7月4日，由信（xìn）息安（ān）全（quán）与通（tōng）信保密杂志社主办（bàn）的“第二（èr）届商用（yòng）密码高性能技术（shù）与产（chǎn）业论（lùn）坛”在京举（jǔ）办，会议以“供（gòng）给高（gāo）质量国（guó）密，重构数据（jù）安全防线”为主题，国家密码（mǎ）管理局商用密码（mǎ）管理办公室副主任霍炜（wěi）、国家科技部（bù）高新司（sī）处长李（lǐ）宏刚（gāng）、以（yǐ）及业界专家、企业家和行业精（jīng）英出席（xí）会议。中国电子科（kē）技集团（tuán）首席专家（jiā）、卫士通公司总工程（chéng）师董贵山受邀发（fā）表了主题演讲。

▲董贵山

一、密码是解决（jué）云安全问（wèn）题的最有（yǒu）效手段

据（jù）国际（jì）数据公（gōng）司IDC数（shù）据显示，云计算时代安全问题是用户（75%）首要关注的问（wèn）题。大部分用户对于业（yè）务上云、应用上（shàng）云、数据上（shàng）云之后的安（ān）全问题犹豫不决（jué），其中，最受（shòu）关注的问题之一就是数据（jù）安全问题（tí）。

董贵（guì）山（shān）表（biǎo）示，安全是云计算（suàn）中最重要的（de）考虑（lǜ）点，而密码是解决云安全问题（tí）的最（zuì）有（yǒu）效手段。密码因其解决网络安全问（wèn）题（tí）的经济性（xìng）、便（biàn）捷性、有效性，以及在处（chù）理海量数（shù）据机密性保护、复杂网（wǎng）络实体认证等方面（miàn）具有的独特（tè）优势，成为云计算产业持（chí）续发（fā）展（zhǎn）的“内（nèi）在”基因。云计算（suàn）的蓬（péng）勃发展催生云（yún）上密码应（yīng）用，云计算的发展带来公有云（yún）、私有云（yún）、混合云等多（duō）种业务形态，为适应（yīng）云计（jì）算的多种形态必将催（cuī）生（shēng）新的（de）密码应用（yòng）模式，云计算发展驱动了网络、资源、终（zhōng）端的多维度融合，使数据逐（zhú）步成为业（yè）务发展的核心（xīn）和驱动（dòng）力，同时使云环境下对密码和（hé）安全服务化的需求日渐迫切（qiē）。密码（mǎ）服务化是顺应云计算发（fā）展（zhǎn）的必然趋势，结（jié）合云服务的发展路线，将密（mì）码能力以服务的方（fāng）式输出可以有（yǒu）效适应云（yún）场（chǎng）景（jǐng）下的网络和信（xìn）息安全保障需求（qiú），以安全服务和业务服务（wù）为（wéi）基础逐步扩展为基于商用（yòng）密码的安全应（yīng）用生态。

二、国家对密码（mǎ）管理与应用愈加重视

近些年，国（guó）家层面愈加重视对（duì）密（mì）码管理与应（yīng）用的规范化，继《商（shāng）用（yòng）密（mì）码管理条例（lì）》之后，密集（jí）颁布了《中华人（rén）民共和国网络安全法》《中华人民共和（hé）国密码法（草案征求意（yì）见稿）》《关键信息基础设施安全保护条例（征求意见稿）》《金融（róng）和重要领（lǐng）域密（mì）码应用与创新发展工（gōng）作规（guī）划（2018-2022年)》《网络安全等级保护2.0》，对于数据安全、密码（mǎ）应用、测评要求还有同步体系化建设方面都提出了迫切的管（guǎn）理要求。

今年《信息安全技术（shù） 网络安全等级保护基本（běn）要求》国家（jiā）标准的落（luò）地，也响应了密码技术应用的相关要求，新标准横向扩展（zhǎn）了对（duì）云（yún）计算、移动互联网、物联（lián）网、工业（yè）控制（zhì）系统（tǒng）、大数据的安全要求，纵向（xiàng）扩展（zhǎn）了对等保测（cè）评机构的规范管理。最新的等保2.0《基本要求》和《云计算扩展要求》中，有20多处提（tí）到了（le）密码技术（shù）的（de）应用，涉及身份（fèn）鉴别、数据的完（wán）整性和（hé）保密性（xìng）、抗抵赖等应用场（chǎng）景，同时对密码技术产（chǎn）品的使（shǐ）用也提（tí）出要（yào）求，如：应遵循密码相关的（de）国家（jiā）标（biāo）准（zhǔn）和（hé）行（háng）业（yè）标准、应使用国家密码主管部门认证核准的密码技术和产（chǎn）品等。在新（xīn）的政（zhèng）策和形势下，随着《中华（huá）人民共和国密码法》的（de）颁布，对密码应用、密（mì）码安全（quán）、密码发展促进、监督管理等方面都（dōu）提出了新的要求，等级保护应在设（shè）计、建设（shè）、以及（jí）测（cè）评等各（gè）方（fāng）面（miàn）依照（zhào）新政（zhèng）策新标准的相关要求（qiú），科学指导密码技术合规、正确、有效使用。

三、基于密（mì）码高性能核心要求的云平台密（mì）码应用

密码技术在云平台中的典型应用是以（yǐ）基础设施为支撑提供Iaas层和Paas层服务，密码云（yún）具有高性（xìng）能、高安全（quán）、高可靠的技（jì）术特色（sè）。卫士通所提出（chū）的（de）密码技术云化应用（yòng）实践是以打造密码云的形式（shì）为各类云环境（jìng）提供密码服务（wù）。以（yǐ）政务云为例，结合（hé）政务云本身（shēn）的架构模（mó）式（shì）解决云平台上“密（mì）钥如何管，密码如何（hé）用，系统如何建”等（děng）问题，实（shí）现政（zhèng）务云平台“用（yòng）上密码、用全密码和用好密码”的三特性进（jìn）行密码整体应用的（de）设计。

四、云（yún）平台密码应用的建议

基于卫士通云平台（tái）密码应用（yòng），董贵山还提出了几点建议：第一，要构建（jiàn）密码服务云，优化密码服务（wù）方（fāng）式，提供便捷（jié）的（de）基础密码运算接口，打造（zào）完善的密码应用服务体系，构建按需的密钥管（guǎn）理服务能（néng）力，拓（tuò）展多方联合（hé）的密码服（fú）务生（shēng）态；第二，改变思（sī）路，提（tí）高意识（shí），加强密码在云计算安全的核心支撑作用（yòng）；第（dì）三，加（jiā）强密码应（yīng）用评估监管，提（tí）升密码（mǎ）应（yīng）用新局面。