01  宏观政（zhèng）策为密码泛在化（huà）保驾（jià）护航

密码是保（bǎo）障网（wǎng）络空间安全的核心技（jì）术（shù）和（hé）基（jī）础支（zhī）撑。过（guò）去，密码主要用（yòng）来保护重要（yào）IT系统的通信与存储安全问题，普通（tōng）老（lǎo）百姓很少和它打交道。如今，密码已经应用（yòng）到各行（háng）各业，影响我们生活的方方面（miàn）面。密码产品也（yě）从传统的密码机、密钥（yào）管理系统等整机形态，衍生发展（zhǎn）为安全芯片、软件密码模（mó）块、IP核、密码（mǎ）板卡等（děng）不同（tóng）形态，密码和IT技术呈现（xiàn）融合发展的趋势，密码的服务（wù）化更是打破了密（mì）码产品的形态限制（zhì）。密（mì）码应用已经呈现出多（duō）元化、融合化、泛在化等新（xīn）特点。

近年来，我国不断健全密（mì）码相关的政策（cè）法规，先后制定和实施了网络安全法、密码法、36号文、GM/T0054、等保 2.0标准等系列（liè）法规政（zhèng）策标（biāo）准，从顶层构（gòu）建了密码与网信事（shì）业的宏（hóng）伟蓝图。在（zài）宏观政策的指（zhǐ）引下，我国密（mì）码（mǎ）事（shì）业经历了（le）从无到有、从初创到规范完善的阶段，取得了跨（kuà）越式的发展，这也为全面推进（jìn）密码工（gōng）作和密码泛在化应用奠定了（le）坚实有力的基（jī）础（chǔ）。

02  安（ān）全风（fēng）险（xiǎn）呈现（xiàn）泛在化趋势

物联网、云计算、5G、大数据（jù）、人工（gōng）智能等创新技术正在加速驱（qū）动物理世界与信（xìn）息世界的融合。我们在享受高新技术带来的信（xìn）息红利的同时，也无形中打破了固有的（de）网络（luò）边界，加（jiā）剧了信息泛在化的（de）发展趋势。物理世界与信息空间的泛（fàn）在（zài）融合，也将物理空间（jiān）的违法破坏行为引（yǐn）入虚拟世界，网（wǎng）络空间变得更（gèng）加复杂。

信（xìn）息技术的融合，既加速了信息（xī）化进程，也增大了网络攻击的（de）可能性，网络安全问题异常严峻。近年来网（wǎng）络安全事件（jiàn）层出（chū）不穷、形式各（gè）异，涉及到物联网安全（quán）、数据安全、虚拟化安全等方方面面。比如，在物联网领域，视频监控弱密码（mǎ）、偷拍、DDoS攻击等事件屡见不鲜（xiān）；大量智（zhì）能门锁存在通信监听、门卡复制、APP攻击等安全风险（xiǎn）；传感器网（wǎng）络（luò）等无人（rén）值守设备分布广（guǎng）泛，被攻破（pò）而不被发现（xiàn）的事（shì）件也时（shí）常（cháng）被事后报道。随（suí）着信息技（jì）术（shù）的发展，网络安全风险加速扩散，网络安全问题已然（rán）泛化。

03  密码技术的泛在化应用思路

面对快速发展的信息技术及泛在多变（biàn）的网络安全需求，需（xū）要对网络空间（jiān）进（jìn）行体（tǐ）系性（xìng）的安全（quán）防护。密码是（shì）网络信息安全的核（hé）心技术，是整个（gè）网络（luò）信任体系的基础支撑，依托（tuō）密码技术在认证、加密等方面的（de）重要作用（yòng），构建以密码（mǎ）为基石的网络安全（quán）体系（xì），能够有力解决网络与信（xìn）息安（ān）全问（wèn）题。我（wǒ）们在开（kāi）展具体密码工（gōng）作时，需注意密码技术与业务（wù）应用的结合。在不同的业务场景中，应（yīng）当采用不（bú）同的密码技术路线（xiàn）或者组（zǔ）合。总的来（lái）说（shuō），包括经典密码技术、创新密码（mǎ）技术、前沿密码技术三个方面。

经典密（mì）码技术指的是（shì）常见的对称密码、PKI/CA公钥密码及标识密码技术。这（zhè）类密码技术属于基石（shí）性技术，已经（jīng）被广（guǎng）泛应用（yòng），能（néng）够解决传统信息系（xì）统安全认证（zhèng）与数（shù）据加（jiā）密等问题（tí）。

我（wǒ）们重点想提（tí）一些（xiē）创新密码应用的（de）工（gōng）作（zuò）思路（lù）。我们在实践过程中，发（fā）现（xiàn）诸（zhū）如（rú）工（gōng）业控制、移动办（bàn）公、智能家居（jū）等新兴场（chǎng）景（jǐng）都存在密码应（yīng）用（yòng）需（xū）求（qiú），然而（ér）受限（xiàn）于（yú）具体场景和环境，传（chuán）统的密码技术往往无法直接应（yīng）用。此时，我们就需要转变思路，对密码应（yīng）用（yòng）的方（fāng）法进行创新和调整。第（dì）一（yī）种思路是“融”，即密（mì）码融合设（shè）计，在（zài）设计（jì）之（zhī）初将密码流程融入到业务应用及通信协议（yì）中，避免（miǎn）后期堆叠密（mì）码设备带来的性能（néng）开（kāi）销、系统损害（hài）等影（yǐng）响。第二种思路是“变（biàn）”，我们对传统密（mì）码技术进行场景化（huà）的适配（pèi）改造，以应对差异（yì）化（huà）的密码需求（qiú），如轻量化密码协议、短（duǎn）证书等。第三种思路是“合”，我们（men）可以对加密、认证、授权、安全管理（lǐ）等功能进行整合，以（yǐ）能力打包的（de）形式（shì）对接应用系（xì）统，提供“一揽子”的（de）密（mì）码解决（jué）方案，减轻应（yīng）用的密码集成难度，快速实现密码赋能。

密码技术在不断（duàn）发展，学术（shù）界（jiè）对零信任、区块（kuài）链、安全多方计算（suàn）、同态加密（mì）、格密码、抗（kàng）量子密码（mǎ）等前（qián）沿密码技术进（jìn）行了广泛的研（yán）究（jiū），部分成果已（yǐ）经应用到信息系统（tǒng）中（zhōng），相信未来前沿（yán）密码技术会得到更加（jiā）广泛和全面（miàn）的应用。

04  终端侧的（de）密码（mǎ）产（chǎn）品部署

终端种类（lèi）众多、形态各异。不同种类的终端在价格成本、网络数（shù）据能力、软硬件（jiàn）架构等方面存在着巨大（dà）区别，终端侧（cè）的密码产品部署需求也存在着差异性，需要因地制宜。

终端侧的密码产（chǎn）品部署主要涵盖三种形式：安装软件密码模块、内嵌（qiàn）硬件密码模块以及外接安全网关（guān）。对于PC、手机、高性能嵌入（rù）式设备，我们可以部署（shǔ）软件（jiàn）密（mì）码（mǎ）模块，借助CPU的强大运算能（néng）力，实现高性能的密（mì）码运算（suàn），无需额外增加硬件成本。面向智能门锁、车载控制器等（děng）安全性较（jiào）高（gāo）的终（zhōng）端（duān），我们可以采用设备（bèi）内（nèi）嵌（qiàn）密（mì）码硬（yìng）件的方式，包括板（bǎn）载安全芯片、内接密码模块、使用基于（yú）密码的安全通信模组等，提供硬件（jiàn）级安全防护能（néng）力，保（bǎo）障设（shè）备安全。针对微型传感（gǎn）器、大型（xíng）进（jìn）口设（shè）备、老旧IT设备等（děng）难（nán）以（yǐ）施行密（mì）码改（gǎi）造（zào）的（de）场景，我们可以接入（rù）安全网关（guān），通过门（mén）卫（wèi）式安全防护（hù），保证设备的接（jiē）入（rù）安全与通（tōng）信安全问（wèn）题。

05  密码的服务化之道

近（jìn）年来，越来越（yuè）多的应用迁移上云。我（wǒ）们（men）如果要分（fèn）别对不同的信（xìn）息系统进行密码应用（yòng），工作量巨大，密码资（zī）源浪费严重。此时，我们可以借助云（yún）化、虚拟化的思（sī）想（xiǎng）将密码能力服务化，按需提供（gòng）密码资源（yuán），不同应用（yòng）系统只需通过服务调用的（de）方（fāng）式即（jí）可安全地获取密码能力，从（cóng）而快速实现（xiàn）密码应用改造。

一个可行（háng）的实践（jiàn）路（lù）线是构建密码（mǎ）服（fú）务平台（tái）。我所在的卫士通公司作为综合实力较强的密码企业，正在从传统（tǒng）密码产品提供商向平台型安全服务提供商转型，密（mì）码服务平（píng）台便是一个重（chóng）要的抓（zhuā）手。密码服务（wù）平台不直接提供密码（mǎ）产品（pǐn），面向应用提供场景化（huà）的密码服务，提升（shēng）合规的密码应用（yòng）效率，降低应用与密码对接的难度。我（wǒ）们看（kàn）到，越来越多的政务云正在采用（yòng）密（mì）码服务平台，实现云上应用的快速对接。可以（yǐ）预见，密码（mǎ）服务是促进（jìn）密（mì）码泛在化（huà）落地的重要且有效的技术（shù）路径。

06  基础软硬件的内（nèi）生安全机制（zhì）

长久以来，计算机（jī）系统基础软硬件的安全及密码（mǎ）措施都（dōu）是各自为政，较为（wéi）独立。如果要做（zuò）一个安全浏览器，我（wǒ）们（men）可（kě）能会在浏览器内部集成（chéng）OpenSSL算法（fǎ）库（kù）；如果要做（zuò）一个加密数据库，我们（men）可能为数据库配用密码硬件；如果要做安全（quán）启动，我（wǒ）们需要为计（jì）算机配置TPCM、TCM等可（kě）信计算芯（xīn）片。计算机（jī）系统各（gè）个软（ruǎn）硬件（jiàn）之间的（de）密码能力（lì）缺乏协（xié）同，烟囱式（shì）存（cún）在。另（lìng）外（wài），各类软硬（yìng）件厂商自行建设（shè）密码，也存在着（zhe）合规性（xìng）的（de）问（wèn）题。

我们在构建自（zì）主信息系统时，可以从系统体系（xì）的角度出发，使用一套密码方案，贯通计算机基础（chǔ）软硬（yìng）件的各个环（huán）节，实现密码运算和可信计算。基础此（cǐ）种思想，如卫士通与龙（lóng）芯联合推出（chū）的内（nèi）嵌安全SE的国产（chǎn）处理器，打通了（le）CPU、Bioses、操作系统、中（zhōng）间件、数据库、浏览器等各环节，构建了内生安全的基础软硬（yìng）件（jiàn）密码应用生态。

07  典型案例

分享（xiǎng）两个场景化案（àn）例。一是视频（pín）融合通信，包含视频监控、直播、会商等多（duō）种业务模（mó）式。我们（men）可以（yǐ）采（cǎi）用端到端的（de）安全方（fāng）式对视频终端、服务端进行密（mì）码改（gǎi）造，对大带宽、高清、多路、实时音视频进行加解密。GB35114便（biàn）是此类方式的标准化落地，未来也将会有更多音视频密码应用的标（biāo）准指导相关工作（zuò）。二是物联网密（mì）码应（yīng）用，我们可以建立覆盖物联网“端-边-网-云”的密码应（yīng）用体系。端，指的是物联网终端（duān）侧部署安全芯片/软件（jiàn）密码模块等（děng）密（mì）码产品，实（shí）现（xiàn）终端（duān）安全（quán）防护；边，指（zhǐ）的（de）是（shì）提供（gòng）安（ān）全边缘网关，安全接入物（wù）联网终端；网，指的是基（jī）于密码技术保障（zhàng）物联网通信安全（quán）；云，指（zhǐ）的（de）是物联网平台具备密码与（yǔ）安（ān）全能（néng）力。

08  密码应用推进思（sī）考

密码事（shì）业（yè）的政策性较强，我们密码工作（zuò）者要时刻（kè）关注国家政策法规，尤其是中央（yāng）、地方、大型机关单（dān）位（wèi）的商密规划，这将带来大量的密码泛（fàn）在化建设（shè）项目。另（lìng）外，随着等保2.0、密评（píng）工作（zuò）的广泛、有序开展（zhǎn），更多的（de）细分（fèn）领域将（jiāng）会（huì）开（kāi）展密码（mǎ）工作（zuò），密码市场规（guī）模（mó）迅（xùn）速扩大。我们在专注（zhù）既有业（yè）务领域的同时，应不（bú）断开拓新的行业用户和（hé）业务领域，拓展密（mì）码应用的范围。

密码应用（yòng）和改造需要达到什么程度？是（shì）否（fǒu）密码措施越多越好？如何让更（gèng）多的（de）行业用户（hù）、企业单位放下（xià）对密码或安全的固有成（chéng）见，愿意用密码？这些（xiē）问题都值（zhí）得我们思考。我们（men）在（zài）做密（mì）码应用和推广的时候，一定要结合行业政（zhèng）策（cè）与应用（yòng）实际，按需地开（kāi）展（zhǎn）密（mì）码应用，密码应用的（de）强度不能单（dān）一量（liàng）化，做到（dào）合（hé）规的同时，保（bǎo）证相当的安全性。

09  从（cóng）业者（zhě）建议

在密（mì）码泛在化的背（bèi）景环境（jìng）下，我（wǒ）们从业者需（xū）要哪些方面的能力（lì）素养？我认为，至（zhì）少需要三方面的（de）能力（lì）。第一，完（wán）备的密码知（zhī）识（shí）。密码技（jì）术不断发展，我（wǒ）们需要广泛涉猎密码知识，同时也应当潜（qián）心钻研一些重点的密码知识（shí），尤其是（shì）我们工（gōng）作（zuò）中可（kě）能（néng）用（yòng）到的密码技术。第二（èr），全栈的密码设计能力。包括密（mì）码算（suàn）法、产（chǎn）品化设计、接口（kǒu）对接、协议优化等（děng）等，只（zhī）有（yǒu）具备（bèi）了全（quán）栈（zhàn）的设计能力，才能应对复杂（zá）多变的情况，准（zhǔn）确（què）地对密码（mǎ）方案（àn）进（jìn）行优化和改造（zào）。第三，快速理解业务应用的能力。密（mì）码和业务不（bú）能是“两张皮”，密码的设计必须基于业务实际，密码工作（zuò）者应当理解业（yè）务流（liú）程并梳理（lǐ）出（chū）安全痛点及密码（mǎ）应用需求，才能做好密码建（jiàn）设的实际工作。

1月15日，人社（shè）部发文拟新（xīn）增“密码技（jì）术应用员”职（zhí）业，并将其定义为（wéi）运用密码技（jì）术（shù），从事信息系统安全密码保（bǎo）障的架构（gòu）设计（jì）、系统集成、检（jiǎn）测（cè）评估、运维管（guǎn）理（lǐ）、密码咨询（xún）等相关密码服务的人（rén）员（yuán）。“密码技术应用员”作（zuò）为密码泛在化的一个专门（mén）职业被正式提出，这无疑会促进密码泛在化的应用与推（tuī）广（guǎng）工作。同（tóng）时，作为（wéi）密（mì）码从业者的我们（men），也（yě）应当参照“密码技术应用员（yuán）”的（de）要求积（jī）极提升（shēng）个（gè）人能（néng）力。

10  密码（mǎ）泛在化的未（wèi）来（lái）

传统信息（xī）行业、新技术业务领域快速（sù）发展并交（jiāo）相辉映，信息世界正朝着相互渗透、多元发展的方向演进（jìn）。我（wǒ）们有理由相信，未来，密码（mǎ）就是信息世界（jiè）不可（kě）或缺（quē）的组件，密码也将（jiāng）作（zuò）为泛化信息世界的安全基石，有力保（bǎo）障（zhàng）信息世（shì）界的安全持续发展。密码人，大有（yǒu）可（kě）为。