信息安全源自密码

　　——专访吉大正元信息技术股份有限公司常务副总裁张全伟

　　“我们参加第十届中国信息安全大会的时候，公司正好成立10周年。今年我们参加第十五届中国信息安全大会，公司正好成立了15周年。”吉大正元信息技术股份有限公司（下文简称吉大正元）常务副总裁张全伟的一句话，道出了吉大正元与中国信息安全大会的深厚渊源。

　　15年来，中国信息安全大会始终跟踪和引领信息安全产业，凝聚了信息安全各领域的专家和智慧。而吉大正元在这15年来，始终在密码领域深耕，做出了不菲的成绩。

　　例如，神舟九号发射、天宫一号与神舟九号成功实现载人交会对接，标志着我国载人航天工程取得了具有决定性意义的重要进展。在此次交会对接任务中，吉大正元为神舟九号飞船的发射与返回、天宫一号与神舟九号的交会对接提供了全程的网间安全隔离技术保障与服务，为保障“天宫一号与神舟九号交会对接”任务的成功立下了卓越功勋。在天宫一号与神舟九号交会对接任务14天中的每一分、每一秒，吉大正元工程师在北京航天飞控中心专注值守，伴随了神舟九号在太空的每一脚步，伴随了中国航天员从神舟九号跨入天宫一号的第一步，伴随了三位航天员从返回舱安全回到地面的那一刻。

　　天宫一号与神舟九号对接，是我国航空航天领域的一件大事。但是对于吉大正元而言，则是他们通过密码技术的应用，为中国各个行业的信息安全保障做出了诸多贡献的一个案例。在这些成绩的背后，是吉大正元卓越的信息安全技术实力、产品和服务水平。

　　有安全就有密码

　　“企业用VPN跨越公网，用防火墙（包括UTM、NGFW）进行第一层防护，然后还会部署DDoS防护、IPS、IDS、防水墙、防病毒、WAF等安全设备。企业用户可能认为，通过层层的防护，企业的信息系统在一定时间内是安全的。但是，技术发展到今天，BYOD、无线网、传感器、物联网、云等新的技术和应用已经越来越开放，让企业面临着越来越大的安全风险。”张全伟在本届中国信息安全大会上表示，其实企业陷入了一个怪圈，即部署的安全设备越来越多，设置的安全策略越来越多，但是却无法应对层出不穷的安全问题。

　　“2013年，被暴露出来的零日漏洞有23个，同比增长62%，而精确打击的针对性攻击同比增长91%。”张全伟表示，面对这些新型的安全威胁，传统的安全防护措施往往被绕过了，这也正是企业所面对的信息安全防护怪圈的症结所在。

　　“和五年前我们参加中国信息安全大会时相比，在如今网络泛在、万物互联、边界碎片化的环境中，企业面临着网络可信身份缺失，用户名口令不再安全，网络安全检测响应力所不及，数据裸奔，国外的信息安全标准和产品、开源产品的可靠性存在问题等诸多困局。”张全伟认为，新环境下企业在治理结构、身份防护与可信、认证授权、数据安全、隐私保护、抗抵赖等方面存在着更为强烈的的安全需求。

　　事实上，相对于以检测、响应为主要手段的信息安防体系，面对当前日益严峻的安全形势，已显出心有余而力不足。“安全木桶中还有短板。其实我们还有方法，有另外一个安全体系很多用户没有具备，那就是以PKI（公钥基础设施）为代表的密码安全防护体系。密码技术其实是信息安全技术中最基础、最核心的。密码技术的普及和应用，对于企业的信息系统安全具有至关重要的作用。”张全伟说。

　　“密码技术作为安全体系的基础设施，总是处在幕后的位置。但是，随着信息安全威胁的扩展，密码技术正在得到越来越多用户的重视，这个幕后‘英雄’正在走向台前，这个市场也刚刚开启。”张全伟对《中国计算机报》记者表示，“有安全就会有密码。”

　　前进一小步 安全一大步

　　正如张全伟所说，PKI是全球公认的最成熟、部署规模最大，安全服务提供最全面的技术手段。吉大正元把强身份认证、强授权、数据的加解密和签验已经广泛地应用到了政府、电信、银行、企业等众多领域。

　　相较于层出不穷的安全防护设备部署和应用，企业对于PKI的应用其实不需要太多的成本，很多企业都可以轻松地迈出这一小步。然而，这一小步的迈进却可以为企业带来一大步的信息安全提升。这是因为，相对于被动的检测、响应方式，基于密码技术的解决方案其实是更加主动的、强度更高、效率更高的信息安全威胁应对之道。

　　事实上，目前密码技术在安全领域已经有了诸多的应用。例如数据的加解密和签验，以保障电子业务的数据保密、防篡改和抗抵赖；PMI基于权威的强授权；保护操作系统和APP应用商店应用可信的代码签名，保障身份、通信和数据安全的Https、SSL、TLS、SMIME等。这些技术都已在操作系统、电子商务、电子政务甚至云计算、物联网中得到了广泛应用，这也正是吉大正元基于核心技术，不断延伸拓展的领域。

　　“其实，整个IT世界就是一个数据世界。现在大家都在谈论大数据，就是因为大家越来越意识到数据中蕴含的重要价值。而通过密码技术来保障数据的CIA特性（保密性、完整性和可用性，Confidentiality、Integrity和Availability），是非常好的解决方案。”张全伟告诉记者。

　　当前，自主可控的呼声越来越高，我们广泛应用的国外的信息安全产品是否可靠始终存在问号，在密码领域同样面临这样的问题。张全伟告诉记者，国产化正是吉大正元的优势，也正是吉大正元最早在国内进行双算法切换升级的工作。目前，吉大正元正在进行国外通行的密码算法RSA算法和国内自主的密码算法的并轨工作，在金融等核心行业和应用中，正在越来越多地转向自主密码算法。

　　安全集成服务

　　当然，形成与自主密码算法配套的产业链，还有很长的路要走。国密算法要从产学研用的自我封闭到应用融合，最后打通整个产业链，才能使得国密算法成为国家安全的根本保障。吉大正元一直致力于以密码技术为核心，解决密码与相关平台、应用、系统，以及管理体系的安全保障与融合的问题，不断实践与创新，这一点正是吉大正元产品服务的核心竞争力所在。

　　“五年前，信息安全领域大多数人关心的是系统自身的安全建设问题；五年后的今天，更多的安全理念和解决方案开始面向应用和场景，开始体现出集成和融合的趋势。”张全伟告诉记者，正基于此，吉大正元提出了安全集成服务架构SISA2.0。SISA是一套面向安全，面向服务，标准化、模块化，充分融合网络安防与密码技术各自优势，能满足企业治理框架和政策要求，以整体提升信息化的服务能力为导向，集约化、服务化的安全集成服务架构。

　　此外，吉大正元正在积极打造国内基于密码技术的生态系统。作为中国最大的PKI提供商，这是它持续发展的必由之路，也是它的责任。“其实，所有的安全服务不是一两家公司或者一两个技术就能完成的，这需要各个层次和领域的融合。”张全伟告诉记者，基于这样的思路，吉大正元打破了一般安全厂商之间较少交流和沟通的惯例，开始主动与圈内一些安全企业“合纵连横”，构筑国内信息安全的生态圈。

　　“吉大正元与众多运营CA都保持着良好的关系，同时吉大正元也在积极主动地寻求合作，让彼此相互了解对方的核心技术和价值，然后整合相关的产品、方案和服务并提供给客户。其实，现在很多用户都在不知不觉中使用着吉大正元的技术。”在张全伟看来，中国的信息安全正亟待建立一个较为完善的生态系统，才能让信息安全产业逐渐做大做强，为中国用户的信息安全负责。

　　本报记者 程彦博