专访「数字认证」总经理林雪焰:密码技术是构建网络信任的基础
在整个网络安全行业中,最为大众所知的故事往往发生在“攻防端”,如黑客、白帽、勒索病毒等名词,正随着网络安全事件的频发不断推陈出新。不过再往下拆分,支撑网络业务安全运行的底层技术仍然不可忽视,比如密码。
在过去,密码主要用于国家机密信息的保护。不过随着各行各业信息化进程不断加快,产业乃至个人的信息安全问题日益突出,使用商用密码保护非国家机密信息的需求越来越强烈。
根据2020年1月1日国家开始正式实施的《密码法》,“密码是指采用特定变换的方法对信息等进行加密保护、安全认证的技术、产品和服务。”《密码法》把密码分为核心密码、普通密码和商用密码,其中核心密码和普通密码都用于保护国家秘密信息,而对于“非国家秘密信息”的保护,就属于商用密码的“职责”范畴。
中国的商用密码历史可追溯至20多年前。从1996年7月,中央办公厅印发《关于发展商用密码和加强对商用密码管理工作的通知》开始,再到2019年10月,十三届全国人大常委会第十四次会议表决通过《密码法》,商用密码的管理正在变得愈发规范全面。从最早落地应用的数字证书,到如今被越来越广泛应用的电子签名,其落地场景也变得愈发宽广。
36氪日前接触到的北京数字认证股份有限公司(简称「数字认证」)是一家立足于密码技术,为企业数字化转型提供网络信任与数字安全服务的提供商。其成立于2001年,是国内率先完成支持国密算法的CA认证系统自主研发和基础设施建设运营的企业,公司现已拥有数字证书认证、身份访问及管理、电子签名与电子签章、电子合同、电子档案、数据加密等多个产品线几十项产品。
作为网络安全产业的头部公司之一,「数字认证」的客户分布在政务、医疗、金融、教育、交通、电信、企业等数十个行业,现为超过30家国家部委客户、3000家大型企业客户、数亿个人用户提供网络信任服务。其于2016年在深交所上市,被称作“中国电子认证第一股”。
在36氪日前的采访中,「数字认证」总经理林雪焰向记者回顾了密码在国内的发展历程以及未来可能的方向。
他认为,密码技术是网络空间安全的核心技术,以前谈起密码大多与军事有关,让人感觉似乎很遥远。随着产业需求和政策的不断演进,密码早已从过去“国家层面”的专用技术,落地到社会民生的方方面面,已经成为数字经济和数字化的重要基础支撑。
「数字认证」作为电子认证行业的头部企业,在自身优势基础上不断研发融合新场景的产品和服务。“在数字化的新业务新场景中,人和数据的安全至关重要,密码技术在保障业务系统和服务的真实性、数据开放共享的安全性、交易行为监管和取证的不可抵赖性等方面发挥着越来越重要的作用。近几年,「数字认证」基于密码技术,为实体产业和企业数字化变革建立起数字信任机制。”林雪焰说。
以下是对话部分(经36氪编辑):
谈公司:从CA机构到网络信任服务提供商
36氪:作为2001年就成立的网络安全公司,数字认证在安全领域已有近20年的积累,您觉得「数字认证」的发展节点可以分为哪几个阶段?
林雪焰:「数字认证」的建立缘起于电子政务的推动。为推动建设电子政务,2001年2月,北京市政府决定成立“北京数字证书认证中心”(「数字认证」前身),为政府提供数字证书、身份认证服务,作为电子政务发展的基础设施。2005年,《电子签名法》实施,电子认证行业开始逐步规范,市场规模逐渐扩大。数字认证是国内首批获得电子认证服务资质的CA机构,在政策驱动和行业发展下,公司基于密码的安全产品和服务也得到快速发展,业务开始立足北京辐射全国。2016年,公司在深交所创业板上市,成为国内电子认证行业头部企业。
36氪:目前国内有四十余家电子认证机构,您觉得「数字认证」在行业中的差异化体现在哪里?
林雪焰:如果一个CA机构只做服务,很难满足客户的创新需求,因为没有与时俱进的产品更新方案。同样,如果只做产品,也会造成与客户需求的脱钩,无法了解客户痛点进行快速迭代。
「数字认证」一直紧跟市场安全需求和信任需求的变化。我们从CA服务起家,在近20年的发展历程中,逐步形成以“服务+产品”结合、拥有电子认证服务资质+产品资质的综合解决方案提供商。我们以数字证书服务为核心,在此基础上,进行以“以身份认证、授权管理、责任认定”等为主要内容的网络信任服务体系的建设。
在这一体系构建的每个环节中,我们都形成了相应的产品和解决方案,目前已拥有数字证书认证、电子签名与电子签章、电子合同等多个产品线,最终建立起产品和服务有机结合的一体化解决方案,可以为客户提供全栈的网络信任服务。
另一方面,数字认证20年来始终在密码技术领域进行研究和拓展,牵头和参与起草了大量密码应用类、电子签章类等重要国家及行业标准的制定,为行业健康规范发展起到了推动作用。
同样,产品与服务结合的模式也会倒逼我们进行创新。这几年我们产生了很多个行业第一, 比如“第一张电子保单”“第一张电子彩票”“第一张手写电子合同”“第一张电子发票”“第一张电子成绩单”等,都是基于对客户需求的深度打磨。对技术具有相应的敏感度,快速响应创新需求,才能生成优势。
谈行业:新场景蕴藏新需求
36氪:现在市场上商用密码领域的声音越来越大,您觉得推动这个行业发展的因素有哪些?
林雪焰:密码是安全的基因,融合才有价值。不管是在金融、税务、工商等这些关系国家经济命脉的重要传统行业,还是智慧交通、智慧医疗、智慧安防、智慧社区等新一代信息技术应用领域,密码作为基础安全支撑的作用会越来越凸显。
另外,疫情影响下,当今无纸化、在线化、全面智能化建设需求加速,密码需求也迎来快速增长。比如疫情期间高校诉求强烈的电子毕业证、学位证、成绩单,就推动着行业不断提供创新解决方案。再加上云计算、大数据、物联网等新兴技术的快速发展,也不断推动着密码的融合创新。这些因素在一起相互作用,共同推动着密码产业的多元发展态势。
36氪:讲到政策推动,《密码法》已经实施快一年了。您觉得这一年政策带来的变化体现在哪些方面?
林雪焰:《密码法》的实施,使得用密码保护关键信息基础设施安全成为一种法定义务。也就是说,用密码技术保护信息系统安全不再是一道可有可无的选择题,而是一道必做题。
《密码法》实施将近一年了,密码工作已全面进入法制化轨道,全社会逐渐凝聚起一股“知密、用密”的合力。尤其是对于关系到国计民生的政务信息系统,用密码技术进行安全保护和评估非常重要。国务院办公厅也相继发文提出,在政务等信息系统的规划、建设和运行阶段,都应同步进行密码应用方案设计、系统实施和定期评估。这就对信息化安全提出了法律层面的更高要求。
同时,政策也会推动整个市场的成熟。《密码法》实施后,大家对密码的关注度越来越高,更多企业开始关注密码应用的合规性以及密码的安全测评。这对于推动整个行业的规范发展都大有益处。
36氪:近几年,各行各业企业数字化转型需求激增,电子合同作为密码技术的典型应用场景受到多方关注,请您介绍一下数字认证在这方面的业务?
林雪焰:对于企业来说,数据是企业的重要资产,如果数据不可信,那么所有的数字化建设都是空中楼阁。电子签名是密码技术的典型应用之一,在信息安全、隐私保护、风险控制等方面具有优势。我们形成了以电子签名技术为核心的一体化的电子合同服务,通过对传统产业进行数字化改造升级,让企业的业务与密码技术、电子签名技术真正产生交互,从而实现商业模式的创新,成为推动企业数字化转型的核心引擎。目前,我们的电子合同服务已经在能源、房地产、互联网、汽车金融等领域的知名企业得到应用,树立了“500强企业信任之选”的品牌形象。
谈趋势:政策和需求的驱动力将持续
36氪:整体来看,不管是疫情推动还是政策实施,今年对密码领域来说是比较重要的一年。您觉得明年这一领域还会发生怎样的变化?
林雪焰:首先是密码评估,也就是商用密码应用安全性评估工作。在相关政策推动下,基础信息系统使用密码是否安全、合规这一问题会得到更有效的推进,相关标准和规范会陆续明确,其中也会涉及到一些密码系统的改造升级。第二就是数字化交付。新时期下,数字化转型需求迫切,密码在促进传统产业数字化转型、保障数字资产安全等方面将发挥作用,实现数据资源按需共享、安全交互。
36氪:那数字认证未来的布局会是怎样的?
林雪焰:未来,我们会围绕密码技术进行多元布局。一方面,通过自主创新,持续完善和丰富商用密码产品线,做全产业链的布局,扩大商用密码产品在各个领域的应用,成为具有核心能力的密码技术服务提供商;另一方面,我们会持续发力网络信任服务,构建可信身份、可信内容、可信行为的全链条网络信任体系,促进电子合同、电子档案、电子签名等可信数字化交付服务与互联网医疗、互联网金融、在线教育等新兴业务应用场景的深度融合,打造信任服务第一品牌。
