“一站式”公共密碼服務平臺的構建

石峰 耿方 呂松 蔣亞麗

（1.西部安全認證中心有限責任公司 寧夏回族自治區銀川市 750001）

（2.山東大學軟件學院 山東省濟南市 250101）

1 引言

隨著數字化、網絡化的不斷演進，密碼亦從“神秘”走向普及，密碼應用需求遍布各行各業，2019 年10 月26 日，十三屆全國人大常委會第十四次會議審議通過《中華人民共和國密碼法》，2020 年1 月1 日起施行，《密碼法》實施旨在深入踐行“密碼安全為人民”的理念、切實增強密碼管理法治化水平、積極推進重要領域和網絡空間密碼融合應用、著力加強密碼自主創新和人才培養。本文根據我國密碼產業現狀，立足于全面貫徹《密碼法》，提出了構建公共密碼服務平臺思路，意在通過該平臺的一站式服務，解決高效、合規的使用密碼，突發事件預警、糾紛仲裁、密碼應用咨詢、評估、設計、監理、安全培訓等系列問題，提升密碼服務科學化、規范化、法治化水平，推進我國密碼產業的健康發展。

2 構建公共密碼服務平臺必要性分析

2.1 密碼產業現狀及重點任務

黨的十八大以來，在黨中央、國務院高度重視下，在各方面共同努力下，我國密碼不斷發展壯大，并取得了豐碩的成果。大數據、云計算、人工智能等新技術新業態新模式，對密碼服務應用提出了更高要求；我國密碼賴以運行的關鍵元器件和工程實現技術受制于人的局面沒有得到根本性改變，密碼創新發展存在明顯短板弱項，密碼科技創新和產業發展面臨新機遇新挑戰。面對我國現階段關鍵信息基礎設施防控能力較弱，網絡信息產品核心技術受制于人，網絡安全事件頻發，網絡安全形勢日趨嚴峻的現狀，國家應該從頂層設計規劃設計做好以下重點任務.

以市場需求為中心打造全產業鏈條體系，從國家層面，加大資金投入構建公共密碼服務平臺將密碼產業上中下游的相關資源進行整合，形成完整產業鏈條。加強密碼領域共性、前瞻、戰略性技術研究與科技攻關，圍繞涉及商用密碼長遠發展和國家安全的問題，加強密碼基礎理論研究前瞻布局，強化原始創新，增強源頭供給，突破核心關鍵技術，通過構建密公共密碼服務平臺匯集優勢企業進行密碼領域共性技術、前瞻技術、戰略性技術的研究，建立全社會協同攻關創新的體制機制。完善密碼檢測認證體系建設，提升風險防范能力，綜合發揮密碼產品檢測認證、密碼應用安全評估和關鍵基礎設施密碼安全審查的技術把關作用，整合社會資源，合理規劃布局，建立國家密碼測評認證體系。優化密碼產業生態體系建設，通過建立規范、標準、先進的密碼公共安全服務標桿，提升公共服務的集約化和標準化水平。以總體國家安全觀為統領，全面貫徹落實《密碼法》推進商用密碼全面應用。

2.2 構建公共密碼服務平臺必要性分析

密碼作為國家重要戰略資源，密碼工作是黨和國家的一項特殊重要工作，直接關系國家政治安全、經濟安全、國防安全和信息安全，是“由網絡大國走向網絡強國”的重要抓手，是我國安全產業安全和制造業高質量發展的強力保障，因此，國家應該從頂層規劃設計好公共密碼服務平臺，用于監管用戶安全、合規、高效使用密碼技術，提升態勢感知、安全防護、應急處置能力，培育一批影響力大、競爭力強的龍頭骨干企業，并加速各領域與密碼技術的融合，推動安全產業生態高速發展，持續提升我國網絡安全國際影響力和話語權。

2.2.1 我國由網絡大國邁向網絡強國的必由之路、必然選擇

近年來，在持續的政策推動下，網絡安全保護到達了史無前例的高度。2014 年2 月，中央網絡安全和信息化領導小組成立，由習總書記親自擔任組長，并提出“沒有網絡安全就沒有國家安全，沒有信息化就沒有現代化，中國要由網絡大國走向網絡強國”。作為信息安全的核心技術的密碼技術從上個世紀90 年代國務院頒布《商用密碼管理條例》，到2020 年1 月1 日《中華人民共和國密碼法》的正式實施，標志著我國商用密碼的發展和管理從此走上了法治化的軌道。貫徹落實《中華人民共和國密碼法》，推動我國的“由網絡大國到走向網絡強國”的強國戰略，需緊緊圍繞黨和國家戰略需求，致力于增強密碼原始創新能力，建設以公共密碼服務、密碼應用產業鏈供需對接、密碼應用監測感知為核心的“一站式”公共密碼服務平臺是完成國家安全產業頂層設計的必要一環、是我國“由網絡大國走向網絡強國”必由之路、必然選擇。

2.2.2 國內產業安全和制造業高質量發展的強力保障

國內安全產業的發展離不開密碼技術保護，特別是制造業高質量發展更離不開密碼技術的保駕護航。國家應圍繞安全產業、先進制造業的安全需求，繼續加大密碼應用的支持力度，在構建密公共密碼服務平臺的基礎上，加大工業互聯網、先進制造業的密碼應用的監管和投入力度。建立完善的工業互聯網、先進制造業的密碼標準體系，完善頂層規劃，加強密碼應用的指導性、加強核心技術研究，提升密碼應用的適用性，加快標準制定，推動成果轉化，促進工業互聯網平臺、先進制造業等安全產業的密碼應用產業化。從根本上保障工業互聯網平臺、安全產業、先進制造業的安全，讓密碼技術成為推動國內安全產業安全和制造業高質量發展的強力保障。

2.2.3 “數字經濟時代”應對國內、國際重大突發公共安全事件的重要保障

數字經濟時代，大數據在為組織創造價值的同時，也面臨著嚴峻的安全風險。一方面，數據經濟發展特性使得數據在不同主體間的流通和加工成為不可避免的趨勢，由此也打破了數據安全管理邊界，弱化了管理主體風險控制能力；另一方面，隨著數據資源商業價值的凸顯，針對數據的攻擊、竊取、濫用、劫持等活動持續泛濫，并呈現出產業化、高科技化和跨國化等特性，對國家的數據生態治理水平和組織的數據安全管理能力提出全新挑戰。2016 年9 月22 日，全球互聯網巨頭雅虎用戶賬戶信息失竊事件、2017 年3 月“京東內部員工泄露用戶數據”案、2021 年5 月7 日，美國大型成品油管道運營商科洛尼爾管道運輸公司遭受了勒索軟件的攻擊等綜合近年來國內外重大數據安全事件發現，造成該類事件發生主要有以下原因：第一相關人員安全意識、重視程度不夠，法律意識淡??；第二未采用密碼技術或相關類產品進行保護私密數據，第三應用系統設計之初缺乏統籌的安全設計和相關的安全評估，第四系統缺乏有效的應急處理預案，第五缺乏有效的密碼應用態勢的監測。密碼技術作為信息安全的最核心技術，同樣是數字經濟時代是維護網絡空間安全的重要防護手段，構建集密碼服務、密碼應用產業鏈供需對接、密碼應用檢測態勢感知的公共密碼服務平臺是維護網絡空間安全的重要手段，也是應對國內、國際重大突發公共安全事件重要手段。

3 公共密碼服務平臺設計方案

本方案運用工業互聯網架構，采用云計算、大數據、微服務等技術，重點圍繞密碼應用產業鏈供需對接平臺、密碼技術服務平臺、密碼應用監測感知平臺“三大平臺”進行總體規劃設計，總體架構如圖1。

圖1：“一站式”公共密碼服務平臺總體架構

3.1 平臺邊緣層

為具體的密碼產品應用環境，包括各類工業和信息化行業典型應用場景，并通過各類異構網絡通信協議向平臺傳輸密碼應用數據供密碼應用監測感知平臺使用

3.2 IaaS層

IaaS 層為部署層，基于私有云、公有云、專有云等基礎平臺進行部署，可靈活適應于多種平臺服務場景。

3.3 PaaS層

PaaS 層為平臺層：包含了密碼產品資源池、三大平臺，以及基于三大平臺形成的各類工具庫與標準。

密碼應用產業鏈供需對接平臺，由密碼產品供需發布系統、智能交易撮合系統、交易管理系統、運營管理系統構成，為密碼產品供需雙方提供供需信息發布和交易撮合能力，解決了采購方與供應商之間信息不通暢及信息推薦精度效率較低的問題，能有效提升全產業鏈的溝通交流效率，賦能密碼產業應用發展。

密碼技術服務平臺，包括密碼運算基礎服務系統、統一身份認證系統和數字證書系統，具備數字證書管理、身份認證管理和密碼服務功能，利用數字證書服務、統一身份認證入口、底層基礎密碼服務等，為工業和信息化行業密碼企業與密碼應用方信息發布、采購訂單到物流管理等業務提供全面的密碼認證服務。同時還為中小企業用戶提供云上密碼服務，在不采購密碼設備的情況下，完成“密碼即服務”的云上密碼應用，為中小企業節約密碼應用成本，簡化密碼應用流程。

密碼應用監測感知平臺，其采集密碼應用、密碼系統/設備，密鑰、證書等密碼資源信息，基于數據建模、分類歸并和融合分析等手段，監測和呈現密碼運行態勢，實現密碼風險事件預測告警和輔助決策。

密碼產品資源池為方案在實施過程中形成的基礎密碼產品，如高速密碼卡、服務器密碼機、簽名驗簽服務器等，密碼平臺類產品，如統一密碼服務管理平臺、數字證書認證系統密鑰管理系統、統一身份認證系統等產品，密碼應用類產品，如安全傳輸網關、協同簽名系統、簽名驗簽服務器、電子簽章系統、隱私數據加密系統等密碼資源。

平臺工具庫與標準規范為依托三大平臺，在密碼應用測評、密碼應用服務、密碼應用分析等方面形成工具集，以及與平臺相配套的標準與規范，以保障整體平臺的可用性與易用性。

3.4 SaaS層

SaaS 層：為面向用戶的服務層，基于三大平臺、密碼產品資源池和工具庫為用戶提供從密碼應用咨詢、密碼應用設計到密碼應用運維的“一站式”服務，讓用戶切實體驗到密碼應用的簡單與便捷性。

4 平臺設計特點

圍繞暢通密碼全產業鏈的溝通交流渠道，提升工業和信息化行業密碼應用產業供給水平的目標，工業和信息化行業密碼應用產業基礎公共服務平臺，通過一體化的設計，在平臺內布局了密碼應用產業鏈供需對接平臺、密碼應用態勢感知平臺、密碼技術服務平臺三大子平臺系統，面向密碼產品供需雙方提供產品展示、需求發布、智能交易撮合、密碼數據采集、實時分析匯總、風險診斷、安全性標準化評估、企業培育、信息交互的一站式服務，促進密碼產品快速高效地應用落地，賦能密碼產業應用發展。平臺設計具有如下先進性：

4.1 基于智能推薦的交易撮合服務

密碼應用產業鏈供需對接平臺，創造性地將智能推薦算法應用于交易撮合系統中，通過對用戶的精準畫像，為密碼產品供需雙方提供定制化、智能化的交易撮合服務，解決了采購方與供應商之間信息不通暢及信息推薦精度效率較低的問題，大幅提升密碼產品全產業鏈的溝通交流效率。

4.2 基于區塊鏈的管理技術

平臺設計利用區塊鏈技術的點對點、分布式、不可篡改、抗抵賴、可追溯等特性，重塑供需信息發布、進銷項發票管理、電子合同管理、追蹤溯源管理等平臺內各系統的核心功能，實現了供需信息發布、交易服務，保證供需發布數據及交易數據的全程記錄留痕、可追溯，歷史數據不可篡改；解決了傳統信息系統存在的單點故障、易被篡改、難追溯的難題。

4.3 態勢感知的一體化服務

密碼應用態勢感知平臺，根據業務側信息系統特別是密碼系統、密碼終端的數據特點，創新地將密碼態勢數據的采集匯聚、統計分析、統一呈現和預測告警等功能集于一體，為行業密碼應用提供密碼應用信息系統整體態勢感知預警、密碼應用安全性標準化評估、密碼應用現狀分析匯總及風險研判的一站式服務，實現了密碼資源統一呈現、密碼要素合規、系統風險可標識預測、威脅預警可輔助決策的目標；解決了密碼產品在應用過程中難以統一監測、預估風險的問題。

4.4 強化密碼服務理念

密碼技術服務平臺以國產密碼運算為基礎、“密碼資源池”為支撐、密碼服務為思想、密碼資源集中管理為手段，采用微服務等技術，高度整合密碼運算資源，通過統一設備管理、密鑰管理和策略管理，為用戶提供加解密、簽名驗簽、電子簽章、數字證書、時間戳、協同簽名、VPN 等一站式的密碼服務和可視化的密碼資源運維管理服務，具備層次化、服務化、松耦合、可擴展、安全可靠、高穩定的特點，滿足了密碼公共服務平臺內的密碼業務需求，有效覆蓋了密碼公共服務平臺的業務需求，為平臺的內生安全提供了保障。

5 結束語

構建公共密碼服務平臺是全面貫徹落實《中華人民共和國密碼法》提升工業和信息化行業密碼應用產業供給水平的重要抓手，通過該平臺提供的“一站式服務”可以解決密碼的高效、合規使用問題，解決應用系統在使用密碼技術時的合規性檢查，突發事件預警，密碼應用咨詢、評估、設計、監理、安全培訓等一系列的安全服務問題，還可以通過平臺檢測數據讓主管部門時時掌握密碼應用合規情況及安全態勢，研判密碼管理工作成果，分析密碼市場態勢，完善密碼管理體系，指導密碼應用創新。推進密碼應用安全性評估的標準化，促進我國密碼應用標準的國際化，補強商用密碼產業基礎支撐短板，均衡密碼應用產業分布和布局。實現安全互信、開放共享的網絡安全文明，推動重要領域持續加大密碼應用，推動密碼技術產品服務體系創新。