超级SIM 打造成为人人都有的安全基础设施

打造成为人人都有的安全基础设施 庄严 中移互联网有限公司2023年6月 现状：超级SIM安全产品规划及行业发展情况 目录 未来：基于号卡安全基座的思考及建议 1.1国家有要求 党和国家高度重视网络信息安全工作，通过发布相关政策法规，采取各项重大措施，支持推进国产商用密码等关键安全技术的创新应用和产业发展，保障网络信息的安全可控、全程可信，推动国家安全体系和能力现代化 《国家安全法》：2015年7月1日施行，实现网络和信息核心技术关键基础设施和重要领域信息系统及数据的安全可控 口党的二十大报告：专设了第十一部分匣述国家安全的重要内容，提到“安全”一词多达91次 《网络安全法》：2017年6月1日施行，维护网络数据的完整性、保密性、真实性和不可否认性，需要发挥密码技术的核心支撑作用等 《密码法》：2020年1月1日施行，明确密码分类管理，支持推进商用密码应用创新和产业发展 口习近平总书记多次强调：没有网络安全就没有国家安全，就没有经济社会稳定运行。 《数据安全法》（2021年9月1日）、《个人信息保护法》（2021年11月1日）、《关键信息基础设施安全保护条例》（2021年9月1日）、《促进商用密码产业高质量发展的若干措施》（2022年1月）、 口李强总理签署第760号国务院令：公布修订后的《商用密码管理条例》1自2023年7月1日起施行。 1.2 集团有布局 作为信息科技领域的央企，中国移动肩负网信安全主力军、国家队的重要责任。2022年，新基建推进领导小组、产品管理委员会等会议都专题研究了安全产品的布局和推进情况，充分体现了集团公司对安全工作的重视。 集团公司新基建推进领导小组第九次会议（安全产品专题） 以新安全格局保障新发展格局，卡位云网安全重点领域，探索制订安全治理相关技术标准。 新基建准建领导小划会议纪费 做好安全产品是当前形势下企业发展的需要更是国家发展的需要。安全是产品、是能力、是服务，也是责任、是红利、是效益。 杨杰董事长 安全产品要发挥号、卡、大数据以及网络优势CHBN全向发力。 集团公司产品管理委员会2022年第二次会议 董昕总经理 产品管理委员会公议纪要 集团安全产品业务总体规划：2C：号卡认证产品、通信防护产品等。2H：家庭安防产品、家庭网络安全解决方案等。2B：超级SIM安全网关产品、云网安全产品、信创安全产品、智慧认证产品等。 践行网络安全“三重境界”理念，推动网络安全从单点可控迈向全程可信。 李慧镝副总经理 1.3做新型安全产品的关键切入点：超级SIM卡 要解决信息安全问题，核心是解决安全的数据连接和身份鉴权需求。而从CT时代开始，SIM卡就定位于安全鉴权载体，升级为超级SIM卡后，可进一步实现从CT领域通信鉴权向IT领域身份鉴权的切入 国家十四五”规划中提出：“智慧政务要加强推广应用电子证照、电子合同、电子签章” 1.4超级SIM的发展历程和功能特性 2016年开始，SIM卡进入超级SIM时代，逐步增加安全芯片、数字证书、国密算法等能力。2021年推出的3.0+卡具备更强的运算能力和远程升级能力。 口超级SIM卡具备芯片高安全（EAL4+）、通道高可用（机卡交互）、算法更高效（国密算法）、接口更丰富(开放API）等显著特征，超级SIM卡技术架构 1.5超级SIM在IT时代的新优势：行业广泛认可的国产商用密码载体 3.0+卡带来的国密安全芯片和密钥存储能力，结合PKI非对称加密技术和国产密码算法，推动超级SIM卡成为新型的移动端智能密码钥匙，可在人联网、物联网等应用场景提供高安全身份认证和数据加密传输等能力，实现社会信息安全能力的全面升级。 国密局商密产品认证： “运营商内首个以超级SIM卡为安全载体获得该证书的智能密码钥匙产品。 清华大学王小云院士： "超级SIM卡作为密钥安全载体具有打造国家新安全基础设施的能力与价值。 1.6.1产品1：超级SIM安全网关 基于运营商独有的可信身份体系，以中国移动特色的号卡能力为核心，解决传统安全网关基于账号口令带来的安全风险，构建以“有身份、有密码、有数据”的超级SIM安全网关产品方案。 传统安全网关 基于账号口令的静态防护模式 ：未实名·易泄露·难溯源 √暴露面全面收敛 V高安全号卡认证 V用户行为可追溯 手机号作为实名身份标识，实现用户流量实名化，解决匿名IP难溯源的问题。 基于国密号卡实名认证，解决传统账密的弱密码撞库、拖库等问题。 通过零信任技术，实现暴露面隐身解决暴露面被攻击的风险。 1.6.2以超级SIM安全网关为切入点，与启明星辰建立生态合作 互联网公司与启明星辰充分发挥自身的技术优势、产品优势和行业累积优势，共同打造以“号为人、卡为钥匙、安全网关为新型锁芯”的超级SIM安全网关产品，从欧美的“零信任”体系升级为中国特色的“可信”体系 启明星辰全面启用超级SIM安全网关进行网络访问控制 超级SIM安全网关通过创新融合运营商号卡身份和国密芯片，形成全新的零信任安全引擎，全面提升数据安全防护和端到端的可信能力，真正体现了运营商独特的资源票赋优势， 启明星辰严立总经理 1.6.3启明星辰对超级SIM安全网关的专业性给予高度认可 超级SIM安全网关对传统安全网关带来的提升体现在：采用号卡认证的防护模式，用户私钥保存在SIM卡硬件载体，且使用国密算法保护，用户随身携带，无法通过云端模拟和伪造，解决传统安全网关采用账号密码的防护模式，容易通过撞库和拖库等字典攻击，非法获取到用户的访问权限等问题，大幅降低了各项网络攻击的成功率。 启明星辰高层领导对超级SIM可信认证体系的评价 ·我做了一辈子的安全，都是先构建一个安全账号，再想办法去保护这个账号。现在有了号卡这一个真实的账号，安全的工作思路都可以重写。 ·网络安全问题其实就是主体对客体访问的问题，通过超级SIM卡来区分合法用户和可疑用户，重新构建企业访问控制的信任基础 ·超级SIM不只是一个认证方式而是一个信任体系，要把启明星辰内部的产品线都进行号卡身份升级，打造基于超级SIM的“信任产品”体系。 启明星辰严立总经理 启明星辰潘柱廷首席战略官 启明星辰朱向东副总裁 1.6.4行业发展：超级SIM安全网关有效完善5G政务专网的产品能力 根据某省数字政府整体规划设计，通过将超级SIM安全网关与5G政务专网深度融合，在满足智慧政务传输速率，通信时延，覆盖范围等网络性能指标的同时，保障用户准入身份的真实性和政务数据传输的机密性，助力某省数字政府构建“端、管、云”一体化安全防护体系，打造了一张安全可控5G政务外网， 1.6.5超级SIM安全网关在行业的推广和落地 IT线条 中国移动网络线条已在福建、湖南等省份上线测试了超级SIM安全网关，并通过集团巡检，效果得到认可。 针对云服务远程移动办公的网络安全管控需求，采用超级SIM安全网关替代现网者日VPN，不断强化云服务网络安全防护机制，助力MOA业务系统安全、稳定运行为云服务“铸网行动”保驾护航。 中国移动IT线条已规划10个省零信任升级建设，并在山东、天津、河北等省份进行POC测试和落地。 1.7.1产品2：超级SIM国密资源池 行业密评密改需求源于国家标准"GB/T39786-2021”，该标准的发布标志着《中华人民共和国密码法》的贯彻实施，开启了针对关键基础设施系统进行“等保”和“密评”双同步的时代，两部委也针对中国移动下发了商用密码改造和应用的要求。 两部委考核要求 中国移动需准备内容： ①商用密码应用工作计划(2)商用密码应用方案，并按照方案进行商用密码能力建设③商用密码应用工作总结报告④关键信息基础设施商用密码使用管理情况报告 密评通过标准 未开展商用密码应用，扣15分 系统不能投入运行。《商用密码管理条例（修订草案征求意见稿）》在政务信息化项目建设中，项目验收材料需有密码应用安全性评估报告。未通过密评将影响项目顺利通过验收，将被通报批评、暂缓安排投资计划、暂停项目建设直至终止项目。《国家政务信息化项目建设管理办法》(57号文) 未及时报送关键信息基础设施商用密码使用情况的，扣15分 现明：2023年号核分为扣分项和加分项，一是号楼和分息分值为6分（在实降推作中接600分计），采用和分形式，直至扣第为止，考板招标评分标准在美国公同对各省分同情效专体系中最高可加2分 1.7.2超级SIM国密资源池是基于可信的密评密改解决方案 以国密超级SIM卡为核心打造分布式密码资源池提供基础的密码算法支撑，由超级SIM密码服务管理平台进行统一调度和管理，通过标准化密码服务接口为业务系统提供密码技术的安全集成与应用 身份认证安全 移动端侧硬件级实名认证：签名验签、电子签名 数据使用安全 敏感数据、核心业务数据加解密·安全授权、合规使用、精准潮源 数据流转安全 ·政府对流转数据的安全监管各协同机构间数据的安全共享 1.7.3超级SIM卡是超级SIM国密资源池的产品核心 客户端侧以超级SIM卡作为密钥载体，提供一种比协同签名软介质更安全，比U盾等硬介质更便捷的国密技术方案，实现基于超级SIM卡的身份鉴别、数据加密功能，实现人人都有在线密码盾， 更安全 超级SIM卡达到国密安全二级协同签名仅达到国密安全一级 更便捷 超级SIM卡可以随身携带且兼容手机、PCUSBkey仅支持PC、容易丢失 更稳定和低成本 超级SIM卡原生支持国密，稳定性高贴膜卡物理方式贴合，稳定性不高且容易损坏 1.7.4标杆案例：某省政务云国密资源池项自 以政务云国产密码资源池为切入点，打造某省政务云1省节点+6地市”密码统一管理平台，实现全省“统一资源、统一视图、统一权限、统一运营、统一运维”规划管理！"国产密码一盘棋”。 项目成果 不到50天完成密码应用升级改造以超过80分的高分通过密评“超级SIM密码服务解决方案”被国务院国资委科创局收录 人一象有品质的新间 超级SIM国产商用密码解决方案，为政务安全护航！ 运维管理集中化权限管控灵活化 建设投入集约化运营管理简易化 获《人民日报》等内外部媒体关注报道 1.8.1基于可信底座，将持续在各行业孵化创新密码应用 基于超级SIM卡作为最佳密钥载体，目前正在打造支持数据加解密防护的密邮、密信和保密盒子，以及提供安全移动办公能力的超级SIM国密上网卡，未来将挖掘超级SIM密码能力与DID分布式身份认证技术融合创新的应用潜力，构建一站式“可信超级SIM密码安全方案，实现密码应用出海 个人数据资产防护 通信数据安全传输 联合济南公司、山东元力公司打造保密盒子产品超级SIM卡为本地个人数据资产的密钥存储提供高安全等级的硬件载体 协同集团信网项目部打造密信、密邮等产品方案超级SIM智能密码钥匙为通信中的隐私数据提供端到端的全流程数据加密防护 超级SIM国密上网卡 分布式身份体系 支持国密SSL和国密IPSEC安全传输协议SM2和SM9按需选择无需改造已有办公系统，快速部署，实现更便捷、更安全的移动办公方案 融合超级SIM卡的密码能力与DID技术，打造基于区块链技术的分布式身份体系超级SIM卡可作为个人身份证书的高安全等级硬件载体 1.8.2创新场景举例：密码+移动办公 互联网公司将基于号卡的密码能力与移动办公即时通讯产品结合，打造基于国产密码的安全移动办公产品通过数字证书实现实人实名加V，通过数字信封技术实现即时消息，文件传输的数据加解密 头像等级加V显示： 文件加解密、基于企业通讯录授权管理： √VO：无数字证书VV1：实名申请云数字证书，无超级SIM卡√V2：实名申请卡数字证书，有超级SIM卡 V指定号码、持有SIM卡密钥的人员可见√拔卡不可见、插卡可见 1.8.3创新场景举例：密码+个人数据资产保护 通过号卡提供对个人文件数据的加密存储功能，通过本人的公钥将此加密的个人数据资产存储在本地，！只有本人超级SIM卡持