10月11日，由陜西省委網(wǎng)信辦、西安市委網(wǎng)信辦指導(dǎo)，中國網(wǎng)絡(luò)安全產(chǎn)業(yè)聯(lián)盟、中國電子技術(shù)標(biāo)準(zhǔn)化研究院聯(lián)合主辦的2021年國家網(wǎng)絡(luò)安全宣傳周“網(wǎng)絡(luò)安全產(chǎn)業(yè)發(fā)展論壇”在陜西西安成功召開。衛(wèi)士通資深專家、天津網(wǎng)安總經(jīng)理洪新受邀出席論壇并作主題演講，分享了衛(wèi)士通“第三方密碼服務(wù)”在保障數(shù)據(jù)安全方面的探索。

會(huì)議現(xiàn)場(chǎng)

洪新在題為《建立多方信任模型的第三方數(shù)據(jù)加密服務(wù)研究》主題演講中提出安全問題不僅是技術(shù)層面的問題，還有信任層面的問題，即人的問題，并引述IBM的報(bào)告指出95%的安全問題是由人引起的問題。

洪新

他分析到，之所以說技術(shù)只是解決網(wǎng)絡(luò)安全的一個(gè)層面，是因?yàn)?/span>即使是技術(shù)最先進(jìn)的企業(yè)，技術(shù)并不完全解決用戶安全能力的提升，也并不解決平臺(tái)應(yīng)用廠商對(duì)用戶數(shù)據(jù)權(quán)力過大，沒有制約這樣的問題，故而近幾年爆發(fā)的安全事件不斷，而且越來越多，越來越大。另外，也同時(shí)造成了用戶對(duì)IT基礎(chǔ)設(shè)施和應(yīng)用廠商的信任感不斷地被消費(fèi)，不是對(duì)他們技術(shù)的懷疑，而是對(duì)他們提供的信任感的懷疑。

關(guān)于信任，國內(nèi)外對(duì)于互聯(lián)網(wǎng)網(wǎng)絡(luò)安全信任上的探索，最終都指向第三方的信任模式，所謂“第三方的模式”。當(dāng)天洪新重點(diǎn)介紹的“第三方密碼服務(wù)”是指用戶和互聯(lián)網(wǎng)平臺(tái)運(yùn)營者之外，引入了一個(gè)獨(dú)立的密碼服務(wù)運(yùn)營者，幫助用戶管理密碼支撐用戶數(shù)據(jù)的加密，這個(gè)模式下，互聯(lián)網(wǎng)運(yùn)營商和平臺(tái)運(yùn)營商他們所見，所管，所存的用戶數(shù)據(jù)只有密文，從而有效防止明文信息的泄露。應(yīng)用和平臺(tái)的運(yùn)營者、密碼服務(wù)運(yùn)營者互相制衡，共同確保用戶數(shù)據(jù)的安全。由于密碼和加密數(shù)據(jù)的分離，各個(gè)服務(wù)運(yùn)營者都不能存取用戶明文信息，極大增加了用戶對(duì)運(yùn)營者服務(wù)的信任。第三方模式已成功地在各個(gè)領(lǐng)域得到廣泛的應(yīng)用，安全領(lǐng)域的CA就是很典型的應(yīng)用。

如圖所示，第三方加密服務(wù)商會(huì)提供在線的密鑰服務(wù)，加密密鑰安全的存儲(chǔ)分發(fā)，第三方加密服務(wù)商不接觸也不保存任何的數(shù)據(jù)，通過密鑰和安全策略控制用戶，保護(hù)用戶的實(shí)際安全。在此同時(shí)，這個(gè)服務(wù)又對(duì)應(yīng)用服務(wù)商提供密碼安全的組件適配服務(wù)，讓組件提供應(yīng)用服務(wù)的同時(shí)，所有的信息都能通過第三方加密再儲(chǔ)存和傳輸，即使有人非法獲取用戶的數(shù)據(jù)，也會(huì)因?yàn)闆]有密鑰，沒有辦法真正獲取用戶的明文信息。數(shù)據(jù)和密碼的分離，有效避免因運(yùn)營者信任問題造成的數(shù)據(jù)泄露。而用戶本身則能通過第三方密鑰服務(wù)所得到的密鑰和安全策略，完成信息在本地的加解密。

這個(gè)原理已被作為最佳實(shí)踐應(yīng)用于衛(wèi)士通和眾多合作伙伴的合作當(dāng)中，如華為，曙光云，企業(yè)微信，國產(chǎn)數(shù)據(jù)庫和OA企業(yè)等。