源自密码的安全——吉大正元张全伟

ZDNET安全频道 05月08日 综合消息：实际上我们也知道，密码技术应该是信息安全的核心，吉大正元信息技术股份有限公司常务副总裁张全伟也以此为中心，发表了《源自密码的安全》为题的演讲。现场文字整理如下：

上一次我来的时候是第十届信息安全大会，这次是第十五届，而吉大正元公司正好成立15年，我们是1999年成立的。

今天带来的话题是源自密码的安全。随着IT技术的发展，曾经云里雾里的技术，云平台、大数据、物联网、虚拟化已经离我们越来越近了，在座各位都是这些技术的使用者之一，你可能用到移动的办公，可能用到云盘，享受到相关大数据挖掘的服务。随着大数据的发展，我们新经济也是进一步蓬勃发展，这里就包括电商、O2O、网络，使我们能够买到很好的东西。

我们也有不少同事在家里装了一个摄象头，可以监控到自己家里的小孩和保姆的情况，和家里的安全。只需要通过一个手机应用，就可以进行相应的访问。

但是下面这个案例，我相信大家都不愿意看到，也非我们所愿，也不希望这个东西发生在我们自己的企业或者组织的身上。就是这个企业，美国的第二大零售商，在去年年底的时候发现一次严重的数据失窃现象，有四千万用户数据及信用卡数据泄密，最终导致七个金融集团的集体诉讼，CIO的此致，以及4Q利润一半的下滑，而这一半的利润用于处理诉讼，安全补丁，安全的建设。

纵观全球，给大家大数据的展现，所有的行业都在上面，不管是政府、军工、IT，甚至云服务商都有大量的失窃事件在这里面。总体而言，2013年，整个失窃率事件比2012年上升了62%，千万级数据的失窃率上升了700%。2013年有8次，2012年只有1次。信息的泄露量有5.5个亿，有5.5个亿的账号和密码在外面，如果我们用大数据挖掘一下，那个黑客的字典就很厉害了，基本上绝大部分的用户名口令很快就能破掉。有76%的失窃率是通过用户凭证，以及相关的密码盗用和破解来完成的。

当然，随着新技术、新经济的蓬勃发展，我们的整个信息化、信息数据的价值含量越来越高，网络诈骗也是层出不穷。

按照相关统计，双十一期间，日均网络钓鱼量每天是七千到一亿次，而当天达到2.6亿次。相对来说，去年大家也知道，相关我们的家用无线AT出现了大量的后门和泄露，可以使黑客进行DNS配置的改变，进一步恶化整个安全环境。可以通过DNS的改变，让网络钓鱼，WWW的域名，路由器的交换环节发生变化，让盗窃更加容易。不但未来用户名口令不可信，可能IT代表的节点或者域名也不可信。

更进一步，物联网给我们带来很多优势，但是我们不得不面临物联网可能带来的一些致命伤害。下面这个图就是在2011年的大会上，胰岛素泵，通过物联网接入以后，可以控制这个胰岛素泵，2002年以前，美国装入心脏起搏的有两百多万用户，十多年过去了，数据不得了。特斯拉在前一段时间也暴露出来，手机的控制端，6位密码可以很容易破解进入，很快定义十万美元的车子，很快找到，可以把门打开，甚至刹车都可以被控制。

所以，相信在不远的将来，可能大家看过一个美剧，它的副总统心脏起搏器进行控制以后，来进行相关的攻击。

无论是用户还是信息安全厂商最不愿意面对的就是APT，通过一个植入以后，变成了内网，长期地潜入，精确的打击，我们最初的防火墙都是防外的，这些措施都是无效的。

2003年，整个暴露出来的0BAY有23个，同比增长62%，而精确性打击同比增长91%。

我们用VPN跨越我们的公网，用防火墙进行第一层防护，DOS，ADS，APS等等，我们认为在一定时间内很安全，但是发展到今天，让我们的网络增加了BIOD，无线网、传感器，可能在座现在的智能手机里面，某一台或者某几台的麦特或者相关耳机已经把后台打开了，有些人没参加这个大会，可能已经知道我们坐在这儿，听这个东西。

事实上，我们的繁育最后的效果是这样的，我们的有些设施被突破了，被APT这些东西突破了，很多大量的设施被绕过了，我们的物联网、网络泛在，整个网络无所不在，不仅仅只有经过防火墙的那根线，甚至通过2G、3G、4GWIFI已经接入了，接入也是五花八门，琳琅满目的，可以绕过大量的地方。在新的局势下，新的形势下，我们面临的困境就是这样的，网络是泛在的，万物是互联的，所以我们的边界是碎片化的。

不止是我们要守护的物理链路，那条VPN链路是我们的边界，我们任何的移动边界，移动笔记本、PAD、手机也是你的边界，你开放的任何一个应用接口，一个WEB服务，或者云的API接口都是你的边界，这个时候也需要进一步防护。

网络的身份现在是不可信的，5.5个亿的账号，相应的东西都在外面。而再进一步讲，所有的网络设备怎么认定它的身份，TCDIP，IP地址，只是用IP地址进行相应的认定，这样对整个网络身份的缺失，我们不知道和我们打交道、通讯的是那个黑客，还是那个人，是银行还是那个网站，那个设备我也不知道是什么样的设备。

这样有人大声疾呼，用户名口令这个方式不再有效，它不在安全。有人知道身份认证是什么时候出现的吗，1961年MIT，上个世纪60年代出现的技术，现在是在保障整个的信息化安全的绝大部分，所以这是一个很可怕的事儿。

再进一步，我们检测响应有它力所不及的很多地方，包括APT等等。正好我今天看了一个早报，有一个著名企业的VP说了一句话，整个的检测响应防病毒类的，我现在能检出来的不到一半，准确的数据是42%。这是谁说的呢，非常有权威，不是我说的，赛马铁科的VP说了这么一句话。

盗了这个东西之后，发现我们大量的东西都在裸奔，用户名、账号、数据是没有加密的，包括数据都是明文传递的，又存在我的文件夹里面，所以进一步就会出现类似斯诺登等等事件的出现，通过拿到用户名、密码等等的，大量的数据可以进行拷贝。

下一步就是国外安全标准、安全产品、开源产品也出现了一些危机和问题。

所以我们不得不思考，上面列下来的，可能在信息化建设里面原来没太考虑过，或者考虑过并没有重视这一块，但是现在面临整个物联网信息化云蓬勃发展的今天，你需要考虑这个因素，就是治理结构，身份的防护和可信，这个身份不止是人的，包括物的，任何一台网络设备，包括你的API，包括你的SERVICE都需要防护，所有的访问都需要认证和授权，而相应的数据也需要根据情况保证它的保密、完整和抗抵赖。相应你的数据怎么来保证，甚至你的企业数据怎么来保证，就是刚才李总说的，多租户，我怎么保证我的数据在多租户的情况下，真正实现保密的设置呢。这不得不是我们需要考虑的。下面就是抗抵赖，多方数据的交易的数据流的流动，怎么保证这个过程中不发生抵赖的行为，而且受法律的保护，这是我们需要思考的。

反过来看，我们整个的建设和历程基本上是在下面，整个信息安全两大块，一个是监测相应类的，一个是密码类的。我们百分之七八十都在检测响应，甚至下一代的防火墙，UCM、SOC，用了很大量的东西，但是就像很多用户跟我沟通的一样，我们用的琳琅满目那么多的东西，听过的都用了，而且国内国外的产品都用了，为什么我的账号还防不住，我泄密了，我的信息系统还被人做掉了。这是为什么呢？

实际上有些东西，有些维度我们还没考虑到，或者我们做得还不够。这就是包含五种元素，不管你是什么信息系统，我们都可以分成用户、主机、网络、应用和数据，所有五元的你是谁，你能做什么，你做了什么，和你的数据安全，你没有去考虑。或者你考虑的时候，你把这件事简单地交给了网络的分配个IP地址，应用的开个账号等等。你把这些东西离散化地给所有系统去处理，你不认为这是信息安全的一部分，没有足够的系统进行支撑。

转入技术层面，实际上你没有考虑身份认证，授权，以及保密，完整、抗抵赖，没有一个好的方法进行处理，问题就来了。我要做那么多功能，我要面临你所谓的五元，你有一个好的方法吗，有一个好的思路吗？可以提供一个支撑。

我们可以提供一定的思路，在这儿进一步跟大家探讨。这家伙今年的出镜率比较高，棱镜门的主角，他认为一定强度的密码系统是少数可以依赖的防御系统，而且这种防御系统可以让你依赖去防御我们黑色操作的所有内容，这是这个家伙说的。

另外一位，有一个家伙更厉害，是国家局的，是美国相应的标准化研究所，基本所有的美标执行的很多信息安防都要执行相应的标准，大量照着做。在整个身份标识和认证里面分成三大类，你知道的，你所有的和你是什么。你知道的，就是PASSWORD，或者我们密码丢失了，自己写的问答。你所拥有的，比如我手里有一把KEY，这个KEY是开公司里面的柜子的，把物理事件想保存的东西打开。剩下的一个KEY就是我的私人密钥，我想拥有的。你是什么呢，就是你的虹膜、指纹等等的。它分为四级，一二三四，口令不管怎么改，只能达到二级系统。要达到三级系统，可以变化密码。也可以用加密的，加密分两种，软的和硬的，软的可以到达三级，硬的只有一种可以到达，就是四级。因为你的密钥是存在密码芯片里面的，就包括心脏流血，你的系统再有问题，密钥存在芯片里面是不可导出的，所以它为什么能够支持4G的。

更进一步回到中国，上面列的可能做信息化建设的时候，你已经通过等保测评了，你正在做等保，你正在做基建，我相信我列的，可能是大家正要寻求解决的。包括通信的完整和保密，身份的鉴别，数据的保密和抗抵赖。数据的信息在传输过程中进行一些保密完整就OK了，到三级以上，不管你的主机还是网络，做身份认证的时候需要三因素。而在传输过程中，明确提出需要密码进行进行相关的保密和会话的完整，而在数据方面，不但是我们的鉴别信息，整个的管理数据，重要的业务数据在整个过程中都需要保密完整抗抵赖。而到四级的时候，甚至提出来身份的时候，至少有一种是不可伪造的，同时在这个通讯里面，需要加入硬件化的设施和密保系统。

所以，综合来看，大家可以推导出一个思路，如果我要用一种通用的基础设施来对我的身份认证授权，数据的保密、完整抗抵赖来做，我可以告诉你，你现在的信息系统里面，你缺的是密码基础设施和基于密码基础设施支撑的应用平台。如果大家不相信，我们可以看一下，其实我们现在的整个虚拟化世界，从通信到要用，绝大部分一块正被密码基础设施以PKI这种方式保护，你去做网银，或者做重要交易的时候，你去做账户可能申请到一把KEY。你的设备跟设备之间，我相信大家能用的只有SNL，你去申请订单证书，来保证站点的可信和密钥的可信和可视。所有交易型的站点，你会启用STBS，这是底层的，也是有一张网站的证书在那儿支撑相关的一个健全和预算。更进一步你的数据，从我们的战争年代开始，我们所有指挥的那些数据都是通过密码处理的，现在就更是。更进一步，抗抵赖，今天上午我们听到很多例子，我的银行账号或者交易信息在中间过程中被黑了，被改了，如果用了数字签名的技术，任何一个变化都可以被鉴别出来。数字签名还是唯一的电子签名法目前支持的大规模使用的技术。更进一步，像我们的院士说得，也有厂家说的，我应用的代码不需要做渗透或者是什么样的，只要有一个BITWAY（谐音）就可以鉴别出来，或者装软件的时候可以看出来这个软件的来源不正常，或者装APT的时候，这个不来源于安卓市场，就是代码说明。

所以PKI已经全球公认的，服务最完整的密码基础设施。但是并不是说这个密码基础设施能够解决所有问题，到现在为止，没有任何一个厂家或者任何一个技术，只要用了我的技术、架构等等就安全了，我们一定是一个组合拳，一个是一个组合的系统，所以SISA架构，安全集成服务架构，总结了我们15年来在密码基础设施的建设，相关应用的集成，以及安全集成的基础上提出来的，融合网络安全整个的技术和密码的技术，来统一提供相关的支撑。

最上层不管来自电子商务、电子政务、云还是物联网，一定可以把要素分成五个要素。在这个基础上，整合底层的网络安防和PKI密码技术，为上层系统，包括安防系统，我相信大家会用一些所谓的三级、四级防火墙保护所谓的三级、四级系统，但是你那个系统还是用户名口令吗，可能你是拿了一个低级别的系统去保护一个高级别系统。所以，不管是上层应用还是底层的安防，我们都可以把我们的身份识别、认证、授权、以及数据的保密、完整、抗抵赖来给上升设施提供服务。而这个服务的接口可以是多种多样的，可以是SIOE、SBS等等的，就是我们的邮件，可以有证书，也可以进行签名，也可以进行数据保密和加密，只要用它的公钥去加密，只能他看见，被别人截取也是看不见的。最后PKI，可以通过集成化的产品，把相关的内容提供出来为用户的系统，或者为厂家的设备或者架构提供相关的一个服务。

简单地列举一下里面的服务，身份认证，可以支持用户到终端，到服务，到应用，到代码一级的身份服务。不管是主机登陆、网络准入、SSO、还是合规性的认证，我们都可以提供相关的。而且这里面不是说只做密码类的，也可以综合支持用户名口令，包括指纹，如果愿意，可以跟虹膜的厂家一起把这个加起来，我们提供的是一种全生命周期的支持。

有了完整体系的身份认证以后，之后是授权。用户访问终端，用户访问网络，应用访问应用等等都需要授权，如果一个数据开发人员，可以通过那个KPI的访问把数据都拿走。这里面包括入门级的，进来像门户一样，访问某个大应用，可以基于属性的，比如你是一个什么样的职业、职位、单位，我们可以根据这个进行授权。也可以完全基于角色，RBAC，我应用开发，现在开发都是角色化，通过这个角色进行授权，而且所有的授权可以通过密码进行一个支持，只要设置的系统是一个多元的系统，任何人想从正常途径进来进行操作，基本是不可能的。0BAY除外，因为它没有其他的东西进行防护。

我们的数据相当多，有移动的，有云的，有设备配置的，有数据库的，有结构化的，有非结构化的，在数据的整个生命周期，从创建、使用、存储、销毁，可以支持加密，它的保密性，别人看不见。多方交易，我的网银，我们现在所有的网银，包括财税等等联网银行之间的数据都是通过签名技术，来保证它的完整性和抗抵赖的。这样未来一个法律的抗抵赖，包括一些事件的追溯才有一个可信的根基。包括下一代的防火墙，你要的可信的身份，可信的识别数据才有可能进一步保障，这样就综合为我们的合规性提供很好的一个支撑。

面向云，我们也可以进一步提供，刚才像李总说的池化的资源，可以把认证服务、身份认证、加密服务等等提供池化的资源。现在中行的整个数据中心的认证中心，我们就提供一个池化的机制，可以为云提供身份机制服务、加密机制服务等等的。像华为、华三、曙光有相关的一些配合。

除了刚才的架构和体系，我们正元提供全系列产品的支撑，最底层就是基础设施，PKI，解决你是谁的问题。PMI，解决你能做什么的问题。再往上提供各种身份认证、查询的各种服务组件和认证措施。再往上有各种终端级的、稳当级的、数据级的保密。再往上可以根据各行各业的应用，这不是一蹴而就的，我们跟着用户走一步一部发展在做，已经走了十多年了，可以根据这个需要程度，一点一点去做，这都是完全的知识产权，这是国产密码算法。更重要的是硬件化，所以你的密钥可以放心地搁在硬件设施里面，不会担心你的心脏会流血，你的系统会流血。

所有所有这些，来自于正元后面的保障，作为15年专注于整个密码基础设施和密码应用的一个企业，我们目前已经是国内最大的基础密钥设施的一个供应商，是最大的身份和数据安全的服务提供商，各类资质都是密码和安全相关的都是一级的，而且是最早的，同时我们也参加了国家相关标准的制定，主要是和PKI，PMI相关的，数据接口包括检测等等。

前面那些整个的产品架构，或者是SISA的融合结构，下一代的安全架构，都来自于我们安全实践的检验，很丰富地来自各种精字号工程，国家各个部委以及军工的各个大型集团。

此外，我们还有面向全国的服务体系支撑，全程的安全服务以及我们参加这些重大挑战，不管是奥运会，还是神九、神十的发射，大运会、世博会等等的。

如果我们做了这么多，我们账户信息还是不安全，你有疑问我的边界模糊、碎片化，我怎么面向云、物联网保证我的身份安全，数据传输的安全，整个数据的保密和完整、抗抵赖，之前跟你讨论的，你可能需要引入一些密码基础设施，或者你可以利用社会上运营的密码基础设施，你需要引入一些怎么用密的相关单元，不要被动的，我们只是用微软或者其他单位用密的支撑，那个是他们控制的体系，不能保障我们整个的运作。你只要往前一小步，引入相关的设施和应用，你的安全就会前进一大步。

所以，我们也期待跟大家的合作和后续的一些相应推进，谢谢大家！