10月11日（rì），由陕西省委网信办、西安市委（wěi）网信办（bàn）指导（dǎo），中国网络（luò）安全产业联盟、中国电子技（jì）术标（biāo）准（zhǔn）化研究院（yuàn）联合主办的（de）2021年国（guó）家（jiā）网（wǎng）络安全宣传周“网（wǎng）络安全产业发展（zhǎn）论坛”在（zài）陕西西安成功召开（kāi）。卫士通资深专家、天津网安总（zǒng）经理洪新受邀出席论坛并作主题演（yǎn）讲，分享（xiǎng）了卫士通“第三方（fāng）密码服务”在保障数据安全方面的（de）探索。

会议现场

洪新（xīn）在题为（wéi）《建立多方（fāng）信任模型的第三方数据加密服务研究》主题演讲中提出安全问（wèn）题不仅是技术层（céng）面的问题，还有信任层（céng）面的问题，即人（rén）的（de）问（wèn）题，并（bìng）引述IBM的报告指出95%的安（ān）全问题（tí）是由人引起的问题。

洪新（xīn）

他分析到（dào），之所（suǒ）以说技术只是（shì）解决网（wǎng）络安全的一个（gè）层面，是（shì）因为即使是技术最先（xiān）进的企业，技（jì）术并不完全解（jiě）决用户（hù）安全（quán）能力的提升，也并不解决平台应用厂商（shāng）对用户数据权力过大，没有制约这样的问题，故而近几年爆发的（de）安全事件不断（duàn），而且越来（lái）越多，越来越（yuè）大。另外，也同时造成了用户对IT基础（chǔ）设施和应用厂商的信任感（gǎn）不断地被消费，不是对（duì）他们技术的怀疑，而是对他（tā）们提供的信（xìn）任感的怀疑。

关于信任，国内外对于互联网（wǎng）网络安全信任上（shàng）的探索，最终都指向（xiàng）第三方（fāng）的信任模式，所谓“第三（sān）方的模式（shì）”。当天洪新重点介绍的“第（dì）三（sān）方密码服务”是指用户和互（hù）联网平（píng）台运营者之外，引入了一个独立的密码服务（wù）运营者，帮助用户（hù）管理密码（mǎ）支撑用户数据的加密，这个模式下，互联网运营商（shāng）和平台运营商他们所见（jiàn），所管（guǎn），所存的用户数据只有密文（wén），从（cóng）而（ér）有效防止明文（wén）信息的泄露。应用和平台的运营者（zhě）、密码服务运营者（zhě）互相制衡，共同确保用户数据的（de）安全。由于密码（mǎ）和加密数据的分（fèn）离，各个服（fú）务运营者都不（bú）能存（cún）取用（yòng）户（hù）明文（wén）信息，极大（dà）增加（jiā）了用户对运营者服务的信任（rèn）。第（dì）三方模式（shì）已成（chéng）功（gōng）地在各个领域（yù）得到广泛的应（yīng）用，安全领域（yù）的CA就是很典型的应用。

如（rú）图所示，第三方加密服（fú）务（wù）商会提供在线的密钥服（fú）务，加密密钥安全的（de）存储分发，第（dì）三方加（jiā）密服务商不接触也（yě）不保存任何的数据，通过密钥和安（ān）全策略控制用户（hù），保护用户（hù）的实（shí）际（jì）安全（quán）。在此同时，这个服务又（yòu）对应用服务（wù）商（shāng）提供（gòng）密码安全的组件适（shì）配（pèi）服务，让（ràng）组件提供应用（yòng）服务的同时，所有的信息都能通过（guò）第三（sān）方加密（mì）再储存和（hé）传输，即使有（yǒu）人非法（fǎ）获取用户的数（shù）据，也会因为没有密钥，没有办法（fǎ）真正获取（qǔ）用户的明文信（xìn）息（xī）。数据和（hé）密（mì）码的分离（lí），有效避免因运（yùn）营（yíng）者信任问题造成的数据泄（xiè）露（lù）。而用（yòng）户（hù）本身则能通（tōng）过第三方密钥服务所得到的（de）密钥（yào）和安全策略，完（wán）成信（xìn）息在（zài）本地的加解密（mì）。

这个原理已被作为最佳实践应（yīng）用于卫士（shì）通和众多合作伙伴（bàn）的合作当中，如华（huá）为，曙（shǔ）光云，企业微（wēi）信，国产数据库（kù）和（hé）OA企业等（děng）。