商用密码技术与应用创新的方向是什么?安全牛发布《商密报告》全面揭晓
星期三, 五月 12, 2021
2021年4月22日,由安全牛举办的2021商用密码技术创新研讨会暨《2021商用密码创新应用指南》(以下简称《商密报告》)发布会在北京举行。
北京谷安天下科技有限公司副总裁贺晓辉在研讨会上作致辞演讲,安全牛特聘行业技术专家、中国科学院密码学博士高翔,《商密报告》主笔分析师陈发明,以及三未信安、深圳奥联、信安世纪、天威诚信、东进技术、安御道合、吉大正元、格尔软件等8家行业代表性企业代表,齐聚一堂共同研讨商用密码企业在建设密码体系方面的知识与经验,共谋业内密码事业发展方向,共寻企业安全发展秘诀。
专家畅谈:商用密码技术与应用创新
中国科学院密码学博士高翔
高翔博士在会上展开了以“商用密码创新应用场景”为主题的演讲。揭示了商用密码的新挑战和新机会都是为建设行业的美好愿景而出现的,同时愿景会推动密码技术创新和应用的发展,二者相辅相成,共同促进。目前已经出现的自组织物联网、软件供应链管理、监管科技RegTech、工业互联网、云密码、车联网、区块链、隐私交换等其中的密码技术应用直至未来3到5年将继续发展将继续不断创新和发展。高博士表达了信息安全领域需要创新,密码技术领域更是需要不断创新的观点:“没有不变的安全方案,只有万变的安全场景。没有永远的安全师傅,只有学习的安全弟子”。
三未信安科技股份有限公司副总经理鹿淑煜
三未信安副总经理鹿淑煜对近两年国家颁发的密码行业相关要求和政策做出了详细解读。近年来行业政策推动密码落地,随着信创的推动,各地方省、市相继发布密码要求,政务密码需求随之也发生变化。密码技术是政务安全保障的共性需求,同时密码系统不仅要做到密码能用,还要做好密码好用。密码建设的关键是:需要转变思维角度,站在甲方的角度,通过密码服务解决用好密码的问题。站在甲方视角,需要打造一套可持续发展的密码系统,它要具备一定的开放性、生态化、要具备可持续发展的能力,做到最大效率的调度与使用密码。这就要求统一建设密码系统,在包括密码服务、应用联动、数据安全、应用指挥这四个方面做到统一管理。鹿淑煜最后还介绍了三未信安“融合”的密码服务平台的特点和体系优势。
深圳奥联产品总监白顺东
奥联产品总监白顺东以“公钥密码技术发展”为主题,详细介绍了3种公钥密码技术,基于数字证书,基于标识的密码技术和隐式证书机制。重点分享了标识密码技术(IBC)的技术特点,我国基于IBC技术的SM9算法15年的研发历程,同时介绍了标识算法在电子邮件和物联网应用中的技术优势。介绍了隐式证书国外发展情况,我国基于SM2隐式证书目前工作进展,及其在车联网V2X、工业互联网标识解析的典型应用与未来前景。他表示,希望与更多同仁携手,贡献智慧,共建创新领域密码技术应用生态,共同推动ECS-SM2隐式证书标准制定。
北京信安世纪政企技术服务部副总监闫利军
北京信安世纪政企技术服务部副总监闫利军逐一解读了视频安全密码应用相关标准(GB35114、GB/T39786)的密码功能要求,提出了适用于大型视频监控管理平台改造及多视频监控平台对接、数据互通、多层级架构等大型监控平台安全建设的整体解决方案,在满足等级保护、密码应用安全评估等政策规范要求的同时,实现了对视频数据的真实性、完整性和机密性安全保护。
北京天威诚信产品中心副总监余意
北京天威诚信产品中心副总监余意分析了企业智能化转型中存在的安全运营风险,并分享了通过统一密服平台构建企业智能化安全体系的经验。
近年来,天威诚信按照国家“核心技术自主创新”要求,以实现密码技术自主可控为目标,基于国产密码算法建设的密码应用服务平台,打造统一的密码服务体系,为应用行业提供标准化密码服务,满足全场景、全业务的密码应用需求。
东进技术解决方案总监吕冰
东进技术解决方案总监吕冰为与会嘉宾分享了证券行业信息系统国密改造方案。吕冰指出,面对近年来证券行业推进国产密码应用的需求,东进推出的针对证券行业的信息系统国密改造方案,由数字证书系统、协同签名系统、SSL VPN网关、签名验签服务器、加密机共同组成,通过SM系列密码算法、密钥分散、协同签名、SSL/TLS协议等技术,同时结合人员管理、操作规范管理和制度管理等手段,实现“防抵赖”+“防伪造”+“安全通信”+“数据加密”的一整套密码安全体系。
北京安御道合副总经理李永明
北京安御道合副总经理李永明介绍了以密码技术为核心,解决智能物联设备身份认证和数据保护问题。通过“一型一密、一机一密、一次一密”,结合金融业务流程管理,提供海量的密钥管理和轻量化通讯保密安全服务。他表示物联网与金融科技融合创新,为其他行业提供了示范案例。
北京吉大正元总经理张宝欣
北京吉大正元公司总经理张宝欣从《网络安全法》、《密码法》、《等保2.0》、《密评》中对密码技术的相关要求,介绍了密码服务平台建设的意义和紧迫性。吉大正元统一密码服务平台具有标准化、开放性、可弹性扩展的技术特点,可以在高效整合用户已有密码系统和设备的基础上,快速建立并扩展统一全面的密码服务能力,为业务应用、关键基础设施提供合规、安全、有效的国产密码应用支持服务,切实提升密码治理水平。
格尔软件研究院副院长陈红梅
格尔软件研究院副院长陈红梅以“商用密码态势感知 监管侧用户侧创新服务”为演讲主题,聚焦信息系统生命周期中最长阶段、日常使用阶段中用户侧和监管侧的管理需求,结合GB/T3978.-2021和信创的着眼点,展示了格尔一体化密码管理平台对用户,安全态势感知平台对监管者的支撑能力。特别提出密码应用指数,以创新的视角将密码应用服务融入国计民生。
《2021商用密码创新应用指南》报告重磅发布
发布会上,主笔分析师陈发明介绍了《商密报告》的编写背景及研究方法,报告的编写背景主要来自三个方面,一个是新基建重点建设的5G、电子支付、大数据中心、物联网、工业互联网等项目有广泛的密码应用需求;其次是《密码法》的实施,大大促进了密码产业的发展,密码检测中心的领导透露,截止到2021年4月1日,我国发放的密码产品认证证书已达2447张。第三是来自安全牛了解到的大量甲方会员企业密码应用建设、密码测评的需求。
安全牛团队通过一对一访谈和调研问卷的方式,调研了包括大型医疗企业、保险公司、运营商、汽车制造、软件开发、市政管理、家电企业、跨国公司等50家企业用户,聘请了11位相关领域专家,总结企业在开展商用密码建设时存在的问题与挑战,联合三未信安、深圳奥联、信安世纪、天威诚信、东进技术、安御道合、吉大正元、格尔软件等8家密码企业,历时3个多月撰写了《2021商用密码创新应用指南》报告。
《商密报告》主笔分析师陈发明
密码工作直接关系国家政治安全、经济安全、国防安全和信息安全。本次《商密报告》对推动密码技术创新应用及产业发展具有重大意义,调研的关键发现有:
密码技术是保护国家利益的战略性资源,是网络安全的核心技术和基础支撑,能够有效提升我国网络安全建设的自主创新能力,突破网络安全关键核心技术长期受制于人的被动局面。
合规需求仍然是目前企业对商用密码技术应用的主要驱动力,统一密管、统一认证、海量数据加密、云端数据保护、移动安全认证等是企业用户重点关注的商用密码应用诉求。
大数据、物联网、移动办公、云计算等新兴技术快速发展将催生更多的商用密码技术研究和创新应用,工业互联网或将成为商用密码应用发展的重要推手之一。
企业用户对商用密码技术了解不够,专业密码技术人才仍然大量缺失,这在很大程度上阻碍了企业了解密码应用需求、规划密码实施方案。
密码应用体系繁杂,密码产品数量、种类繁多,企业自身难以对密码应用体系的合规性和安全性进行评估,多系统密码应用整合、统一管理是密码应用升级改造的挑战。
越来越多的企业将自己的业务及相关数据迁移到云端,云端数据的加密保护成为影响企业云端业务完整性的决定因素,基于云的商用密码应用有望快速发展。
随着信息技术的快速发展和变革,密码作为目前世界上公认的,保障网络与信息安全最有效、最可靠、最经济的关键核心技术,也面临着新的机遇和挑战。密码算法需要有所创新发展,同时密码技术创新也需要应用到更广阔的商业空间中。商用密码产品的普及是顺应信息技术革命的必然结果,保障安全成为信息产品和信息服务的基本需求,密码技术作为不可或缺的重要手段将不断深入和拓展。