行业 | 密码定义安全：从理论到实践的零信任全场景落地新范式 - 新鲜讯息

扫码订阅《中国信息安全》

邮发代号 2-786

征订热线：010-82341063

“密码定义安全是一种网络安全理念和技术体系，更强调密码技术在保障数据全生命周期安全、保障网络系统运行安全和保障计算逻辑安全中的核心地位。从密码的本质特征出发，将网络安全与密码绑定。”在2023年11月23日的2023第八届IDC数字化转型年度盛典上、信大云谷密码定义安全服务网格系列产品发布后，中国科学院院士、著名密码学家、信息分析专家，国创中心安全技术专家委员会主任郑建华如是评价到。

什么是密码定义安全？这个技术理念新在何处？该技术理念是如何实现产品化转化落地的？怎么实现零信任的全场景落地？信大云谷总经理周谷澄在发布会上作了全面的介绍。

零信任全面开花、但其落地实现未能形成统一认知

2020年的“太阳风”（SolarWinds）网络攻击活动躲过了美国斥资数百亿美元所建造的「爱因斯坦」防御系统，推动了2022年美国国防部（DOD）启动零信任部署计划，这标志着网络防御理念的重大变革，也加速了零信任理念的普及和产业化布局。近2、3年来，国内客户对零信任的认知在加深，对零信任的需求不断扩大。新能源、智慧交通等基础领域，对零信任的需求也在快速增长。工信部已经把零信任列为数字化关键技术。

但不论在供应侧还是在需求侧，实施零信任的部署都面临一些实际困境，如：

零信任机制怎么部署，在哪部署，如何使用密码进行认证，如何进行密码管理和全场景实现等尚未形成统一认知；
在用户现有网络条件下，如何保障新、旧体系的衔接、安全设备兼容、用户网络与应用免改造等问题；
终端客户非常关注的投资效能、业务免改造等一系列实际问题。特别是在新能源、智慧交通等行业，客户更关注实施零信任过程中，要求合规、密改、等保、零信任等能够一站式解决，以避免重复建设。

对于这些实际需求，需要给出现实的解决方案。

网络安全新范式：密码定义安全

与零信任一脉相承，但更强调密码的体系化应用

国家密码管理局2019年发布的《中华人民共和国密码法》解读中提到：“密码是保障网络与信息安全的核心技术和基础支撑，是解决网络与信息安全问题最有效、最可靠、最经济的手段，是构筑网络信任体系的基石。”

基于此，信大云谷团队在多年技术研究、产业化应用的基础上，创新提出“密码定义安全” 防御理念，引用11月23号信大云谷新品发布会上总经理周谷澄对定义的解释：“密码定义安全”是基于密码机制，对网络空间结构和秩序的定义。通过密码机制与网络架构的深度融合，实现网络空间实体的密码标识、行为的密码约束和信任的密码构建，同时，在统一安全策略编排下，实现网络空间秩序的一致表达、执行与监督。

“密码定义安全”与零信任理念一脉相承，同样强调对网络主体的强认证，以及对网络资源访问的强控制，但更强调密码在实现这些安全机制中的体系化运用。

“密码定义安全”新在何处？

基于业务切片的内生安全设计

业务切片是把网络空间中的用户、主体、网络活动、物理空间、时间等属性纳入业务定义，通过业务数据的密码标识、对保护业务数据的密码资源进行安全切分，而业务切片之间的可控互联、业务数据的安全流动以及对业务资源的受控操作都通过动态生成的密码防护策略实现，从而基于密码实现在相同网络基础设施下不同业务的逻辑隔离，避免业务之间的风险传递。

研究表明，任何网络攻击活动都不可以分解成若干个这种业务活动，通过密码分割这些业务，就可以阻断常见的网络攻击。因此，“密码定义安全”从设计上就具备内生安全。

支持零信任的体系化落地

现有零信任的实现多采用软件定义边界（SDP）模式，通过SDP网关、SDP控制器的部署，实现对南北向接入和业务访问的控制。但从本质上去讲，这种方式仍然没有摆脱边界防护的技术路线，与DOD倡导的零信任七大基本原则还有相当的差距。从技术方面讲，在这种模式下，基于单包认证机制（SPA）实现的攻击界面最小化必须基于密码实现，但现有的SDP方案并没有给出有效的密钥的分发管理机制。

而密码定义安全的技术路径，是在涉及诸多用户、主体和资源的情形下，根据访问要求，按需部署若干个策略执行节点，形成“安全服务网格”，支持动态评估和持续认证、用户对资源访问的密文信道构建。基于密码定义实现不同的业务切片和业务路径，以及基于密码策略实现访问资源的微分区/微隔离，无论从南北向，还是东西向，都可以很好的适配零信任访问原则，进而实现零信任的体系化落地。

将网络防御等级升级为密码安全

“密码定义安全”采用全密文信道、逐包认证、端口隐藏、数据安全封装、密码标识和设备认证等安全机制，将网络防御转换为密码对抗，实现系统抗攻击能力的有效跃升。

由理念到产品、由产品到实践，国内首个基于密码定义的零信任全场景落地解决方案

信大云谷重磅发布：密码定义安全服务网格

“密码定义安全”是一个技术理念，信大云谷团队多年以来一直在实现技术理念的产品化落地、以及如何通过产品的有效部署解决场景化的问题等方面努力。在产品设计研发之初，信大云谷就把“密码定义安全”作为核心设计理念贯穿始终，推出了密码定义安全服务网格产品体系。可以说，密码定义安全服务网格并不是简单的零信任产品堆砌、而是零信任理念的体系化实现。

密码定义安全服务网格产品体系CDX执行引擎、CDX决策引擎以及CDX管理平台共同构成。

（注：CDX全称Cryptography Defined X，即密码定义安全，X指代的是密码定义计算安全、密码定义网络安全、密码定义数据安全，象征在遇到不确定性和挑战时，能够打破定式思维，探索创新的解决方案。）

CDX执行引擎

CDX执行引擎是决策的执行者，包括加密传输、身份认证、签名验签、端点检测与响应（Endpoint Detection and Response,EDR）信任评估、行为控制等安全功能都可以通过软件定义，具有嵌入式、工控式和机架式等多种产品形态，可满足关键网络节点、业务服务边缘或数据采集边缘等多场景落地部署要求。

CDX决策引擎

CDX决策引擎工作在控制平面，主要实现密码防御策略翻译、密码防御策略决策、密码防御策略分发、安全管理通道构建等功能，通常部署在安全管理中心或安全服务边缘，为执行引擎的动态防御决策提供支持。

CDX管理平台

CDX管理平台工作在管理平面，主要实现密码防御策略定义、执行引擎信息管理、策略执行状态监控、业务安全风险评估等功能，通常部署在安全管理中心，为执行引擎和决策引擎等设备信息管理、策略管理和状态监控提供支持。

信大云谷总经理周谷澄表示，通过上述产品的体系化部署，密码定义安全服务网格产品体系能够帮助客户实现：

体系化零信任落地
应用免改造的自主密码升级替代
边界模糊网络的业务安全切分

从而实现等保、密评和零信任提供一站式解决方案。

密码定义安全服务网格系列产品实际上也已经过实践验证，信大云谷总经理周谷澄表示，国内首台套“工业互联网数据采集网关”以及“基于国密的可信数据采集与监视控制（Supervisory Control And Data Acquisition，SCADA）系统”都是应用了信大云谷的密码定义安全服务网格产品实现的。

针对如何将产品进行有效的部署、从而满足行业安全需求的问题，信大云谷也在发布会上给了场景化解决方案的介绍。

新能源场景风电面临的安全痛点主要有以下几点：