在新基建的大背景下，随着网络安全与密（mì）码（mǎ）技术的不（bú）断演（yǎn）进，融合密码（mǎ）技术的网络安全体系框架逐渐成（chéng）为网络安（ān）全建（jiàn）设的新趋势。

在 2020 国家网络安全周举行（háng）之际，记者有幸在现场（chǎng）采访到了中国电科集（jí）团网络安全领域首席专家、中国（guó）网（wǎng）安副总（zǒng）工程师、卫士通（tōng）总工程师（shī）董贵山。就密码在新基建中的应用、服务等问题，董贵山（shān）谈了他的看（kàn）法（fǎ）。

董贵山：新型（xíng）基础（chǔ）设施（shī）主要包括三个方面内容：一是（shì）信（xìn）息（xī）基础设施。主要是（shì）指（zhǐ）基于新一代信息技术演化生成的基础设施，比如，以5G、物（wù）联（lián）网、工业互联网（wǎng）、卫星（xīng）互联网为代（dài）表的通（tōng）信网（wǎng）络（luò）基础设施，以人工智能、云（yún）计算、区块链为代表的新技术基础设施，以（yǐ）数据中心、智能计（jì）算中心为代表的算力基础设施等；二是融合基础设（shè）施。主要是指深（shēn）度应用互联网（wǎng）、大数据、人工（gōng）智能（néng）等（děng）技术，支撑传统基础设施转（zhuǎn）型升级，进而形（xíng）成的融（róng）合基础设施，比如（rú），智能交通基础设施、智慧能源基础设施等；三（sān）是（shì）创新基础设施。主（zhǔ）要是指支撑科学研究、技（jì）术（shù）开发、产品（pǐn）研制（zhì）的具有公益属性的基（jī）础设（shè）施，比如，重（chóng）大科技基础设（shè）施、科教（jiāo）基础设施（shī）、产业技术（shù）创新（xīn）基础设施（shī）等。

从以（yǐ）上三个方面的分类来看（kàn），新型基础设施是未（wèi）来引（yǐn）领数字经济发展的关键载体和支柱，覆盖（gài）了网络（luò）通信、信息计算、新兴技（jì）术领（lǐng）域、行业性融合（hé）平（píng）台（tái）以（yǐ）及（jí）科研支撑平台，将成为（wéi）数字中国在网络空（kōng）间“数字孪生”的沃土和通（tōng）路。网络安全作为（wéi）新（xīn）基（jī）建、数字经济发（fā）展的基（jī）石， 也受到（dào）了广（guǎng）泛的关注与重视。

新型基础设施具备基础（chǔ）平台支撑（chēng）、海量数据（jù）汇聚（jù）、广（guǎng）泛实体接入、泛在服（fú）务交付四大特性。“基础平台支撑（chēng）”体现了（le）新型基础设施的总体（tǐ）定（dìng）位，不（bú）管是信息（xī）基（jī）础设施、融（róng）合基础设（shè）施还是（shì）创新基础设施，都具有显著的基础性和平台性，是网（wǎng）络通信、信息服务和科研创（chuàng）新的基础支撑；“海（hǎi）量（liàng）数据汇聚”“广泛实体接（jiē）入”体现了新型基础（chǔ）设施的平台（tái）价值，信息基础设施和融合基（jī）础设施汇聚了海量的通信数据、行业数据和科研数据（jù），提供（gòng）网络互联（lián）平台，为（wéi）广（guǎng）泛的网络实体提（tí）供网络接入和服务功能；“泛在服务交付（fù）”体现了新（xīn）型基础设施的交付模（mó）式，不管（guǎn）是传（chuán）统基（jī）础设施还是信（xìn）息基础（chǔ）设（shè）施，均是采用服务化（huà）的价值交（jiāo）付模式，结合互联网泛在接入、网络（luò）互联的特点，新型基础设施能够为广（guǎng）泛的网络实体提供泛（fàn）在化的服务覆盖，最大化（huà）平台价值。这四大特性无一不代表着巨大的数据价（jià）值和平（píng）台价值（zhí），对网（wǎng）络攻（gōng）击者具有极高的诱惑力，存（cún）在极（jí）大的安全风险。

董贵山：“网络安全与信息（xī）化是一体之两翼，驱动之双轮”。安全是（shì）发（fā）展（zhǎn）的保障，发展是安全的目的，网络安全和（hé）信息化建设互相依存、协调共生（shēng）。新型基础（chǔ）设施建设是（shì）“云大物移智”的（de）有机聚合和结构化升级，网络（luò）安全风（fēng）险也（yě）覆盖了（le）信息服务平台（tái）、IoT设备、PC端、移动端，这些承载着新（xīn）基建业务、数据（jù）和服（fú）务（wù）的载体正（zhèng）在时刻接受海量网（wǎng）络攻击的（de）考验，如（rú）何全面保障新型基础设施（shī）安全（quán）也受到了（le）业界的广泛关注。新（xīn）型基础设施（shī）作（zuò）为国家级的网络（luò）信息服务平台、行（háng）业融合支撑平台和（hé）科（kē）研（yán）平台，应参考关键信息基础（chǔ）设施的相关（guān）要求进行安（ān）全防护设（shè）计（jì）和建设（shè）工作，同（tóng）时（shí）针对新基建各领域特定场景进行定制化防护。传统的网络（luò）安全防护体系多具有通用性（xìng）和普适性，无法细粒度的（de）涵盖到（dào）特（tè）定场景和业（yè）务数（shù）据流转方（fāng）面，而密码技术因其技术特点和防护理（lǐ）念能够深入到业务场景之（zhī）中，与业务（wù）应用进行深入（rù）融合，像为士（shì）兵穿上（shàng）“盔甲”一样，为防（fáng）护（hù）对象提（tí）供“贴身防护（hù）”能力（lì）。

密码是保障（zhàng）网络（luò）和信息安全最有（yǒu）效、最可靠、最（zuì）经济（jì）的关键（jiàn）核心技术，是网（wǎng）络安全的最（zuì）后一道防线，能够为新基建（jiàn）的“基础平台支撑、海量数据汇聚、广泛实体接入（rù）、泛（fàn）在服务交付” 四大特（tè）性提（tí）供针对性的防护。

（1）密码为“基础（chǔ）平台支撑”构（gòu）筑（zhù）完善的安全防（fáng）护体系。

新型基础设施为国家信息（xī）化（huà）建设提供新一（yī）代（dài）的基础支撑平台，其平台价值极（jí）高，因此需要完善的安（ān）全防护（hù）能（néng）力。密码技术在（zài）网络安（ān）全（quán）防（fáng）护体系（xì）中（zhōng）位（wèi）居核心（xīn）和基础地位，依靠密码技术和网络安全技术能够打造集感知安全、传输安全、存储安全、计算（suàn）安全、处理安全、应用安全（quán）于一体的安（ān）全防护能（néng）力，构建以（yǐ）密码技术为（wéi）核（hé）心、多种技术（shù）相（xiàng）互融合的新网络安（ān）全体系， 构筑新基（jī）建安全（quán）防（fáng）护体系。

（2）密码为“海量数据汇聚”建立坚实的数据（jù）保护（hù）能力。

新型（xíng）基础设施是基于多（duō）种功能、多种要素、多种技术的（de）体系化集成，支撑着跨领（lǐng）域、跨平台和（hé）跨系统的数据交换和信息共享，提供海量（liàng）数据分析（xī），实现数据的互（hù）操作和流程协同。密码（mǎ）技术提供的数据加密（mì）存储、可信数据汇聚、安全（quán）数据共享、数据流转确权能够实现（xiàn）数据（jù）的全生（shēng）命周期安全，并对敏感数据、个人隐私数据提供（gòng）针对性的数据脱敏、数据加密和数据隐藏能力，将防护能力深入到业务流转之中。

（3）密（mì）码为（wéi）“广泛实体（tǐ）接入”提供安全的鉴别防护机制。

新型基础设施的部分重点（diǎn）领（lǐng）域如铁路、公路（lù）、电网、通信、管（guǎn）网等，为规模化的网（wǎng）络实体接入建设网络互联平台（tái），实（shí）现实体的广泛（fàn）接入和互联通信。网络互联（lián）平台的安全稳定（dìng）运行（háng）成（chéng）为了新（xīn）型基础设施建设（shè）实现价值（zhí）的前提（tí）。基于密码技术为网络实体（tǐ）建立（lì）安全的数据执行和存（cún）储环境，基于密（mì）码技术建立平台侧与（yǔ）网络实（shí）体之间的可信鉴别和安全传输机制（zhì），两者结合构（gòu）建从终端侧到平台（tái）侧（cè）的（de）安全接入环境（jìng），有效的（de）保护平（píng）台外延（yán）的网络实体安全，保障新型（xíng）基础（chǔ）设施的网络实体安全（quán）和边（biān）界接入（rù）安全。

（4）密码为“泛（fàn）在服务交付”构建泛在的密码服（fú）务能力。

从新型基（jī）础设施的建设（shè）领域（yù）如智慧城市、物联（lián）网（wǎng）、车联网、充电桩（zhuāng）可（kě）以看出，核心价值是为数字经济广大领域提供泛在化（huà）的服务（wù），将基础能力（lì）提（tí）供（gòng）给（gěi）更多的企业、组织和个人去（qù）使（shǐ）用，拓（tuò）展服务范（fàn）围，让更多人享受数字经（jīng）济发展（zhǎn）的红利。泛（fàn）在的服务能力一（yī）方面需要服务于各行业（yè）领（lǐng）域，密码技术需要依托各行业领（lǐng）域特性提供相适应的防护（hù）能力，另一方面需要延伸到海量的（de）网（wǎng）络实体，这些网络实体是新型基（jī）础设施建（jiàn）设（shè）的价值（zhí）延伸和受益主体，同时也会成为网络攻击的薄弱点（diǎn）和攻（gōng）击点，成为攻击平台的跳板。为此，需要建立泛在化（huà）的密码保障机制， 为广（guǎng）大（dà）行业领域提供泛在的密码服务接入能力，为移动终端、PC端（duān）、IoT终端提供体系化的密（mì）码防护能（néng）力，有力的支（zhī）持新基建泛在服（fú）务（wù）的安（ān）全稳定和可管可控。

新型基础（chǔ）设施建设一（yī）方面（miàn）兼具关键信息基础设施（shī）的价值定（dìng）位，另（lìng）一方面融合新兴技术、新兴领域的业务特点（diǎn），具有较高的（de）复杂性（xìng）和先（xiān）进性。因此需要基于密码技（jì）术为新型基础（chǔ）设施设计建设完善的（de）网络安全防（fáng）护体系。

董贵山：当前，密码的价值得到了广泛的重视，2020年1月（yuè）1日，《中华人民共和国密（mì）码法》正（zhèng）式实施，2020年（nián）成为了（le）“密码法元年”，密码法对密码进行明（míng）确的定义，密码是（shì）指采用特（tè）定变换的方法对信息进行（háng）加密保护、安全认证的（de）技术、产品和（hé）服务。其中，商用密码用于保护不属（shǔ）于（yú）国家秘密的信（xìn）息，公民、法人和其他（tā）组织可以依法使用商用密码保护网络与信息安全。商用密码具（jù）备机密性、完整性、真实性和（hé）不可否认性四（sì）大（dà）防护特性，能够应对网络安全的（de）数（shù）据泄露、数据篡改、身份仿冒和行为否（fǒu）认等风（fēng）险。

商用密码是（shì）我国（guó）自主（zhǔ）完（wán）善的技术体（tǐ）系，经过（guò）二十（shí）余年的（de）发展和演进，提（tí）出了包含SM1、SM2、SM3、SM4、SM7、SM9和ZUC算（suàn）法的一套完整自洽的商用（yòng）密码算法体系，建立（lì）了覆盖密码算（suàn）法、密码协（xié）议、密（mì）码功（gōng）能接口、密码产品规格（gé）、密码（mǎ）应用要求和测评规范的一套完（wán）善的标准体系，形成（chéng）了以密码芯片、密码板卡、密码整机和密码系统等（děng）传统产品为主（zhǔ），多（duō）种产品形态和应用（yòng）模式（shì）并现（xiàn）的（de）产品体系。

商用密码的建设受到了政策、法规、标准、规范的全面推（tuī）动。以法规奠（diàn）定密码法制（zhì）基础，国家相（xiàng）继出台了网（wǎng）络（luò）安全法、密码法，加速数据安全法、个人信息保护法立法（fǎ）进程，旨（zhǐ）在规范（fàn）网络（luò）安全，以法（fǎ）理奠定（dìng）密（mì）码的核心定位；以政策推动密码按需建设，国家在关键信息基础设施（shī）、政务信息化（huà）建设、信（xìn）创产业（yè）等方面均（jun1）以政策文件的方式明（míng）确了密码是网（wǎng）络安全和信（xìn）息化建设的重要组（zǔ）成部分；以标准构建密码使（shǐ）用基（jī）线（xiàn），网络安全（quán）等（děng）级（jí）保（bǎo）护标（biāo）准体系的升级明确了密码在（zài）等保（bǎo）定级和合规（guī）防护方面的基本（běn）要求，密码行业标准体系的快速增补也在全面完善密码（mǎ）技术（shù）和（hé）产（chǎn）品的合规（guī）应用；以测（cè）评保障密码应用合规，参考网络安全（quán）等（děng）级保护（hù）的（de）测评机制和测评要求，密码行业出台了（le）密码应用安全性评（píng）估制度，以测评来明确密码应用的合规性（xìng）、正确性（xìng）和有效性（xìng），从而（ér）保（bǎo）障密（mì）码应用设计的完备性（xìng）和（hé）密码产（chǎn）品在（zài）各个环节的正确有效（xiào）使用。

新型基础设施建（jiàn）设同样需要密码技术的保障，无论是从合法（fǎ）合规角度还是消除安全风险角度来看，密码（mǎ）技术都是新型基（jī）础设（shè）施网络安全的最后一道防线。

从基（jī）础（chǔ）设施这个词（cí）汇来看，密码行业同（tóng）样存在一（yī）个基础设施（shī）——公钥密（mì）码基础设施（Public Key Infrastructure，PKI），公钥密码基（jī）础设施是一个包括（kuò）硬件、软件、人（rén）员（yuán）、策略和规程的集合，用来实（shí）现基于公钥密码（mǎ）体制的密（mì）钥和证书的产生、管理、存储、分发（fā）和撤销（xiāo）等功能，目前已广泛（fàn）应用于政务、金融、电（diàn）力等构架关键信息基础设施领域（yù），为（wéi）其提供可信的密钥和证（zhèng）书管理（lǐ），建立网络安全（quán）的可（kě）信根。

新型基础设（shè）施继承了传统基础设施建（jiàn）设的服（fú）务化特性，通过端到端的服务模式（shì）创造和交（jiāo）付价（jià）值，这一模式特性要求密码（mǎ）支撑能力（lì）能够提供相匹（pǐ）配的能（néng）力，PKI更倾（qīng）向于传统（tǒng）的安全基础设施，提供基础通用的密（mì）码支撑（chēng）能力（lì），对新型（xíng）基础设施（shī）建（jiàn）设的密码需（xū）求的匹配性不高。

新型基础设施（shī）的基础平（píng）台（tái）支撑要求密码支撑（chēng）提供（gòng）灵活弹性（xìng）可伸缩的服务（wù）能力，海量数据汇聚要求密码支撑提供融合数（shù）据全生命周期的（de）数据防护能力，广泛实体接入要求密码支撑提（tí）供平（píng）台化的通信（xìn）保（bǎo）护（hù）和接入管控能力，泛（fàn）在服务交付要求密码支撑提供服（fú）务化的密码（mǎ）交付能力，让新基建的受益者能够享受经（jīng）过密码（mǎ）防护的（de）安全（quán）新（xīn）基建服务。这些（xiē）能力都（dōu）是传统的密（mì）码（mǎ）建设（shè）模式无法全面响应的。为（wéi）此我们（men）提供（gòng）建设以密码（mǎ）服（fú）务（wù）平台为核心的新型密码管理与服务基础设施，应对新型（xíng）基础（chǔ）设施泛（fàn）在互联海（hǎi）量（liàng）支撑的平（píng）台特性提供泛（fàn）在化、平（píng）台（tái）化的密码（mǎ）服务能力和一窗（chuāng）式、多维度的密码管理（lǐ）能力。

董贵山：基于我（wǒ）上述提到（dào）的目标，卫士（shì）通提出了集密码服务与（yǔ）密码管理为一体的密码服务平台的理念模（mó）型（xíng）。在该模型的服务侧，密码服（fú）务平台包括（kuò）层次化（huà）密码（mǎ）服（fú）务、通（tōng）用密码中间件（jiàn）和API网关，通过标准化集（jí）成能力集成（chéng）优秀的（de）密码系统（tǒng）和密码设备（bèi）；通（tōng）过（guò）资源虚拟化和微服务（wù）化设计对外提供覆盖（gài）基（jī）础密码服务、通用密码服（fú）务和安（ān）全应用服务的层次化密（mì）码服（fú）务（wù）能力；通过通用密码中间（jiān）件封装层次化密（mì）码服务接口为应用提（tí）供一站式的密码集成（chéng）能（néng）力；依（yī）托（tuō）API 网关（guān）与管（guǎn）理侧协同实现对应用的接（jiē）入（rù）认证和访问控（kòng）制（zhì）。在管理侧，密码服（fú）务平台通过密码设备与服务管（guǎn）理提（tí）供统一的访（fǎng）问入口和（hé）管（guǎn）理界（jiè）面，支持租户（hù）、应（yīng）用（yòng）、设备、服务和订单的多维度管理，对使用（yòng）情况进行信（xìn）息统计和可视化展现，支撑外部（bù）的密码监管（guǎn）和安（ān）全（quán）运营；各类平台用户可以通过统一访问入口（kǒu）进行（háng）登（dēng）录认（rèn）证，完成各（gè）自的管理职责（zé）。

密码服务（wù）平台提出“密码可用、密码好用、密码能（néng）管、密码（mǎ）好管（guǎn）”的四（sì）大服务目（mù）标。在密码可用方面，通过密码虚拟化、层次化密码服（fú）务应对目（mù）前密（mì）码资（zī）源使用（yòng）率（lǜ）低、密（mì）码技术使（shǐ）用不当、对新（xīn）业务（wù）场景（jǐng）适应性（xìng）不强的问题；在密码好（hǎo）用（yòng）方（fāng）面，通过通（tōng）用密码中间件、标准化集成（chéng）能力应（yīng）对密码与应（yīng）用（yòng）对接困难、密码服务接口不一致以及已建（jiàn）密码资源难以利旧的问题；在密码能（néng）管（guǎn）方（fāng）面（miàn），通过API网关、密码设备与服务管理应对业（yè）务应用情况不（bú）可（kě）控、密码使用情（qíng）况不可见（jiàn）以及密码资（zī）源无法统一管理等问题；在密码好管方面，通过密码服务的使用计量和专（zhuān）业化技术团（tuán）队应对密码（mǎ）整体态势无法获（huò）取、密码使用应（yīng）急能力不足以及（jí）使用计量困难等（děng）问题。

针对新（xīn）型基础设施的场景要求，密码服务平台在基础密码服务方面能够提供海量（liàng）密钥和证书（shū）服务能（néng）力、适应物联（lián）网（wǎng）、车（chē）联网的多元化（huà）证书签发和管理能力以及（jí）覆盖全（quán）网（wǎng）的密码（mǎ）监管和管理能力；在通用密码服务方面能够提（tí）供（gòng）联接人机物的异构统一身份认证服务能（néng）力、数（shù）据流转（zhuǎn）管控与追溯（sù）机（jī）制（zhì）、物联网设备的统一标（biāo）识管理能力、车联网平台的电子地图（tú）安（ān）全管控服务（wù）和车端密码支撑（chēng）能力等针对性的（de）密码服务能力。

董贵山：新基建（jiàn）是数字中国（guó）发展的“新”阶段，密码服务是密码行业发展的（de）“新”模式（shì），两“新”碰撞，迸（bèng）发新机（jī），以新的密码服（fú）务模式保（bǎo）障新基建的“内生安全”。因此为保障（zhàng）密码在新基建中发挥更（gèng）好（hǎo）的安全支撑作用，需（xū）从多个角度推进新基建领域密码应（yīng）用建（jiàn）设工作（zuò）。

一是通过政策（cè）推动、业（yè）务驱动等推进密码在新基（jī）建领域的广泛部署（shǔ），立足密码作为网络安（ān）全的“内置基因（yīn）”定位（wèi），实现新（xīn）基建的（de）“内生安全（quán）”，推动（dòng）密码在新基建的建（jiàn）设和（hé）示范，形成（chéng）新基（jī）建各典型领域密码应用最佳实践。

二是从项目建（jiàn）设、场景需（xū）求中提炼业务场景（jǐng）和技术需求，开（kāi）展密码技术（shù）突破和产（chǎn）品研制，从而能够实现密码技术与新基建各领域的深（shēn）度（dù）融合，以密码（mǎ）服务支（zhī）撑基础设施对（duì）外安全服务。三（sān）是（shì）落实（shí）国家网络安全等级（jí）保护相关要求和密码应用建设的相关（guān）要求，在新型基础设（shè）施（shī）建设过（guò）程中要同步规（guī）划、同步建设、同步运行密码（mǎ）保障系统并（bìng）定期进（jìn）行评估。在规划（huá）过程中，要立足新（xīn）型基础设施安全要求，站在整体角度设计（jì）密码（mǎ）应用方案，在（zài）建设过程中，把密码服务融入到整（zhěng）体架构（gòu）中，新型基（jī）础设施需与密码保障体系同步运（yùn）行，并通过定期安全评估、密码应用安全（quán）性评估等手（shǒu）段，持续保（bǎo）持密码应用的有效（xiào）性和安全性。