今日頭條
官方微信
官方抖音
資訊頻道當前,數字化、網絡化、智能化深入發展,加速推動網絡空間向物理空間滲透,網絡空間與物理空間邊界在消融,以網絡安全為代表的非傳統威脅與傳統威脅融合交織,深刻變革網絡安全需求和影響網絡安全格局。網絡攻擊的影響遠遠超出數據泄露、設備宕機等傳統范疇,往往會造成物理世界的直接重大損失。
國家密碼管理局商用密碼管理辦公室副主任霍煒近日在接受記者采訪時表示,互聯網難以避免的各種先天缺陷和日趨復雜的應用,以及網絡廣泛脆弱性成為常態。“找漏洞、打補丁、防病毒等被動式防御、局部式治理、增量式修復,已不能適應多變的網絡安全形勢。網絡安全日益強調全域安全,強信任、強安全、強可控、強防護成為必然要求,必須以規范使用國家認可的密碼技術為基礎,以系統性、整體性和協同性為原則,構建以密碼為基石的網絡空間新安全。”霍煒說。
核心技術受制于人成最大軟肋
人類社會的全面信息化剛剛開始。霍煒表示,在全面信息化進程中,傳統網絡威脅和脆弱點將與新技術新業態帶來的新安全威脅匯聚、交織、放大,產生比傳統網絡信息時代更廣泛、更深遠、更難以預料的破壞力。
其一,互聯網開放的特性和安全設計不完善是網絡不安全的根源。互聯網設計之初,更多考慮計算和通訊問題,安全考慮不足,更沒有預測到今天的攻擊技術,這是造成網絡安全風險的根源。業內學者普遍認為,互聯網和計算機是基于一系列邏輯構建的,在天文量級的邏輯中存在邏輯設計缺陷在所難免。安全打補丁,不僅成本高,還可能帶來新漏洞、新風險。比如:TCP/IP協議本身就是一個非安全的握手協議:采用明文方式傳輸,導致口令等敏感信息可能會被泄露;對源地址不要求真實性保證,導致源路由選擇欺騙等缺陷;很多問題從根本上無法修正,除非基于密碼技術推翻重來。
開放、共享、匿名和低進入壁壘等特性,促使互聯網迅速發展,網絡空間數據呈爆發式增長。更低成本的網絡接入、更為巨大的價值攫取、更大規模的軟硬件應用,使得網絡攻擊頻率、規模和復雜性、精準性持續上升,網絡攻擊的危害越來越大。一些國家政要的郵件數據、醫療數據被黑客實施精準攻擊,Facebook數據泄露影響國家選舉,網絡攻擊讓“茶杯里的風暴”變成社會大風暴,繼而發生“蝴蝶效應”,影響國家安全和社會穩定。一部智能手機既是娛樂設備,又是支付工具,甚至可以是工作平臺;一款處理器芯片包含各種功能單元,構成片上系統。一個應用的攻擊可能迅速擴展到其它應用,一個模塊的漏洞可能導致整個系統安全受損。
其二,網絡空間向物理空間擴張不斷誘發安全風暴。隨著三網融合、物聯網等的發展,越來越多物理世界中的系統、業務、設備被引入網絡空間。連接數量的激增帶來巨大安全風險,安全認證和安全控制將成為首要的安全需求。如果缺乏有效的安全控制機制,黑客和犯罪組織就可以利用漏洞和缺陷,感染、破壞或摧毀與網絡相連接的物理基礎設施。有數據統計,網絡攻擊中直接的“提權”攻擊占到了50%以上,間接“提權”攻擊更是超過90%;一些高端制造領域的可編程序控制器(PLC)在控制上沒有采取安全措施,指令很容易被惡意篡改,導致整個生產線或者控制線混亂或崩潰。
萬物互聯時代,物聯網、人工智能等技術與互聯網加速融合,攻擊者利用云計算的分布式算力、人工智能的強大歸納分析能力等進行破壞,安全問題往往會在短時間內產生連鎖效應,威脅呈指數級增長。2018年8月,DeepMind公司公布了首款醫療AI系統,用了近1.5萬個人工標注數據進行訓練,精度超越人類醫生。如果用于訓練的醫療數據被惡意篡改,抑或是診斷中的數據被修改,那么智慧醫療就成了智能殺手。網絡安全專家Bruce Schneier感慨:互聯網泛化引發嚴重后果,相比于被人偷了數據,我更關心我的血型數據被篡改,我的汽車剎車突然失靈,以及針對醫療設備、飛機、無人機等一切可能影響到生命安全設備的攻擊。他認為,這是一場安全的風暴,我們現在的安全失效了,我們生活在一個技術泛濫不受監管的空間,必須建立一個足夠強大的安全防御體系,防患于未然。
其三,供應鏈風險日益成為網絡安全的巨大隱患。從供應鏈安全風險管控來看,許多軟硬件提供商和服務運營商缺乏足夠的安全設計和管理風險的能力,信息產業供應鏈的全球化、產品的碎片化、信息轉移的云化等行為,使得網絡系統脆弱點和風險日益增加。信息產品的底層漏洞大量被網絡攻擊者利用,攻擊技術水平和組織效率不斷提升。2018年年初,英特爾、AMD、ARM等國外主流中央處理器芯片被曝出“熔斷”和“幽靈”漏洞,利用高性能微處理器的緩存設計,打破了應用和應用之間、應用和操作系統之間的權限壁壘,竊取計算機內存中的受保護數據,影響范圍波及幾乎全球所有電腦和移動設備用戶。從供應鏈合作風險來看,協作互信面臨巨大挑戰。特別是在網絡協作模式中,一個業務不再由單一系統完成,而是由多個系統按照分工協作完成。業務的安全邊界可能跨越多個系統,參與業務流程的不同信息系統或者服務提供方之間需要建立相互信任,共同保障業務流程安全。由于利益驅使,欺騙行為日益泛濫,網絡信任受到嚴峻挑戰。
從我國信息產品供應鏈現狀來看,核心技術受制于人成為我們最大的軟肋。我國信息產業普遍采用“技術引進—消化吸收—改進提高”的跟隨式發展思路,信息化程度很高,但安全防護與信息化發展不對等,核心技術不自主帶來安全上的不可控。2018年4月,中興被實施斷貨制裁,增加了供應鏈安全風險。7月,某創業公司存儲在國內某大型云服務商上的核心數據、用戶數據和數十萬條用戶帖子等全部丟失,事故原因就是對磁盤核心技術和固有漏洞不掌握導致的數據錯誤。對于國外信息技術產品的漏洞、后門不掌握,我們就難以做到安全可控。網絡安全核心技術不自主,是制約我國網絡安全能力發展的短板。
構建網絡空間密碼支撐和防護體系
霍煒認為,密碼是網絡安全的核心技術,是網絡信任的基石。利用密碼在安全認證、加密保護、信任傳遞等方面的重要作用,能夠有效消除或控制潛在的“安全危機”,實現被動防御向積極防御的戰略轉變。
首先,密碼支撐構建安全防護綜合體。密碼在網絡安全防護中具有保底作用,是最后一道防線。密碼技術可以實現當前OSI網絡安全架構的“鑒別、訪問控制、機密性、完整性、抗抵賴”等5種基本安全服務。通過同步設計開發基于密碼的內生安全機制,合規正確使用密碼技術、密碼模塊、密碼產品、密碼基礎設施、密碼服務等,有效提供事前、積極的正向防護,實現網絡基礎資源、信息設施、計算分析、應用服務、網絡通道、接入終端、設備控制等的全體系平臺安全;利用基于密碼技術的身份鑒別、信任管理、訪問控制、數據加密、可信計算、密文計算、數據脫敏等措施,有效解決數據產生、傳輸、存儲、處理、分析、使用、銷毀和備份等全生命周期安全。
其次,密碼助力打造安全共享價值鏈。密碼在共享協作中具有信任傳遞作用。數據的核心在于融合與挖掘,數據的價值在于共享與開放,而數據共享、交換的基礎在信任。利用基于密碼的數據標識、數字簽名、數字內容和產權保護等技術,構建真實不可抵賴的“數字契約”,打通數據融通的“信任瓶頸”,實現數據資源開放共享、安全交互。產業數字化使得大范圍、高實時、精細化、全平臺的網絡協同成為可能,信任成為首要問題。利用密碼技術可以有效保證平臺及參與各方身份的真實性,上下游數據的完整性和來源真實性等,及時定位追溯協作鏈條上的任何一個環節。
第三,密碼推動形成安全協同生態圈。密碼在上下游安全機制對接上具有橋梁紐帶作用。世界主要發達國家高度重視密碼安全的整體性安排。在國家層面,NIST(國家技術與標準研究院)、ETSI(歐洲電信標準協會)等一直在積極搶占密碼理論研究和算法前沿高地,形成算法-協議-接口-應用相互銜接的技術體系并系統推進為國際標準。在聯盟層面,主流軟硬件廠商共同組成的IETF、GP等組織都從最底層硬件到最上層功能服務各層面涉及的密碼應用做了詳細規定,并上下兼容成為體系。在公司層面,IBM、Google、微軟、波音等公司都有獨立的密碼研究和安全設計能力,都有懂密碼的頂尖安全人才(Google有頂尖的密碼分析與量子計算團隊;微軟有專門的可信計算事業部)。事實證明,通過在上下游產品間、產品與系統間、系統與業務間實現對密碼的相互支持、協同配合,有助于掌握網絡安全的核心架構,有助于營造網絡安全的產業生態,有助于形成安全可控的技術體系。
最后,密碼促進激發安全發展創造力。密碼在新興技術發展中具有雙向促進作用。一方面,圍繞密碼的攻防驅動技術創新。二戰時期,為破解德軍恩尼格瑪機械密碼機而設計的圖靈機,成為現代計算機的原型;20世紀90年代為了破解RSA密碼算法而提出的量子大整數分解Shor算法,推動了量子計算機研制由理論變為現實。另一方面,技術創新倒逼密碼創新。云計算為同態密碼理論創新注入了強大動力;移動互聯和物聯網使得終端密碼計算過程安全成為新工程實現的挑戰;量子計算使得抗量子密碼算法設計成為新發展方向,等等。當前,新舊技術頻繁更替成為常態。近十年來,相繼發生了以iOS和Android系統為代表的移動智能終端操作系統,逆襲以Windows為代表的PC操作系統,以及以云操作系統架構顛覆傳統信息服務系統架構等經典案例。抓住新興技術對安全、對密碼的迫切需求,及其在業態和模式上的顛覆性特征,促進新技術與密碼深度融合、協同創新,是我國核心技術換道超車和網絡安全迎頭趕上的重要機遇。
推動密碼與網絡空間深度融合發展
霍煒強調,以密碼為基石的網絡空間新安全,就是要推動密碼與網絡空間持續深度融合,構建新網絡安全體系,建設新網絡安全環境,形成新網絡安全文明。
第一,以創新發展強融合,構建以密碼技術為核心、多種技術相互融合的新網絡安全體系。要緊盯前沿技術,通過密碼技術與前沿技術的深度融合和協同創新,引領信息領域關鍵核心技術的創新與突破,包括:布局與量子技術、云計算、大數據、物聯網、人工智能、區塊鏈等新興技術的融合,布局與電子交易、電子支付、數字貨幣、互聯網金融等新興金融服務業態的融合,布局與數字農業、工業互聯網、智能制造、服務業智能化、電子商務、智慧物流、分享經濟、平臺經濟、網絡化協同創新等產業數字化重點方向的融合,布局與教育、衛生健康、社會保障、就業服務等信息惠民新方式的融合。
要打造產業生態,強化安全體系設計特別是密碼使用的設計,在產品研制之初就把密碼設計進去,在提供計算和信息服務的同時,也要同步提供安全能力,形成良好產業生態。在網絡生態上,包括移動通信網、物聯網、廣播電視網等基礎通信網絡;在云管端生態上,包括云平臺底層設備和架構、網絡管道設備、移動智能終端和瀏覽器;在工業產品生態上,包括通用處理器、操作系統、數據庫、中間件等基礎軟硬件,以及工業互聯網和智能制造相關的裝備和控制系統等,都要支持國家認可的密碼。
要夯實創新支撐,加強面向新興技術發展需要和安全需求的密碼基礎理論、關鍵技術、交叉技術和應用技術研究,完善通用基礎和行業領域相結合的密碼標準體系,推動建立國家密碼科技創新基地、行業密碼應用研究中心、密碼開源庫和共享平臺,建設密碼產業聯盟和產業園區,加快培育密碼領軍企業,夯實密碼產業供給支撐。
第二,以全面應用促融合,建設以密碼基礎設施為底層支撐的新網絡安全環境。應用是從技術創新到價值創造的必經之路,也是密碼的發展之基、生存之要,必須堅持以應用為先導、以應用促創新、以應用促融合、以應用促迭代,在應用中改進和提升,實現密碼全面應用與創新發展。
要控制源頭,涉及網絡安全相關的法規政策、規劃標準,要落實國家密碼應用政策要求;新建網絡信息系統,要同步規劃、同步建設、同步運行密碼保障體系。要立足基礎,加強關鍵信息基礎設施密碼保障體系建設,包括金融業信息基礎設施、交通運輸網絡、能源基礎設施、資源信息化網絡、大數據中心和國家基礎信息資源庫等。要加強測評,注重密碼防護的系統性、整體性、動態性,注重密碼應用的合規性、正確性、有效性,依法開展密碼應用安全性評估。要壓實責任,重點是落實網絡安全法規和密碼法規要求,明確網絡運營者和信息技術產品提供者密碼應用的主體責任。
第三,以科學普及助融合,實現安全互信、開放共享的新網絡安全文明。要積極開展密碼政策和知識培訓,持續提高對密碼應用工作的認識。要拓展密碼宣傳普及渠道,增強人們使用密碼保護網絡安全的意識,加強對青少年普及教育,在科技館、博物館及科研院校建立密碼主題科普基地、體驗館或體驗區。要加強學校密碼教育,選取有條件的高校建設示范性密碼學院系,將密碼技術等基礎知識納入相關專業或課程。要建設密碼人才培訓和實訓基地,開展網絡安全攻防競賽,發現和培養懂密碼、懂網絡、懂產業、懂應用、懂實戰,具有網絡安全體系性思維的實戰型、研究型、管理型人才。
來源:經濟參考網
北京市公安局海淀分局備案號:11010802023656號