一．數(shù)字時代數(shù)據(jù)已成為網(wǎng)絡(luò)安全防護的中心

近年來，信息科技革命改變?nèi)蚪?jīng)濟體發(fā)展，在信息技術(shù)支撐下，數(shù)字經(jīng)濟驅(qū)動著全球各經(jīng)濟體的經(jīng)濟總量不斷增長。隨著科技的發(fā)展，數(shù)據(jù)已成為數(shù)字經(jīng)濟時代最核心、最具價值的生產(chǎn)要素，以數(shù)據(jù)為核心的數(shù)字技術(shù)逐步成為經(jīng)濟發(fā)展的新驅(qū)動力。隨著數(shù)據(jù)利用的深入、數(shù)據(jù)規(guī)模的擴大，數(shù)據(jù)風險凸顯，使數(shù)據(jù)成為網(wǎng)絡(luò)安全防護的核心，亟需建設(shè)數(shù)據(jù)安全防護能力，防范數(shù)據(jù)安全風險，護航數(shù)字經(jīng)濟發(fā)展。

二．密碼技術(shù)推動數(shù)據(jù)安全從“被動防御”到“主動免疫”

密碼技術(shù)是一種用于保障數(shù)據(jù)安全的技術(shù)，它通常采用信息加密、數(shù)字簽名、身份認證等技術(shù)手段，來保證數(shù)據(jù)其生命周期內(nèi)不會被竊取、篡改或者泄露。因此，密碼技術(shù)可以被視為數(shù)據(jù)安全的“主動防御”技術(shù)，它主要負責預(yù)防數(shù)據(jù)安全風險的發(fā)生，而不是應(yīng)對已經(jīng)發(fā)生的風險。近年來隨《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個人隱私保護法》等法律法規(guī)頒布，以密碼技術(shù)為核心的主動免疫、內(nèi)生安全已成為數(shù)據(jù)安全防護的新趨勢，包括以“永不信任、持續(xù)驗證”為核心理念的零信任架構(gòu)也都離不開密碼技術(shù)應(yīng)用。密碼技術(shù)及產(chǎn)品作為推動數(shù)據(jù)安全從“被動防御”到“主動免疫”的重要因素，有望實現(xiàn)新一輪的高速增長。

然而在數(shù)字時代下，由于傳統(tǒng)密碼產(chǎn)品的服務(wù)架構(gòu)沒有隨著用戶的業(yè)務(wù)需求演進而快速轉(zhuǎn)型，密碼應(yīng)用也面臨如下挑戰(zhàn)：

• 合規(guī)驅(qū)動：密碼市場仍然以合規(guī)驅(qū)動為主，舊密碼系統(tǒng)的改造、升級與合規(guī)是等保和關(guān)基用戶關(guān)注的重點。新場景如云計算、工業(yè)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、5G等密碼應(yīng)用需求尚未得到充分釋放。

• 選型困難：密碼市場分散、應(yīng)用體系復(fù)雜、產(chǎn)品種類繁多，政企難以對密碼產(chǎn)品體系的合規(guī)性、安全性以及“自主可控”等進行全面評估。

• 整合困難：密碼應(yīng)用和升級改造涉及算法、協(xié)議、產(chǎn)品、技術(shù)體系、密鑰管理、密碼應(yīng)用等多個方面，密碼應(yīng)用建設(shè)面臨和網(wǎng)絡(luò)及信息系統(tǒng)的有效整合和統(tǒng)一管理困難等問題。

• 人才短缺：與其他安全領(lǐng)域技術(shù)升級面臨的困境類似，企業(yè)用戶普遍缺少專業(yè)密碼技術(shù)人才，密碼應(yīng)用的需求、規(guī)劃、實施和運維能力較弱。

三．數(shù)字時代密碼服務(wù)架構(gòu)演進的思考

在數(shù)字化時代，密碼服務(wù)架構(gòu)不僅考慮傳統(tǒng)IT基礎(chǔ)設(shè)施的安全，也考慮整個數(shù)字化生態(tài)中的所有有形和無形資產(chǎn)，特別是數(shù)據(jù)資產(chǎn)的安全訴求。因此密碼服務(wù)架構(gòu)的演進方向，也需要深入研究用戶當前業(yè)務(wù)場景和形態(tài)的變化，并且能夠從一定程度預(yù)判用戶基礎(chǔ)設(shè)施建設(shè)架構(gòu)、安全管理訴求、服務(wù)模式等業(yè)務(wù)演進方向，以業(yè)務(wù)驅(qū)動密碼服務(wù)架構(gòu)的持續(xù)演進。

1.以政務(wù)領(lǐng)域為例來看IT基礎(chǔ)設(shè)施建設(shè)趨勢

數(shù)字政府建設(shè)已經(jīng)成為網(wǎng)絡(luò)強國、數(shù)字中國的基礎(chǔ)性和先導(dǎo)性工程，是推動國家治理體系和治理能力現(xiàn)代化的重要舉措。黨的十九屆四中全會首次明確提出“推進數(shù)字政府建設(shè)”，“十四五”規(guī)劃綱要強調(diào)要“提高數(shù)字政府建設(shè)水平”。當前，各省結(jié)合政府機構(gòu)改革窗口期在數(shù)字政府管理體制、運行機制等方面積極探索創(chuàng)新，探索數(shù)字政府“投建營一體化”新型建設(shè)模式，“政企合作、管運分離”成為先進省市數(shù)字政府運營主要方式。

從全行業(yè)視角來看，構(gòu)建智能集約的平臺支撐體系，逐步減少部門數(shù)據(jù)機房和專網(wǎng)，集約建設(shè)云網(wǎng)等基礎(chǔ)設(shè)施，形成“一片云、一張網(wǎng)”，實施管運分離，已經(jīng)成為政企IT基礎(chǔ)設(shè)施建設(shè)的新趨勢。同時，伴隨云基礎(chǔ)設(shè)施部署越來越多，云上密碼服務(wù)能力的建設(shè)需求成了上云用戶的剛需。在此背景下，密碼廠商就需要積極應(yīng)對虛擬化、軟件化趨勢，提升其產(chǎn)品的XaaS化能力，從而抓住下一個五年安全市場的發(fā)展機遇。

2.以網(wǎng)絡(luò)安全架構(gòu)演進為參考

Gartner近期發(fā)布的2022年七大安全和風險管理趨勢中，網(wǎng)絡(luò)安全網(wǎng)格架構(gòu)（CSMA）無疑體現(xiàn)出在技術(shù)架構(gòu)層面對當前網(wǎng)絡(luò)安全產(chǎn)品在新形勢下的整合能力要求，通過集成式的安全架構(gòu)來保護組織在本地、數(shù)據(jù)中心和云端資產(chǎn)的安全。

圖1.網(wǎng)絡(luò)安全網(wǎng)格架構(gòu)（CSMA）

隨著信息設(shè)備的爆發(fā)式增長、網(wǎng)絡(luò)架構(gòu)復(fù)雜度的不斷升級，網(wǎng)絡(luò)安全防護任務(wù)也愈加繁重。隨著時間的推移，政企的IT基礎(chǔ)設(shè)施將變得越來越龐大和復(fù)雜。這不僅帶來了安全管理、網(wǎng)絡(luò)管理、網(wǎng)絡(luò)構(gòu)建等各方面的挑戰(zhàn)，更造成了在多品牌的安全防護產(chǎn)品之間協(xié)同的阻隔。Gartner在其《2022年重要戰(zhàn)略技術(shù)趨勢：網(wǎng)絡(luò)安全網(wǎng)格》報告中也指出，許多高管都曾坦言，希望能將其架構(gòu)中部署的多達40到50個供應(yīng)商產(chǎn)品，精簡至5到10個產(chǎn)品，以便更加易于管理。也正因為此，支持可見性并能觸發(fā)超快速防御機制的集成式自動化平臺，正被各類企業(yè)采納和部署。一段時間以來，首席信息官們持續(xù)關(guān)注安全技術(shù)和功能的整合。很多技術(shù)領(lǐng)導(dǎo)者幾乎都表示希望轉(zhuǎn)變單點產(chǎn)品持續(xù)疊加的傳統(tǒng)模式，減少不必要的單一功能產(chǎn)品和節(jié)點部件，轉(zhuǎn)而構(gòu)建更具凝聚力的創(chuàng)新平臺架構(gòu)，因此，CSMA在這種背景下呼之欲出。這也為密碼廠商對各類密碼服務(wù)能力集成架構(gòu)的選擇提供了一個重要參照。

3.以IT產(chǎn)業(yè)的優(yōu)秀架構(gòu)思想和最佳實踐作為依照

在數(shù)字化轉(zhuǎn)型的背景下，密碼服務(wù)的模式也應(yīng)圍繞用戶業(yè)務(wù)轉(zhuǎn)型而逐漸演進。傳統(tǒng)模式下，用戶業(yè)務(wù)通常部署在本地或者數(shù)據(jù)中心機房，因此密碼廠商通常以硬件的方式伴生在用戶業(yè)務(wù)服務(wù)器或終端側(cè)。此時，密碼產(chǎn)品通常是單一能力硬件盒子，用戶需要何種安全能力就購買具備相應(yīng)能力的密碼設(shè)備。

隨著IT基礎(chǔ)設(shè)施建設(shè)發(fā)展，用戶將業(yè)務(wù)遷移到云環(huán)境之后，完全依靠硬件盒子形態(tài)部署密碼服務(wù)能力的方案不再奏效，密碼廠商的服務(wù)架構(gòu)也應(yīng)隨之改變。在該模式的推動下，密碼產(chǎn)品部署將隨著用戶的業(yè)務(wù)遷移而變化，因此密碼服務(wù)架構(gòu)需要能支持多樣的部署環(huán)境，并適應(yīng)不同的部署場景。在國家大力推進新型數(shù)字基礎(chǔ)設(shè)施的趨勢帶動下，密碼服務(wù)的模式也亟待“轉(zhuǎn)型”。隨著用戶數(shù)字化轉(zhuǎn)型下的業(yè)務(wù)變化，其所需的密碼服務(wù)能力也在不斷變化，不再是傳統(tǒng)的需要什么能力就購買相應(yīng)密碼設(shè)備，這種模式會導(dǎo)致密碼資源的浪費，同時不能快速適應(yīng)業(yè)務(wù)發(fā)展。因此，密碼服務(wù)架構(gòu)需要支持多能力融合，并支持根據(jù)不同的“訂閱”需求提供不同的密碼服務(wù)能力組合。

四、數(shù)字時代安盟華御密碼服務(wù)平臺架構(gòu)探索與實踐

安盟華御密碼服務(wù)平臺聚合密碼系統(tǒng)和數(shù)據(jù)防護產(chǎn)品，為信息系統(tǒng)和業(yè)務(wù)應(yīng)用提供一體、集約、標準、可控、可視的密碼和數(shù)據(jù)安全服務(wù)。密碼服務(wù)平臺能滿足云計算環(huán)境下全類別、場景化密碼服務(wù)和數(shù)據(jù)安全的服務(wù)需求，產(chǎn)品和技術(shù)符合《密碼法》和《數(shù)據(jù)安全法》等相關(guān)法律法規(guī)要求，可有效滿足信息系統(tǒng)密碼應(yīng)用合規(guī)和數(shù)據(jù)全生命周期防護要求。

圖2.安盟華御密碼服務(wù)平臺助力“雙合規(guī)”

平臺采用云原生架構(gòu)，具備密碼服務(wù)和數(shù)據(jù)安全服務(wù)開放集成能力，可以以最簡化的密碼資源支撐，提供密碼計算服務(wù)、簽名驗簽服務(wù)、應(yīng)用密鑰托管服務(wù)、身份認證服務(wù)、時間戳服務(wù)等，也可按需集成其它密碼產(chǎn)品或數(shù)據(jù)安全產(chǎn)品擴展服務(wù)能力；支持多節(jié)點集群、分布式部署模式，滿足政務(wù)云、大型集團企業(yè)的多數(shù)據(jù)中心、多云的分級密碼服務(wù)需求，也提供精簡部署模式滿足單一應(yīng)用系統(tǒng)或中小企業(yè)的密碼應(yīng)用和數(shù)據(jù)防護需求；同時，也可實現(xiàn)各類密碼服務(wù)和數(shù)據(jù)安全服務(wù)能力按需配置、動態(tài)編排和協(xié)同，提供標準化、場景化、便捷化的服務(wù)功能與應(yīng)用系統(tǒng)對接，全方位、立體化保障用戶業(yè)務(wù)和數(shù)據(jù)的安全，確保業(yè)務(wù)快速上線，縮短業(yè)務(wù)建設(shè)周期。

圖3.安盟華御密碼服務(wù)平臺技術(shù)架構(gòu)

在政務(wù)云、城市云等公有云場景下，平臺采用租戶“訂閱”服務(wù)模式，對上云租戶提供流程化的賬號管理、服務(wù)租賃管理、應(yīng)用配額管理、服務(wù)策略管理、應(yīng)用對接指南等，降低用戶管理運維投入，為用戶實現(xiàn)降本增效；同時，為運營服務(wù)團隊提供平臺運維管理、資源管理、租戶管理、計費管理、工單管理等功能，支撐為云上租戶提供密碼資源池化、彈性可擴展、泛在接入、可計量的密碼和數(shù)據(jù)安全服務(wù)，能夠?qū)γ艽a資源、密碼服務(wù)及密碼應(yīng)用健康狀態(tài)提供全方位、多維度的監(jiān)控與統(tǒng)計分析，使密碼和數(shù)據(jù)安全服務(wù)可控、價值可視。

圖4.安盟華御密碼服務(wù)平臺“訂閱”服務(wù)和監(jiān)控運維

數(shù)字時代密碼服務(wù)架構(gòu)應(yīng)圍繞用戶業(yè)務(wù)發(fā)展需求而“轉(zhuǎn)型”，以能夠為用戶提供最優(yōu)的解決方案目標而演進。安盟信息基于密碼基因打造安全合規(guī)、統(tǒng)一管理、部署靈活、服務(wù)彈性可計量的密碼服務(wù)平臺，采用云原生架構(gòu)和服務(wù)“訂閱”模式，打造集約化、服務(wù)化、場景化，易于行業(yè)快速對接集成的服務(wù)能力，幫助應(yīng)用系統(tǒng)滿足密碼應(yīng)用合規(guī)和數(shù)據(jù)安全防護需求，筑牢數(shù)字安全屏障體系，為數(shù)字經(jīng)濟發(fā)展保駕護航。