01  宏观政策为密码泛在化（huà）保驾护航

密（mì）码是保障网络空间安全的核心技（jì）术和基础支撑。过去，密码主要用来保（bǎo）护重要IT系统的（de）通信与（yǔ）存储安全问题，普通老百（bǎi）姓很少和它（tā）打交道（dào）。如今，密（mì）码已经应用到（dào）各行各业，影响我（wǒ）们生活的方方面面。密码产品也从（cóng）传统的密码（mǎ）机、密钥（yào）管理系统等（děng）整机形态，衍（yǎn）生发（fā）展为安全芯片、软件（jiàn）密码（mǎ）模块、IP核、密码板卡等（děng）不（bú）同形态，密（mì）码和IT技术（shù）呈（chéng）现融合发展（zhǎn）的趋势（shì），密码的服务（wù）化更是打破了密码产品的形（xíng）态限制。密（mì）码（mǎ）应用已经呈现（xiàn）出多元化、融（róng）合化、泛在化等新特点。

近（jìn）年来，我国（guó）不断健全密码相关的（de）政策法规，先（xiān）后制定和实施了（le）网络安全法、密（mì）码法、36号文、GM/T0054、等（děng）保 2.0标准等系列法（fǎ）规政策标准（zhǔn），从顶层构（gòu）建（jiàn）了密码（mǎ）与网信事业的宏（hóng）伟蓝图（tú）。在宏观政策的指引下，我国密（mì）码事业经历了（le）从无到有（yǒu）、从初创到规范完善的阶段（duàn），取得（dé）了跨越（yuè）式的发展，这也（yě）为全面推进密码工（gōng）作和（hé）密码泛在（zài）化应用奠（diàn）定了坚实（shí）有（yǒu）力的基础。

02  安全风（fēng）险（xiǎn）呈（chéng）现泛（fàn）在化趋势

物（wù）联网、云计算、5G、大数据（jù）、人工智能等创新技术正在加速驱（qū）动物理（lǐ）世界与（yǔ）信息世界的融合。我们在享受高新技术带来（lái）的信息红利（lì）的同（tóng）时，也无形中打（dǎ）破（pò）了固有的网络边界，加剧了（le）信息泛（fàn）在化的发展（zhǎn）趋势。物理（lǐ）世界与信息空间的泛在（zài）融（róng）合，也将物理空间的违法破坏行为引入虚拟世（shì）界，网络空间变（biàn）得更加复（fù）杂（zá）。

信息技（jì）术的（de）融合，既加（jiā）速了信（xìn）息化（huà）进（jìn）程，也（yě）增大（dà）了网络攻击的（de）可（kě）能性，网络安全问题异常严峻。近年来网络安全（quán）事件层出不（bú）穷（qióng）、形式各异，涉及到物（wù）联网安（ān）全、数据安全、虚拟化安全（quán）等方方（fāng）面面。比如，在物联网领域，视频监控弱（ruò）密码（mǎ）、偷（tōu）拍、DDoS攻击等事件屡见不鲜（xiān）；大量智（zhì）能门锁存在（zài）通信监听、门卡复制、APP攻击等安全（quán）风险；传感器（qì）网络等（děng）无人值守设备分布（bù）广泛，被（bèi）攻破（pò）而不被发（fā）现的事件也（yě）时常被（bèi）事后报（bào）道。随着信息（xī）技（jì）术的（de）发展，网络安全风险加速扩散，网（wǎng）络安全（quán）问题已然泛化。

03  密码技术的（de）泛在化应用思（sī）路

面对快（kuài）速发展的信息技术及泛在多变的网络安全（quán）需（xū）求，需要对网络空间进行体系性的安全防护。密码是网络（luò）信（xìn）息安全（quán）的核心技术，是整个网络信任体（tǐ）系的基础支撑，依（yī）托密码技（jì）术（shù）在认证（zhèng）、加密等（děng）方（fāng）面的重要作用，构建以（yǐ）密码为基石的网络安全体系，能（néng）够（gòu）有力解决网络与（yǔ）信（xìn）息安全问题。我们在开展（zhǎn）具体密码工作（zuò）时，需注意密码技术与业务应用的结合。在不同的业务场景中，应（yīng）当采用不（bú）同的密码技（jì）术路线或者组合。总的来说（shuō），包括经典（diǎn）密码技术、创新密码技术、前沿密（mì）码技术三个方面。

经典密码技术指的是常见的对（duì）称密码、PKI/CA公钥密码及标识密（mì）码技术（shù）。这类密码（mǎ）技（jì）术属于基（jī）石性技术（shù），已经（jīng）被广泛应用，能够解决传统信息系统安全（quán）认证与数据加密等问题（tí）。

我们重点想提一些创新密码应用的工作（zuò）思路。我（wǒ）们在实（shí）践过程中，发现诸如工业控制、移动（dòng）办公（gōng）、智能家居等新兴场景都存在密（mì）码应用需求，然而受限于（yú）具体场景和（hé）环境，传统的密码技术往往（wǎng）无（wú）法（fǎ）直（zhí）接应用。此时，我们（men）就（jiù）需要转变思路，对密（mì）码（mǎ）应用的方法进（jìn）行创新和调整。第一（yī）种思（sī）路是“融”，即密（mì）码（mǎ）融合设计，在设（shè）计之（zhī）初将（jiāng）密码流程融入到（dào）业务应用及（jí）通（tōng）信协（xié）议中，避免后期堆叠（dié）密码设备带来的性能开销、系统损害等影响。第二种（zhǒng）思路是“变”，我们对传统密码技术进行（háng）场景（jǐng）化（huà）的适（shì）配改造，以应对差异化的密码需求，如轻量化密码协议、短证书等。第三种思（sī）路（lù）是（shì）“合”，我们可以（yǐ）对（duì）加密、认证、授（shòu）权（quán）、安全管理等功能进（jìn）行（háng）整合，以（yǐ）能（néng）力打包的形式对接应（yīng）用系统，提供“一揽子”的密（mì）码解决方（fāng）案，减轻应用的密码集成（chéng）难度（dù），快速实现密码赋能（néng）。

密码技术在不断发（fā）展，学术界对（duì）零信任（rèn）、区块链、安全多方计（jì）算、同态加密、格密码、抗（kàng）量（liàng）子密码等前沿（yán）密码技术进（jìn）行了广泛的研究，部分成果已经应用到信息系统中，相信未来（lái）前沿密（mì）码技术（shù）会得到更加广泛和全面的（de）应用。

04  终（zhōng）端侧的密（mì）码产品部署

终端种类（lèi）众多、形态各异。不（bú）同种（zhǒng）类的终端在价（jià）格成本（běn）、网络数据能力、软硬件架构等方面（miàn）存在着（zhe）巨大（dà）区别，终端侧（cè）的密（mì）码产品部署需求（qiú）也（yě）存在着差异性，需要因地制宜。

终端（duān）侧的密（mì）码产品部署主要涵（hán）盖（gài）三种形式：安（ān）装软件密码模（mó）块、内嵌硬件密码模块以及外接安全网关。对（duì）于PC、手机、高性能嵌入式（shì）设备，我们（men）可以部署软件密码模块，借助CPU的强（qiáng）大（dà）运算能力，实现高（gāo）性能的密码运算，无需额外（wài）增（zēng）加硬件成本。面向智能门锁、车载控制器等安全性较高的终端，我们可以采用设备内（nèi）嵌密（mì）码（mǎ）硬件的方式，包括板（bǎn）载安（ān）全芯片、内（nèi）接（jiē）密码模块（kuài）、使用基于密（mì）码的安全通信（xìn）模组等，提供硬件级安全防护（hù）能力，保障设备安全。针对微型（xíng）传感（gǎn）器、大型进口设备、老旧IT设备等难以施行密码（mǎ）改造的场景，我们可以接入安全网关，通过门卫式安全（quán）防（fáng）护，保（bǎo）证（zhèng）设备（bèi）的接入安全与（yǔ）通信安全问（wèn）题（tí）。

05  密码的服（fú）务化之（zhī）道

近年来，越来越多（duō）的应用迁移上云。我（wǒ）们如（rú）果要（yào）分（fèn）别对不同的信息系统进行密码应用（yòng），工作（zuò）量巨大（dà），密码资源浪费严（yán）重。此时，我们可以借助云（yún）化、虚拟化的思想将密码（mǎ）能力（lì）服务化，按需（xū）提（tí）供密码资（zī）源，不同应用系统只需通过（guò）服务（wù）调用的方式即可安全地获取密码能力，从而快速实现密码应用改造。

一（yī）个可（kě）行的实践路线是构建密码服（fú）务平台。我所在的卫士通（tōng）公司作为（wéi）综合实力较强的密码企业，正在（zài）从传统（tǒng）密码产品提供商向平（píng）台型安（ān）全服务提供商转型（xíng），密码服务平台（tái）便是一个（gè）重要的抓手（shǒu）。密码服（fú）务平台不直接提供密码（mǎ）产（chǎn）品（pǐn），面向应用提供场景（jǐng）化的密码服务，提升合规的密码应用效（xiào）率，降低应用与密（mì）码对接的难度。我们看（kàn）到，越来越多的政务云正在采用（yòng）密码服务平台，实现云上应用的快速对接。可以预（yù）见，密码服务是（shì）促进密码泛在（zài）化（huà）落地的重要且有效的技（jì）术路径。

06  基础软硬件的内生安全机制

长久以来，计算机系统基础软（ruǎn）硬件的安全及（jí）密码（mǎ）措施都是各自为政（zhèng），较（jiào）为独立。如果要做一个安全（quán）浏览器，我们可能会在浏览器内部集成（chéng）OpenSSL算法库；如果要做一个加密数据库，我们可能为数据库配用密码硬（yìng）件；如（rú）果（guǒ）要做安（ān）全启动，我们需要为计算机配（pèi）置TPCM、TCM等（děng）可信（xìn）计算（suàn）芯片。计（jì）算机系统各个软硬件之（zhī）间的密（mì）码能力缺乏协同，烟囱式存在。另外，各类软硬件（jiàn）厂商自行建设密码，也存在着合规性的问题。

我（wǒ）们在构建自主（zhǔ）信息系统时，可以从系统体（tǐ）系的角度出发，使用（yòng）一套（tào）密码方案，贯通计（jì）算机（jī）基础软（ruǎn）硬件的（de）各个（gè）环节，实现密码（mǎ）运算和（hé）可信计算。基础此种思（sī）想，如卫士通与龙芯（xīn）联合推（tuī）出的内嵌安（ān）全SE的国产（chǎn）处理器，打通了CPU、Bioses、操作系统、中间件（jiàn）、数据库、浏览（lǎn）器等各（gè）环节，构建了内生安全的基础软硬（yìng）件密（mì）码应（yīng）用生态。

07  典型（xíng）案例

分享两个场景（jǐng）化案（àn）例（lì）。一是视频融合通信，包含视频监控、直播、会商等多（duō）种业（yè）务模（mó）式。我们可以采用端到端的安全方（fāng）式对视频终端、服务端进行密码（mǎ）改造，对大带（dài）宽、高清、多路、实时（shí）音视频进行加解密。GB35114便是此类方式的标准（zhǔn）化落地，未来也将（jiāng）会有更多音视频密（mì）码应用的（de）标准（zhǔn）指导相关（guān）工作（zuò）。二（èr）是物联网密（mì）码应用，我们可以（yǐ）建（jiàn）立（lì）覆盖物联网“端-边-网-云”的密码应用体（tǐ）系。端，指的是（shì）物（wù）联网终端侧部（bù）署安全（quán）芯片/软件密码模（mó）块等密（mì）码产品，实现（xiàn）终（zhōng）端（duān）安（ān）全防护；边（biān），指的是提供安全边缘网（wǎng）关，安（ān）全接入物联网终端；网，指（zhǐ）的是基于密码技术保（bǎo）障物联网通信安全；云，指的是物联网（wǎng）平台具备密码与安全（quán）能力（lì）。

08  密码应用推进思考（kǎo）

密码（mǎ）事业的（de）政策性较强，我们密码工作者要时刻关注国家政策法（fǎ）规，尤其是（shì）中央、地方、大型机关单（dān）位（wèi）的商密（mì）规划，这将带来（lái）大量的密码泛在化建设（shè）项（xiàng）目。另外，随（suí）着等保2.0、密评工作（zuò）的广泛、有序（xù）开展，更多的细（xì）分（fèn）领域将会开展密码工作，密码市场（chǎng）规模迅速（sù）扩大。我（wǒ）们（men）在专注既（jì）有业务领域的同时，应不（bú）断开拓新的行业（yè）用户和业务领（lǐng）域，拓展密码（mǎ）应用的范围（wéi）。

密码应用和（hé）改造需要达（dá）到什么程度？是否密码措施越多越（yuè）好（hǎo）？如何让更多的行业用（yòng）户、企业单位放下对密码或安全的（de）固有成见，愿（yuàn）意用密码？这些问题都值（zhí）得我们思考。我们（men）在（zài）做密码应用和推广的（de）时候，一定要结合行业政策与应用实际，按（àn）需（xū）地开（kāi）展密码（mǎ）应用，密码（mǎ）应（yīng）用（yòng）的（de）强度不能单一量化，做到（dào）合规的同时（shí），保证相当的安（ān）全性。

09  从业者建（jiàn）议

在密码泛在化的（de）背景环境下，我们从业者需要哪（nǎ）些方（fāng）面的能（néng）力素养？我认为，至少（shǎo）需要（yào）三（sān）方面（miàn）的能力。第（dì）一，完备的密码知识（shí）。密码技术不断（duàn）发展，我们（men）需（xū）要广泛涉猎密码知识，同时（shí）也应当潜心钻研一些重（chóng）点（diǎn）的密码知识，尤（yóu）其是我们工作中可能用到的密码（mǎ）技术。第二，全栈的（de）密码设（shè）计能力（lì）。包括（kuò）密码（mǎ）算（suàn）法、产品化设计、接口对接、协议优（yōu）化等等，只有具备了全栈（zhàn）的设计能力，才（cái）能（néng）应对复杂（zá）多变的情（qíng）况，准确地对密码方案进行优化和（hé）改造。第三，快速理解业（yè）务应（yīng）用的能力。密码和业务不（bú）能是“两（liǎng）张皮（pí）”，密码的设（shè）计（jì）必须基于业（yè）务实（shí）际，密码工作（zuò）者应当理解业（yè）务流程并梳理（lǐ）出安全痛点及密码（mǎ）应用（yòng）需求（qiú），才能做好密码建设的实际工作。

1月15日，人社（shè）部发（fā）文（wén）拟新增（zēng）“密码技术应用员”职业，并将（jiāng）其定义为运用密码（mǎ）技术，从事信（xìn）息系统安全密码保障的架构设计、系统集成、检测评（píng）估、运（yùn）维管理（lǐ）、密码（mǎ）咨询（xún）等相（xiàng）关（guān）密码服务（wù）的人员。“密码技（jì）术应用员（yuán）”作为密码（mǎ）泛在化的一个（gè）专门（mén）职业（yè）被正（zhèng）式提出，这无（wú）疑（yí）会促进密码泛在化（huà）的应用与推广工作。同时，作为密码从业者（zhě）的我们（men），也应当参（cān）照“密（mì）码技术应用员”的要求积极提升个人能力。

10  密码泛在化的未来

传统信息行业、新技（jì）术业务（wù）领域快速发展并交相辉映（yìng），信息世界（jiè）正朝着相互渗透、多元发展的方向演进。我们有理由相信（xìn），未来，密码就是信息世界不（bú）可或缺的组件（jiàn），密码也将作为泛化信（xìn）息世界的安全基石，有力保障信息世界（jiè）的安全持续发展（zhǎn）。密码（mǎ）人，大（dà）有可为。