唐志红:电子认证服务在云安全与数据安全领域的研究与实践

ADP_4799

唐志红 天威诚信总裁

摘要:随着云平台的普及,将使越来越多的数据迁入至云,未来云安全,数据安全将是大家不得不考虑的问题;如何才能解决这一安全问题?唐志红将与大家一同分享电子认证服务在云安全与数据安全领域的研究与实践。通过电子认证服务在云安全领域的应用及案例分析,帮助大家了解什么是电子认证,电子认证服务在数据安全领域的价值与作用。

我们说互联网已经发生了很大的变化,不管是企业还是个人利用互联网的方式已经产生了很多新的趋势,所以整个安全服务,包括安全,还有安全服务,其实也应对这种趋势,也发生了很多改变。我们说信息的蓬勃发展,其实在网上的实体,还有网络的应用是增长的。因为互联网+,因为云服务,所以它的范围从局域的范围已经变成开放的范围,所以网络的安全,包括欺诈,包括信息的泄露等等严重的影响了我们互联网的生态。

那么为了适应,为了解决这个企业的需求,互联网发展的需求,所以我们传统的安全服务或者是安全厂商其实也正在从传统的模式向云安全的这种方式做转移,做升级。

过去我们可能考虑安全问题的时候,更多是服务的提供者和服务的使用者之间的关系,不断的应对安全的挑战,然后提供相应的安全解决方案。但在新的历史时期,在新的环境下,可能由过去这种二维的方式需要考虑三维的模式,三维的模式里面首先还会涉及到新技术、新应用。比如说互联网+的模式下,利用大数据去保障安全成为一种趋势。同时,一些产业,过去的一些产业更多是单一的产业实体,但是现在已经变成了整个产业集群,或者是产业的发展,它更需要从产业的角度去考虑信息安全的问题。所以整个的安全服务不仅仅是往云上做转移,同时还需要考虑这种安全服务提供的整个三维的模式。

那么在当前,用户使用云安全的现状又是怎么样的?其实很核心的一个引发用户使用云安全的转变,就是它所处的空间的转变。过去企业用户构建自己的信息系统的时候,可能更多的是一个局域的系统和空间,现在是在开放的空间里面,利用公有云去构建自己的业务平台,这时候它已经突破了过去我们说的所认知的这种边界防御,或者是所有的责任都需要由自己承担的这种责任体系。所以对于用户来说,在这种云的环境下,你构建你系统信息的时候,你怎么考虑这个责任?所以责任的边界,责任的承担其实已经发生了一些转变。

比如说在云的环境里面,你构建自己的信息系统,有很多责任,不仅仅是用户自己要去考虑,云服务的提供商他也需要去考虑,这是一个方面。

第二个方面从安全服务的碎片化,这一块也发生了一些转变。过去我们企业考虑安全问题的时候,可能会采用一些安全服务厂商的一些解决方案,就可以解决这些问题了。但是现在在云的这个空间里面,在云的这个服务的领域里面,那么对于安全它可能是变成各种碎片化相关的服务,这些服务怎么样有效的组装,有效的选择,然后变成解决你企业系统云服务平台的安全,也变得和过去发生了很大的变化。

另外还有过去在考虑自己的业务系统的时候,它是局域的一个系统,它有相应的边界,那么在边界里面设计物理层面的安全,比如数据中心等等的安全都是自己的责任。但是现在基于云的环境,基础的安全服务可能已经成为云服务厂商他所必须考虑的,而且是必须提供的。对于云服务本身基础性的服务安全,它也需要做相应的等级保护的要求。我们在基础的安全保障之上,再构建我们自己用户的业务应用,所以这个也是跟过去发生了一些很大的相关的一些变化。

另外还有,就是随着我们国家对于安全保护的重视,包括自主可控,包括等级保护等等相关的一些要求,还有一些行业性的,比如说涉及银行,涉及电子政务等等,这一块的要求,实际上对于安全的这种使用也发生了很多的变化。

对于云服务厂商来说,对于安全服务厂商来说,过去我们提供传统安全的时候,要不就是一种解决方案,要不就是基于某些单向的能力面向企业提供相关的安全服务。但是在云的环境下,你可能需要做这种升级,你需要把你的服务,如果还是提供产品的这种方式,显然不能满足云服务这种市场的要求。所以很多产品提供的这种服务,它不需要去做升级。比如过去提供数据中心保护的,那么现在要把这种能力变成云服务的基础能力,向外输出。另外还有提供一些业务应用安全层面的,要把自己的产品或者服务,通过服务化,然后面向云服务的空间里面提供相应的服务。

在云的环境下,我们说其实企业不管是自己的局域系统,还是云服务的这种环境,最重要的可能是构建自己的业务应用,来保证业务应用的顺利有效的运行。怎么样去保证有效的运营?很核心的一点,其实这里面数据的安全至关重要。过去考虑数据安全的时候,企业局域系统里面考虑的时候,可能更多的是从底层的角度去考虑的,但是在云的开放环境下,你的数据,数据是一种很重要的资产,你怎么样去保护,所以成为很关键的、很敏感的词。

我们说数据安全应该是成为网络治理很核心的中心,我们《网络安全法》里面很明确的强调,不管是个人数据还是企业的数据,都需要相应的保护手段去进行保护。

那么在云安全环境里面所面临的挑战,对于数据安全的挑战,也是成为前三位的热词。比如说防止数据丢失、防止泄露、防止数据的窃取,这些都是我们在云环境下需要去考虑的。

对于数据,怎么保证安全?其实从两个维度来看:

1、数据的产生,在产生的过程中,你原来是一个局域系统,那么在开放的系统里面你怎么保证你数据产生,整个流程要保证它的安全,安全里面就是考虑你是不是真实的?是不是保密的?将来一旦数据拿出来进行打官司,或者进行责任追溯的时候,你有没有相关的机制。这是一方面。

2、你的数据存储在云的环境里,特别是存储在公有云这种开放的环境里面,你怎么样保证存储的安全?怎么样保证备份?怎么样保证数据防丢失转移?等等相关的一些安全。

在数据安全里面,刚刚说我们是从事电子认证服务的,电子认证它是基于相关的一些密码算法,所以数据安全的保护,当然等级保护里面已经讲到了,就是说数据安全的保护,你需要采用相关的一些加密的机制,建立相关的一些机制,去保证这个数据在云安全环境下,去按照分级,分等级这种方式去加以保护。

电子认证,我们说电子认证是目前数据从产生,从存储,从备份,从使用过程当中的一种比较重要的一个安全技术,也是我们信息安全领域,国家信息安全领域重要的组成部分。因为电子认证本身是构建我们整个网络空间信任体系重要关键的组成部分,因为它从身份的认证,从授权的管理,还有从责任认定等等方面,都发挥了很强的作用。

那么它本身就是基于开放的加密算法,然后通过加密算法,通过一种机制来对数据从产生、从传输到存储,来做加密、解密,然后做迁移和做签名的验证,来保证整个数据从产生到流转到最后使用过程中的真实性,还有完整性,还有不可否认性。

那么在云的这种环境下,在云的这种趋势下,其实电子认证业务本身也在发生着很多改变,过去我们考虑信息化系统建设时期的时候,我们也是作为一种技术来输出,把电子认证这个技术嫁接到企业的信息系统里面来。随着数字化、信息化的发展,有很多业务要在线考核,这时候就涉及到业务本身,怎么样让它具有抗抵抗性,这一块我们电子认证这一块提供的就是电子签名方面的应用。

随着互联网时代的发展,我们已经不仅仅满足于PC的时代,更多的是移动的时代,电子认证怎么样在移动环境里面产生相关的一些效益,我们也是面向移动互联网的趋势,电子认证也在做一些转变。

在云服务的场景下,我们说过去很多人,很多企业对电子认证等考量的,它更多的是一种技术,或者说可能是一些产品,或者是一些解决方案,但是在云的模式下,电子认证能不能变成一种云服务?我们的研究,我们天威诚信自身的研究来看,它是可行的。而且目前我们电子认证服务整个行业也是从电子认证的1.0向2.0进行迈进。那2.0是什么?2.0就是面向云的模式,面向未来比如说大数据这个模式下,怎么样提供新的安全,基于电子认证安全相关的一些服务。

所以我们的探索,我们这几年探索构建了一个天威云的平台,这个平台重点的是以密码技术为基础,然后以电子认证服务为核心,然后构建电子认证服务的服务生态圈。

这个生态圈它有四个特点:

1、我们把过去面向企业提供产品和提供技术这一块,我们把产品做服务化,也就是说过去我们提供电子认证服务的时候,更多是提供API,提供一些功能组件,让企业去做应用的集成。但是现在我们把它变成服务,也就是说,用户需要使用这块功能的时候,他调用我提供的服务就可以了。

2、服务的平台化,过去比如说你发证书就是证书,你做签约就是签约,现在我们把这些服务,我们把它平台化,就是形成从事前、事中、事后完整的服务生态,服务的链条。从身份的可信,从行为的可信,到结果的可信,数据结果的可信,提供全生态的服务,而且这个服务可以通过一个平台整合在一起,用户可以根据自己的需要,去调用相关的一些服务,这是第二个方面。

3、我们把场景,就是应用变成场景化,因为过去更多考量的是说我把我的技术,我把我的产品怎么样集成到用户的环境里面,用户的应用系统里面?现在我平台化之后,那么我在基于我电子认证服务,基于我们的电子认证服务之上,我可以针对有些行业的特点,做应用的场景化,也就是说,现在针对签约,网络签约这一块,我们针对P2P,互联网金融签约这一块,我们提供电子签约的服务场景。然后针对企业内部做电子合同,做供应链这一块,我们提供电子合同和供应链管理这一块的应用场景。针对招投标相关的应用,我们针对提供招投标的应用场景。针对云服务,保障你网站的安全可信,我们提供基于网站安全可信这一块云服务的相关的云场景化的服务产品。

4、从整个平台它是采用生态化的模式发展,所谓生态化,就是说我们在设计这个电子认证云服务平台的时候,核心是电子认证服务,但电子认证服务它往前往后做相应的延伸,往前就是我们把实名的提供电子认证服务之前的相关的实名认证,还有身份认证,不仅仅基于证书,还基于生物识别,基于其他的方式,基于人脸等等相关的一些模式,作为前置,对外提供服务。另外往后延伸,往后延伸就是说数据的安全,一方面是说保证数据它本身不被窃取,或者说它能使用,但是还有个很关键的,就是说如果我们的业务搬到线上,越来越多业务往线上跑的时候,业务有些本身需要去追究责任的,或者需要将来进行法律诉讼,那么这些业务,你怎么样保证将来能够跟我们的司法审判,跟我们的互联网法院做有效的对接。所以我们整个平台生态化也往后做延展。

另外,在平台上我们不仅仅从安全服务角度来考虑,同时还从用户使用的一些SaaS服务,比如说点的发票,然后比如说电子合同等等相关的一些服务也集成进来,形成整个的生态。通过用户的数据共享,通过用户相关的一些需求,需求的打通,建立整个生态的云环境。

我们说这个生态实际上一个是针对应用平台,天威云这个电子认证服务它可以很好的面向应用平台去提供一站式的集成的方式。对于开发商来说,它集成也是变得比较容易。另外针对渠道,就是针对我们的渠道合作伙伴基于天威云可以开展很多的场景服务。对于供应商来说,供应商除了能够接上来之后,他也可以快速的在上面去管理相关的一些用户和服务。

这是我们打造的整个基于信任服务核心的相关服务,重点是从身份,从行为,从数据的结果,还有从未来司法对接这一块提供相应的平台能力。

这是我们整个云服务这一块管理的相关能力。

在上面我们刚刚说的服务产品,服务产品我们提供多种类型的服务产品,这些服务产品不管是企业还是云服务商,还是系统开发商,它都是需要去使用的。而且更关键的是,我们整个的信任服务已经往私化,往法律诉讼这一块打通了,就是通过天威云所产生的这些数据,将来如果你要做司法仲裁,如果你要做公正的话,司法仲裁的机构,公正的机构,他就可以直接去用。

这是我们说的服务支撑的相关能力的要求。

刚刚说场景化,也就是说场景化的一些服务,比如说电子合同,供应链管理,等等相关的场景化的服务,在整个平台上已经具备,同时还提供各种相关领域应用的解决方案。

这是我们整个天威云和阿里云等相关的云服务商合作的一个实践,整个天威云它是构建了可信身份、可信行为、可信接口的一个信任的云服务平台,电子认证的一个云服务平台。那么我们这个平台已经和阿里云和京东云做了生态的整合,目前我们为阿里这一块,我们把整个天威云和阿里云做了对接,在阿里云上,你可以很方便的一站式的就可以升级到天威诚信网站可信的认证服务,目前我们已经为阿里云大概80万用户提供了网站可信的服务。同时我们基于网站可信,就是网站可信去解决用户的传输安全,网站的安全可信,网站数据传输的安全,同时我们还提供了往后延展的一些服务,比如说做应用层面的个人或者是用户相关的一些安全,相关的一些服务,也在这个阿里云上面提供了服务。

我们和京东云这一块重点是针对京东金融方面的一些应用场景,提供认证服务的同时,还提供后续的基于电子签约司法取证这一块的服务。

另外,我们和一些行业性的一些云,比如说用友云金蝶云,它专门针对财务系统管控这一下,把天威云和金蝶云做了相应的集成。任何用户如果采用用友云的相关云服务,电子认证是它的基础,也就是说我们把这些认证服务已经基础化了。刚才讲到了,你的运营层面的安全、数据保护层面的安全已经变成用友和金蝶基础的服务来提供。

所以整个生态的构建,目前我们已经运行了大概两年的时间,和阿里这些服务的厂商,还有和我们后续接进来的一些安全服务的厂商,比如说做身份认证的,比如说做大数据安全管控的,比如说做应用层面的,SaaS层面的一些服务厂商,已经形成了很稳定的链条。

最后简单介绍一下天威诚信,天威诚信是《电子签名法》颁布之后获得牌照的认证机构,目前我们已经为一亿用户提供了电子认证服务,涵盖的范畴还是比较深的。我们的目标就是基于密码算法,以密码为基础,然后以电子认证服务为手段来构建网络安全可信的网络空间。

这是我们发展的过程,发展的过程也得到了很多专家的指导,目前整个电子认证包括电子签名的应用在整个行业里发展的还是比较快的。

我们目前应该来说是国内比较专业的电子认证服务机构,我们所运行的一些标准,还有我们的一些客户,已经覆盖了整个国内很多领域。

这是我们的运营能力,目前整个电子认证服务系统的签发能力,应该是国内比较领先的。因为我们要满足支付宝的需求,支付宝现在每一天对于电子认证服务的签发量大概是在千万级,千万级用户的签发使用的要求。

这是我们的合作所产生的一些案例,一些领域,我们目前在银行,在电子招标采购、企业电商等等都有比较成熟的案例,而且这些案例不仅是传统的模式,还有我们采用灵活的模式来构建的。

目前我们也形成了我们相应的一些品牌,除了刚刚我们介绍的天威云的品牌之外,我们针对不同场景的应用,不同类型的应用也形成了我们相应的品牌,比如我们网站可信的品牌就是域信,目前已经涵盖了国内80%的高端企业和电商这一块的市场。我们也是希望通过我们所提供的,不管是天威云的服务,还是我们比如说域信、i信、一号签这些服务,能够保证我们企业进入互联网市场,进入云环境下能够保证数据的安全,能够为我们国家构建安全可信的网络环境、网络空间来贡献我们的力量。

上一篇:宋好好:网络安全等级保护2.0要求解读

下一篇:高志权:云密码资源池与数据全生命周期加密