在发布会现场,三未信安董事长兼总经理张岳公、绿盟科技集团股份有限公司产品部总监魏向杰、北京大学计算机学院区块链研究中心特聘研究员谢安明、中国电科院高级专家/中国密码学会理事李智虎、中国科学技术大学网络空间安全学院教授/博士生导师林璟锵一同以“商用密码产业发展的问题与思考”为主题,围绕如何应对我国密码行业所面临的“卡脖子”风险、如何扭转企业在密码应用中存在“合规为主,及格即可”的改造心态、密码企业应如何发展才能促进密码产业良性发展以及未来密码产业结构可能会发生什么样的变化展开讨论和分享,为密码行业发展建言献策,提供诸多有益参考。
我国密码领域技术、产品无惧“卡脖子”风险 但应用层面须加强应对能力
讨论伊始,圆桌论坛的主持人——三未信安副总经理高志权首先抛出了一个大家在科技行业领域普遍关心的重要话题——“卡脖子”,那么对密码行业而言,应如何应对呢?
“我对密码领域能够成功应对‘卡脖子’风险这件事情有足够的信心,但从整个数字化产业的基础软、硬件能力以及生态建设来看,仍有一些困难等待我们去克服。”张岳公在针对“卡脖子”这一话题时表示,密码领域的此类风险相较于芯片、软件等领域要少一些,这主要体现在两个方面:一是我国已经拥有自己的密码算法,而且标准体系也已建立;二是我国在密码芯片方面也在不断取得突破,包括三未信安最新发布的“芯”系列密码卡、密码机产品均采用了自主研发的XS100密码安全芯片。同时,由于现阶段密码安全芯片本身对制程工艺的要求不高,目前基于55纳米制程工艺的产品就能很好的满足需求。可与此同时,整个科技行业所面临的“卡脖子”问题对于密码行业的发展仍然会产生一定影响,如服务器领域的芯片因“卡脖子”而导致发展受限,那么就会进一步传导到应用场景的受限,从而会影响到包括密码领域在内的诸多领域的创新发展。
李智虎表示,我国在密码理论方面已经具备较强实力,目前已经有多个标准进入国际标准,而“卡脖子”风险主要体现在工程实现以及后续市场应用方面,且还是一个动态变化的。他在现场以金融行业举例道,我国在该领域推动国产密码技术、产品都主要集中在外围方面,如U盾、动态令牌等产品,而在部分重要系统中应用的密码算法仍然有64位的,一时间还是很难替换,这并非是用户自身不想换,而是相关的协议已经被固化在其中,如果要更换,那么势必会涉及包括业务中断等风险。从该案例可以看出,“卡脖子”有时也会并不仅仅只是技术本身,市场应用层面也同样会对哪怕拥有技术优势的“后来者”形成一定制约,但这种“卡脖子”在李智虎看来就是会动态变化的那一类,随着我国技术不断发展,比如在芯片以及相关产品的性能做到极致,实现在骨干网、云等领域落地应用没有任何问题的时候,那么这种在可靠性、可用性方面的“卡脖子”也就会成为过去式。
针对这一点,林璟锵也表示认同,他指出,由于很多国际公司在标准方面具有先发优势,从而可以在早期就将其自己的算法、密码能力整合至其整个平台之中,这一结果就导致我国在该领域只能以“外挂式”的方式去做密码产品。
那么如何解决这一问题呢?林璟锵认为主要有三点:
1、应优先考虑在一些新的行业领域中抢先介入,如物联网领域。如果能够在早期就将国产算法相关的芯片做到物联网设备中去,那必然有利于我国密码走向更加原生化的方向,简单地说,就是要从新兴领域中提前入手抢占属于自己的先发优势。
2、强化产、研互动,提高中国密码行业的国际声量。除了积极参与国际标准之外,在产、研发方面还需进一步强化互动,打造更多高性能、高可靠、高可用的产品,有利于提高我国相关产品在国内外领域中的话语权。以三未信安推出的XS100芯片为例,在支持的算法、运算能力、功耗等诸多方面都取得突破,进而取得在应用领域的优势,后续也会对推动产业、研究、标准提供更为有力的支持。
3、应用于计算环节,将密码同业务结合。林璟锵表示,密码本身是为信息系统提升安全性的技术,目前业内的密码厂商主要是从认证、传输、存储去为用户提供安全解决方案,未来应在这一基础上,在计算环节使用密码,这样可以在与业务密切结合的计算过程中去保护数据的机密性。
“60分”心态并非是坏事 整体密码安全意识提升更关键
接下来,高志权引出了一个很具现实性的问题,那就是国外很多信息化产品已经内嵌了密码能力,但在国内这种情况则比较少见,在2017年我国《网络安全法》正式施行后,进入中国市场的外企对于数据的加密保护意识明显提升,三未信安自身也为不少外企提供了数据加密解决方案,但当同样的方案在推广到国内的一些企业时,表现却截然相反,接受程度很低,在高看来,国内虽然推出商用密码应用安全性评估(以下简称“密评”),并希望借助这项工作的推进,来推动密码应用以及行业发展,但很多应用单位仍然抱有60分万岁的心态,只要满足合规,对是否真正安全、是否真正有效果似乎并不过于关注。面对这一问题现状,应该以什么样的方式去改变呢?
谈到这个话题,参与讨论的五位嘉宾基本一致认为需要时间去改变,那么在具体内容方面,则表现得略有不同。
林璟锵以及谢安明均认为在密评工作中,应用单位的这种态度并不是坏事,因为相比此前没有密评工作开展的时候,企业对这方面的重视程度甚至可能是0分,“60分”如果放在整体发展的过程之中来看,它仍是一个进步。在我们看来,合规在目前仍然是整个安全行业的重要推动力之一,如果没有等保合规、密评等工作的展开,企业在相应的安全建设上也会失去一定动力,同时在建设上也很难有的放矢。
谢安明表示,等保在刚推出时,大家普遍的态度还是不愿意接受,觉得它是一道束缚,心态上也是抱着能躲就躲,能评个差不多的就不会去评更高的,但随着时间的推移和行业的发展,企业用户在当前已经开始接受,甚至还会积极主动地去完善相关的建设,这一过程可简单总结为从被动合规走向主动合规,最终拥抱合规,因此从发展的角度看,这一个必然的发展过程,而“60分”心态从无到有本身就是属于该过程中的一种进步。
谈到外企和中企对于三未信安同样的数据加密解决方案的态度为何反差如此强烈这个话题时,张岳公认为这背后的原因更多还是体现在意识层面。众所周知,我国信息化发展起步时间相对较晚,尤其是在数据安全、个人隐私保护方面,相关法律法规我国也是在近几年开始施行,应该看到,我们当前虽然扮演的还是一个追赶者的角色,可追赶速度却越来越快,对于安全的要求也将不再仅仅是满足于合规,在他看来,随着整体安全意识的水涨船高,60分将会变为起点,而终点将会是80分甚至更高。
魏向杰的发言延续了上述这一观点,他认为,60分心态在当前所表现出来的主要问题是用户群体的安全意识不够,而相比技术、产品而言,在这方面要想实现扭转是最困难,同时它也是好政策、好方案最终难以执行到位的绊脚石,如果用户自身不愿意去把事情做好,那其他人如何努力也只是无谓付出。
那么谈到具体应对,魏向杰也给出了自己的建议,那就是借鉴网络安全发展的路径。他指出,我国在网络安全领域的发展与国际之间的差距并不大,发展速度也要比密码领域更快,而这背后的关键是在于人才的支撑,一些海外成熟的网络安全企业都拥有一套完整的人才培养体系,目前国内的一些头部厂商也在学习并开始形成自己的相关体系,这些建设的最终成果,不仅体现在技术、产品方面,在市场的培育、教育方面也具有促进作用,对我国整体网络安全意识的提升有莫大帮助,目前在用户群体一侧,他们对网络安全的理解以及相关知识的广度、深度方面甚至比网络安全企业自身的人员还要更强。反观密码行业,人才数量相对较少,且还普遍集中在密码领域的企业内部,在渠道侧、用户侧人才缺失现象明显,这对于相关安全意识的整体提升是不利的,因此,在密码领域,也应尝试去发展和建立一套密码类人才培养体系,推动安全意识更快向好转变,最终实现推动用户侧在密码应用等相关建设方面不再缺少关注或仅仅只满足于合规。
密码是数字经济发展的重要支撑技术 专业厂商需注重自身核心价值的打造
随着《密码法》的施行以及密评工作的推进展开,在这一过程中,密码也逐渐成为了一种普适性技术,也推动了密码行业不断升温,包括网络安全、工控安全、区块链安全等等在内的不少领域,都有不少企业开始增加在密码领域中的投入,与此同时,以三未信安为代表的专业密码厂商也在其中,那么在这一市场日益繁华的产业中,未来的发展方向会呈现出怎样的变化呢?
张岳公针对该话题表示,在数字化经济发展过程中,密码作为重要的支撑技术,确实已经逐渐具备普适性这一特点,几乎方方面面都离不开密码,“密码+”时代也已经来临,所应用的行业领域、场景已极为丰富。可以说,这对三未信安这种专业密码厂商而言,既是机遇也是挑战,“无论我们面对的是机遇还是挑战,都必须要做好自己,拥有自己独特的核心价值。”他表示,这也是当初三未信安决定在密码安全芯片领域展开投入并寻求突破的原因之一。“如果我们的技术及相关能力可以轻易的被替代,那么你的市场也必然会很快被别人所蚕食。”因此,在他看来,专业密码厂商必须要持续专注、坚持创新,用属于自己的核心技术去创造自己的核心价值。
通过张岳公的发言我们可以感受到,无论产业如何发展,专业密码厂商必须要体现出“专业”二字,通过不断地提升核心技术能力,成为产业健康发展的推动力之一,否则就愧于“专业”,也必然会在产业发展过程中逐渐消失。
在具体产业发展趋势方面,魏向杰认为会呈现出两大特征:
一是集成化。在包括IoT物联网、边缘计算在内的一些新兴领域或场景下,相关设备的密码安全配置一定是原生的,这意味着密码将会在产业链的初期就被集成在内,有利于形成一个完整的闭环,也有利于我国相关技术、产品在竞争中取得优势。
二是服务化。同网络安全的发展过程类似,专业的事情还是需要专业的人做,密码作为专业性要求极高的领域更是如此。因此,密码服务市场在未来将会迎来广阔的发展空间。
魏向杰强调道,由于集成化和服务化对专业性要求极高,因此只有具备核心技术能力的专业厂商才能给予支撑,而这一门槛对其他覆盖密码领域的综合性厂商或其他行业厂商而言很难跨越。
林璟锵也非常认同专业性在未来产业发展趋势中的重要位置。他指出,密码行业的发展其实也是一个动态变化的过程,作为技术门槛很高的领域,在早期发展中如果缺少专业性是难以介入的,但随着时代的发展,整体技术的进步,密码开始具备普适性的特点,如浏览器、操作系统等软件厂商也会主动引入自己的加密防护措施,如一些企业也开始用一些简单的加密措施来保护自己的数据,但随着数字化进程的不断推进,网络威胁形势的变化,业务场景的不断丰富,业务形态的不断增加,对安全的需求级别也会提升,一些简单的加密措施必然难以满足,由此必然会带动更专业的产品、服务的需求增长,而这些必然要依靠专业厂商来支撑。
总体而言,在数字化经济发展的过程中,密码已成为安全保障的基础设施,而这种普适性特点带动了整个密码产业的发展,也令非密码专业的科技企业介入密码领域,但从产业的角度看,密码专业厂商在整个产业中的地位依然难以撼动,但这需要建立在密码专业厂商充分发挥自身专业优势,不断提升自身核心技术、服务能力的基础之上,并以此来推动整个产业更好、更快的良性发展。反之,如专业厂商丧失了在专业能力上的优势,那么必然会走向平庸,在产业发展过程中被淘汰恐怕也是唯一的结局。