，实现实体（tǐ）的广泛接入和互联（lián）通信。网络互联平台的安全稳定运行成为了新（xīn）型（xíng）基础设施建设实现价值的前提。基于密码技术为网络实体建立安全的数据执行和存储环境，基于密（mì）码技术建立平（píng）台侧与网络实体之间（jiān）的（de）可信鉴别和（hé）安全传（chuán）输（shū）机制，两者（zhě）结合（hé）构建从终（zhōng）端（duān）侧到平台侧的安全接入环境，有效的保护平台外延的网络实体安全，保障新型基础设施（shī）的网络实（shí）体安全和边界接入（rù）安全。

（4）密码为“泛在服务交（jiāo）付”构建（jiàn）泛在的密码服务能力。

从（cóng）新型（xíng）基础设施的建设领（lǐng）域（yù）如智（zhì）慧（huì）城市、物（wù）联网（wǎng）、车（chē）联（lián）网、充电桩可以看出（chū），核（hé）心价（jià）值是（shì）为数（shù）字经济广大领域提（tí）供泛（fàn）在化的服务，将基础能（néng）力提供（gòng）给更多的企业（yè）、组织（zhī）和个（gè）人去使（shǐ）用（yòng），拓展服务范围，让更多人享受（shòu）数字经济（jì）发展的红利（lì）。泛在的服务能力一方面（miàn）需要服务（wù）于各行（háng）业领（lǐng）域，密码技术需（xū）要依（yī）托（tuō）各行（háng）业领域特性（xìng）提供相适应的防护能力，另一方面需要延伸到海量的网络实体，这些网络实体（tǐ）是新型基础设施建设的价值延伸和受益主体，同时也会成为网络攻（gōng）击（jī）的薄弱点和攻击（jī）点，成为（wéi）攻击平台的跳（tiào）板。为此，需要建立泛在化的密（mì）码（mǎ）保障机制， 为广大行业领域提供泛在（zài）的密码服务接入能力，为移（yí）动终（zhōng）端、PC端（duān）、IoT终端提供（gòng）体系化的密码防（fáng）护（hù）能力，有力的支（zhī）持新基建泛在服务的安全稳定（dìng）和可管可控（kòng）。

新型基础设施建设一方面兼具关键信息基（jī）础设（shè）施的价值定位，另一方面融合新兴（xìng）技（jì）术、新兴（xìng）领域的业务特点（diǎn），具（jù）有较高的复（fù）杂性（xìng）和先（xiān）进性（xìng）。因（yīn）此需要基于密码技术为新型基础设（shè）施设计建设（shè）完善的网络安（ān）全防护体系。

董（dǒng）贵山：当前，密码的价值得到了广泛的重视（shì），2020年1月1日，《中华人民共（gòng）和国密（mì）码法》正（zhèng）式实施，2020年成为了“密码法元年”，密码法对密码进行明确的定义（yì），密码是指（zhǐ）采用特定变（biàn）换的方法对信（xìn）息进行（háng）加（jiā）密保护、安全认证的（de）技术、产品和服务。其中，商用密码用于保护不属（shǔ）于国家（jiā）秘（mì）密的信息（xī），公民、法人和其他组织可以依法使用商用（yòng）密（mì）码保（bǎo）护网（wǎng）络与信（xìn）息安全。商（shāng）用密码具备（bèi）机密性、完整性、真（zhēn）实性和不可否认性（xìng）四大防护特性，能够应对网（wǎng）络安全的（de）数据泄露、数据篡改（gǎi）、身份仿冒和行为（wéi）否认等（děng）风（fēng）险。

商（shāng）用密码（mǎ）是我国自主完善的技术（shù）体系，经（jīng）过二十余年（nián）的发展和演进，提出了（le）包含SM1、SM2、SM3、SM4、SM7、SM9和ZUC算法的一套（tào）完（wán）整自洽的商用（yòng）密码算法体系，建立了覆盖密码（mǎ）算法、密码协（xié）议、密码功能接口（kǒu）、密码产（chǎn）品规格（gé）、密码应用要求（qiú）和测评规范的一套完善的标准体系，形成了以密码芯片、密码板卡、密码整机和密码系统等传（chuán）统产品为主，多种产品形态（tài）和应用模（mó）式并现的产品体（tǐ）系。

商用密码的建设受到了（le）政策、法规、标准、规（guī）范的全（quán）面推动。以法规奠定密码法（fǎ）制基础，国家相继出台了网络（luò）安全（quán）法、密码（mǎ）法，加速数据安全法、个人信息（xī）保护法立法（fǎ）进程，旨在规范网（wǎng）络安全，以法理奠定密码的核心定位（wèi）；以政策推动密码按需建设，国（guó）家在关键信息基础设施、政务信息化建设、信创产业等方面均以政策文件的方（fāng）式明确了密码是（shì）网（wǎng）络安全（quán）和信息化（huà）建设的重要组成部分；以标准构建密码使用基线，网络安全等级保护标准体系（xì）的（de）升级明确了密码在等保定（dìng）级和（hé）合规防护方面的基本要（yào）求，密码（mǎ）行业标准体系的快速增补也在全面完善密码（mǎ）技术和产品的合规应用；以测评保障密码应用合规，参考网络（luò）安（ān）全等级保护的测评机制（zhì）和测评要求，密码行业出台了密码应用安全性（xìng）评估制度，以测（cè）评来明确（què）密码应用的合（hé）规性、正确性（xìng）和有效性，从而保障密码应用设计的完备性和密码产品在各个环（huán）节的正确有效（xiào）使用（yòng）。

新（xīn）型（xíng）基础设施建（jiàn）设同样需要密码技术的保障（zhàng），无（wú）论是从合法合规角度还（hái）是（shì）消除安全风（fēng）险角（jiǎo）度来看，密码技术都是新型（xíng）基础设施（shī）网络安全的最后一道（dào）防线。

从基础设施这个词（cí）汇来看，密码行业同样存在一（yī）个基础设施——公（gōng）钥（yào）密码基础设施（Public Key Infrastructure，PKI），公钥（yào）密码基础设施是一（yī）个包括硬件、软件、人员、策略和规（guī）程的集（jí）合，用来实现基于公钥密码体制的密钥和证书的产生、管理、存储、分发和撤销（xiāo）等（děng）功能，目前已广泛应用于政务、金融、电（diàn）力等构架关键信息基础（chǔ）设施领域，为其提供可信的密钥和证书管理，建立网络安（ān）全的可信（xìn）根。

新型基础设施继承（chéng）了（le）传统基础设（shè）施建设的服务（wù）化特（tè）性，通过端到端（duān）的服务模式（shì）创造和（hé）交付（fù）价值，这一模式特性要求（qiú）密码支撑能力能够提供相匹配的能（néng）力，PKI更倾向于传（chuán）统的安全基础（chǔ）设施，提（tí）供基（jī）础（chǔ）通用的密码支撑能力，对新型基（jī）础设（shè）施建设（shè）的（de）密码需求的（de）匹（pǐ）配性不高。

新型（xíng）基础设施的（de）基础平台支撑要求密码支撑提供灵活弹性（xìng）可伸（shēn）缩（suō）的（de）服务能（néng）力，海量数（shù）据（jù）汇聚要求密码支（zhī）撑提供融合数据全生命周期的数据防护能力，广泛实体接入要求密码支撑（chēng）提供平台化的通信保护和（hé）接入（rù）管控能（néng）力（lì），泛（fàn）在服务交（jiāo）付要求密码支撑提供服务化（huà）的（de）密（mì）码交付能（néng）力，让新（xīn）基建的受（shòu）益者（zhě）能够享受经过密码防护的安全新基建服务。这些能力都（dōu）是传统的密（mì）码建设模（mó）式无法全面响应的。为此（cǐ）我们提（tí）供建设以密码服务平（píng）台为核心的新型密码管理（lǐ）与服务基础设施，应对新型基础设施泛在互联海量支撑的平台特性提供泛在化、平台化的密码服（fú）务能力和一窗（chuāng）式（shì）、多维度（dù）的（de）密码管理能力。

董贵山：基于我（wǒ）上述提到的目标（biāo），卫士通提出了集密码（mǎ）服（fú）务与密码管理为一体的密码服（fú）务平台的（de）理念模型。在该模型的服务侧，密码服务平（píng）台包（bāo）括层次化（huà）密（mì）码服务、通用密（mì）码中间件（jiàn）和API网关，通过标准化集成能（néng）力集成（chéng）优秀（xiù）的密码（mǎ）系（xì）统和密码设备；通过（guò）资源虚拟化（huà）和微服务化设计对（duì）外提供覆（fù）盖基础密码服务、通（tōng）用密码（mǎ）服务和安全应用服务的层次（cì）化密码服务能（néng）力；通过通用密码（mǎ）中间件封装层次化密（mì）码服务接口为应用提供一（yī）站式（shì）的（de）密码集成能力；依托API 网关与管理侧（cè）协同实现对应用的接（jiē）入认证和访问控制（zhì）。在管理侧，密码（mǎ）服务（wù）平台（tái）通过密码（mǎ）设备（bèi）与服（fú）务管理（lǐ）提供统（tǒng）一的访问入口和管（guǎn）理界面，支持租户、应用、设（shè）备、服务和订（dìng）单的多维度管理，对使（shǐ）用情况进行信息统计和可视化展（zhǎn）现，支撑外部（bù）的密码监管和（hé）安全运营；各类平台（tái）用（yòng）户可以通过统一（yī）访问入（rù）口进行（háng）登录认证（zhèng），完（wán）成各自的管理职（zhí）责（zé）。

密码服务平台（tái）提出“密（mì）码（mǎ）可用、密码好用、密码能管（guǎn）、密码好管（guǎn）”的四大服务目（mù）标。在密码可用（yòng）方面，通（tōng）过密码虚（xū）拟化、层（céng）次化（huà）密码服务应（yīng）对目前密码资源使（shǐ）用（yòng）率低、密码技术使用不当、对新业（yè）务场景（jǐng）适应性不强的问题；在密码好用（yòng）方面，通过通用（yòng）密码中间件、标准化（huà）集成能（néng）力（lì）应对密码与（yǔ）应用对接困难、密码服务接口不一致以及已建（jiàn）密码资源难以利旧（jiù）的问题；在密码能管方面，通过API网关、密码（mǎ）设备与服务管理应对（duì）业务应用情况不（bú）可控（kòng）、密（mì）码使（shǐ）用情况（kuàng）不可见（jiàn）以及密码资源无法统一管理等问（wèn）题；在密码（mǎ）好管方面，通过（guò）密码服（fú）务的使用计量和（hé）专业（yè）化技术团队应对密码整（zhěng）体态势（shì）无法（fǎ）获取、密码使用应（yīng）急能力不足以（yǐ）及使用计量困难等问题（tí）。

针对新型（xíng）基础设施的场（chǎng）景要求，密码（mǎ）服务平台在基础密码服务（wù）方面能（néng）够提供海量（liàng）密（mì）钥和证书服务能力、适应物联（lián）网、车（chē）联网的多元化证书签发和管理能（néng）力以及覆盖（gài）全网的密码监（jiān）管和管理能力（lì）；在通用密码服务（wù）方面能够提供（gòng）联接人（rén）机物的异（yì）构统一身份认证服务能力、数据流转管控与追溯机制、物联网设（shè）备的（de）统一标（biāo）识（shí）管理（lǐ）能（néng）力、车联（lián）网平台的电子地图安全管控服务和车端密码（mǎ）支（zhī）撑能力等（děng）针对性的密码服（fú）务能力。

董贵山：新基（jī）建是（shì）数字（zì）中国（guó）发展的“新”阶（jiē）段，密码服务是密（mì）码行（háng）业发展的“新”模式，两“新（xīn）”碰撞，迸发新机，以（yǐ）新的密码服务模式保障（zhàng）新基建（jiàn）的“内生安全”。因此为保障密码在新基建中发挥更好的安全支撑作用，需（xū）从多个角度推进新基建（jiàn）领域密码（mǎ）应用建（jiàn）设工作。

一是（shì）通过（guò）政策推动、业（yè）务驱动等推（tuī）进密码在新（xīn）基（jī）建领域（yù）的广泛部（bù）署，立足密码作为网络安全（quán）的“内置基因”定位，实现（xiàn）新（xīn）基建的（de）“内生安全（quán）”，推动密（mì）码在新基建的建设和示范，形成新基建各典型领域密码（mǎ）应用最佳实（shí）践。

二是从（cóng）项目建设、场景需求中提炼（liàn）业务场景和（hé）技术需求，开展密码技（jì）术（shù）突破和产品研制，从而能够实现密（mì）码技术与新（xīn）基建各领域（yù）的深度融合，以密码服务（wù）支（zhī）撑基础设施对外（wài）安全服务。三是落实（shí）国家（jiā）网络安（ān）全等（děng）级保护相关要求和密码应用建设的相关要求（qiú），在新（xīn）型基（jī）础设（shè）施（shī）建（jiàn）设（shè）过程中要同步（bù）规（guī）划、同步建设、同步运行（háng）密码保（bǎo）障（zhàng）系统并定（dìng）期进行评估。在规划过程中，要立足（zú）新（xīn）型基（jī）础设（shè）施安全（quán）要求，站在整体角（jiǎo）度设计（jì）密码应用方（fāng）案，在建设过程（chéng）中（zhōng），把密码服务（wù）融入到整（zhěng）体（tǐ）架构中，新型（xíng）基础（chǔ）设施需与密码保障体系同步（bù）运行（háng），并通过定期（qī）安全（quán）评估（gū）、密（mì）码应用安全性评估等（děng）手段，持续保持（chí）密码应用的有效性和安全性。