事实上,只要是信息系统就离不开商用密码。在中国,15亿张二代身份证、10亿张社保卡、30亿张金融IC卡、4.47亿只智能电表的背后,都是商用密码体系在进行支撑。
尽管在互联网应用全面普及的今天,密码如同氧气一样不可或缺,但云计算的迅猛发展,却为传统的密码技术带来了众多挑战。
1.云时代传统密码技术面临挑战
在传统的信息系统架构中,密码技术主要是以独立的软、硬件产品的形态提供密码功能,商业模式也大都是软、硬件的销售模式。
但是,云计算架构强调信息资源的共享和按需使用,通过虚拟化、分布式等技术实现资源的池化和动态分配。
当业务快速发展,云服务面临扩容或升级时,传统的密码设备无法按需动态扩展。同时,业务性能还会受限于密码设备的能力,不能按业务需要动态适配。
从部署方式看,信息系统托管到云上后,用户不能独立在云环境部署密码设备,在改造过程中,因权属问题,密码的云上改造也面临现实困难。
从实施成本看,每个信息系统都需要单独购买对应的密码设备或软件,一个单位或用户常常会存在多个业务系统,传统的密码实施方案需要更多的设备或软件,实施成本高昂。
不难发现,传统的以密码设备、密码系统为主的交付方式,已渐渐不能满足云时代的业务需要。云计算正推动密码技术从产品形态、商业模式向云密码服务转型。
据北京商用密码行业协会《云密码服务技术白皮书(2019)》定义,云密码服务是一种全新的密码功能交付模式,是云计算技术与身份认证、授权访问、传输加密、存储加密等密码技术的深度融合。
密码服务提供商按照云计算技术架构的要求整合密码产品、密码使用策略、密码服务接口和服务流程,将密码系统设计、部署、运维、管理、计费等组合成一种服务,来解决用户的密码应用需求。
用户不再“购买”密码硬件或密码系统等密码产品,而是以“租用”的方式使用云中提供的各种密码功能,因此,云密码服务是一种新的商业模式。
简单而言,云密码服务具备了云计算的按需服务、弹性扩容、高可用性等特点,以标准化的服务接口集成到密码应用中,在降低建设成本的同时,也降低了用户的使用门槛。
从应用性看,云密码服务不仅可以解决许多传统密码应用的需求,也能适用云计算、大数据等更多应用场景。
2.密码合规刚需驱动云密码成为大势所趋
如同当年云计算对传统IT架构的冲击,云密码服务也给传统密码产业带来了革命性的影响。
从最初的公有云运营商提供密钥管理、数据加密等云密码服务,到以密码技术为安全基础的SaaS服务,如:身份认证服务、电子合同服务等,再到传统密码产品厂商顺应云化趋势,推出的一些适合云中部署的产品和服务,如:密码资源池、云安全访问代理(CASB)服务等,云密码服务正在逐步发展起来。
事实上,随着2016年《网络安全法》的落实,以及2020年《密码法》的正式施行,云密码服务迎来了新的市场机遇。
一方面,信息创新和国产通用密码算法成为国家信息安全战略要求,《密码法》明确要求用密码保护关踺信息基础设施,《网络安全法》和等保2.0对云计算环境的安全建设提出了明确的要求,并明确三级及以上的系统需要进行密码应用安全性测评。
因此,电子政务内网、金融、电信等行业将逐步实现密码国产化替代,自主可控的云密码服务会在合规需求较强的党政和关键信息基础设施行业率先展开应用。
数据显示,在《网络安全法》颁布的首年,国内的商用密码市场就占据了信息安全市场的一半份额。
2017年,商用密码的增长率一度达到近60%,之后年均增长近30%。2020年,商用密码的市场规模约为500多亿,和2018年的信息安全整体市场相当。
另一方面,在云、移动端、物联网等新场景的需求带动下,密码云化服务将会大规模迅速增长,迎来广阔的市场前景。
未来,随着物联网行业的快速发展,加密将逐步在视频安防、工控、车联网等新兴行业铺开,同时电子商务和电子合同带来的数字签名与印章等新业态不断涌现,商用密码市场未来将达到千亿。
在产品软化和服务化的趋势下,预计云密码服务在市场中的占比也将大幅提升。
3.云密码起步应用发展仍面临多重挑战
尽管云密码服务在国内快速发展,但作为一种新的密码技术服务模式,云密码服务在技术发展、行业标准、运营管理、人才培养等方面,都面临一系列新的挑战。
据观源科技合伙人COO王天祥介绍,近年来,中国的信息化呈指数级发展,但密码技术的能力储备却还停留在“工业时代”,行业标准也主要集中在传统硬件密码领域。
随着业务云化的快速发展,企业数据量动辄高达百万级别,有时甚至高达千万级(如西安一码通),已远远超出了传统密码设备所能支撑的量级。
因此,密码技术需要从硬件向软件化、服务化转型,才能适应业务系统对数据安全保障的需要。
“目前国内的密码技术远远落后于中国的信息化水平发展,密码技术与信息化技术之间至少差了两代,整个密码服务的市场体量都偏小,密码的标准体系也相对滞后,尤其在云密码应用方面的标准缺失。”王天祥表示。
事实上,云密码服务缺乏技术标准,在很大程度会阻碍密码服务市场的快速健康发展。
例如:当密码设备或软件在云中以虚拟机实例、微服务实例的形态存在时,安全性应如何保证?在云计算系统中,用户把信息系统托管给了第三方云运营商或数据中心,保证数据安全的各种密钥怎么管理? 由于密码技术对保障国家信息安全的重要性,我国明确要求在重要信息系统中使用符合国家标准的密码算法,但由于云计算的许多基础软件起源于国外的开源软件,其内嵌的密码算法是国外算法,密码算法的合规性如何保证?
云计算的发展推动了大数据等新型信息技术的发展,反过来这些技术又对云计算提出了新的密码技术支撑要求,如:密文检索、同态加密、多方计算、开放授权、零知识证明等新的密码技术,如何提升这些技术所使用的密码算法的性能以达到实用性的要求?
除此之外,密码人才的巨大缺口也成为密码服务发展的一大挑战。统计数据显示,到2020年,网络安全人才缺口达到140万。
相对传统网络安全技术,密码技术的门槛更高,人才也变得紧缺。
据王天祥介绍,国内密码技术的人才培育才刚起步,2021年仅有7所高校开设了密码技术相关专业,按照这个规模计算,每年也仅有1000人左右的对口专业毕业生可供企业选择。
正是受到之前行业发展瓶颈的制约,目前国内密码服务行业还没有形成生态体系。
从市场情况看,国内密码企业发展极不均衡,多以院校、研究所为主,且体量不大。
数据显示,截至2019年底,在全国有近1000家商用密码生产定点单位,大多数企业是以生产密码相关硬件为主,而在各地散落着数百家在10-20人左右的小企业,仍停留在传统密码软硬件产品的销售上,缺乏密码技术的自主研发能力。
据王天祥介绍,观源科技作为国内密码技术的创新者,通过产学研用的体系支撑,是国内少数具备核心密码技术创新研发能力的企业,目前已基于密码云化和软件化技术,率先推出了多款云密码应用产品和综合密码管理平台,并通过咨询、检测、认证、培训为一体的服务,结合行业方案为用户提供完整可行的密码建设、整改方案。
在上海市电子政务云国密改造项目中,观源科技通过“咨询服务——改造试点——推广应用”的方法,成功落地基于电子政务云的国密安全整改建设方案。
该方案从云应用和管理的角度,对传统的国密进行了适应性改造,涵盖密码测评、运算、传输、存储等多个环节,使之适配云化应用的特点,并提供统一的管理服务接口,为管理侧改造落地提供可行的技术、服务支撑。
在管理侧改造完后,观源科技又将落地方案和平台推广到租户侧,各委办对接管理平台,进行了相应租户侧应用的改造。
结语 作为网络安全核心技术和基础支撑,密码技术在云计算中越来越重要。在云计算应用和政策合规的双重驱动下,云密码服务正在迎来巨大的市场机遇,或将成为网络安全细分领域的一片新蓝海。