唐志紅 天威誠信總裁
我們說互聯(lián)網(wǎng)已經(jīng)發(fā)生了很大的變化,不管是企業(yè)還是個人利用互聯(lián)網(wǎng)的方式已經(jīng)產(chǎn)生了很多新的趨勢,,所以整個安全服務(wù),,包括安全,還有安全服務(wù),,其實(shí)也應(yīng)對這種趨勢,,也發(fā)生了很多改變。我們說信息的蓬勃發(fā)展,,其實(shí)在網(wǎng)上的實(shí)體,,還有網(wǎng)絡(luò)的應(yīng)用是增長的。因?yàn)榛ヂ?lián)網(wǎng)+,因?yàn)樵品?wù),,所以它的范圍從局域的范圍已經(jīng)變成開放的范圍,,所以網(wǎng)絡(luò)的安全,包括欺詐,,包括信息的泄露等等嚴(yán)重的影響了我們互聯(lián)網(wǎng)的生態(tài),。
那么為了適應(yīng),為了解決這個企業(yè)的需求,,互聯(lián)網(wǎng)發(fā)展的需求,,所以我們傳統(tǒng)的安全服務(wù)或者是安全廠商其實(shí)也正在從傳統(tǒng)的模式向云安全的這種方式做轉(zhuǎn)移,做升級,。
過去我們可能考慮安全問題的時候,,更多是服務(wù)的提供者和服務(wù)的使用者之間的關(guān)系,不斷的應(yīng)對安全的挑戰(zhàn),,然后提供相應(yīng)的安全解決方案,。但在新的歷史時期,在新的環(huán)境下,,可能由過去這種二維的方式需要考慮三維的模式,,三維的模式里面首先還會涉及到新技術(shù)、新應(yīng)用,。比如說互聯(lián)網(wǎng)+的模式下,,利用大數(shù)據(jù)去保障安全成為一種趨勢。同時,,一些產(chǎn)業(yè),,過去的一些產(chǎn)業(yè)更多是單一的產(chǎn)業(yè)實(shí)體,但是現(xiàn)在已經(jīng)變成了整個產(chǎn)業(yè)集群,,或者是產(chǎn)業(yè)的發(fā)展,,它更需要從產(chǎn)業(yè)的角度去考慮信息安全的問題。所以整個的安全服務(wù)不僅僅是往云上做轉(zhuǎn)移,,同時還需要考慮這種安全服務(wù)提供的整個三維的模式,。
那么在當(dāng)前,用戶使用云安全的現(xiàn)狀又是怎么樣的,?其實(shí)很核心的一個引發(fā)用戶使用云安全的轉(zhuǎn)變,,就是它所處的空間的轉(zhuǎn)變。過去企業(yè)用戶構(gòu)建自己的信息系統(tǒng)的時候,,可能更多的是一個局域的系統(tǒng)和空間,,現(xiàn)在是在開放的空間里面,利用公有云去構(gòu)建自己的業(yè)務(wù)平臺,,這時候它已經(jīng)突破了過去我們說的所認(rèn)知的這種邊界防御,,或者是所有的責(zé)任都需要由自己承擔(dān)的這種責(zé)任體系,。所以對于用戶來說,在這種云的環(huán)境下,,你構(gòu)建你系統(tǒng)信息的時候,,你怎么考慮這個責(zé)任?所以責(zé)任的邊界,,責(zé)任的承擔(dān)其實(shí)已經(jīng)發(fā)生了一些轉(zhuǎn)變,。
比如說在云的環(huán)境里面,你構(gòu)建自己的信息系統(tǒng),,有很多責(zé)任,,不僅僅是用戶自己要去考慮,云服務(wù)的提供商他也需要去考慮,,這是一個方面,。
第二個方面從安全服務(wù)的碎片化,這一塊也發(fā)生了一些轉(zhuǎn)變,。過去我們企業(yè)考慮安全問題的時候,可能會采用一些安全服務(wù)廠商的一些解決方案,,就可以解決這些問題了,。但是現(xiàn)在在云的這個空間里面,在云的這個服務(wù)的領(lǐng)域里面,,那么對于安全它可能是變成各種碎片化相關(guān)的服務(wù),,這些服務(wù)怎么樣有效的組裝,有效的選擇,,然后變成解決你企業(yè)系統(tǒng)云服務(wù)平臺的安全,,也變得和過去發(fā)生了很大的變化。
另外還有過去在考慮自己的業(yè)務(wù)系統(tǒng)的時候,,它是局域的一個系統(tǒng),,它有相應(yīng)的邊界,那么在邊界里面設(shè)計物理層面的安全,,比如數(shù)據(jù)中心等等的安全都是自己的責(zé)任,。但是現(xiàn)在基于云的環(huán)境,基礎(chǔ)的安全服務(wù)可能已經(jīng)成為云服務(wù)廠商他所必須考慮的,,而且是必須提供的,。對于云服務(wù)本身基礎(chǔ)性的服務(wù)安全,它也需要做相應(yīng)的等級保護(hù)的要求,。我們在基礎(chǔ)的安全保障之上,,再構(gòu)建我們自己用戶的業(yè)務(wù)應(yīng)用,所以這個也是跟過去發(fā)生了一些很大的相關(guān)的一些變化,。
另外還有,,就是隨著我們國家對于安全保護(hù)的重視,,包括自主可控,包括等級保護(hù)等等相關(guān)的一些要求,,還有一些行業(yè)性的,,比如說涉及銀行,涉及電子政務(wù)等等,,這一塊的要求,,實(shí)際上對于安全的這種使用也發(fā)生了很多的變化。
對于云服務(wù)廠商來說,,對于安全服務(wù)廠商來說,,過去我們提供傳統(tǒng)安全的時候,要不就是一種解決方案,,要不就是基于某些單向的能力面向企業(yè)提供相關(guān)的安全服務(wù),。但是在云的環(huán)境下,你可能需要做這種升級,,你需要把你的服務(wù),,如果還是提供產(chǎn)品的這種方式,顯然不能滿足云服務(wù)這種市場的要求,。所以很多產(chǎn)品提供的這種服務(wù),,它不需要去做升級。比如過去提供數(shù)據(jù)中心保護(hù)的,,那么現(xiàn)在要把這種能力變成云服務(wù)的基礎(chǔ)能力,,向外輸出。另外還有提供一些業(yè)務(wù)應(yīng)用安全層面的,,要把自己的產(chǎn)品或者服務(wù),,通過服務(wù)化,然后面向云服務(wù)的空間里面提供相應(yīng)的服務(wù),。
在云的環(huán)境下,,我們說其實(shí)企業(yè)不管是自己的局域系統(tǒng),還是云服務(wù)的這種環(huán)境,,最重要的可能是構(gòu)建自己的業(yè)務(wù)應(yīng)用,,來保證業(yè)務(wù)應(yīng)用的順利有效的運(yùn)行。怎么樣去保證有效的運(yùn)營,?很核心的一點(diǎn),,其實(shí)這里面數(shù)據(jù)的安全至關(guān)重要。過去考慮數(shù)據(jù)安全的時候,,企業(yè)局域系統(tǒng)里面考慮的時候,,可能更多的是從底層的角度去考慮的,但是在云的開放環(huán)境下,,你的數(shù)據(jù),,數(shù)據(jù)是一種很重要的資產(chǎn),,你怎么樣去保護(hù),所以成為很關(guān)鍵的,、很敏感的詞,。
我們說數(shù)據(jù)安全應(yīng)該是成為網(wǎng)絡(luò)治理很核心的中心,我們《網(wǎng)絡(luò)安全法》里面很明確的強(qiáng)調(diào),,不管是個人數(shù)據(jù)還是企業(yè)的數(shù)據(jù),,都需要相應(yīng)的保護(hù)手段去進(jìn)行保護(hù)。
那么在云安全環(huán)境里面所面臨的挑戰(zhàn),,對于數(shù)據(jù)安全的挑戰(zhàn),,也是成為前三位的熱詞。比如說防止數(shù)據(jù)丟失,、防止泄露,、防止數(shù)據(jù)的竊取,這些都是我們在云環(huán)境下需要去考慮的,。
對于數(shù)據(jù),,怎么保證安全?其實(shí)從兩個維度來看:
1,、數(shù)據(jù)的產(chǎn)生,,在產(chǎn)生的過程中,你原來是一個局域系統(tǒng),,那么在開放的系統(tǒng)里面你怎么保證你數(shù)據(jù)產(chǎn)生,整個流程要保證它的安全,,安全里面就是考慮你是不是真實(shí)的,?是不是保密的?將來一旦數(shù)據(jù)拿出來進(jìn)行打官司,,或者進(jìn)行責(zé)任追溯的時候,,你有沒有相關(guān)的機(jī)制。這是一方面,。
2,、你的數(shù)據(jù)存儲在云的環(huán)境里,特別是存儲在公有云這種開放的環(huán)境里面,,你怎么樣保證存儲的安全,?怎么樣保證備份?怎么樣保證數(shù)據(jù)防丟失轉(zhuǎn)移,?等等相關(guān)的一些安全,。
在數(shù)據(jù)安全里面,剛剛說我們是從事電子認(rèn)證服務(wù)的,,電子認(rèn)證它是基于相關(guān)的一些密碼算法,,所以數(shù)據(jù)安全的保護(hù),,當(dāng)然等級保護(hù)里面已經(jīng)講到了,就是說數(shù)據(jù)安全的保護(hù),,你需要采用相關(guān)的一些加密的機(jī)制,,建立相關(guān)的一些機(jī)制,去保證這個數(shù)據(jù)在云安全環(huán)境下,,去按照分級,,分等級這種方式去加以保護(hù)。
電子認(rèn)證,,我們說電子認(rèn)證是目前數(shù)據(jù)從產(chǎn)生,,從存儲,從備份,,從使用過程當(dāng)中的一種比較重要的一個安全技術(shù),,也是我們信息安全領(lǐng)域,國家信息安全領(lǐng)域重要的組成部分,。因?yàn)殡娮诱J(rèn)證本身是構(gòu)建我們整個網(wǎng)絡(luò)空間信任體系重要關(guān)鍵的組成部分,,因?yàn)樗鼜纳矸莸恼J(rèn)證,從授權(quán)的管理,,還有從責(zé)任認(rèn)定等等方面,,都發(fā)揮了很強(qiáng)的作用。
那么它本身就是基于開放的加密算法,,然后通過加密算法,,通過一種機(jī)制來對數(shù)據(jù)從產(chǎn)生、從傳輸?shù)酱鎯?,來做加密,、解密,然后做遷移和做簽名的驗(yàn)證,,來保證整個數(shù)據(jù)從產(chǎn)生到流轉(zhuǎn)到最后使用過程中的真實(shí)性,,還有完整性,還有不可否認(rèn)性,。
那么在云的這種環(huán)境下,,在云的這種趨勢下,其實(shí)電子認(rèn)證業(yè)務(wù)本身也在發(fā)生著很多改變,,過去我們考慮信息化系統(tǒng)建設(shè)時期的時候,,我們也是作為一種技術(shù)來輸出,把電子認(rèn)證這個技術(shù)嫁接到企業(yè)的信息系統(tǒng)里面來,。隨著數(shù)字化,、信息化的發(fā)展,有很多業(yè)務(wù)要在線考核,,這時候就涉及到業(yè)務(wù)本身,,怎么樣讓它具有抗抵抗性,,這一塊我們電子認(rèn)證這一塊提供的就是電子簽名方面的應(yīng)用。
隨著互聯(lián)網(wǎng)時代的發(fā)展,,我們已經(jīng)不僅僅滿足于PC的時代,,更多的是移動的時代,電子認(rèn)證怎么樣在移動環(huán)境里面產(chǎn)生相關(guān)的一些效益,,我們也是面向移動互聯(lián)網(wǎng)的趨勢,,電子認(rèn)證也在做一些轉(zhuǎn)變。
在云服務(wù)的場景下,,我們說過去很多人,,很多企業(yè)對電子認(rèn)證等考量的,它更多的是一種技術(shù),,或者說可能是一些產(chǎn)品,,或者是一些解決方案,但是在云的模式下,,電子認(rèn)證能不能變成一種云服務(wù),?我們的研究,我們天威誠信自身的研究來看,,它是可行的,。而且目前我們電子認(rèn)證服務(wù)整個行業(yè)也是從電子認(rèn)證的1.0向2.0進(jìn)行邁進(jìn)。那2.0是什么,?2.0就是面向云的模式,,面向未來比如說大數(shù)據(jù)這個模式下,怎么樣提供新的安全,,基于電子認(rèn)證安全相關(guān)的一些服務(wù),。
所以我們的探索,我們這幾年探索構(gòu)建了一個天威云的平臺,,這個平臺重點(diǎn)的是以密碼技術(shù)為基礎(chǔ),然后以電子認(rèn)證服務(wù)為核心,,然后構(gòu)建電子認(rèn)證服務(wù)的服務(wù)生態(tài)圈,。
這個生態(tài)圈它有四個特點(diǎn):
1、我們把過去面向企業(yè)提供產(chǎn)品和提供技術(shù)這一塊,,我們把產(chǎn)品做服務(wù)化,,也就是說過去我們提供電子認(rèn)證服務(wù)的時候,更多是提供API,,提供一些功能組件,,讓企業(yè)去做應(yīng)用的集成。但是現(xiàn)在我們把它變成服務(wù),,也就是說,,用戶需要使用這塊功能的時候,,他調(diào)用我提供的服務(wù)就可以了。
2,、服務(wù)的平臺化,,過去比如說你發(fā)證書就是證書,你做簽約就是簽約,,現(xiàn)在我們把這些服務(wù),,我們把它平臺化,就是形成從事前,、事中,、事后完整的服務(wù)生態(tài),服務(wù)的鏈條,。從身份的可信,,從行為的可信,到結(jié)果的可信,,數(shù)據(jù)結(jié)果的可信,,提供全生態(tài)的服務(wù),而且這個服務(wù)可以通過一個平臺整合在一起,,用戶可以根據(jù)自己的需要,,去調(diào)用相關(guān)的一些服務(wù),這是第二個方面,。
3,、我們把場景,就是應(yīng)用變成場景化,,因?yàn)檫^去更多考量的是說我把我的技術(shù),,我把我的產(chǎn)品怎么樣集成到用戶的環(huán)境里面,用戶的應(yīng)用系統(tǒng)里面,?現(xiàn)在我平臺化之后,,那么我在基于我電子認(rèn)證服務(wù),基于我們的電子認(rèn)證服務(wù)之上,,我可以針對有些行業(yè)的特點(diǎn),,做應(yīng)用的場景化,也就是說,,現(xiàn)在針對簽約,,網(wǎng)絡(luò)簽約這一塊,我們針對P2P,,互聯(lián)網(wǎng)金融簽約這一塊,,我們提供電子簽約的服務(wù)場景。然后針對企業(yè)內(nèi)部做電子合同,做供應(yīng)鏈這一塊,,我們提供電子合同和供應(yīng)鏈管理這一塊的應(yīng)用場景,。針對招投標(biāo)相關(guān)的應(yīng)用,我們針對提供招投標(biāo)的應(yīng)用場景,。針對云服務(wù),,保障你網(wǎng)站的安全可信,我們提供基于網(wǎng)站安全可信這一塊云服務(wù)的相關(guān)的云場景化的服務(wù)產(chǎn)品,。
4,、從整個平臺它是采用生態(tài)化的模式發(fā)展,所謂生態(tài)化,,就是說我們在設(shè)計這個電子認(rèn)證云服務(wù)平臺的時候,,核心是電子認(rèn)證服務(wù),但電子認(rèn)證服務(wù)它往前往后做相應(yīng)的延伸,,往前就是我們把實(shí)名的提供電子認(rèn)證服務(wù)之前的相關(guān)的實(shí)名認(rèn)證,,還有身份認(rèn)證,不僅僅基于證書,,還基于生物識別,,基于其他的方式,基于人臉等等相關(guān)的一些模式,,作為前置,,對外提供服務(wù)。另外往后延伸,,往后延伸就是說數(shù)據(jù)的安全,,一方面是說保證數(shù)據(jù)它本身不被竊取,或者說它能使用,,但是還有個很關(guān)鍵的,,就是說如果我們的業(yè)務(wù)搬到線上,越來越多業(yè)務(wù)往線上跑的時候,,業(yè)務(wù)有些本身需要去追究責(zé)任的,,或者需要將來進(jìn)行法律訴訟,那么這些業(yè)務(wù),,你怎么樣保證將來能夠跟我們的司法審判,,跟我們的互聯(lián)網(wǎng)法院做有效的對接。所以我們整個平臺生態(tài)化也往后做延展,。
另外,,在平臺上我們不僅僅從安全服務(wù)角度來考慮,,同時還從用戶使用的一些SaaS服務(wù),,比如說點(diǎn)的發(fā)票,然后比如說電子合同等等相關(guān)的一些服務(wù)也集成進(jìn)來,形成整個的生態(tài),。通過用戶的數(shù)據(jù)共享,,通過用戶相關(guān)的一些需求,需求的打通,,建立整個生態(tài)的云環(huán)境,。
我們說這個生態(tài)實(shí)際上一個是針對應(yīng)用平臺,天威云這個電子認(rèn)證服務(wù)它可以很好的面向應(yīng)用平臺去提供一站式的集成的方式,。對于開發(fā)商來說,,它集成也是變得比較容易。另外針對渠道,,就是針對我們的渠道合作伙伴基于天威云可以開展很多的場景服務(wù),。對于供應(yīng)商來說,供應(yīng)商除了能夠接上來之后,,他也可以快速的在上面去管理相關(guān)的一些用戶和服務(wù),。
這是我們打造的整個基于信任服務(wù)核心的相關(guān)服務(wù),重點(diǎn)是從身份,,從行為,,從數(shù)據(jù)的結(jié)果,還有從未來司法對接這一塊提供相應(yīng)的平臺能力,。
這是我們整個云服務(wù)這一塊管理的相關(guān)能力,。
在上面我們剛剛說的服務(wù)產(chǎn)品,服務(wù)產(chǎn)品我們提供多種類型的服務(wù)產(chǎn)品,,這些服務(wù)產(chǎn)品不管是企業(yè)還是云服務(wù)商,,還是系統(tǒng)開發(fā)商,它都是需要去使用的,。而且更關(guān)鍵的是,,我們整個的信任服務(wù)已經(jīng)往私化,往法律訴訟這一塊打通了,,就是通過天威云所產(chǎn)生的這些數(shù)據(jù),,將來如果你要做司法仲裁,如果你要做公正的話,,司法仲裁的機(jī)構(gòu),,公正的機(jī)構(gòu),他就可以直接去用,。
這是我們說的服務(wù)支撐的相關(guān)能力的要求,。
剛剛說場景化,也就是說場景化的一些服務(wù),,比如說電子合同,,供應(yīng)鏈管理,等等相關(guān)的場景化的服務(wù),在整個平臺上已經(jīng)具備,,同時還提供各種相關(guān)領(lǐng)域應(yīng)用的解決方案,。
這是我們整個天威云和阿里云等相關(guān)的云服務(wù)商合作的一個實(shí)踐,整個天威云它是構(gòu)建了可信身份,、可信行為,、可信接口的一個信任的云服務(wù)平臺,電子認(rèn)證的一個云服務(wù)平臺,。那么我們這個平臺已經(jīng)和阿里云和京東云做了生態(tài)的整合,,目前我們?yōu)榘⒗镞@一塊,我們把整個天威云和阿里云做了對接,,在阿里云上,,你可以很方便的一站式的就可以升級到天威誠信網(wǎng)站可信的認(rèn)證服務(wù),目前我們已經(jīng)為阿里云大概80萬用戶提供了網(wǎng)站可信的服務(wù),。同時我們基于網(wǎng)站可信,,就是網(wǎng)站可信去解決用戶的傳輸安全,網(wǎng)站的安全可信,,網(wǎng)站數(shù)據(jù)傳輸?shù)陌踩?,同時我們還提供了往后延展的一些服務(wù),比如說做應(yīng)用層面的個人或者是用戶相關(guān)的一些安全,,相關(guān)的一些服務(wù),,也在這個阿里云上面提供了服務(wù)。
我們和京東云這一塊重點(diǎn)是針對京東金融方面的一些應(yīng)用場景,,提供認(rèn)證服務(wù)的同時,,還提供后續(xù)的基于電子簽約司法取證這一塊的服務(wù)。
另外,,我們和一些行業(yè)性的一些云,,比如說用友云金蝶云,它專門針對財務(wù)系統(tǒng)管控這一下,,把天威云和金蝶云做了相應(yīng)的集成,。任何用戶如果采用用友云的相關(guān)云服務(wù),電子認(rèn)證是它的基礎(chǔ),,也就是說我們把這些認(rèn)證服務(wù)已經(jīng)基礎(chǔ)化了,。剛才講到了,你的運(yùn)營層面的安全,、數(shù)據(jù)保護(hù)層面的安全已經(jīng)變成用友和金蝶基礎(chǔ)的服務(wù)來提供,。
所以整個生態(tài)的構(gòu)建,目前我們已經(jīng)運(yùn)行了大概兩年的時間,,和阿里這些服務(wù)的廠商,,還有和我們后續(xù)接進(jìn)來的一些安全服務(wù)的廠商,,比如說做身份認(rèn)證的,比如說做大數(shù)據(jù)安全管控的,,比如說做應(yīng)用層面的,SaaS層面的一些服務(wù)廠商,,已經(jīng)形成了很穩(wěn)定的鏈條,。
最后簡單介紹一下天威誠信,天威誠信是《電子簽名法》頒布之后獲得牌照的認(rèn)證機(jī)構(gòu),,目前我們已經(jīng)為一億用戶提供了電子認(rèn)證服務(wù),,涵蓋的范疇還是比較深的。我們的目標(biāo)就是基于密碼算法,,以密碼為基礎(chǔ),,然后以電子認(rèn)證服務(wù)為手段來構(gòu)建網(wǎng)絡(luò)安全可信的網(wǎng)絡(luò)空間。
這是我們發(fā)展的過程,,發(fā)展的過程也得到了很多專家的指導(dǎo),,目前整個電子認(rèn)證包括電子簽名的應(yīng)用在整個行業(yè)里發(fā)展的還是比較快的。
我們目前應(yīng)該來說是國內(nèi)比較專業(yè)的電子認(rèn)證服務(wù)機(jī)構(gòu),,我們所運(yùn)行的一些標(biāo)準(zhǔn),,還有我們的一些客戶,已經(jīng)覆蓋了整個國內(nèi)很多領(lǐng)域,。
這是我們的運(yùn)營能力,,目前整個電子認(rèn)證服務(wù)系統(tǒng)的簽發(fā)能力,應(yīng)該是國內(nèi)比較領(lǐng)先的,。因?yàn)槲覀円獫M足支付寶的需求,,支付寶現(xiàn)在每一天對于電子認(rèn)證服務(wù)的簽發(fā)量大概是在千萬級,千萬級用戶的簽發(fā)使用的要求,。
這是我們的合作所產(chǎn)生的一些案例,,一些領(lǐng)域,我們目前在銀行,,在電子招標(biāo)采購,、企業(yè)電商等等都有比較成熟的案例,而且這些案例不僅是傳統(tǒng)的模式,,還有我們采用靈活的模式來構(gòu)建的,。
目前我們也形成了我們相應(yīng)的一些品牌,除了剛剛我們介紹的天威云的品牌之外,,我們針對不同場景的應(yīng)用,,不同類型的應(yīng)用也形成了我們相應(yīng)的品牌,比如我們網(wǎng)站可信的品牌就是域信,,目前已經(jīng)涵蓋了國內(nèi)80%的高端企業(yè)和電商這一塊的市場,。我們也是希望通過我們所提供的,,不管是天威云的服務(wù),還是我們比如說域信,、i信,、一號簽這些服務(wù),能夠保證我們企業(yè)進(jìn)入互聯(lián)網(wǎng)市場,,進(jìn)入云環(huán)境下能夠保證數(shù)據(jù)的安全,,能夠?yàn)槲覀儑覙?gòu)建安全可信的網(wǎng)絡(luò)環(huán)境、網(wǎng)絡(luò)空間來貢獻(xiàn)我們的力量,。