01  宏观政（zhèng）策为密码泛在化保（bǎo）驾（jià）护航

密码是保障网络空间安全的（de）核心技术和基础支撑。过去，密码主（zhǔ）要用来（lái）保护（hù）重要IT系统的（de）通信与存储安（ān）全问题，普通老百姓很少和它打交道。如今，密码已经应用（yòng）到各行各业，影响（xiǎng）我们生活的方方（fāng）面面。密码产品也（yě）从传统的密码机、密钥管理系统等整机（jī）形（xíng）态，衍生发展为安全芯片、软件密码模块、IP核、密（mì）码板卡（kǎ）等不同形态，密码（mǎ）和IT技术呈现融（róng）合发展的趋势（shì），密码的（de）服务化更（gèng）是打破（pò）了密码产品的形态限制。密码应用已经呈现出多元化（huà）、融合化、泛（fàn）在化等新特（tè）点。

近年来，我国不断健全密码相（xiàng）关的政策（cè）法规，先后制定和实施了网（wǎng）络（luò）安全（quán）法、密码法、36号文、GM/T0054、等保 2.0标准等系列法规政策标准，从顶层构建了密码与（yǔ）网信（xìn）事业的宏伟蓝（lán）图（tú）。在宏（hóng）观政策的指引下，我国密码事业经历了从（cóng）无到（dào）有、从初（chū）创到规范完善的阶段（duàn），取（qǔ）得了（le）跨（kuà）越（yuè）式的发展，这也为全面推进密码工作和（hé）密码泛在化应用奠（diàn）定了坚（jiān）实有力的（de）基础。

02  安全风（fēng）险（xiǎn）呈（chéng）现（xiàn）泛在（zài）化趋势

物联网、云计（jì）算、5G、大（dà）数据（jù）、人工智能等创新技术正在加速（sù）驱动物（wù）理世界与信（xìn）息世界的融合。我们在享（xiǎng）受高（gāo）新技术带（dài）来的信（xìn）息红利的（de）同时，也无形中（zhōng）打破了（le）固有的网络边（biān）界，加剧（jù）了信息泛在化的发展趋势（shì）。物理（lǐ）世界与（yǔ）信息空间的泛在融合，也（yě）将（jiāng）物理空间的违法（fǎ）破坏行为引（yǐn）入虚拟世（shì）界，网络空间（jiān）变（biàn）得更加复杂。

信息技术的（de）融合，既加速了信息化进（jìn）程，也增大了网络攻击的可能（néng）性（xìng），网络（luò）安全问题（tí）异常（cháng）严峻。近年来网络安（ān）全事件层出不穷、形式各异，涉及到物（wù）联网（wǎng）安全、数（shù）据安（ān）全、虚拟化（huà）安全等方方（fāng）面面。比如，在物联网领域（yù），视频监控弱密码、偷拍、DDoS攻击等事件屡见（jiàn）不鲜；大（dà）量智能（néng）门锁存在通（tōng）信（xìn）监听、门卡复制、APP攻（gōng）击等（děng）安（ān）全风险；传感器网络等无人值守设备分布（bù）广（guǎng）泛（fàn），被攻破而不被发现的事件也时常被事后报道。随着（zhe）信息技术的发（fā）展，网络安全风险加速扩散（sàn），网络（luò）安全问题已然泛（fàn）化。

03  密码（mǎ）技术的泛（fàn）在化应（yīng）用思路（lù）

面（miàn）对快速发展的信息技术及（jí）泛在多变的网络安（ān）全需求，需要（yào）对网络空（kōng）间进行体系性的安（ān）全防护。密码（mǎ）是网络信息安全的核心技术，是整个网络信（xìn）任体（tǐ）系的（de）基础支撑（chēng），依托密码技术（shù）在认证、加密等方面的（de）重（chóng）要作（zuò）用，构建以密（mì）码为基石的网（wǎng）络安全体系，能够有力解（jiě）决网络与信息安全问题（tí）。我们在开展（zhǎn）具（jù）体密码工作时（shí），需注意密码技术与（yǔ）业务应用的结（jié）合。在不同的业务场景中，应当采用不同的密码技术路（lù）线或者组合（hé）。总（zǒng）的来说，包括经典密码技（jì）术（shù）、创（chuàng）新密码技术、前沿密（mì）码技（jì）术三（sān）个方（fāng）面（miàn）。

经典密码（mǎ）技术指（zhǐ）的是常见的对（duì）称（chēng）密（mì）码、PKI/CA公钥密码及标识（shí）密码技术。这类密码技（jì）术（shù）属于基石性（xìng）技术，已经被广泛（fàn）应用，能够解决传统信息系统（tǒng）安（ān）全（quán）认证与数据加密等问（wèn）题。

我们重（chóng）点想提（tí）一些创新密码应（yīng）用的工（gōng）作思路（lù）。我们在实践过程中，发（fā）现诸如（rú）工业控制、移（yí）动办公、智（zhì）能（néng）家居（jū）等新兴场景都存在密（mì）码应用需求，然而受限于具体场景（jǐng）和（hé）环境（jìng），传统的密码技术（shù）往往无法直接应用。此时，我们就需要转变思路，对密码应用的（de）方法进行创（chuàng）新（xīn）和（hé）调整（zhěng）。第一（yī）种思路是“融”，即（jí）密码融合设计，在设计之（zhī）初将密码流程（chéng）融入到业务应用及通（tōng）信协议中，避（bì）免后期堆叠密（mì）码（mǎ）设（shè）备带来的性能开销（xiāo）、系统损害等（děng）影响。第二种思路是“变（biàn）”，我们对传统密码技术进（jìn）行场景化的适配改造，以（yǐ）应（yīng）对差异（yì）化的密码需求，如（rú）轻量化密码（mǎ）协议、短证书等。第三种思路是“合（hé）”，我们可（kě）以对（duì）加密、认证（zhèng）、授权、安全管理等功能进（jìn）行（háng）整合，以能力打包的形式对接应用（yòng）系统，提供“一揽子”的（de）密码解决方案，减轻应（yīng）用的（de）密码集成难度（dù），快速实（shí）现密码赋能。

密码（mǎ）技术在不断（duàn）发展，学术界对零信任（rèn）、区块链、安全多方计算、同态加密（mì）、格（gé）密码、抗量子密码等前（qián）沿密（mì）码技术进行了广泛的研究，部（bù）分成果已经应用到信息系（xì）统（tǒng）中，相信未来（lái）前沿密码技（jì）术会（huì）得（dé）到更加（jiā）广泛和（hé）全面的应用。

04  终端侧的密码产（chǎn）品部署

终端种类众多、形态各异。不同种类（lèi）的终端在价格成（chéng）本（běn）、网（wǎng）络（luò）数（shù）据（jù）能力、软硬件架构等方面存在着巨大区别，终端侧的密码产品（pǐn）部署需求也存在（zài）着差异性，需要因（yīn）地制宜。

终（zhōng）端侧的密（mì）码（mǎ）产品部署主要（yào）涵（hán）盖（gài）三种（zhǒng）形式：安装软件（jiàn）密码模块、内（nèi）嵌硬（yìng）件密码模块（kuài）以及外接安（ān）全网关。对于PC、手机、高（gāo）性（xìng）能嵌入式设（shè）备，我们可以部署（shǔ）软（ruǎn）件密码模（mó）块，借助CPU的（de）强大运算能（néng）力，实（shí）现高性（xìng）能的（de）密码运算，无需额外增加硬件成本。面向（xiàng）智能门锁、车（chē）载控制器等安全性（xìng）较（jiào）高（gāo）的终端，我们可以采用设（shè）备内（nèi）嵌密码硬件（jiàn）的（de）方式，包括板载安全芯片、内接密码模块、使用（yòng）基于密码的安全通信模（mó）组等，提供（gòng）硬（yìng）件级安全防护能力，保障设（shè）备安全。针对微型传感器（qì）、大型进口设（shè）备、老（lǎo）旧IT设（shè）备等难以施（shī）行密码（mǎ）改造的场景（jǐng），我们可以接入安全网关，通过门卫式（shì）安全防护，保证（zhèng）设备的接入安全（quán）与通信（xìn）安全问（wèn）题。

05  密码的服务化之道

近年来，越来越（yuè）多的应用迁移上云。我们如果要（yào）分别对不同的信息系统进行（háng）密码应用，工作（zuò）量巨大，密（mì）码资源（yuán）浪费（fèi）严重。此（cǐ）时，我们可以借助（zhù）云（yún）化、虚拟化的思想将密码能（néng）力服务化，按需（xū）提供（gòng）密码资源，不（bú）同应用（yòng）系统只需通过服务调（diào）用的方式（shì）即可安全地获取密码（mǎ）能力，从而快速实现密码应用（yòng）改（gǎi）造。

一个可行的（de）实践路线是（shì）构建密码服务平台。我所（suǒ）在的卫士通公司作为综合实力较强的密码企业，正在从传统（tǒng）密码产品提供商向平台型安全（quán）服务（wù）提供商转型，密码服（fú）务平台便（biàn）是一（yī）个重要的（de）抓手（shǒu）。密码服（fú）务平台不直接提（tí）供密（mì）码产品，面向应用提供（gòng）场景化的密码服务，提（tí）升合规的密码应（yīng）用效（xiào）率，降低应用与密码对（duì）接的难度（dù）。我们看（kàn）到，越来越（yuè）多（duō）的政务云正在采用（yòng）密码服务平（píng）台，实现云上应（yīng）用的（de）快速对（duì）接。可以预见，密码服务（wù）是促进（jìn）密码泛在化落（luò）地（dì）的（de）重要（yào）且有效的技术路径。

06  基础软硬件的内生安全机制（zhì）

长（zhǎng）久以来，计算机系统基础软硬件的安（ān）全及密码措施都是（shì）各自为政，较为独立。如果要做一个安全浏览器（qì），我们（men）可能会（huì）在（zài）浏（liú）览（lǎn）器内部（bù）集成OpenSSL算法库；如果要（yào）做一个（gè）加（jiā）密数据（jù）库（kù），我（wǒ）们可能为数据（jù）库配用密码硬件；如果要做安全启动，我们需要为计算（suàn）机配置TPCM、TCM等可信计算芯片。计算机系统各个软硬（yìng）件之（zhī）间的密（mì）码能力缺（quē）乏协同，烟囱式存（cún）在（zài）。另外，各（gè）类软硬件厂商自行建设密码，也存在着合规（guī）性的问题。

我们在构建自主信息系统时，可以从系统体系的角度出发，使用一套密码方案，贯通计算机基础软硬件（jiàn）的各个环节，实现密码运（yùn）算和可信计算。基（jī）础此种思想，如卫士通与龙芯联（lián）合推（tuī）出的内嵌安全SE的国（guó）产（chǎn）处（chù）理器（qì），打通了CPU、Bioses、操作系统、中间件、数据库、浏览（lǎn）器等各环节（jiē），构建（jiàn）了（le）内生安全的基础软（ruǎn）硬件密（mì）码应用（yòng）生态。

07  典（diǎn）型案例（lì）

分享两个场景化案例。一是视频融合通信，包含视频监控、直（zhí）播、会商等（děng）多种业务（wù）模式。我（wǒ）们可以采用端到端的安（ān）全方式对视频终端、服务端进行密码改造，对大带（dài）宽、高清、多路、实时（shí）音视（shì）频进行加解密。GB35114便是此类方式的标准化落地（dì），未来也将会有更多音视频密码应用的标准（zhǔn）指导相关（guān）工（gōng）作。二是（shì）物联网密码应用，我（wǒ）们（men）可（kě）以建立覆盖（gài）物联网“端-边-网-云（yún）”的密码应用体系。端，指的是物联网终端侧部（bù）署安全芯（xīn）片/软（ruǎn）件（jiàn）密码模块等密码（mǎ）产品，实现终端安全防护；边，指的是提供安全边缘网关（guān），安（ān）全接入（rù）物联网终端；网，指（zhǐ）的（de）是基（jī）于（yú）密（mì）码技（jì）术保障物（wù）联网通信安全；云（yún），指的是物联（lián）网（wǎng）平台（tái）具备密码与安全（quán）能力。

08  密码应用推进思考

密码事业的政策性较强，我（wǒ）们密（mì）码工作者要时刻关注国家政（zhèng）策（cè）法规（guī），尤其是（shì）中央（yāng）、地方、大型（xíng）机关单位的商密规划，这将带来大（dà）量的密码泛在化建设（shè）项目。另外（wài），随着等保2.0、密评工作的广泛、有序开展，更（gèng）多的细分领域将会（huì）开展（zhǎn）密码（mǎ）工作，密码市场规模（mó）迅（xùn）速扩大。我们在（zài）专（zhuān）注既（jì）有业务领（lǐng）域的同时，应不（bú）断开拓（tuò）新（xīn）的行业用户和业（yè）务（wù）领域，拓展（zhǎn）密码应用的范围。

密码应用（yòng）和改造（zào）需（xū）要达到什么程度？是否密码措施越多越好？如（rú）何让更多的行业用户、企（qǐ）业单（dān）位放下对（duì）密码（mǎ）或安全的固有成见，愿意用（yòng）密码？这些问题都值得我们思考。我（wǒ）们在做密码应（yīng）用和推（tuī）广的（de）时（shí）候，一定要结合行业政策与应用实（shí）际（jì），按（àn）需地开（kāi）展（zhǎn）密码应用，密码应用（yòng）的强度不能单一量化，做到合规的同时（shí），保证相（xiàng）当的（de）安全性。

09  从业者建议

在密码（mǎ）泛（fàn）在化的背景环境下，我们从业者需（xū）要哪些方面的能力（lì）素（sù）养？我认为，至少需要三方面的（de）能力。第一，完备的（de）密码（mǎ）知识。密（mì）码技术（shù）不断发（fā）展，我们需要广泛涉猎密码知（zhī）识，同时也应当潜心钻研一些（xiē）重点（diǎn）的密码知（zhī）识（shí），尤其是我们工作中可（kě）能用到的密码技术。第二，全栈的（de）密码设计能力。包括（kuò）密码算法、产品化设计、接（jiē）口对接、协议（yì）优化等等（děng），只有具备了全（quán）栈（zhàn）的设计能（néng）力，才能（néng）应对复杂多变的情况，准确地对密码方（fāng）案进行优化和改造。第三，快速理解业（yè）务应（yīng）用的能（néng）力（lì）。密码和（hé）业务（wù）不能是“两张皮”，密码（mǎ）的设（shè）计必须基于业务实际，密码（mǎ）工作者应（yīng）当理解业务（wù）流程并梳理（lǐ）出安全痛点及密码应用需求，才能（néng）做好（hǎo）密码建设的实际（jì）工作。

1月15日，人社部（bù）发文拟（nǐ）新（xīn）增“密码技术应用员（yuán）”职业，并将其（qí）定义（yì）为运用（yòng）密（mì）码技术，从事信息系统安全密码保障的架（jià）构设计、系统集成、检测评估、运维管理、密码咨询等相关密码服务（wù）的人员。“密（mì）码技术应用（yòng）员”作为密（mì）码泛在化的一个专门职业被正式提出，这无疑（yí）会（huì）促进密（mì）码泛在化的应用与推广工作（zuò）。同时，作为密码从业者的我（wǒ）们，也应当参（cān）照“密码（mǎ）技术应用（yòng）员”的要求积极提升个（gè）人（rén）能（néng）力（lì）。

10  密码泛在化的未来

传统信息行业、新技术（shù）业务（wù）领域快速发展并交相辉映，信息世界正朝（cháo）着相互渗透、多（duō）元发展的方向（xiàng）演进。我（wǒ）们有理由相信，未来（lái），密码（mǎ）就是信息世界不可或缺的组件，密码也将作为泛化信息（xī）世界的（de）安全基石（shí），有（yǒu）力保障信息世界的安全持续发展。密（mì）码人，大有可为。