摘     要

“没有密码安全就没有信息安全，没有信息安全就没有信息化，没有信息化就没有现代化，因此，密码是新时代网络空间的安全基石，是全社会数字转型成败的关键，是现代化国家之重器”。这是国家推进密评密改工作的基础逻辑，也是责任单位切实履行密评法定责任所需要具备的基本认知，二者高度统一。

应用主导的密码服务往往是碎片化的，实践中难以管理和扩展，这是当前密码应用不广泛、不规范、不安全的内在客观原因。这种情况下，简单通过补漏式地部署密码设备来配合密改，很难从根本上解决问题。

为此，根据 GB/T 39786-2021的要求，结合密码保障体系建设和服务的专业经验，本文建议从数字转型和网络安全顶层设计出发，引入《密码应用服务中台》为中心，对接全域密码设备和服务，规划建设统一的《密码安全保障基础平台》，面向全域密码应用和管理，以全新的平台化模式总成交付，通过对全域密码应用的全程追踪、总体管控和统一服务，提高密码应用管理与服务的集约化和精细化水平，全面掌握密评合规和密码应用安全保障的主动权，固本清源，切实守住网络安全的最后一道防线。

在此基础上，支持电子合同、电子凭证、电子签署、统一认证、电子存证等专项密码应用系统的平滑扩展与个性化定制开发；促进以《电子认证服务体系》、《零信任网络安全框架》、《区块链网络系统》为代表的网络安全新体系尽快形成，逐步打造闭环完整、科学规范的的《密码安全保障体系》，从根本上摆脱密码服务碎片化的不利局面，进一步体系化地实现强信任、强安全、强可控和强防护的网络空间全域安全，保证新形势下数字转型的安全基本面稳定。

总之，密评不只是政策红利和法定责任，以密码为内生安全基因构建网络安全新体系的未来已经来到，责任单位尽早统筹规划统一的密码应用安全保障体系，并据此安排分步实施落实，避免陷入“盲人摸象，欲速则不达”的误区。

上海铠射信息科技有限公司

2022.11

一、  密评总体概述

随着物联网、大数据、云计算、区块链、AI等技术的变革，不断催生以高融合和自动化为特征的各种新型业态，由此带给网络安全的则是以去边界和无人值守为标志的根本性挑战，有赖于边界和人工干预的传统安全理念和防御体系受到基础性冲击，网络全域的强信任、强安全、强可控和强防护要求成为必然，通过系统性植入密码来打造网络与信息系统的内生安全基因成为一种自然选择，基于密码构建网络安全新体系成为新形势下数字转型的必然刚需。

近年来，以IEEE 1609.2（车载网络）、ZigBee智能能源1.0（智能电网）、ISA SP100.11a（工业自动化）等为代表的新型跨边界自动化网络相关标准规范，无一不是强制以密码技术作为内生基因来构建其基于零信任思想的网络安全主框架；包括电子政务、医疗卫生、金融电信、文化教育等在内的重要行业，先后引入基于PKI的电子认证服务体系，系统性解决网络协同与交互中不可回避的网络身份、网络行为、网络资产、网络信息等关键要素的真实性、机密性、完整性和不否认性等业务安全问题，支撑网络空间信任体系的重建；区块链更是基于密码技术重构互联网价值安全体系，在各行各业掀起一股变革和创新的浪潮；由此可见，基于密码技术的电子认证业务安全、零信任网络安全、区块链价值安全等网络安全新体系，基本构成了新形势下网络安全的主框架，并日益成为网络安全解决方案的主流，以密码为内生安全基因构建网络安全新体系的未来已经来到。

近年来国家陆续发布《网络安全法》、《密码法》、《保守国家秘密法（修订）》、《关键信息基础设施安全保护条例》、《数据安全法》、《电子签名法》、《商用密码应用安全性评估管理办法》（试行）等，为网络安全和密码应用提供了法律保障。

自2021年开始，国家正式通过商用密码应用安全评估制度（简称“密评”），针对当前密码应用不广泛、不规范、不安全的现状，大力促进以国家认可的密码技术为基础，以整体性、规范性和协同性为原则的密码规范使用和管理，推动科学规范的网络安全密码屏障体系尽快形成，保证密码在网络和信息系统中的有效使用，打造以密码为基石的网络空间新安全架构，牢牢守住网络安全最后一道防线。

商用密码应用安全评估与国家正在推进实施的网络安全等级保护、涉密信息系统分级保护、关键信息基础设施保护等一起共同构成我国信息安全评估与管理的四项基本制度；除了密评本身对于密码应用安全提出系统性的要求，其他三项基本制度也都从各自角度分别对密码安全应用提出了明确的法定要求。

二、  密改项目需求

• 密改要则

密评最终目的是要系统性地推进和规范全域密码应用，只有真正领会GB/T 39786-2021的要求，从密码服务、应用、管理同步进行，实现对全域密码应用的全程追踪、总体管控和统一服务，才能从根本上真正满足密评合规所要求的整体性、协同性和规范性要求。实践中需要切实把握规范化、体系化、主动性和成长性等几个基本要则：

• 选用国家认可的密码算法、技术、产品和服务，确保密码服务可用。这一条涉及密评高风险项聚集的领域，需要首先保证。
• 保持全域密码应用的全程追踪和总体管控，确保可知、可管、可控。这一条涉及密评完备性和协同性，是克服密码碎片化、避免疏漏的关键。
• 网络信息系统是发展的，密改方案需支持动态扩展，确保其延续性。密评年检制决定了密改的长期性，必须在正确轨道上保持开放敏捷性设计。
• 密评是手段，不是目标，密改需要与数字转型和网络安全规划融合。以密码为内生安全基因构建网络安全新体系，才是密评工作的真正目的，也是密评合规的底层逻辑。

总之，虽然密评合规是法定的责任，密改工作也可以根据实际情况分步实施，但国家推进密评工作背后的基础逻辑，以及责任单位推进密改工作的初衷不能模糊。本文建议对标网络空间关键基础设施，从顶层设计、长远规划出发，统一搭建密码安全综合保障体系。避免步入“盲人摸象，欲速则不达”的误区，给责任单位带来不可控的安全风险和投资浪费，给国家和社会造成不必要的损失。

• 密改项目需求

综上所述。项目需求分类归纳如下：

1. 规范完备的密码服务功能体系

检测定位不合格的密码算法、技术、产品和服务，选配国家认可的密码算法、技术、产品和服务。比如具有国密型号的服务器密码机/密码卡、数字证书系统（CA）、签名验签服务器、时间戳服务器、协同签名系统、电子签章系统、安全认证网关、SSL VPN/IPsec VPN、多因素认证系统、统一认证系统，以及具有工信部许可的CA电子认证服务等等。满足全域对真实性、机密性、完整性和不可否认性等密码服务保障能力的需求，构成规范完整、科学专业的密码服务功能体系。

• 科学系统的密码服务管理体系

针对全域的密码应用统一管理，除了基本信息的登记备案，还需要实现服务方、依赖方（调用方）和管理方三者及其相关策略的统一管理与协调一致，避免密码服务在管理上出现漏洞。

• 安全稳定的密码受控服务体系

对接全域密码服务的功能和管理体系，按照设定的访问策略，面向密码应用方提供安全可控和稳定高效的差异化密码服务，在密码产品安全合规的同时，确保全域密码应用体系的结构性安全，并具备适当的应急保障能力。

• 独立权威的密码服务数据体系

针对全域碎片化的密码服务数据进行汇总梳理和完整性保护，并针对密码服务情况提供权威的查询展示和审计服务。

• 便捷高效的密码服务运行体系

全程跟踪展示密码应用情况；保障平台高质量安全运行；支持平台运营日常维护以及用户自助服务的极简高效；提供第三方开发者二次开发和仿真调测环境等。

• 支持多样化用户终端场景

密码客户端需要适配多样化用户终端场景，比如手机、电脑、pad等终端设备；SDK、插件、APP、小程序、专用客户端等终端软件形态；支持外接USBKey或者内置密码软件模块；支持主流操作系统和信创平台等等，确保用户体验。

• 支持灵活扩展专项密码应用系统

要求无缝扩展提供各种密码类专项服务，满足特定项目对于密码服务的个性化定制。比如身份治理、电子签署、电子合同、电子证照、电子存证等。

• 支持基于密码的网络安全新体系

支持平滑演进为电子认证、零信任框架、区块链网络等以密码为基石的网络安全新体系，充分发挥密码的核心基础价值，守住新形势下网络安全的最后一道防线。

三、  密码保障方案

本文建议根据 GB/T 39786-2021的要求，结合密码保障体系建设和服务的专业经验，从数字转型和网络安全顶层设计出发，规划建设统一的《密码安全保障体系》，通过引入《密码应用服务中台》（也称为密码应用管控平台）为中心，实现对全域密码资源和应用的全程追踪、总体管控、统一服务和持续演进，全面掌握密评合规和密码安全保障的主动权，提高密码应用管理的集约化与服务精细化水平，以全新的平台化模式总成交付，切实守住网络安全最后一道防线。

在此基础上，支持电子合同、电子凭证、电子签署、统一认证、电子存证等专项密码应用系统的平滑扩展与个性化定制开发；促进以《电子认证服务体系》、《零信任网络安全框架》、《区块链网络系统》为代表的网络安全新体系尽快形成，逐步打造闭环完整、科学规范的的《密码安全保障体系》，从根本上摆脱密码服务碎片化的不利局面，进一步体系化地实现强信任、强安全、强可控和强防护的网络空间全域安全，保证新形势下数字转型的安全基本面稳定。

（一）目标定位

为此，项目的基本目标定位为：

1. 密码安全保障体系。从密码服务、应用、管理三管齐下，全方位、可持续地支持密评合规的法定要求；
2. 新型网络安全基础设施。逐步向电子认证服务体系、零信任安全框架、区块链网络等以密码为基石的网络安全新体系平滑演进。

两者高度统一，满足密评法定责任的同时，切实促进实现强信任、强安全、强可控和强防护的网络空间全域安全，为新形势下的数字转型保驾护航。

（二）设计原则

根据GB/T 39786-2021配套的《信息安全技术 信息系统密码应用设计技术要求（意见征求稿）》，信息系统密码应用方案设计应遵循如下原则：

1. 总体性原则。信息系统密码应用需求和系统预期目标需与本系统网络安全等级保护相结合，以此确定信息系统密码服务支撑、计算平台和应用层的对应级别密码应用需求，涵盖物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全四个层面的密码应用设计，保障信息系统的实体身份真实性、重要数据的机密性和完整性、操作行为的不可否认性要求。
2. 科学性原则。GB/T 39786是密码应用的通用要求，信息系统密码应用设计建议遵照密码技术体系框架和密码相关标准，包括密码支撑体系总体架构、密码基础设施建设部署、密钥管理体系构建、密码产品部署及管理等内容。
3. 完备性原则。信息密码应用方案专注于满足密码相关安全需求，根据安全需求建立完备的密码支撑保障体系。针对不适用项，指出采用了何种替代性风险控制措施来达到有效控制。
4. 可行性原则。信息系统密码应用设计应进行可行性论证，在保证信息系统业务正常运行的同时，综合考虑信息系统的复杂性、兼容性及其他保障措施等，保证方案切合实际、合理可行。科学评估密码应用方案和实施计划，可采取整体设计、分期建设、稳步推进的策略，结合实际情况制订项目组织实施计划。

（三）总体架构

综上所述，《密码安全保障体系》由密码服务基础设备、密码应用服务中台台、专项密码应用系统以及新型网络安全体系四个部分组成，分别对应密码保障体系建设和运行的四个不同建设阶段和应用层级。

如图所示，以《密码应用服务中台》为中心，根据项目实际需要，合理选配必要的密码服务基础设备，二者构成《密码安全保障基础平台》，并配套多样化的密码客户端来改善和提升用户使用体验；在此基础上，扩展和集成相关专项密码应用系统，并逐步演进为以密码为基石的新型网络安全体系，四个层面相对独立，层层递进，满足不同客户在不同阶段对于密码安全保障的需求，共同构建完整的《密码安全保障体系》，牢牢守住网络与信息系统安全的最后一道防线。

（四）建设内容

密码应用服务中台

《密码应用服务中台》通过对全域密码资源和应用的全程跟踪和总体管控，统一对外提供受控的可靠访问；在此基础上，实现对密码服务相关数据的分析、保全、展示和审计，全程掌握密码应用的整体情况；同时面向第三方开发者提供二次开发服务，包括开发接口、开发环境和开发指南，精准满足各种个性化需求。

《密码应用服务中台》由管理子系统、服务子系统、数据子系统、运行子系统和客户端子系统五部分组成。

1. 管理子系统

密码是网络空间安全的基石，其应用分布在网络与信息系统的每个角落，呈碎片化特征。因此，为了保障密码应用的正确、规范、有效，首先需要将全域的密码服务纳入统一的管理体系，避免出现管理上的漏洞。

管理子系统以密码服务为中心，围绕服务提供方、服务应用方（依赖方）和服务管理方（平台）三个维度展开，将碎片化的密码用户、设备、服务、应用及其访问控制策略实行统一的登记备案和协同管理。针对不同类型密码应用分别提供不同的管理策略，从简单的登记备案到严格的访问控制，管理子系统都可以灵活定制。

此外，管理子系统还提供密码检测工具，支持对网络和信息系统中所使用的密码算法进行全局性检测，及时报告和定位系统中潜在的不合规密码算法。支持管理人员对全域范围进行密码应用安全性检查。

• 服务子系统

整合对接平台的密码服务基础设备和密码服务管理体系，统一面向应用（依赖方）提供安全可控、稳定高效的密码服务。包括：

1. 安全认证网关。对接多因素认证系统或者统一认证系统，根据访问策略对密码服务请求进行验证鉴权，并与应用方建立SSL通道。
2. 业务服务网关。平台密码服务业务网关对接整合平台密码基础设备的服务功能，提供主流的接口标准，统一面向应用方提供对应的密码功能服务。
3. 多功能应急备机。一台多功能应急备机同时具备所有基础密码设备的基本功能，平台多功能应急备机用于基础密码设备出现故障时紧急备用，当业务服务网关调用正常密码基础设备出现异常时，会将该服务请求自动跳转到应急备机。
4. 云密码虚拟机。密码服务云虚拟机主要是为了适应云原生环境，通过专门定制的虚拟机，代理实现云环境下的密码服务。
5. 数据子系统

数据子系统对全域密码服务数据的汇总梳理，并统一进行完整性保护处理后形成权威的密码服务数据体系；密码服务数据子系统包括数据采集、二次处理、完整性处理，以及密码服务安全审计、责任认定等模块。

• 运行子系统

对接平台的密码服务基础设备、密码服务管理与数据体系，面向平台用户、平台运维人员以及第三方开发者三类不同的平台角色，分别统一提供对应的支撑服务，保障密码安全体系运行的安全健壮和高效便捷。

1. 平台运行管理子系统。面向运维人员提供至简高效的平台运行管理服务功能，比如服务画像、系统维护、系统监控、统计查询等；
2. 用户自助服务子系统。通过WEB门户、客户端管理系统等手段，为终端用户、应用系统和平台运维管理人员提供至简接入和自助服务，包括用户自助服务、中台和设备的运维服务、客户端升级维护服务等。
3. 开发者服务子系统。为方便应用系统的加载测试、密码设备的调整测试、专项密码应用的定制开发测试、以及平台本身的升级维护测试等需要，统一提供开放的一体化开发仿真环境和开发指南。
4. 密码服务客户端

密码客户端是为终端用户提供本地密码服务的综合性客户端，不仅包括本地密码基础功能服务模块，也包括密码基础设备、密码服务管控平台、专项密码应用以及网络安全新体系的客户端本地配套功能；密码客户端统一由管控平台的客户端系统管理维护。基本能力如下：

1. 密码客户端可以是通用的SDK开发包或独立客户端，也可以是手机APP、微信/钉钉小程序、浏览器插件等常见终端软件形式；
2. 用户终端可以是手机、电脑、PAD或者其他多种形式的便携式智能终端；
3. 密码客户端可以是纯软件模块，也可以根据需要对接UKEY、手写屏等专用配套硬件。
4. 密码客户端支持当前主流操作系统和信创平台。

手机APP、微信/钉钉小程序不仅提供软件接口调用，还可以通过扫码和短信推送等非计算机接口调用的集成方式。

• 密码服务基础设备

密码服务基础设备主要承担密码服务功能体系，根据全域对于密码服务功能的实际需要，配置国家认可的密码技术、产品和服务，打造规范完整、科学专业的密码服务功能体系。常用的密码基础设备可以分为下面几类：

1. 密钥（标识）管理类。负责对全域密钥提供从生成、分发、变更、注销等全生命周期的管理与服务。比如数字证书系统（CA）、密钥管理系统（KMS）、代码签名系统、隐式证书系统、无证书密钥系统（CLA）等，后两者主要用于提供车联网、物联网（含工业互联网）的设备密码标识，代码签名系统则是用于提供软件代码的密码标识。
2. 身份鉴别类。负责提供以密码技术为主的身份认证服务（真实性），比如多因素认证系统、手机认证系统、统一认证系统和安全认证网关等。
3. 安全通信类。负责提供站到站、端到站之间的安全连接认证、安全加密通信以及日志完整性保护，比如SSL VPN 、IPsec VPN、安全认证网关等。
4. 数字签名类。专门负责提供数据完整性和行为抗抵赖类的密码签名和验签服务，比如签名验签服务器、时间戳服务器、协同签名系统、电子签章系统等。主要用于应用和数据安全保护。
5. 加密解密类。专门负责提供加解密服务（机密性），比如服务器密码机/密码卡、流媒体密码机、数据库密码机等。主要用于需要对大量数据进行加解密的场合。比如机密档案处理（服务器密码机）、高性能视频会议系统（流媒体密码机）、加密数据库（数据库密码机）。
6. 终端密码类。部署或者连接在智能终端（手机/电脑/PAD等）上，为用户提供本地密码服务，比如UKey、智能终端密码软件模块、密码中间件等。

密码基础设备均可以独立工作，本文建议纳入《密码应用服务中台》统一管控，实际物理部署可以在平台中心、应用系统现场，甚至用户终端设备。

• 专项密码应用系统

平台除了提供高质量的密码基础服务，也扩展提供各种密码类专项服务，满足不同情况下对于密码服务的个性化需求。比如可信数字身份、电子签署、电子合同、电子证照、IAM/4A统一认证授权系统等各种专项密码应用系统。

1. 可信数字身份服务系统

依托《密码安全综合保障平台》的CA系统，对接基础用户数据，引入公安部的CTID服务，以及银行、电信、互联网等其他社会身份服务源，以手机认证系统APP或者平台门户网站为载体，依托《密码应用服务中台》统一提供的密码服务，向用户提供可信身份凭证的统一签发、验证及管理服务，支撑业务场景中对用户身份的实时在线可信身份验证。

• 电子签署服务系统

依托《密码应用服务中台》统一提供的各种数字签名服务（含签章），对网络和信息系统中各项重要操作产生的数据、资料进行完整性保护处理，提供事后追踪、审核手段，使得对各类事件具有良好的可追溯性，实现对关键操作的责任认定，保护关键资料的完整性和原始性。

• 电子合同服务系统

以电子合同为核心服务（支持PC、手机、手写板等应用场景），集成《密码应用服务中台》的数字签名（含签章）、身份认证和数据保全功能，对外为个人用户、企业用户（政企事业单位、医疗卫生、银行电信等）和应用系统提供在线的实名身份认证以及在线电子文书流转场景中对电子文档的数字签名应用场景。

• 电子证照服务系统

以电子证照为核心服务（支持PC、手机、手写板等应用场景），集成《密码应用服务中台》的数字签名（含签章）、身份认证和数据保全功能，提供可信电子证照生成、查阅、验证、共享、复用于一体的可信证照服务，实现证照的全生命周期支持和服务。

• 电子存证系统

以电子证照为核心服务（支持PC、手机、手写板等应用场景），集成《密码应用服务中台》的数字签名（含签章）、身份认证和数据保全功能，对接业务过程数据和文件资料，形成完整的数字证据链系统，统一对外提供权威的责任认定和司法举证服务。

• IAM/4A统一认证系统

以IAM/4A统一认证授权为核心服务（支持PC、手机、手写板等应用场景），集成《密码应用服务中台》的数字签名（含签章）、身份认证和数据保全功能，结合实际业务需求，面向全域提供统一的身份治理、认证授权、访问控制、单点登录和安全审计服务。

• 网络安全新体系

详见《网络安全新体系》一章。

四、  方案关键设计

（一）功能模型设计

《密码安全保障体系》对标密码安全保障基础设施，目标是实现全域密码应用的总体管控、全程追踪和统一服务，其功能架构围绕密码应用可知、可管、可用、可控、可追溯、可扩展和可持续等关键指标展开，如图所示：

1. 可知。事前的全域密码应用情况自动检测和登记注册；事中的密码应用监控、密码应用情况实时画像、数据分析，以及事后的密码应用数据审计、统计报表和密评自动评估等功能模块或子系统。确保密码应用总体情况的全程可知，
2. 可管。对密码服务提供方、依赖方、管理方相关用户、设备、应用及其多样化访问策略进行协同管理，确保全域密码应用体系的统筹规划和主动管理。
3. 可用。由统一的密码服务网关、密码客户端，密码云虚拟机，对接密码服务基础设备和应急备机，共同组成专业的密码服务功能支撑体系，面向全域提供稳定高效、普遍适应的密码应用服务。
4. 可控。由安全认证网关、多因素认证服务器、手机认证系统以及配套客户端组成的内置零信任访问控制体系，按照平台管理体系规划设置的多样化访问策略，确保全域密码服务的可控。
5. 可追溯。面向全域密码服务的数据采集、数据汇总处理、数据二次保全（相对数据产生时的一次保全）、数据分析和数据审计功能，确保全域密码服务的可追溯和不可否认。
6. 可扩展。通过密码服务网关、密码客户端以及云密码虚拟机及其管理体系的设计，支持密码服务能力/设备、密码应用系统加载的动态随需调整；并且提供常用的专项密码应用系统，比如在线可信数字身份服务、电子合同、电子证照、电子签署、电子存证、IAM/4A统一认证授权系统等，供不同项目根据具体情况选配；从多个层面保证平台的敏捷性设计，提供良好的可扩展性。
7. 可持续。以电子认证业务安全体系、零信任网络安全体系、区块链价值安全体系为代表的网络安全新体系是新形势下数字转型成败的关键，并且都是以密码技术为基石，平台作为密码安全保障基础设施，支持向上述网络按全新体系的自然演进。

（二）安全体系设计

“密码是网络安全的最后一道防线”，密码保障体系自身的安全至关重要。

如图所示，平台从密码算法/协议安全、密钥安全、设备/服务安全、密码应用管理安全、密码服务访问安全以及密码应用审计安全等多个视角，全方位、全周期地保障密码应用的安全性。

1. 密码算法/协议安全。不仅平台自身密码算法、技术、产品和服务必须安全合规，网络和信息系统中任何潜在的弱算法/协议都是不允许的，而且这种情况由于历史原因很普遍；平台提供密码检测工具，自动检测和定位网络和信息系统中潜在的弱算法/协议。
2. 密钥安全。不仅标识类密钥的全生命周期安全需要保障，诸如安全通信、应用与数据加密中的应用密钥的安全也需要保障，且不能外溢到密钥保障体系之外；平台、客户端和密码设备均对密钥安全性进行专门设计，确保不同密钥全周期安全。
3. 设备/服务安全。国密产品目录内的密码基础设备以获得国密型号为安全性保障标志，特殊场景涉及新型密码基础设备，需要经过严格的安全性设计和专家评审；密码服务必须由合法的正规机构提供；本方案选择的密码基础设备均具有国密型号； CA证书服务均为合法第三方电子认证机构提供。
4. 管理安全。管理安全是任何技术安全都无法替代的；平台针对全域的密码应用的服务方、依赖方（调用方）和管理方三者及其相关策略的统一管理与协调一致，避免密码服务在管理上出现漏洞
5. 访问安全。密码服务是高安全敏感业务，仅仅使用安全规范的密码技术和密码设备是不够的，必须进行合理的访问控制；平台内置零信任安全机制，将全域密码服务统一纳入内置的零信任受控访问体系，确保密码服务的过程安全以及密码保障体系的结构性安全。
6. 审计安全。安全是一个不断完善的过程，对于密码服务数据的全景分析，有助于进一步完善密码应用保障体系的安全性；平台针对全域密码服务产生的过程数据进行汇总梳理和完整性保护，并针对密码服务情况提供权威的查询展示和审计服务，确保密码服务的事后追踪安全。

五、  网络安全新体系

《密码安全保障体系》定位为新型网络安全基础设施，切实支持打造基于密码技术的电子认证业务安全、零信任网络安全、区块链价值安全等新型网络安全体系，充分发挥密码技术的核心基础价值，守住开放网络环境的最后一道防线，确保新形势下网络安全基本面稳定。

（一）电子认证服务平台

电子认证特指通过PKI/CA数字证书及其数字签名技术，实现网络空间的身份真实性、数据完整性和机密性、以及行为的不可否认性。PKI/CA是网络信任的核心技术，电子认证服务平台是网络空间业务安全保障关键基础设施。

众所周知，网络空间是一个完全由陌生人构成的数字世界，陌生人之间的互不信任、电子数据的可随意篡改，使得网络空间对可靠电子认证的依赖程度远远超过现实世界，网络空间的所有关键身份、关键业务、关键数据、乃至安全防御体系本身都严重依赖可靠电子认证，无一可以例外。因此，可靠电子认证对于网络空间是一个专业性较强的普遍刚性需求，是数字化转型必须首先解决的关键问题之一，必须从网络空间关键基础设施的角度去规划设计。迄今为止，PKI/CA是世界范围内唯一在法律法规、学术研究、产业配套和工程实践领域均得到广泛认可和成熟应用的可靠电子认证技术和网络信任基础设施。

《电子认证服务平台》定位为网络安全的关键基础设施之一。它以用户为中心，以业务为导向，以相关法规制度为准绳，综合集成数字证书、身份认证、数字签名、数据保全、授信管理、应用支撑、安全保障、应急备份、开发服务等核心功能于一体的电子认证基础框架；支持打造闭环完整、开放成长的电子认证专业系统，及时准确、合法合规地支撑网络空间全业务、全流程、全场景协同与交互的电子认证需求，从根本上提升数字转型所必需的网络信任基础水平。如下图所示：

（二）零信任安全基础平台

零信任最早源自 2004 年成立的耶利哥论坛（Jericho Forum），其使命就是为了定义无边界趋势下的网络安全问题并寻求解决方案。2010 年约翰·金德维格 （John Kindervag）首次提出了零信任安全的概念，其核心思想是企业不应自动信任内部或外部的任何人/事/物，应在授权前对任何试图接入企业系统的人/事/物进行验证。即所谓“永不信任，始终验证”，目的是消除未经验证的隐含信任。

零信任网络安全的核心是基于身份认证，如图所示，零信任组件可以归纳为核心框架、基础管理与能力聚合三部分：

1. 零信任网络安全核心框架。通过统一的零信任安全访问系统（图中框线内组件），接管全网实体之间的所有安全联系。以便统一控制、优化和服务隐藏，最大限度减少网络联系过程中的信任（安全）漏洞和威胁源。
2. 零信任网络安全基础管理。通过统一的零信任网络授信体系。针对网络实体，不仅包括员工、客户、合作伙伴、单位等网络主体，也包括设备、应用、接口等网络载体，以及数据、资料等网络资源，以PKI设施为基础，实现统一的身份管理、授权管理、策略管理、数据管理等，实现统一的授信管理（图中框线右侧组件），从管理上、技术能力上最大限度提高网络信任的基本面，为统一的安全访问系统提供授信保障。
3. 零信任网络安全能力聚合。通过充分对接集成其他安全系统，整合利用其他安全系统的能力和情报，并统一输出反馈到统一零信任安全访问系统中，进一步加强策略引擎的动态自适应能力，提高访问控制的精度，助力零信任网络安全核心框架能力的提升。

《零信任基础平台》定位为零信任网络安全基础框架，提供上述零信任网络安全核心框架和零信任网络安全基础管理的全部实际功能模块，并支持第三方零信任网络安全能力的聚合与集成，协助客户打造开放成长的零信任安全网络。

如图所示，《零信任基础平台》由《零信任访问授信管理系统》和《零信任授信访问控制系统》组成，前者是根本，负责根据企业管理体系和业务架构统一制定针对资源的访问策略和针对用户的访问授信管理，后者是目标，统一负责执行每次请求的访问策略及其对应的授信访问通道，两者有机结合，固本清源，标本兼治，共同打造企业零信任网络安全底座。

《零信任基础平台》严格落实零信任关于自适应身份认证、动态最小授权、服务隐身等基本思想的基础上，发挥《密码安全保障基础平台》的支撑作用，充分利用PKI数字证书高强度、高智能身份标识的特征，通过数字证书赋予用户、帐号、设备、软件、接口、数据等网络实体更多、更强、更智能的信任基础能力，进一步保障零信任网络安全框架的高可靠、高效率和低成本推进。

1. 依托《密码安全保障基础平台》打造零信任底层信任模型

《零信任基础平台》通过密码服务平台，利用密码技术能力夯实零信任基础平台的底层逻辑，贯穿授信管理、授信认证、授信访问、行为审计的零信任安全全过程，形成一套完整的内置安全底座。并且全过程对用户完全透明，不对用户使用习惯产生额外挑战。

• 依托《密码安全保障基础平台》构建多因素授信管理体系

《零信任基础平台》的设计思想本着“治标先知治本”的指导思想，首先通过用户、设备、应用、接口、资源、授权、策略等零信任要素的综合管理与关联，结合密码安全技术，打造高可靠的多因素授信管理体系；使得在此基础上的自适应多因素授信认证和端到端授信安全访问就变得事半功倍。

• 依托《密码安全保障基础平台》自适应安全授信认证

基于多因素授信管理打造的防御纵深和PKI底层信任模型，《零信任基础平台》在不增加用户和应用复杂性的前提下，通过合理的访问策略模型设计，较好地满足零信任关于自适应身份认证、实时动态授权和服务隐身的要求，满足零信任关于软件定义边界的要求。

• 依托《密码安全保障基础平台》执行端到端的授信安全访问

同样源于多因素授信管理和密码安全底层信任模型，《零信任基础平台》在自适应身份认证的基础上，通过合理的动态授权模型设计，能够实现实时动态最小授权，并基于最小授权构建端到端的授信安全访问通道，从而满足零信任关于微隔离的要求。

• 依托《密码安全保障基础平台》多层次终端安全

同样源于多因素授信管理和PKI底层信任模型，《零信任基础平台》客户端除了常规的终端设备检测和防护，还支持终端设备本机的多因素安全登录、客户端本地调用控制、双向认证、双向SSL、文件保险柜等增强型安全措施。

（三）区块链网络系统

区块链是一种源于数字加密货币比特币的分布式总账技术，具有去中心化、去信任、匿名、数据不可篡改等优势，突破了传统基于中心式技术的局限，被认为是继大型机、个人电脑、互联网后计算时代的颠覆式创新，在全球范围内引起了高度关注。区块链凭借其底层的技术优势，对金融、供应链、物联网、智能制造等行业领域产生了巨大影响。区块链被认为是近年来最具颠覆性和革命性的技术创新之一，被视为“互联网价值基石”。

密码技术是区块链应用发展的基石，为区块链各个层面提供核心技术支撑。

1. 保障安全运行。数据层通过杂凑算法实现区块的时序化串联，保障数据的完整性和抗篡改性，确保交易公开可追溯；通信层使用密码技术建立安全通信信道，并为消息鉴别、匿名路由等提供技术支撑；共识层采用公钥密码算法和杂凑算法等构建的共识机制在不同节点间建立信任，确保账本的一致性和活性；应用层采用PKI数字证书鉴别机制实现节点身份的合法性确认，实现不同节点对交易的确权。
2. 构建核心共识。例如密码杂凑算法实现共识构建、账本管理、快速验证，主要应用于POW共识机制；门限数字签名降低共识确认通信量，应用于Hotstuff、Dumbo等共识算法；可验证随机函数用于解决动态敌手破坏共识活性问题，应用于BFT类包含投票环节的共识算法。
3. 提供隐私保护。采用环签名、零知识证明、同态加密、多方安全计算等密码技术来构建隐私保护方案，更好地服务于实用化的区块链融合应用要求。
4. 实现安全共享。基于密码的数据有条件关联和共享是区块链账本数据安全的新价值增长点。密码学领域的同态密码、多方安全计算技术与区块链数据加密和验证机制相结合，可在不暴露原生数据隐私的基础上，通过协同计算充分发挥数据价值，实现数据可用不可见。

可见，《密码安全保障体系》是区块链网络价值安全的关键，只要抓住这个牛鼻子，才可以放开手脚，充分利用国际上各种开源的区块链架构，否则就会存在各种未知的安全隐患。下面以我司《区块链分布式存证系统》为例来说明密码技术在区块链网络中的应用。

1. 电子存证系统。电子存证系统主要面向业务系统提供存证服务，包括管理系统、对外服务页面和标准API，通过底层核心功能和密钥基础服务为上层业务提供支撑，同时对接分布式文件系统来对存证数据进行保存，对接区块链系统实现存证数据的上链、查询、验证等操作。
2. 区块链服务平台。为区块链分布式基础设施提供方便快捷的部署和维护等管理配置功能，为接入方和开发者提供创建、使用、安全监控区块链平台的服务，提供灵活管理区块链网络的能力。包括实时反映平台底层交易状态、区块生成情况及业务数据存证、业务交易相关的最新动态和分析，提升链上数据和交易的感知性。
3. 区块链系统。分布式账本服务平台。通过链码/智能合约技术来实现对存证业务的灵活支撑，并API/SDK接口为电子存证系统提供用户注册管理、链码数据上链、链码数据查询，以及对应的交易信息、区块信息、通道信息查询服务。
4. 分布式文件系统。为电子存证系统提供对电子数据的文件存储服务。支持将分布式哈希表（Distributed Hash Tables (DHTs)）、BitTorrent（内容分发协议）、版本控制系统Git、自认证文件系统（Self-Certified Filesystems – SFS）与区块链相结合的文件存储和内容分发网络协议。

六、  密评密改总结

（一）项目价值

“没有密码安全就没有信息安全，没有信息安全就没有信息化，没有信息化就没有现代化，因此，密码是新时代网络空间的基石，是数字转型成败的关键，现代化国之重器”。作为密码应用安全基础设施，《密码应用安全保障系统》不仅可以从根源上帮助责任单位满足密评合规的要求，同时对于其网络安全新体系的形成、数字化转型的成败，都具有至关重要的作用和价值：

1. 支持密评合规。《密码安全综合保障平台》，以全新的平台化模式总成交付，从密码服务、应用和管理三管齐下，同步进行，通过对全域密码应用的全程追踪、总体管控和统一服务，实现全域密码服务的“可用、可知、可管、可控、可追溯，以及可共享与可持续”，提高密码应用管理的集约化和密码应用服务的精细化水平，牢牢掌握密评合规和密码应用安全保障的主动权。摆脱和克服设备化模式的种种不足，避免投资上的浪费。
2. 重构网络安全新体系。作为新型网络安全基础设施，《密码安全应用保障平台》可以平滑演进为《电子认证服务体系》、《零信任安全基础平台》、《区块链网络系统》等网络安全新体系，进一步实现强信任、强安全、强可控和强防护的网络空间全域安全。
3. 赋能数字转型战略。新形势下传统的网络安全理念和防御体系受到根本性挑战，重构以密码为基石的网络安全新体系，确保数字转型的安全基本面，对于数字转型具有战略性意义。

（二）方案特色

《密码应用安全保障系统》对标密码应用安全基础设施，目的在于构建以密码为内生安全基因的网络安全新体系。方案总体上体现如图所示的特点：

1. 基础性定位。项目定位不仅仅是满足密评密改的法定责任，更是切实打造以密码为基石的新型网络安全基础设施，赋能新形势下数字转型安全。
2. 平台化总成。应用主导的密码服务天然就是碎片化的，这是密码应用不普及、不正确、不规范的内在客观原因，方案以《密码应用管控平台》为抓手，帮助责任单位总揽全局，提纲挈领，对全域密码应用进行总体管控、全程跟踪和统一服务，确保全域密码应用的可知、可管、可控、可追溯，实现平台化方式的总成交付，摆脱密码应用碎片化的困扰，掌握密码应用安全保障的主动权。
3. 敏捷性支持。密评是信息安全的长期制度和日常工作，网络和信息系统是动态变化的，因此密码应用安全保障体系设计的敏捷性很重要。平台通过密码服务网关、密码客户端以及云密码虚拟机及其管理体系的设计，支持密码服务能力/设备、密码应用系统加载的动态随需调整；并且提供常用的专项密码应用系统，比如在线可信数字身份服务、电子合同、电子证照、电子签署、电子存证、IAM/4A统一认证授权系统等，供不同项目根据具体情况选配；从多个层面保证平台的敏捷性设计，提供良好的可扩展性。
4. 结构性安全。密码是网络安全的最后一道防线，任何一个短板和漏洞都可能造成灾难性的后果，平台从密码算法/协议安全、密钥安全、设备/服务安全、密码应用管理安全、密码服务访问安全以及密码应用审计安全等多个视角，全方位、全周期地保障密码应用的结构性安全。
5. 新体系演进。以电子认证业务安全体系、零信任网络安全体系、区块链价值安全体系为代表的网络安全新体系是新形势下网络空间安全基本面的保证，是数字转型成败的关键，它们都是以密码技术为基石，平台作为密码安全保障基础设施，支持向上述网络按全新体系的自然演进。
6. 开放性架构。《密码应用管控平台》定位是一个开放的平台，支持第三方专项密码应用系统和密码设备的统一接入；提供开发者服务系统，面向第三方开发者提供底层开发接口和运行环境，支持项目随需定制更加精细化的个性化应用。保证平台的持续可成长性。

上海铠射信息科技有限公司

2022.11

文章来源 铠射科技