唐志紅 天威誠信總裁
我們說互聯網已經發生了很大的變化,不管是企業還是個人利用互聯網的方式已經產生了很多新的趨勢,所以整個安全服務,包括安全,還有安全服務,其實也應對這種趨勢,也發生了很多改變。我們說信息的蓬勃發展,其實在網上的實體,還有網絡的應用是增長的。因為互聯網+,因為云服務,所以它的范圍從局域的范圍已經變成開放的范圍,所以網絡的安全,包括欺詐,包括信息的泄露等等嚴重的影響了我們互聯網的生態。
那么為了適應,為了解決這個企業的需求,互聯網發展的需求,所以我們傳統的安全服務或者是安全廠商其實也正在從傳統的模式向云安全的這種方式做轉移,做升級。
過去我們可能考慮安全問題的時候,更多是服務的提供者和服務的使用者之間的關系,不斷的應對安全的挑戰,然后提供相應的安全解決方案。但在新的歷史時期,在新的環境下,可能由過去這種二維的方式需要考慮三維的模式,三維的模式里面首先還會涉及到新技術、新應用。比如說互聯網+的模式下,利用大數據去保障安全成為一種趨勢。同時,一些產業,過去的一些產業更多是單一的產業實體,但是現在已經變成了整個產業集群,或者是產業的發展,它更需要從產業的角度去考慮信息安全的問題。所以整個的安全服務不僅僅是往云上做轉移,同時還需要考慮這種安全服務提供的整個三維的模式。
那么在當前,用戶使用云安全的現狀又是怎么樣的?其實很核心的一個引發用戶使用云安全的轉變,就是它所處的空間的轉變。過去企業用戶構建自己的信息系統的時候,可能更多的是一個局域的系統和空間,現在是在開放的空間里面,利用公有云去構建自己的業務平臺,這時候它已經突破了過去我們說的所認知的這種邊界防御,或者是所有的責任都需要由自己承擔的這種責任體系。所以對于用戶來說,在這種云的環境下,你構建你系統信息的時候,你怎么考慮這個責任?所以責任的邊界,責任的承擔其實已經發生了一些轉變。
比如說在云的環境里面,你構建自己的信息系統,有很多責任,不僅僅是用戶自己要去考慮,云服務的提供商他也需要去考慮,這是一個方面。
第二個方面從安全服務的碎片化,這一塊也發生了一些轉變。過去我們企業考慮安全問題的時候,可能會采用一些安全服務廠商的一些解決方案,就可以解決這些問題了。但是現在在云的這個空間里面,在云的這個服務的領域里面,那么對于安全它可能是變成各種碎片化相關的服務,這些服務怎么樣有效的組裝,有效的選擇,然后變成解決你企業系統云服務平臺的安全,也變得和過去發生了很大的變化。
另外還有過去在考慮自己的業務系統的時候,它是局域的一個系統,它有相應的邊界,那么在邊界里面設計物理層面的安全,比如數據中心等等的安全都是自己的責任。但是現在基于云的環境,基礎的安全服務可能已經成為云服務廠商他所必須考慮的,而且是必須提供的。對于云服務本身基礎性的服務安全,它也需要做相應的等級保護的要求。我們在基礎的安全保障之上,再構建我們自己用戶的業務應用,所以這個也是跟過去發生了一些很大的相關的一些變化。
另外還有,就是隨著我們國家對于安全保護的重視,包括自主可控,包括等級保護等等相關的一些要求,還有一些行業性的,比如說涉及銀行,涉及電子政務等等,這一塊的要求,實際上對于安全的這種使用也發生了很多的變化。
對于云服務廠商來說,對于安全服務廠商來說,過去我們提供傳統安全的時候,要不就是一種解決方案,要不就是基于某些單向的能力面向企業提供相關的安全服務。但是在云的環境下,你可能需要做這種升級,你需要把你的服務,如果還是提供產品的這種方式,顯然不能滿足云服務這種市場的要求。所以很多產品提供的這種服務,它不需要去做升級。比如過去提供數據中心保護的,那么現在要把這種能力變成云服務的基礎能力,向外輸出。另外還有提供一些業務應用安全層面的,要把自己的產品或者服務,通過服務化,然后面向云服務的空間里面提供相應的服務。
在云的環境下,我們說其實企業不管是自己的局域系統,還是云服務的這種環境,最重要的可能是構建自己的業務應用,來保證業務應用的順利有效的運行。怎么樣去保證有效的運營?很核心的一點,其實這里面數據的安全至關重要。過去考慮數據安全的時候,企業局域系統里面考慮的時候,可能更多的是從底層的角度去考慮的,但是在云的開放環境下,你的數據,數據是一種很重要的資產,你怎么樣去保護,所以成為很關鍵的、很敏感的詞。
我們說數據安全應該是成為網絡治理很核心的中心,我們《網絡安全法》里面很明確的強調,不管是個人數據還是企業的數據,都需要相應的保護手段去進行保護。
那么在云安全環境里面所面臨的挑戰,對于數據安全的挑戰,也是成為前三位的熱詞。比如說防止數據丟失、防止泄露、防止數據的竊取,這些都是我們在云環境下需要去考慮的。
對于數據,怎么保證安全?其實從兩個維度來看:
1、數據的產生,在產生的過程中,你原來是一個局域系統,那么在開放的系統里面你怎么保證你數據產生,整個流程要保證它的安全,安全里面就是考慮你是不是真實的?是不是保密的?將來一旦數據拿出來進行打官司,或者進行責任追溯的時候,你有沒有相關的機制。這是一方面。
2、你的數據存儲在云的環境里,特別是存儲在公有云這種開放的環境里面,你怎么樣保證存儲的安全?怎么樣保證備份?怎么樣保證數據防丟失轉移?等等相關的一些安全。
在數據安全里面,剛剛說我們是從事電子認證服務的,電子認證它是基于相關的一些密碼算法,所以數據安全的保護,當然等級保護里面已經講到了,就是說數據安全的保護,你需要采用相關的一些加密的機制,建立相關的一些機制,去保證這個數據在云安全環境下,去按照分級,分等級這種方式去加以保護。
電子認證,我們說電子認證是目前數據從產生,從存儲,從備份,從使用過程當中的一種比較重要的一個安全技術,也是我們信息安全領域,國家信息安全領域重要的組成部分。因為電子認證本身是構建我們整個網絡空間信任體系重要關鍵的組成部分,因為它從身份的認證,從授權的管理,還有從責任認定等等方面,都發揮了很強的作用。
那么它本身就是基于開放的加密算法,然后通過加密算法,通過一種機制來對數據從產生、從傳輸到存儲,來做加密、解密,然后做遷移和做簽名的驗證,來保證整個數據從產生到流轉到最后使用過程中的真實性,還有完整性,還有不可否認性。
那么在云的這種環境下,在云的這種趨勢下,其實電子認證業務本身也在發生著很多改變,過去我們考慮信息化系統建設時期的時候,我們也是作為一種技術來輸出,把電子認證這個技術嫁接到企業的信息系統里面來。隨著數字化、信息化的發展,有很多業務要在線考核,這時候就涉及到業務本身,怎么樣讓它具有抗抵抗性,這一塊我們電子認證這一塊提供的就是電子簽名方面的應用。
隨著互聯網時代的發展,我們已經不僅僅滿足于PC的時代,更多的是移動的時代,電子認證怎么樣在移動環境里面產生相關的一些效益,我們也是面向移動互聯網的趨勢,電子認證也在做一些轉變。
在云服務的場景下,我們說過去很多人,很多企業對電子認證等考量的,它更多的是一種技術,或者說可能是一些產品,或者是一些解決方案,但是在云的模式下,電子認證能不能變成一種云服務?我們的研究,我們天威誠信自身的研究來看,它是可行的。而且目前我們電子認證服務整個行業也是從電子認證的1.0向2.0進行邁進。那2.0是什么?2.0就是面向云的模式,面向未來比如說大數據這個模式下,怎么樣提供新的安全,基于電子認證安全相關的一些服務。
所以我們的探索,我們這幾年探索構建了一個天威云的平臺,這個平臺重點的是以密碼技術為基礎,然后以電子認證服務為核心,然后構建電子認證服務的服務生態圈。
這個生態圈它有四個特點:
1、我們把過去面向企業提供產品和提供技術這一塊,我們把產品做服務化,也就是說過去我們提供電子認證服務的時候,更多是提供API,提供一些功能組件,讓企業去做應用的集成。但是現在我們把它變成服務,也就是說,用戶需要使用這塊功能的時候,他調用我提供的服務就可以了。
2、服務的平臺化,過去比如說你發證書就是證書,你做簽約就是簽約,現在我們把這些服務,我們把它平臺化,就是形成從事前、事中、事后完整的服務生態,服務的鏈條。從身份的可信,從行為的可信,到結果的可信,數據結果的可信,提供全生態的服務,而且這個服務可以通過一個平臺整合在一起,用戶可以根據自己的需要,去調用相關的一些服務,這是第二個方面。
3、我們把場景,就是應用變成場景化,因為過去更多考量的是說我把我的技術,我把我的產品怎么樣集成到用戶的環境里面,用戶的應用系統里面?現在我平臺化之后,那么我在基于我電子認證服務,基于我們的電子認證服務之上,我可以針對有些行業的特點,做應用的場景化,也就是說,現在針對簽約,網絡簽約這一塊,我們針對P2P,互聯網金融簽約這一塊,我們提供電子簽約的服務場景。然后針對企業內部做電子合同,做供應鏈這一塊,我們提供電子合同和供應鏈管理這一塊的應用場景。針對招投標相關的應用,我們針對提供招投標的應用場景。針對云服務,保障你網站的安全可信,我們提供基于網站安全可信這一塊云服務的相關的云場景化的服務產品。
4、從整個平臺它是采用生態化的模式發展,所謂生態化,就是說我們在設計這個電子認證云服務平臺的時候,核心是電子認證服務,但電子認證服務它往前往后做相應的延伸,往前就是我們把實名的提供電子認證服務之前的相關的實名認證,還有身份認證,不僅僅基于證書,還基于生物識別,基于其他的方式,基于人臉等等相關的一些模式,作為前置,對外提供服務。另外往后延伸,往后延伸就是說數據的安全,一方面是說保證數據它本身不被竊取,或者說它能使用,但是還有個很關鍵的,就是說如果我們的業務搬到線上,越來越多業務往線上跑的時候,業務有些本身需要去追究責任的,或者需要將來進行法律訴訟,那么這些業務,你怎么樣保證將來能夠跟我們的司法審判,跟我們的互聯網法院做有效的對接。所以我們整個平臺生態化也往后做延展。
另外,在平臺上我們不僅僅從安全服務角度來考慮,同時還從用戶使用的一些SaaS服務,比如說點的發票,然后比如說電子合同等等相關的一些服務也集成進來,形成整個的生態。通過用戶的數據共享,通過用戶相關的一些需求,需求的打通,建立整個生態的云環境。
我們說這個生態實際上一個是針對應用平臺,天威云這個電子認證服務它可以很好的面向應用平臺去提供一站式的集成的方式。對于開發商來說,它集成也是變得比較容易。另外針對渠道,就是針對我們的渠道合作伙伴基于天威云可以開展很多的場景服務。對于供應商來說,供應商除了能夠接上來之后,他也可以快速的在上面去管理相關的一些用戶和服務。
這是我們打造的整個基于信任服務核心的相關服務,重點是從身份,從行為,從數據的結果,還有從未來司法對接這一塊提供相應的平臺能力。
這是我們整個云服務這一塊管理的相關能力。
在上面我們剛剛說的服務產品,服務產品我們提供多種類型的服務產品,這些服務產品不管是企業還是云服務商,還是系統開發商,它都是需要去使用的。而且更關鍵的是,我們整個的信任服務已經往私化,往法律訴訟這一塊打通了,就是通過天威云所產生的這些數據,將來如果你要做司法仲裁,如果你要做公正的話,司法仲裁的機構,公正的機構,他就可以直接去用。
這是我們說的服務支撐的相關能力的要求。
剛剛說場景化,也就是說場景化的一些服務,比如說電子合同,供應鏈管理,等等相關的場景化的服務,在整個平臺上已經具備,同時還提供各種相關領域應用的解決方案。
這是我們整個天威云和阿里云等相關的云服務商合作的一個實踐,整個天威云它是構建了可信身份、可信行為、可信接口的一個信任的云服務平臺,電子認證的一個云服務平臺。那么我們這個平臺已經和阿里云和京東云做了生態的整合,目前我們為阿里這一塊,我們把整個天威云和阿里云做了對接,在阿里云上,你可以很方便的一站式的就可以升級到天威誠信網站可信的認證服務,目前我們已經為阿里云大概80萬用戶提供了網站可信的服務。同時我們基于網站可信,就是網站可信去解決用戶的傳輸安全,網站的安全可信,網站數據傳輸的安全,同時我們還提供了往后延展的一些服務,比如說做應用層面的個人或者是用戶相關的一些安全,相關的一些服務,也在這個阿里云上面提供了服務。
我們和京東云這一塊重點是針對京東金融方面的一些應用場景,提供認證服務的同時,還提供后續的基于電子簽約司法取證這一塊的服務。
另外,我們和一些行業性的一些云,比如說用友云金蝶云,它專門針對財務系統管控這一下,把天威云和金蝶云做了相應的集成。任何用戶如果采用用友云的相關云服務,電子認證是它的基礎,也就是說我們把這些認證服務已經基礎化了。剛才講到了,你的運營層面的安全、數據保護層面的安全已經變成用友和金蝶基礎的服務來提供。
所以整個生態的構建,目前我們已經運行了大概兩年的時間,和阿里這些服務的廠商,還有和我們后續接進來的一些安全服務的廠商,比如說做身份認證的,比如說做大數據安全管控的,比如說做應用層面的,SaaS層面的一些服務廠商,已經形成了很穩定的鏈條。
最后簡單介紹一下天威誠信,天威誠信是《電子簽名法》頒布之后獲得牌照的認證機構,目前我們已經為一億用戶提供了電子認證服務,涵蓋的范疇還是比較深的。我們的目標就是基于密碼算法,以密碼為基礎,然后以電子認證服務為手段來構建網絡安全可信的網絡空間。
這是我們發展的過程,發展的過程也得到了很多專家的指導,目前整個電子認證包括電子簽名的應用在整個行業里發展的還是比較快的。
我們目前應該來說是國內比較專業的電子認證服務機構,我們所運行的一些標準,還有我們的一些客戶,已經覆蓋了整個國內很多領域。
這是我們的運營能力,目前整個電子認證服務系統的簽發能力,應該是國內比較領先的。因為我們要滿足支付寶的需求,支付寶現在每一天對于電子認證服務的簽發量大概是在千萬級,千萬級用戶的簽發使用的要求。
這是我們的合作所產生的一些案例,一些領域,我們目前在銀行,在電子招標采購、企業電商等等都有比較成熟的案例,而且這些案例不僅是傳統的模式,還有我們采用靈活的模式來構建的。
目前我們也形成了我們相應的一些品牌,除了剛剛我們介紹的天威云的品牌之外,我們針對不同場景的應用,不同類型的應用也形成了我們相應的品牌,比如我們網站可信的品牌就是域信,目前已經涵蓋了國內80%的高端企業和電商這一塊的市場。我們也是希望通過我們所提供的,不管是天威云的服務,還是我們比如說域信、i信、一號簽這些服務,能夠保證我們企業進入互聯網市場,進入云環境下能夠保證數據的安全,能夠為我們國家構建安全可信的網絡環境、網絡空間來貢獻我們的力量。