今日頭條
官方微信
官方抖音
資訊頻道作者:中國電子技術(shù)標準化研究院 周睿康,姚相振,黃晶晶,李琳
摘要:當前,新一代信息技術(shù)不斷展,推動人類社會從“信息化”向“網(wǎng)絡(luò)化”“智能化”轉(zhuǎn)變,開啟了萬物互聯(lián)新時代,復雜的萬物互聯(lián)環(huán)境使得網(wǎng)絡(luò)空間面臨迥異以往的嚴峻安全挑戰(zhàn)。為維護網(wǎng)絡(luò)空間安全,我國陸續(xù)發(fā)布實施商用《網(wǎng)絡(luò)安全法》和《密碼法》等法律法規(guī),為網(wǎng)絡(luò)安全保障體系建設(shè)和密碼應用推廣工作指明了方向,但在物聯(lián)網(wǎng)等重點領(lǐng)域,商用密碼應用推廣工作還存在較大發(fā)展空間。
關(guān)鍵詞:物聯(lián)網(wǎng);商用密碼;密碼應用;網(wǎng)絡(luò)空間安全
Abstract: The continuous development of a new generation ofinformation technology has promoted the transformation of humansociety from "informatization" to "networking" and "intelligence",starting a new era of interconnection of all things. The complexinterconnection environment of all things makes cyberspace face asevere security challenge different from the past. In order to maintainthe security of cyberspace, China has issued and implemented"Cybersecurity Law", "Cryptography Law" and other laws andregulations, which pointed out the direction for the construction of thecybersecurity system and the promotion of cryptographic applications.However, in key areas such as the Internet of Things, there is still muchspace for development in the promotion of commercial cryptographyapplications.
Key words: Internet of things; Commercial cipher; Cryptographicapplications; Cyberspace security
1 引言
當前,物聯(lián)網(wǎng)、人工智能、大數(shù)據(jù)等新一代信息技術(shù)不斷發(fā)展,推動人類社會從“信息化”向“網(wǎng)絡(luò)化”“智能化”轉(zhuǎn)變,開啟了萬物互聯(lián)新時代。與此同時,復雜的萬物互聯(lián)環(huán)境使得網(wǎng)絡(luò)空間面臨迥異往的嚴峻安全挑戰(zhàn)。密碼作為國家重要戰(zhàn)略資源,是保障網(wǎng)絡(luò)空間安全的核心技術(shù)和基礎(chǔ)支撐,是解決物聯(lián)網(wǎng)環(huán)境下網(wǎng)絡(luò)安全問題的重要手段。本文針對物聯(lián)網(wǎng)領(lǐng)域密碼應用情況開展了集中研究,系統(tǒng)梳理了物聯(lián)網(wǎng)領(lǐng)域密碼應用現(xiàn)狀,深入分析了存在的問題和困難,并研究提出了下一步建議。
2 應用現(xiàn)狀:安全威脅加劇,密碼應用推廣初步啟動
物聯(lián)網(wǎng)技術(shù)在智慧城市、智慧醫(yī)療、智能汽車、智能家居和可穿戴智能設(shè)備等領(lǐng)域應用廣泛,具有連接數(shù)量多、并發(fā)訪問高、數(shù)據(jù)規(guī)模大等特點。在物聯(lián)網(wǎng)環(huán)境下,網(wǎng)絡(luò)安全邊界愈發(fā)模糊,安全威脅多元,攻擊手段多樣,風險隱患突出,對人民生命財產(chǎn)、社會公共服務,甚至國家總體安全造成嚴重影響。
(1)物聯(lián)網(wǎng)安全防護體系亟待完善
近年來,物聯(lián)網(wǎng)領(lǐng)域安全事件頻發(fā),高危漏洞頻現(xiàn),再次敲響了安全警鐘。研究顯示,2016年物聯(lián)網(wǎng)惡意軟件(Mirai)感染全球超過250萬臺視頻監(jiān)控設(shè)備,發(fā)動的拒絕服務攻擊導致美德大規(guī)模斷網(wǎng)[1] 。2017年物聯(lián)網(wǎng)病毒(BrickerBot和Satori)快速傳播,超過1000萬臺物聯(lián)網(wǎng)設(shè)備和數(shù)十萬臺家庭路由器遭受攻擊[2]。2019年數(shù)十款智能門鈴、門鎖、攝像頭、手表、音箱等電子設(shè)備爆出安全漏洞,多達8萬個網(wǎng)絡(luò)IP設(shè)備暴露在漏洞攻擊之下[3]。不難看出,網(wǎng)絡(luò)安全威脅正在向物聯(lián)網(wǎng)領(lǐng)域加速滲透,對個人隱私保護、數(shù)據(jù)安全防護、終端身份認證等提出了更高的要求。
(2)物聯(lián)網(wǎng)密碼應用工作加快部署
為解決物聯(lián)網(wǎng)領(lǐng)域面臨的網(wǎng)絡(luò)安全風險,國家有關(guān)部門組織產(chǎn)學研用各方力量積極開展技術(shù)探索和產(chǎn)品攻關(guān),加速推動國產(chǎn)商用密碼在物聯(lián)網(wǎng)領(lǐng)域的應用推廣,在終端設(shè)備身份認證、敏感信息加密保護等方面進行了有益的嘗試。一方面部分頭部企業(yè)深入開展商用密碼融合應用創(chuàng)新,通過公鑰基礎(chǔ)設(shè)施(PKI)數(shù)字證書技術(shù),建立了基于SM2、SM9等國產(chǎn)商密算法的終端設(shè)備身份認證體系,強化設(shè)備身份安全防護。另一方面,密碼廠商加大研發(fā)力度,利用SM3、SM4等國產(chǎn)商密算法,對物聯(lián)網(wǎng)業(yè)務場景中的信息數(shù)據(jù)進行加密,實現(xiàn)了個人隱私信息和重要敏感數(shù)據(jù)的機密性、完整性保護。
3 問題分析:體系亟待健全,密碼推廣力度仍需加大
隨著國產(chǎn)商用密碼應用的推廣,物聯(lián)網(wǎng)領(lǐng)域安全防護能力得到提升。據(jù)國家信息安全漏洞共享平臺(CNVD)和國家信息安全漏洞庫(CNNVD)統(tǒng)計,近五年我國物聯(lián)網(wǎng)領(lǐng)域網(wǎng)絡(luò)安全高危漏洞已呈現(xiàn)出明顯下降趨勢。但是,在推動商用密碼應用的過程中,我們發(fā)現(xiàn)還存在政策標準缺失、產(chǎn)業(yè)支撐不足、創(chuàng)新氛圍不濃等實際問題,掣肘物聯(lián)網(wǎng)領(lǐng)域安全保障體系建設(shè),密碼應用推廣工作體系還需進一步完善。
(1)重點領(lǐng)域政策標準供給亟待加強
2019年《密碼法》正式發(fā)布,對商用密碼應用推廣提出了明確要求。全國信息安全標準化技術(shù)委員會和全國密碼行業(yè)標準化技術(shù)委員會積極貫徹有關(guān)要求,組織研制了一系列密碼相關(guān)國家標準、行業(yè)標準,但物聯(lián)網(wǎng)等特定領(lǐng)域的密碼應用標準和測評規(guī)范尚存空缺。在智能家居、可穿戴設(shè)備、視頻監(jiān)控等重要應用場景中,缺少相應政策標準指導企業(yè)建立“同步規(guī)劃、同步建設(shè)、同步運行”的密碼應用機制。
(2)產(chǎn)業(yè)鏈上下游協(xié)同能力有待提升
密碼算法在物聯(lián)網(wǎng)領(lǐng)域的融合創(chuàng)新應用具有極強的技術(shù)性和復雜度,目前商用密碼應用開發(fā)和適配工作存在較高的技術(shù)難度,企業(yè)須投入大量配套資源完成商用密碼應用改造,導致產(chǎn)品成本大幅提高。此外,物聯(lián)網(wǎng)設(shè)備的計算、存儲、通信資源極為有限,密碼算法的應用必然增加算力消耗,對加密芯片、嵌入式軟件、通信協(xié)議的性能和功能要求更為嚴苛,產(chǎn)業(yè)鏈現(xiàn)有技術(shù)產(chǎn)品供給與實際應用需求存在差距[4]。
(3)密碼應用推廣良性氛圍尚需營造
物聯(lián)網(wǎng)領(lǐng)域相關(guān)企業(yè)對商用密碼的應用開發(fā)和技術(shù)改造仍然處于政策驅(qū)動階段,受研發(fā)成本和技術(shù)能力的限制,主動使用商用密碼解決復雜網(wǎng)絡(luò)環(huán)境下安全問題的意愿不強。同時,相關(guān)企業(yè)缺乏專業(yè)機構(gòu)的指導與支持,商用密碼安全應用意識不足,部分產(chǎn)品未對密鑰進行安全保護,密碼使用僅限于單點設(shè)備,對數(shù)據(jù)采集、傳輸、使用和存儲未實現(xiàn)全生命周期安全防護,相關(guān)法律、政策、標準的宣貫力度仍需加強。
4 后續(xù)展望:強化應用實踐,建設(shè)世界一流密碼強國
針對當前物聯(lián)網(wǎng)領(lǐng)域密碼應用存在的問題和困難,應按照《密碼法》有關(guān)要求,進一步強化頂層設(shè)計、統(tǒng)籌產(chǎn)業(yè)發(fā)展、抓好宣貫培訓,夯實物聯(lián)網(wǎng)領(lǐng)域密碼安全的應用基礎(chǔ),形成更為完備的應用推廣工作體系,為建設(shè)世界一流的密碼強國筑牢發(fā)展根基。
第一,構(gòu)建物聯(lián)網(wǎng)領(lǐng)域商用密碼應用推廣制度體系。結(jié)合物聯(lián)網(wǎng)領(lǐng)域技術(shù)能力和產(chǎn)業(yè)環(huán)境,組織制定并實施“一行一策”,形成國產(chǎn)商用密碼應用推廣政策標準。重點推動智能家居、可穿戴設(shè)備、視頻監(jiān)控等領(lǐng)域密碼應用標準落地實施,形成法律、政策、標準相互銜接、互為補充的制度體系,促進行業(yè)健康有序發(fā)展。
第二,打造物聯(lián)網(wǎng)商用密碼協(xié)同發(fā)展優(yōu)質(zhì)生態(tài)環(huán)境。產(chǎn)學研用各方力量須進一步形成工作合力,搭建供需對接平臺,加大產(chǎn)業(yè)供給和釋放應用需求,增強軟硬件研發(fā)和應用技術(shù)改造。上下游企業(yè)圍繞應用實施加大聯(lián)合攻關(guān)力度,打造基于商用密碼的物聯(lián)網(wǎng)設(shè)備身份認證體系,構(gòu)建密鑰安全分發(fā)機制,形成樣板工程降低應用成本,優(yōu)化產(chǎn)業(yè)生態(tài)。
第三,營造物聯(lián)網(wǎng)領(lǐng)域商用密碼應用推廣濃厚氛圍。進一步加大政策標準的宣貫力度,開展商用密碼安全應用技術(shù)培訓,引導物聯(lián)網(wǎng)領(lǐng)域頭部企業(yè)在智能家居、可穿戴設(shè)備、視頻監(jiān)控等關(guān)鍵設(shè)備中規(guī)范應用商用密碼技術(shù)。落實《密碼法》有關(guān)規(guī)定,切實做好商用密碼安全性評估,形成有依據(jù)、有指導、有評價的應用推廣機制。
作者簡介:
周睿康(1990-),男,浙江東陽人,工程師,碩士,現(xiàn)就職于中國電子技術(shù)標準化研究院,主要研究方向為工控安全、密碼學、網(wǎng)絡(luò)空間安全等。
姚相振(1984-),男,山東濟南人,高級工程師,博士,現(xiàn)任中國電子技術(shù)標準化研究院網(wǎng)絡(luò)安全研究中心主任,主要研究方向為工業(yè)互聯(lián)網(wǎng)安全、工控安全、網(wǎng)絡(luò)空間安全等。
黃晶晶(1985-),女,安徽合肥人,高級工程師,博士,現(xiàn)就職于中國電子技術(shù)標準化研究院,主要研究方向為密碼學、網(wǎng)絡(luò)空間安全、工業(yè)數(shù)據(jù)安全等。
李 琳(1983-),男,山東濟南人,高級工程師,博士,現(xiàn)就職于中國電子技術(shù)標準化研究院,主要研究方向為工業(yè)互聯(lián)網(wǎng)安全、工控安全、網(wǎng)絡(luò)空間安全等。
參考文獻:
[1] 劉劍, 蘇璞睿, 楊珉, 和亮, 張源, 朱雪陽, 林惠民. 軟件與網(wǎng)絡(luò)安全研究綜述[J]. 軟件學報, 2018,29(01):42 - 68.
[2] 王宸東, 郭淵博, 甄帥輝, 楊威超. 網(wǎng)絡(luò)資產(chǎn)探測技術(shù)研究[J]. 計算機科學, 2018, 45 (12) : 24 - 31.
[3] 張星, 張克雷, 桑鴻慶, 張浩然, 魏佩儒, 周鴻屹. 2019物聯(lián)網(wǎng)安全年報[J]. 信息安全與通信保密,2020,313 (01) : 45 - 62.
[4] 陳釗, 曾凡平, 陳國柱, 張燕詠, 李向陽. 物聯(lián)網(wǎng)安全測評技術(shù)綜述[J]. 信息安全學報, 2019, 4 (03) : 2 - 16.
摘自《自動化博覽》2021年10月刊
北京市公安局海淀分局備案號:11010802023656號