“网络安全（quán）为人（rén）民，网络安（ān）全（quán）靠人民。”9月16日，卫士通（tōng）多（duō）位网络安全专家已“奔赴”各级网（wǎng）络安全宣传（chuán）周活动，通（tōng）过线上与线（xiàn）下相（xiàng）结合的方（fāng）式，兼（jiān）顾行（háng）业（yè）人士与普（pǔ）通大（dà）众的不同关（guān）注点（diǎn），从密码在网（wǎng）络安全中的核心作用、泛在化应用、以及（jí）创新服（fú）务方式（shì）进行了多方（fāng）位（wèi）、多层级的观点分享。

核心（xīn） | 夯实新型基础设施网络安全底座

中国电科集团网络安全领域首席专家、中国网安副总工程师、卫士（shì）通总工（gōng）程（chéng）师董贵山出（chū）席第七届国家网络（luò）安（ān）全（quán）宣传周新型基础设施（shī）网络安全高峰（fēng）论（lùn）坛，并作（zuò）“保障工业互联（lián）网安全，服务（wù）制造业高质（zhì）量发展（zhǎn）”主题（tí）演讲，系统地阐（chǎn）述和分析了我国工业互（hù）联网（wǎng）的（de）发展背景、潜在安全风险及相关（guān）政策（cè）要求，并提出了构建体（tǐ）系化安（ān）全防护能力，夯实（shí）以工（gōng）业互联网为代（dài）表的（de）新型基础设施网络安全底座的三点建议。

▲图 董（dǒng）贵（guì）山作（zuò）主（zhǔ）题演讲

一是，建议（yì）借鉴企（qǐ）业工业信息安全整体保障实施原则。企业工（gōng）业信息安全整体保（bǎo）障（zhàng）是中国网安基（jī）于正确的（de）网络（luò）安全观提出的“整（zhěng）体安全、动态（tài）安全、相对安全、合规与赋（fù）能、技（jì）术与管（guǎn）理”的企业工业信息安全（quán）整体保障实施原则，并（bìng）在中国（guó）网安相关（guān）工（gōng）作（zuò）中广（guǎng）泛应用，对其他企（qǐ）业开（kāi）展（zhǎn）工业信息（xī）安全保障（zhàng）将起到借鉴作（zuò）用。

二是，严格履行“七项义务，四（sì）类防（fáng）护”的（de）基本要求。《网络安全（quán）法》对网络运营者的（de）最基本义务和安全要（yào）求做了明确规定，各工业（yè）企业应履行网（wǎng）络（luò）运行安全义务、网络产品和服务安全义务、关键信息基础设施安全保护义务、公民个（gè）人信息保（bǎo）护义务（wù）、网络信息安全管理义务、对（duì）监管机关的执法协（xié）助义务和其他法定义（yì）务（wù），实（shí）现网页防篡改、服（fú）务防中（zhōng）断、系统防病毒、数据防（fáng）泄漏。

三是，利用（yòng）密码（mǎ）算法保障工（gōng）业互联网（wǎng）数据的多（duō）方安全共享，达到工业（yè）数据安全的价值（zhí）流（liú）动。密（mì）码（mǎ）技术在网（wǎng）络安全防护（hù）体系中位居核心（xīn）和基础地位，其提供的（de）可信数据汇聚、数据加密存储、安全数（shù）据共享、安全多方计算、数据流转（zhuǎn）确权能（néng）够实现数据的全生命周期（qī）安全，并（bìng）针对（duì）敏（mǐn）感数据（jù）、企业（yè）核心数据提供针对性的数据（jù）脱敏、数据加密和数据隐（yǐn）藏能力，将防护能力深入到业务流（liú）转（zhuǎn）之中，能够有效的保护安全（quán）隐私，维护企（qǐ）业利（lì）益，在数据可用不可见的基础（chǔ）上实现数据（jù）价值的流（liú）转和交互（hù）。

广（guǎng）度（dù） | 拓（tuò）展密码泛（fàn）在（zài）化应（yīng）用

国（guó）家网络安全宣传周（zhōu）同（tóng）期，成都市的相关活动也在火热进行（háng），卫士通结合现场展示（shì）、专家演讲、互动游戏（xì），从“密码的（de）内涵（hán）与（yǔ）意义”、“密码泛在化内涵与意义（yì）”、“密码（mǎ）领域（yù）典（diǎn）型实践与（yǔ）应用”三方（fāng）面（miàn）向成都（dōu）市民普及了“密码泛在化”进程、应用及意义。

▲图 周阳作主题演讲

卫（wèi）士通方案中心技（jì）术专家周阳在演讲（jiǎng）中特（tè）别选取大众（zhòng）最常（cháng）接触的生活场景（jǐng），通（tōng）俗（sú）易懂的向（xiàng）成都市民进（jìn）行分享。周阳通过诸如黑客攻击（jī）政（zhèng）府网站（zhàn）窃取（qǔ）公民和企业信息，就医人员医疗信息遭泄露（lù）导致（zhì）个人敏感信（xìn）息（xī）被窃取，12306遭（zāo）泄（xiè）露数据撞库攻击，考（kǎo）生网（wǎng）上报考信息泄露，伪造印章（zhāng），虚开发票（piào），伪造（zào）文件造成国家财产损失等大众在日常生活中接触到的（de）场景案例引入（rù），带（dài）领（lǐng）听众一起总结了（le）数字生活正面四（sì）大主要（yào）痛（tòng）点，临时身份鉴别有“短板（bǎn）”、个人信息（xī）缺“保（bǎo）护” 、数据安（ān）全有“欠（qiàn）缺”、文件印章缺（quē）“可（kě）信”。

而解决这些痛点的一大法宝（bǎo），便是“密码（mǎ）”！经过20多年的发展，我（wǒ）国（guó）商用（yòng）密码（mǎ）已（yǐ）经应用到社会生产生活的各个方面，在（zài）网络和信息安全中发挥着越来越重要（yào）的（de）基础支（zhī）撑作（zuò）用。在政（zhèng）务（wù）服务，基于商用密码技术，防止政务（wù）服（fú）务（wù）、防疫（yì）健康（kāng）信息码使用过程中的公众（zhòng）隐私（sī）数据泄露，电子证照、电子印章（zhāng）真实有效，保障市民数字生（shēng）活安全。在（zài）社会保（bǎo）障，密钥管理系统（tǒng）作（zuò）为社保卡制（zhì）卡体系的（de）核心，主要负责各类密钥的生成、存储与（yǔ）分发，密钥（yào）管理系统（tǒng）中（zhōng）的密（mì）钥按（àn）密钥（yào）类型（xíng）、应用类型和交易种类进行定义，并通过分散变化（huà）等机（jī）制（zhì）进行分级管理，避（bì）免单个（gè）密钥（yào）被攻破之（zhī）后影（yǐng）响（xiǎng）整体系（xì）统的密（mì）钥安全（quán）。在（zài）医疗（liáo）卫生方面，密码（mǎ）技术（shù）的应用保障了（le）新形（xíng）势下的医疗（liáo）电子体系稳（wěn）定（dìng）发（fā）展（zhǎn），其（qí）中安全可（kě）信的（de）电子病历以电子认证和电子签（qiān）名为手（shǒu）段，形（xíng）成完善（shàn）的技术保障体系，营（yíng）运安全可（kě）信的电子病历应用环境，等等。

深度 | 创新密码服务方式

卫士通方案中心（xīn）商（shāng）用密码（mǎ）专家（jiā）周（zhōu）君平在国家（jiā）网络（luò）安全宣传周内蒙分会场的线上论坛上，作“推动商（shāng）用密码应（yīng）用（yòng），创新（xīn）密（mì）码服（fú）务能（néng）力（lì）”主（zhǔ）题演讲。她（tā）表示，随着密码技术的（de）深度、广度融合（hé）发展（zhǎn）趋势，不（bú）仅促进了产业链全生态的建立健全，而且还催（cuī）生了密码服务“平台化”创新应用模式。

▲图 周君平

该模式通（tōng）过构（gòu）建（jiàn）一体化的密（mì）码服务（wù）平台，将为各行（háng）业重要信（xìn）息系（xì）统提供（gòng）统一、弹性（xìng）、高效、规模化的密码应用服务。一体（tǐ）化密码服（fú）务（wù）平台将采用微服务架构对密码服务基础支撑（chēng）设备、系统的能力进（jìn）行（háng）抽象封装，形成密（mì）码（mǎ）服务（wù）能（néng）力，并通过API网关将密码服务的（de）能力采用标准统一（yī）的接口，以API的形式或（huò）SDK的形式向安全应（yīng）用提供。同时基于平台管控实现对平（píng）台的应用（yòng）接入管理，密（mì）码资（zī）源、资产的统计管理，基于密码监管服务实现对密码设备、密码资源、密码服务调（diào）用情况的统（tǒng）一监（jiān）管，基于安全运（yùn）营服务（wù）使用（yòng），实现租户管理、平台运营状态监（jiān）控、资源可用性监控等。这种商用密码创新服务方式有以下几个特点：

1.服务（wù）化 以服务替代产品，降低采（cǎi）购成本和运维成本，提升信息（xī）化建设敏（mǐn）捷性，缓解安全建设的困（kùn）扰。

2.精准化（huà） 将密码业务深植于业务（wù）之中，由专业的密码厂商提供服务，实（shí）时跟踪学界和业界的（de）前沿进（jìn）展，着力开展技术演（yǎn）进和模式创新，保持服务能力的持续迭代（dài）和更新。

3.泛在（zài）化 面向目前（qián）数字政府（fǔ）建设（shè）的多云部（bù）署趋（qū）势，提（tí）供支（zhī）持不同云（yún）服务平台（tái）的泛在接入能力（lì）。 

4.合规化 以（yǐ）商（shāng）用密码和等级保护相关规定为指（zhǐ）导，以（yǐ）安全合规为底线，避免业（yè）务应用的合规风（fēng）险。 

5.简略（luè）化 为业务应（yīng）用（yòng）提供便（biàn）捷的（de）密码服（fú）务接口，缓解现在业务应用开发商的密码研（yán）发难（nán）度，弥补安全应用短板。依托密（mì）钥管理（lǐ）、密码应用（yòng）等服务能力，联通前（qián）端业务服务（wù）商和后端基础服务商，结合密钥管理和身（shēn）份服务入口，形（xíng）成以密码服（fú）务为核（hé）心（xīn）的互联网信任服务生态（tài），支（zhī）撑网络空（kōng）间（jiān）安全。