數字時代密碼服務架構演進思考與實踐

一．數字時代數據已成為網絡安全防護的中心

近年來，信息科技革命改變全球經濟體發展，在信息技術支撐下，數字經濟驅動著全球各經濟體的經濟總量不斷增長。隨著科技的發展，數據已成為數字經濟時代最核心、最具價值的生產要素，以數據為核心的數字技術逐步成為經濟發展的新驅動力。隨著數據利用的深入、數據規模的擴大，數據風險凸顯，使數據成為網絡安全防護的核心，亟需建設數據安全防護能力，防范數據安全風險，護航數字經濟發展。

二．密碼技術推動數據安全從“被動防御”到“主動免疫”

密碼技術是一種用于保障數據安全的技術，它通常采用信息加密、數字簽名、身份認證等技術手段，來保證數據其生命周期內不會被竊取、篡改或者泄露。因此，密碼技術可以被視為數據安全的“主動防御”技術，它主要負責預防數據安全風險的發生，而不是應對已經發生的風險。近年來隨《網絡安全法》《數據安全法》《個人隱私保護法》等法律法規頒布，以密碼技術為核心的主動免疫、內生安全已成為數據安全防護的新趨勢，包括以“永不信任、持續驗證”為核心理念的零信任架構也都離不開密碼技術應用。密碼技術及產品作為推動數據安全從“被動防御”到“主動免疫”的重要因素，有望實現新一輪的高速增長。

然而在數字時代下，由于傳統密碼產品的服務架構沒有隨著用戶的業務需求演進而快速轉型，密碼應用也面臨如下挑戰：

• 合規驅動：密碼市場仍然以合規驅動為主，舊密碼系統的改造、升級與合規是等保和關基用戶關注的重點。新場景如云計算、工業互聯網、物聯網、5G等密碼應用需求尚未得到充分釋放。

• 選型困難：密碼市場分散、應用體系復雜、產品種類繁多，政企難以對密碼產品體系的合規性、安全性以及“自主可控”等進行全面評估。

• 整合困難：密碼應用和升級改造涉及算法、協議、產品、技術體系、密鑰管理、密碼應用等多個方面，密碼應用建設面臨和網絡及信息系統的有效整合和統一管理困難等問題。

• 人才短缺：與其他安全領域技術升級面臨的困境類似，企業用戶普遍缺少專業密碼技術人才，密碼應用的需求、規劃、實施和運維能力較弱。

三．數字時代密碼服務架構演進的思考

在數字化時代，密碼服務架構不僅考慮傳統IT基礎設施的安全，也考慮整個數字化生態中的所有有形和無形資產，特別是數據資產的安全訴求。因此密碼服務架構的演進方向，也需要深入研究用戶當前業務場景和形態的變化，并且能夠從一定程度預判用戶基礎設施建設架構、安全管理訴求、服務模式等業務演進方向，以業務驅動密碼服務架構的持續演進。

1.以政務領域為例來看IT基礎設施建設趨勢

數字政府建設已經成為網絡強國、數字中國的基礎性和先導性工程，是推動國家治理體系和治理能力現代化的重要舉措。黨的十九屆四中全會首次明確提出“推進數字政府建設”，“十四五”規劃綱要強調要“提高數字政府建設水平”。當前，各省結合政府機構改革窗口期在數字政府管理體制、運行機制等方面積極探索創新，探索數字政府“投建營一體化”新型建設模式，“政企合作、管運分離”成為先進省市數字政府運營主要方式。

從全行業視角來看，構建智能集約的平臺支撐體系，逐步減少部門數據機房和專網，集約建設云網等基礎設施，形成“一片云、一張網”，實施管運分離，已經成為政企IT基礎設施建設的新趨勢。同時，伴隨云基礎設施部署越來越多，云上密碼服務能力的建設需求成了上云用戶的剛需。在此背景下，密碼廠商就需要積極應對虛擬化、軟件化趨勢，提升其產品的XaaS化能力，從而抓住下一個五年安全市場的發展機遇。

2.以網絡安全架構演進為參考

Gartner近期發布的2022年七大安全和風險管理趨勢中，網絡安全網格架構（CSMA）無疑體現出在技術架構層面對當前網絡安全產品在新形勢下的整合能力要求，通過集成式的安全架構來保護組織在本地、數據中心和云端資產的安全。

圖1.網絡安全網格架構（CSMA）

隨著信息設備的爆發式增長、網絡架構復雜度的不斷升級，網絡安全防護任務也愈加繁重。隨著時間的推移，政企的IT基礎設施將變得越來越龐大和復雜。這不僅帶來了安全管理、網絡管理、網絡構建等各方面的挑戰，更造成了在多品牌的安全防護產品之間協同的阻隔。Gartner在其《2022年重要戰略技術趨勢：網絡安全網格》報告中也指出，許多高管都曾坦言，希望能將其架構中部署的多達40到50個供應商產品，精簡至5到10個產品，以便更加易于管理。也正因為此，支持可見性并能觸發超快速防御機制的集成式自動化平臺，正被各類企業采納和部署。一段時間以來，首席信息官們持續關注安全技術和功能的整合。很多技術領導者幾乎都表示希望轉變單點產品持續疊加的傳統模式，減少不必要的單一功能產品和節點部件，轉而構建更具凝聚力的創新平臺架構，因此，CSMA在這種背景下呼之欲出。這也為密碼廠商對各類密碼服務能力集成架構的選擇提供了一個重要參照。

3.以IT產業的優秀架構思想和最佳實踐作為依照

在數字化轉型的背景下，密碼服務的模式也應圍繞用戶業務轉型而逐漸演進。傳統模式下，用戶業務通常部署在本地或者數據中心機房，因此密碼廠商通常以硬件的方式伴生在用戶業務服務器或終端側。此時，密碼產品通常是單一能力硬件盒子，用戶需要何種安全能力就購買具備相應能力的密碼設備。

隨著IT基礎設施建設發展，用戶將業務遷移到云環境之后，完全依靠硬件盒子形態部署密碼服務能力的方案不再奏效，密碼廠商的服務架構也應隨之改變。在該模式的推動下，密碼產品部署將隨著用戶的業務遷移而變化，因此密碼服務架構需要能支持多樣的部署環境，并適應不同的部署場景。在國家大力推進新型數字基礎設施的趨勢帶動下，密碼服務的模式也亟待“轉型”。隨著用戶數字化轉型下的業務變化，其所需的密碼服務能力也在不斷變化，不再是傳統的需要什么能力就購買相應密碼設備，這種模式會導致密碼資源的浪費，同時不能快速適應業務發展。因此，密碼服務架構需要支持多能力融合，并支持根據不同的“訂閱”需求提供不同的密碼服務能力組合。

四、數字時代安盟華御密碼服務平臺架構探索與實踐

安盟華御密碼服務平臺聚合密碼系統和數據防護產品，為信息系統和業務應用提供一體、集約、標準、可控、可視的密碼和數據安全服務。密碼服務平臺能滿足云計算環境下全類別、場景化密碼服務和數據安全的服務需求，產品和技術符合《密碼法》和《數據安全法》等相關法律法規要求，可有效滿足信息系統密碼應用合規和數據全生命周期防護要求。

圖2.安盟華御密碼服務平臺助力“雙合規”

平臺采用云原生架構，具備密碼服務和數據安全服務開放集成能力，可以以最簡化的密碼資源支撐，提供密碼計算服務、簽名驗簽服務、應用密鑰托管服務、身份認證服務、時間戳服務等，也可按需集成其它密碼產品或數據安全產品擴展服務能力；支持多節點集群、分布式部署模式，滿足政務云、大型集團企業的多數據中心、多云的分級密碼服務需求，也提供精簡部署模式滿足單一應用系統或中小企業的密碼應用和數據防護需求；同時，也可實現各類密碼服務和數據安全服務能力按需配置、動態編排和協同，提供標準化、場景化、便捷化的服務功能與應用系統對接，全方位、立體化保障用戶業務和數據的安全，確保業務快速上線，縮短業務建設周期。

圖3.安盟華御密碼服務平臺技術架構

在政務云、城市云等公有云場景下，平臺采用租戶“訂閱”服務模式，對上云租戶提供流程化的賬號管理、服務租賃管理、應用配額管理、服務策略管理、應用對接指南等，降低用戶管理運維投入，為用戶實現降本增效；同時，為運營服務團隊提供平臺運維管理、資源管理、租戶管理、計費管理、工單管理等功能，支撐為云上租戶提供密碼資源池化、彈性可擴展、泛在接入、可計量的密碼和數據安全服務，能夠對密碼資源、密碼服務及密碼應用健康狀態提供全方位、多維度的監控與統計分析，使密碼和數據安全服務可控、價值可視。

圖4.安盟華御密碼服務平臺“訂閱”服務和監控運維

數字時代密碼服務架構應圍繞用戶業務發展需求而“轉型”，以能夠為用戶提供最優的解決方案目標而演進。安盟信息基于密碼基因打造安全合規、統一管理、部署靈活、服務彈性可計量的密碼服務平臺，采用云原生架構和服務“訂閱”模式，打造集約化、服務化、場景化，易于行業快速對接集成的服務能力，幫助應用系統滿足密碼應用合規和數據安全防護需求，筑牢數字安全屏障體系，為數字經濟發展保駕護航。