10月（yuè）11日（rì），由（yóu）陕西（xī）省委（wěi）网信办、西安市委网（wǎng）信办指导（dǎo），中国（guó）网络安全产业（yè）联盟、中国电子技术标准化（huà）研（yán）究院联（lián）合主办的2021年（nián）国家网络安全宣传周“网络安全产业发展论坛（tán）”在陕西西安成功召开。卫（wèi）士通资深专家、天津网安总经理洪新（xīn）受邀出席论坛并作主题演讲，分（fèn）享了卫士通（tōng）“第三方（fāng）密（mì）码服务”在保（bǎo）障数（shù）据安全方面的探（tàn）索。

会（huì）议现场

洪新在题为《建（jiàn）立多方信任模型的第三方数据加（jiā）密服务研（yán）究》主题演讲中提出安全问题（tí）不仅是技术层面的问题，还有信任层面的问题，即人的问（wèn）题，并引（yǐn）述IBM的报告指出95%的安全问题（tí）是（shì）由人引起的（de）问题。

洪新

他分析到，之所以说（shuō）技术只是解决网络安全的一（yī）个层面，是因（yīn）为（wéi）即使是技术最先进的企业，技术并（bìng）不完全解决用户安全（quán）能力的提升，也（yě）并（bìng）不（bú）解决平台应用（yòng）厂商对用户数据（jù）权（quán）力（lì）过大，没有制约这样的问（wèn）题（tí），故而近几年爆发的安全事（shì）件不（bú）断，而且越来越多，越来越大。另（lìng）外，也同时造（zào）成了用（yòng）户对IT基础设施和应用厂商的信任感不断地（dì）被消费，不是对他们技术的怀疑，而是对他们提（tí）供的信（xìn）任（rèn）感的怀疑。

关于（yú）信任，国内外对于互（hù）联网网络安全信任上的探索（suǒ），最（zuì）终（zhōng）都指向第三方（fāng）的信任（rèn）模（mó）式，所谓“第三方的模式”。当天洪新重点介绍的“第三方密（mì）码服务”是指用户（hù）和互联网平台（tái）运营者之外，引（yǐn）入了一个独立的（de）密码（mǎ）服务运营（yíng）者，帮助用户（hù）管理（lǐ）密码（mǎ）支（zhī）撑用户数据的加（jiā）密（mì），这个模式下，互联网运营商和平台运营商他们所见，所管（guǎn），所（suǒ）存的用户数据只（zhī）有密文，从而有效防（fáng）止明文信息的泄露（lù）。应用和平台的运营者、密码服务（wù）运营（yíng）者（zhě）互相制衡，共同确保用户数据的安全。由于密码（mǎ）和（hé）加密数（shù）据的分离（lí），各个服务运营者都不能存取用（yòng）户明文信息，极大增加（jiā）了（le）用户对运营者服（fú）务的信任（rèn）。第三方模式已成功地在各（gè）个领域得到广（guǎng）泛的应用（yòng），安全领（lǐng）域的CA就是很（hěn）典型的应用。

如图所（suǒ）示，第三方加密服（fú）务（wù）商会提供在线的密钥服务，加密密（mì）钥安全的存储分发，第三方加密服务（wù）商不接触也不保存任何的数据，通过密钥和安全（quán）策略控制用户（hù），保护（hù）用户的实际安全。在此同时，这个服务又对（duì）应用（yòng）服务商提供密（mì）码（mǎ）安全的组件适（shì）配服务，让组件（jiàn）提供应（yīng）用服务的同时，所（suǒ）有的信息都（dōu）能通过第三方加密再储存（cún）和传输，即使有（yǒu）人非法（fǎ）获取用（yòng）户的数据，也会因为没有密钥，没（méi）有办法真正获取用户的（de）明文信息。数据和密码的分离，有效避（bì）免因运营者信任问题造（zào）成的数（shù）据泄露。而用户本身（shēn）则能通过（guò）第三方密钥服务所（suǒ）得到（dào）的（de）密钥和安全策略，完成（chéng）信息在本地的加解密（mì）。

这个原理已被作（zuò）为最佳实践应（yīng）用于（yú）卫士通和众多合（hé）作伙（huǒ）伴的合作（zuò）当中，如华为，曙光云，企业微（wēi）信，国产数据（jù）库和（hé）OA企（qǐ）业等。