數(shù)字時(shí)代密碼服務(wù)架構(gòu)演進(jìn)思考與實(shí)踐
一.?dāng)?shù)字時(shí)代數(shù)據(jù)已成為網(wǎng)絡(luò)安全防護(hù)的中心
近年來,信息科技革命改變?nèi)蚪?jīng)濟(jì)體發(fā)展,在信息技術(shù)支撐下,數(shù)字經(jīng)濟(jì)驅(qū)動(dòng)著全球各經(jīng)濟(jì)體的經(jīng)濟(jì)總量不斷增長(zhǎng)。隨著科技的發(fā)展,數(shù)據(jù)已成為數(shù)字經(jīng)濟(jì)時(shí)代最核心、最具價(jià)值的生產(chǎn)要素,以數(shù)據(jù)為核心的數(shù)字技術(shù)逐步成為經(jīng)濟(jì)發(fā)展的新驅(qū)動(dòng)力。隨著數(shù)據(jù)利用的深入、數(shù)據(jù)規(guī)模的擴(kuò)大,數(shù)據(jù)風(fēng)險(xiǎn)凸顯,使數(shù)據(jù)成為網(wǎng)絡(luò)安全防護(hù)的核心,亟需建設(shè)數(shù)據(jù)安全防護(hù)能力,防范數(shù)據(jù)安全風(fēng)險(xiǎn),護(hù)航數(shù)字經(jīng)濟(jì)發(fā)展。
二.密碼技術(shù)推動(dòng)數(shù)據(jù)安全從“被動(dòng)防御”到“主動(dòng)免疫”
密碼技術(shù)是一種用于保障數(shù)據(jù)安全的技術(shù),它通常采用信息加密、數(shù)字簽名、身份認(rèn)證等技術(shù)手段,來保證數(shù)據(jù)其生命周期內(nèi)不會(huì)被竊取、篡改或者泄露。因此,密碼技術(shù)可以被視為數(shù)據(jù)安全的“主動(dòng)防御”技術(shù),它主要負(fù)責(zé)預(yù)防數(shù)據(jù)安全風(fēng)險(xiǎn)的發(fā)生,而不是應(yīng)對(duì)已經(jīng)發(fā)生的風(fēng)險(xiǎn)。近年來隨《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個(gè)人隱私保護(hù)法》等法律法規(guī)頒布,以密碼技術(shù)為核心的主動(dòng)免疫、內(nèi)生安全已成為數(shù)據(jù)安全防護(hù)的新趨勢(shì),包括以“永不信任、持續(xù)驗(yàn)證”為核心理念的零信任架構(gòu)也都離不開密碼技術(shù)應(yīng)用。密碼技術(shù)及產(chǎn)品作為推動(dòng)數(shù)據(jù)安全從“被動(dòng)防御”到“主動(dòng)免疫”的重要因素,有望實(shí)現(xiàn)新一輪的高速增長(zhǎng)。
然而在數(shù)字時(shí)代下,由于傳統(tǒng)密碼產(chǎn)品的服務(wù)架構(gòu)沒有隨著用戶的業(yè)務(wù)需求演進(jìn)而快速轉(zhuǎn)型,密碼應(yīng)用也面臨如下挑戰(zhàn):
合規(guī)驅(qū)動(dòng):密碼市場(chǎng)仍然以合規(guī)驅(qū)動(dòng)為主,舊密碼系統(tǒng)的改造、升級(jí)與合規(guī)是等保和關(guān)基用戶關(guān)注的重點(diǎn)。新場(chǎng)景如云計(jì)算、工業(yè)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、5G等密碼應(yīng)用需求尚未得到充分釋放。
選型困難:密碼市場(chǎng)分散、應(yīng)用體系復(fù)雜、產(chǎn)品種類繁多,政企難以對(duì)密碼產(chǎn)品體系的合規(guī)性、安全性以及“自主可控”等進(jìn)行全面評(píng)估。
整合困難:密碼應(yīng)用和升級(jí)改造涉及算法、協(xié)議、產(chǎn)品、技術(shù)體系、密鑰管理、密碼應(yīng)用等多個(gè)方面,密碼應(yīng)用建設(shè)面臨和網(wǎng)絡(luò)及信息系統(tǒng)的有效整合和統(tǒng)一管理困難等問題。
人才短缺:與其他安全領(lǐng)域技術(shù)升級(jí)面臨的困境類似,企業(yè)用戶普遍缺少專業(yè)密碼技術(shù)人才,密碼應(yīng)用的需求、規(guī)劃、實(shí)施和運(yùn)維能力較弱。
三.?dāng)?shù)字時(shí)代密碼服務(wù)架構(gòu)演進(jìn)的思考
在數(shù)字化時(shí)代,密碼服務(wù)架構(gòu)不僅考慮傳統(tǒng)IT基礎(chǔ)設(shè)施的安全,也考慮整個(gè)數(shù)字化生態(tài)中的所有有形和無形資產(chǎn),特別是數(shù)據(jù)資產(chǎn)的安全訴求。因此密碼服務(wù)架構(gòu)的演進(jìn)方向,也需要深入研究用戶當(dāng)前業(yè)務(wù)場(chǎng)景和形態(tài)的變化,并且能夠從一定程度預(yù)判用戶基礎(chǔ)設(shè)施建設(shè)架構(gòu)、安全管理訴求、服務(wù)模式等業(yè)務(wù)演進(jìn)方向,以業(yè)務(wù)驅(qū)動(dòng)密碼服務(wù)架構(gòu)的持續(xù)演進(jìn)。
1.以政務(wù)領(lǐng)域?yàn)槔齺砜碔T基礎(chǔ)設(shè)施建設(shè)趨勢(shì)
數(shù)字政府建設(shè)已經(jīng)成為網(wǎng)絡(luò)強(qiáng)國(guó)、數(shù)字中國(guó)的基礎(chǔ)性和先導(dǎo)性工程,是推動(dòng)國(guó)家治理體系和治理能力現(xiàn)代化的重要舉措。黨的十九屆四中全會(huì)首次明確提出“推進(jìn)數(shù)字政府建設(shè)”,“十四五”規(guī)劃綱要強(qiáng)調(diào)要“提高數(shù)字政府建設(shè)水平”。當(dāng)前,各省結(jié)合政府機(jī)構(gòu)改革窗口期在數(shù)字政府管理體制、運(yùn)行機(jī)制等方面積極探索創(chuàng)新,探索數(shù)字政府“投建營(yíng)一體化”新型建設(shè)模式,“政企合作、管運(yùn)分離”成為先進(jìn)省市數(shù)字政府運(yùn)營(yíng)主要方式。
從全行業(yè)視角來看,構(gòu)建智能集約的平臺(tái)支撐體系,逐步減少部門數(shù)據(jù)機(jī)房和專網(wǎng),集約建設(shè)云網(wǎng)等基礎(chǔ)設(shè)施,形成“一片云、一張網(wǎng)”,實(shí)施管運(yùn)分離,已經(jīng)成為政企IT基礎(chǔ)設(shè)施建設(shè)的新趨勢(shì)。同時(shí),伴隨云基礎(chǔ)設(shè)施部署越來越多,云上密碼服務(wù)能力的建設(shè)需求成了上云用戶的剛需。在此背景下,密碼廠商就需要積極應(yīng)對(duì)虛擬化、軟件化趨勢(shì),提升其產(chǎn)品的XaaS化能力,從而抓住下一個(gè)五年安全市場(chǎng)的發(fā)展機(jī)遇。
2.以網(wǎng)絡(luò)安全架構(gòu)演進(jìn)為參考
Gartner近期發(fā)布的2022年七大安全和風(fēng)險(xiǎn)管理趨勢(shì)中,網(wǎng)絡(luò)安全網(wǎng)格架構(gòu)(CSMA)無疑體現(xiàn)出在技術(shù)架構(gòu)層面對(duì)當(dāng)前網(wǎng)絡(luò)安全產(chǎn)品在新形勢(shì)下的整合能力要求,通過集成式的安全架構(gòu)來保護(hù)組織在本地、數(shù)據(jù)中心和云端資產(chǎn)的安全。
圖1.網(wǎng)絡(luò)安全網(wǎng)格架構(gòu)(CSMA)
隨著信息設(shè)備的爆發(fā)式增長(zhǎng)、網(wǎng)絡(luò)架構(gòu)復(fù)雜度的不斷升級(jí),網(wǎng)絡(luò)安全防護(hù)任務(wù)也愈加繁重。隨著時(shí)間的推移,政企的IT基礎(chǔ)設(shè)施將變得越來越龐大和復(fù)雜。這不僅帶來了安全管理、網(wǎng)絡(luò)管理、網(wǎng)絡(luò)構(gòu)建等各方面的挑戰(zhàn),更造成了在多品牌的安全防護(hù)產(chǎn)品之間協(xié)同的阻隔。Gartner在其《2022年重要戰(zhàn)略技術(shù)趨勢(shì):網(wǎng)絡(luò)安全網(wǎng)格》報(bào)告中也指出,許多高管都曾坦言,希望能將其架構(gòu)中部署的多達(dá)40到50個(gè)供應(yīng)商產(chǎn)品,精簡(jiǎn)至5到10個(gè)產(chǎn)品,以便更加易于管理。也正因?yàn)榇?,支持可見性并能觸發(fā)超快速防御機(jī)制的集成式自動(dòng)化平臺(tái),正被各類企業(yè)采納和部署。一段時(shí)間以來,首席信息官們持續(xù)關(guān)注安全技術(shù)和功能的整合。很多技術(shù)領(lǐng)導(dǎo)者幾乎都表示希望轉(zhuǎn)變單點(diǎn)產(chǎn)品持續(xù)疊加的傳統(tǒng)模式,減少不必要的單一功能產(chǎn)品和節(jié)點(diǎn)部件,轉(zhuǎn)而構(gòu)建更具凝聚力的創(chuàng)新平臺(tái)架構(gòu),因此,CSMA在這種背景下呼之欲出。這也為密碼廠商對(duì)各類密碼服務(wù)能力集成架構(gòu)的選擇提供了一個(gè)重要參照。
3.以IT產(chǎn)業(yè)的優(yōu)秀架構(gòu)思想和最佳實(shí)踐作為依照
在數(shù)字化轉(zhuǎn)型的背景下,密碼服務(wù)的模式也應(yīng)圍繞用戶業(yè)務(wù)轉(zhuǎn)型而逐漸演進(jìn)。傳統(tǒng)模式下,用戶業(yè)務(wù)通常部署在本地或者數(shù)據(jù)中心機(jī)房,因此密碼廠商通常以硬件的方式伴生在用戶業(yè)務(wù)服務(wù)器或終端側(cè)。此時(shí),密碼產(chǎn)品通常是單一能力硬件盒子,用戶需要何種安全能力就購(gòu)買具備相應(yīng)能力的密碼設(shè)備。
隨著IT基礎(chǔ)設(shè)施建設(shè)發(fā)展,用戶將業(yè)務(wù)遷移到云環(huán)境之后,完全依靠硬件盒子形態(tài)部署密碼服務(wù)能力的方案不再奏效,密碼廠商的服務(wù)架構(gòu)也應(yīng)隨之改變。在該模式的推動(dòng)下,密碼產(chǎn)品部署將隨著用戶的業(yè)務(wù)遷移而變化,因此密碼服務(wù)架構(gòu)需要能支持多樣的部署環(huán)境,并適應(yīng)不同的部署場(chǎng)景。在國(guó)家大力推進(jìn)新型數(shù)字基礎(chǔ)設(shè)施的趨勢(shì)帶動(dòng)下,密碼服務(wù)的模式也亟待“轉(zhuǎn)型”。隨著用戶數(shù)字化轉(zhuǎn)型下的業(yè)務(wù)變化,其所需的密碼服務(wù)能力也在不斷變化,不再是傳統(tǒng)的需要什么能力就購(gòu)買相應(yīng)密碼設(shè)備,這種模式會(huì)導(dǎo)致密碼資源的浪費(fèi),同時(shí)不能快速適應(yīng)業(yè)務(wù)發(fā)展。因此,密碼服務(wù)架構(gòu)需要支持多能力融合,并支持根據(jù)不同的“訂閱”需求提供不同的密碼服務(wù)能力組合。
四、數(shù)字時(shí)代安盟華御密碼服務(wù)平臺(tái)架構(gòu)探索與實(shí)踐
安盟華御密碼服務(wù)平臺(tái)聚合密碼系統(tǒng)和數(shù)據(jù)防護(hù)產(chǎn)品,為信息系統(tǒng)和業(yè)務(wù)應(yīng)用提供一體、集約、標(biāo)準(zhǔn)、可控、可視的密碼和數(shù)據(jù)安全服務(wù)。密碼服務(wù)平臺(tái)能滿足云計(jì)算環(huán)境下全類別、場(chǎng)景化密碼服務(wù)和數(shù)據(jù)安全的服務(wù)需求,產(chǎn)品和技術(shù)符合《密碼法》和《數(shù)據(jù)安全法》等相關(guān)法律法規(guī)要求,可有效滿足信息系統(tǒng)密碼應(yīng)用合規(guī)和數(shù)據(jù)全生命周期防護(hù)要求。
圖2.安盟華御密碼服務(wù)平臺(tái)助力“雙合規(guī)”
平臺(tái)采用云原生架構(gòu),具備密碼服務(wù)和數(shù)據(jù)安全服務(wù)開放集成能力,可以以最簡(jiǎn)化的密碼資源支撐,提供密碼計(jì)算服務(wù)、簽名驗(yàn)簽服務(wù)、應(yīng)用密鑰托管服務(wù)、身份認(rèn)證服務(wù)、時(shí)間戳服務(wù)等,也可按需集成其它密碼產(chǎn)品或數(shù)據(jù)安全產(chǎn)品擴(kuò)展服務(wù)能力;支持多節(jié)點(diǎn)集群、分布式部署模式,滿足政務(wù)云、大型集團(tuán)企業(yè)的多數(shù)據(jù)中心、多云的分級(jí)密碼服務(wù)需求,也提供精簡(jiǎn)部署模式滿足單一應(yīng)用系統(tǒng)或中小企業(yè)的密碼應(yīng)用和數(shù)據(jù)防護(hù)需求;同時(shí),也可實(shí)現(xiàn)各類密碼服務(wù)和數(shù)據(jù)安全服務(wù)能力按需配置、動(dòng)態(tài)編排和協(xié)同,提供標(biāo)準(zhǔn)化、場(chǎng)景化、便捷化的服務(wù)功能與應(yīng)用系統(tǒng)對(duì)接,全方位、立體化保障用戶業(yè)務(wù)和數(shù)據(jù)的安全,確保業(yè)務(wù)快速上線,縮短業(yè)務(wù)建設(shè)周期。
圖3.安盟華御密碼服務(wù)平臺(tái)技術(shù)架構(gòu)
在政務(wù)云、城市云等公有云場(chǎng)景下,平臺(tái)采用租戶“訂閱”服務(wù)模式,對(duì)上云租戶提供流程化的賬號(hào)管理、服務(wù)租賃管理、應(yīng)用配額管理、服務(wù)策略管理、應(yīng)用對(duì)接指南等,降低用戶管理運(yùn)維投入,為用戶實(shí)現(xiàn)降本增效;同時(shí),為運(yùn)營(yíng)服務(wù)團(tuán)隊(duì)提供平臺(tái)運(yùn)維管理、資源管理、租戶管理、計(jì)費(fèi)管理、工單管理等功能,支撐為云上租戶提供密碼資源池化、彈性可擴(kuò)展、泛在接入、可計(jì)量的密碼和數(shù)據(jù)安全服務(wù),能夠?qū)γ艽a資源、密碼服務(wù)及密碼應(yīng)用健康狀態(tài)提供全方位、多維度的監(jiān)控與統(tǒng)計(jì)分析,使密碼和數(shù)據(jù)安全服務(wù)可控、價(jià)值可視。
圖4.安盟華御密碼服務(wù)平臺(tái)“訂閱”服務(wù)和監(jiān)控運(yùn)維
數(shù)字時(shí)代密碼服務(wù)架構(gòu)應(yīng)圍繞用戶業(yè)務(wù)發(fā)展需求而“轉(zhuǎn)型”,以能夠?yàn)橛脩籼峁┳顑?yōu)的解決方案目標(biāo)而演進(jìn)。安盟信息基于密碼基因打造安全合規(guī)、統(tǒng)一管理、部署靈活、服務(wù)彈性可計(jì)量的密碼服務(wù)平臺(tái),采用云原生架構(gòu)和服務(wù)“訂閱”模式,打造集約化、服務(wù)化、場(chǎng)景化,易于行業(yè)快速對(duì)接集成的服務(wù)能力,幫助應(yīng)用系統(tǒng)滿足密碼應(yīng)用合規(guī)和數(shù)據(jù)安全防護(hù)需求,筑牢數(shù)字安全屏障體系,為數(shù)字經(jīng)濟(jì)發(fā)展保駕護(hù)航。
提交
一站式全覆蓋|安盟信息助力建設(shè)云密碼服務(wù)運(yùn)營(yíng)體系
商用密碼產(chǎn)品|服務(wù)器密碼機(jī)的前世今生
創(chuàng)新商用密碼應(yīng)用|火力發(fā)電廠信息系統(tǒng)密碼應(yīng)用方案
攜手共赴未來 護(hù)航數(shù)智發(fā)展 新奧集團(tuán)與安盟信息簽署戰(zhàn)略合作
智慧礦山無人礦車密碼應(yīng)用解決方案