随着《密码法》的颁布执行,特别是随着信息化应用的逐步成熟,以密码技术为核心,融合其他安全技术构建整体安全环境成为当下解决安全问题的最主流方式。过往几年以PKI为代表的密码体系建设和应用,发挥了不错的作用,但是随着应用场景的丰富、技术的进步、管理要求的强化、市场环境的日益开放,原有体系的弊端逐渐显现,以往的诸多认识和思想都成了禁锢密码应用发展的枷锁。最值得一提的是,体系封闭和难扩展,成为绑架使用者和应用系统枷锁,作者过往文章也做过相关分析,在此就不做说明。密码技术是解决安全问题的核心技术,但不是全部,所以国家明确提出:以密码技术为核心,融合其他安全技术共同构建整体安全环境。做到这一点,就需要从如何发挥密码技术的核心地位,如何融合其他技术,如何满足当下政策需求,如何保障技管并重,如何确保自主可控前提下开放和扩展等多个层面进行设计。【密码管理服务平台】(也称:密码管理服务中台)也就应运而生。
1、管理者重要的管理手段:管理密码技术、密码产品、计算资源、应用情况、痕迹情况、问题情况等,有效的满足管者有其权、管者有其方的可见、可信、可控、可证明要求;2、服务对象重要的服务入口:信息化中的所有组成部分不在搞各自为政,而是通过平台进行统一接入,体现标准化和统一化,落实安全一盘棋的业务要求;3、功能融合和扩展的重要手段:密码技术和密码产品的严谨性和应用场景的灵活性是一直存在的矛盾,平台恰恰能在中间进行有效的缓解,做到功能集成和功能生长,满足技术融合和功能适用的要求;4、整体安全服务的融合点:安全是需要整体体系来保障的,其中涉及能力支撑和权力支撑等多个部分,按照安全最高目标是确保电子数据能成为电子证据的原则,一个安全体系势必要与外界进行融合,而平台是满足整体安全需求的重要保障。5、填补基础数据和基础关联的缺失:信息化发展多年来,重点满足业务处理上,而很多基础数据(时间数据、状态数据等)和基础关联(行为关联、职责关联等)是相对缺失的。当下,平台既然是一个基础设施存在,有必要对缺失的数据和基础关联进行补充,一方面保障安全体系完整,一方面保障信息化的完整。6、平台建设需要一个循序渐进、反复迭代的过程:平台绝对不可能一撮而就,设计者和建设者,要做好分步实施、逐步完善的心理准备。
总体上:内分责权、外行规矩、上依制度、下适现状、依赖科学、尊重人性方法上:点求可控、线求三三、面求关联、体求免疫、管求温度、技求融合注:上述的原则在作者以往的文章中有所涉及,未涉及的将在后续文章中给予说明。
按照平台定位和设计原则,密码管理服务平台的整体设计架构如下图所示:
平台从管理、权力、技术、功能、业务、产品、数据、外联、服务等多个维度进行综合考虑,在整体上用中台的方式进行协同,参考安全体系整体免疫的方式进行业务场景联通,整体做到场景配置化、职责管理化、技术标准化、产品开放化、服务统一化、能力权力择优化、数据源头化、过程持续化。详细内容,感兴趣的可以向作者索要。
密码技术、密码产品、密码应用、密码管理等已经发展到需要大治的阶段,传统的模式随着业的发展终将随着业务的发展被优化和调整,密码管理服务平台的设计和建设就是个不错的开始,从业者和建设者都需要对此做深刻的思考,本文仅是个开始,抛砖引玉,希望通过大家的努力,网络安全真正实现以密码技术为核心,融合其他技术,最终实现网络空间安全可靠。
个人隐私保护设计系列(一):架构
个人隐私保护系列(二):技术
个人隐私保护设计系列(三):意识
安全的高级目标是确保电子数据能成为电子证据
正确认识存证
信息化被忽略的基础设施:时空管理服务基础设施
“时间”是人类最客观、最实用的收纳箱与保险箱
关联是信息化的基础,密码是关联的核心保障
在个人隐私泄露严重的当下,普通人应该如何应对?
浅谈:大企业如何涉足网络安全行业
“依法治网、以责服人”之职责管理体系设计
必须从发展的角度认识密码技术和数字证书,才能给出客观的评价
标准化是电子签名行业门槛降低的开始
数据资产保全体系设计方案
一个电子签约平台设计思路
集中模式下(云)的安全设计思想
当下网络安全设计和建设中的几个基本思想供参考!!
当下,网络安全中最混乱的部分就是身份认证,那咋整呢?
“新发地”,将开启物品追溯和溯源的新纪元