今日頭條
官方微信
官方抖音
資訊頻道2019年10月24日,中央政治局就區塊鏈技術進行第十八次集體學習,習近平總書記強調要加快區塊鏈產業發展,加強區塊鏈應用管理,加強區塊鏈密碼研究.10月26日,十三屆全國人大常委會第十四次會議通過《中華人民共和國密碼法》(以下簡稱《密碼法》),習近平主席簽署35號主席令予以公布,2020年1月1日起施行.
當前,網絡空間爭奪日益成為大國博弈的主戰場,并呈現出強對抗性、強戰略性、強實戰性3個特征.隨著網絡空間的重要性日益凸顯,網絡空間安全成為國家安全的重中之重.密碼是保障網絡空間安全的根本性核心技術,必須全面貫徹落實《密碼法》,積極推進密碼和自主安全技術的應用,推動密碼與網絡可信體系深度融合與創新發展,構筑可信、可控、可管、可用的網絡空間.
1 泛在可控是網絡空間安全的迫切需求
21世紀以來,隨著物聯網、移動互聯網、工業互聯網等新興網絡形態的出現,網絡的內涵已遠遠超出“互聯網(Internet)”的范圍.網絡空間不再僅僅是以計算機作為主要終端的虛擬世界,它正與物理空間和現實世界快速融合,信息基礎設施、電磁空間、信息空間甚至人員空間,都處在廣義網絡空間的范圍之內.如今的網絡空間,已經成為繼陸、海、空、天之后,人類生產生活的“第五空間”.
習近平總書記強調:“要樹立正確的網絡安全觀.不斷強化網絡安全意識,在頭腦中真正筑起網絡安全的‘防火墻’”.多年來網絡安全發展的實踐表明:網絡發展到哪里,網絡安全研究與應對必須跟到哪里.隨著網絡空間內涵和外延的擴展,網絡安全研究與應對也在逐漸演進,從最初僅關注保護信息安全,演進到保護網絡基礎設施安全,再到如今保護廣義網絡空間的安全.
在數字世界與現實物理空間深度融合的趨勢下,網絡空間安全不再是簡單的“黑客入侵”,而是在通信網絡、基礎設施、電磁空間、人才培養等各個層面全方位、成體系的對抗與博弈.數據資源成為爭奪的焦點,密碼攻防成為終極對決.必須系統研究新的網絡安全形態與需求,加強應對策略,盡快形成制衡能力.
分析來看,網絡空間安全需求已經發生重大變革,從傳統上的保密性、完整性、可用性、抗抵賴性等基本安全需求,演進到網絡泛在可控的安全需求.如何在泛在互聯的網絡空間,實現設施、頻譜、數據、人員的可信、可控、可管、可用,是當前網絡空間安全面臨的重大挑戰.
網絡泛化引發嚴重后果,網絡安全已不再局限于傳統意義上的物質、財產損失,而是直接影響到運營、制造乃至生命.網絡安全專家Bruce Schneier感慨,相比于被人偷了數據,我更關心我的血型數據被篡改,我的汽車剎車突然失靈,以及針對醫療設備、飛機、無人機等一切可能影響到生命安全設備的攻擊.他認為,這是一場安全的風暴,我們現在的安全機制失效了,必須基于網絡空間新的安全需求,建立一個足夠強大的防御體系,防患于未然.
2 密碼是網絡空間泛在可控的根本性核心技術
密碼為保護信息安全而生.密碼的作用從傳統的傳輸加密存儲加密,發展到身份認證實體鑒別;從對主機系統的可信計算,發展到網絡空間的可信可控;從信息數據防偽控制,發展到安全隔離可靠交換.密碼作為網絡空間安全的核心技術和基礎支撐,是有完備和堅實的數學理論做基礎,是經過嚴格數學證明的.
其他的網絡安全手段和技術,比如防火墻、入侵檢測等也都是有用的,但都沒有理論支撐,難以從理論上證明安全.隨著網絡空間安全的演進,密碼的作用將從最初的通信保密,拓展為網絡空間信任體系構建的核心,在應對網絡空間泛在可控挑戰中,具有不可替代的重要作用.
1)密碼支撐構建網絡空間信任體系.
網絡本質是解決互聯互通,其天生就是不安全的.要增強網絡的安全性,就要通過密碼技術使每個聯網實體可信、可管、可控,比如密碼對每臺手機、每臺終端、每臺路由器、每臺交換機的支持,就可以實現網絡的內生可信和安全.未來學家認為,“人類社會全面信息化剛剛開始”.在未來網絡空間,物理世界與虛擬世界邊界消弭、現實世界與數字世界深度融合.
有專家分析認為,未來網絡空間,可信是基礎,融合是趨勢,合作是必然;溯源是能力,控制是關鍵,身份是根本.密碼將像空氣一樣無處不在、不可替代.只有密碼,才能保證并證明硬件及軟件的可信,打造可信網絡空間;只有密碼,才能邏輯上分清你我、分清敵友,實現網絡融合;只有密碼,才能完成不泄露秘密的安全委托計算,實現網絡合作.
只有密碼,才能提供不可偽造的信息來源證明,實現網絡溯源與治理;只有密碼,才能保證智慧社會數據的準確和不被篡改,實現網絡控制;只有密碼,才能進行有效網絡身份管理,構建網絡可信秩序.未來網絡空間,數據就是財富,安全才有價值.無論網絡空間如何發展,密碼都是網絡空間安全體系的基石.沒有密碼,未來網絡空間將沒有未來.
2)密碼應用和管理的的發展趨勢.
隨著網絡空間的發展,密碼應用和管理將表現為基因化、泛在化、標準化和多樣化的基本特征.
所謂基因化,是指密碼功能正在日益成為信息產品和信息系統的內生功能.傳統上,密碼產品是以密碼機、密碼卡、智能密碼鑰匙、密碼芯片等獨立物理形態存在,信息產品、信息系統對密碼產品的使用是“外掛式”的,通過物理或邏輯接口調用密碼產品,來實現加解密、簽名驗簽等密碼操作.
隨著信息技術和信息產業發展,對密碼效率、便捷性和通用性的要求,使得“外掛式”密碼應用越來越不能適應需求,將密碼功能集成在處理器芯片、主機操作系統等基礎軟硬件產品中,使密碼成為信息產品的內生功能,是密碼應用的發展趨勢.
所謂泛在化,是指密碼廣泛分布于網絡空間,大到骨干網路由器、小到RFID,都必須實現密碼功能以承載基于密碼的安全機制.當今,密碼已經走進千家萬戶,從涉及政權安全的保密通信、軍事指揮,到涉及國民經濟的金融交易、防偽稅控,再到涉及公民權益的電子支付、網上辦事等.密碼泛在化成為趨勢,這與萬物互聯密不可分.
當前,個人消費、智能家居、教育醫療、工業制造等社會生產生活的各個方面已經與網絡建立廣泛聯接.未來,5G完成部署后,智能駕駛、個人健康管理等應用將逐漸成為網絡空間新熱點.在萬物互聯的網絡空間,在智聯智融的新時代,來自物理空間的數據被集中、分散、加工、處理,任何一個環節、任何一個流向都離不開安全接入、身份鑒別、訪問控制、加密保護等安全控制.密碼將滲透到網絡空間每一個角落,實現各類安全控制機制.
所謂標準化,是指密碼算法、密碼協議、密碼功能接口、密碼產品規格、密碼應用要求等,都以國家、行業或團體標準的形式固定下來.多年實踐表明,標準化是互聯互通的前提,是一項技術走向大規模商業化應用的必然選擇.
我國的商用密碼曾長期沿襲定制化發展道路,每個算法、每個產品、每項應用,都是定制化的,雖然這種做法為密碼產業的培育做出過歷史貢獻,但定制化所帶來的算法依賴、產品依賴、廠商依賴等,阻礙了密碼產業的規模化發展以及密碼應用的規模化部署.
自2012年起,我國商用密碼算法和技術開始走向標準化道路,如今已經初步形成完整的密碼標準體系,通過標準定義通用的算法和協議,定義通用的產品和服務接口,掃除了不同密碼產品、不同應用系統間的互聯互通障礙,為密碼在社會各行業普及應用奠定了基礎.
所謂多樣化,是指密碼形態和應用場景的多樣化.密碼應用已延伸到數字金融、物聯網、智能制造、供應鏈管理、數字資產交易、區塊鏈等多個領域,展現出廣泛的應用前景.適應并滿足應用需求是對密碼產品的基本要求,也是密碼產品生命力和價值的體現.網絡空間泛在互聯使得承載于網絡的業務日漸增多,業務的多樣化決定了安全需求的多樣化,進而決定了密碼應用場景的多樣化.
多樣化的應用場景對密碼產品和功能實現提出不同要求,期望以“廣譜適用”的密碼產品應對所有場景是不現實的,密碼產品形態、密碼功能實現方式等,都必須為適應應用場景而作出積極變革.
3)密碼應用部署的基本要求.
從網絡空間安全需求來看,密碼應用部署將是戰略性、體系性、同步性和動態性的.
所謂戰略性,就是密碼應用是網絡空間安全的根本性要求,不是一般性安排.密碼被譽為黨和國家的“命門”“命脈”,密碼工作被定位為黨和國家事業發展的“生命線、保障線、指揮線”.推進密碼應用是黨中央作出的重要決策,是《密碼法》明確的法定事項,是維護國家安全、提升網絡空間安全保障能力的戰略性部署,是政治責任所系、嚴峻形勢所迫、職責任務所在、時代發展所需.
所謂體系性,就是密碼應用要突出整體設計與系統實施,不是密碼設備碎片化堆砌.網絡空間安全遵循木桶原理,局部的安全不能支撐全局安全,片面的防護不能代表整體防御.推進密碼應用強調從頂層設計入手,通過自上而下的體系化設計,綜合運用技術、管理、測評等手段,綜合考慮物理安全、網絡安全、系統安全、應用安全等不同層面,基于網絡的安全需求,應對網絡潛在風險,站在整體角度設計密碼應用解決方案.
所謂同步性,就是密碼應用強調與網絡信息系統建設要齊步走,不是簡單外掛與修復.實踐證明“外掛式”安全所達到的效果是有限的.不能在網絡信息系統建成之后,再以“打補丁”的方式去考慮網絡信息安全保障和密碼應用,必須在網絡信息系統設計之初、建設之時,就要把密碼融入到網絡信息系統整體架構中,同步規劃、同步設計、同步建設、同步運行密碼保障體系,定期進行密碼應用安全性評估.
所謂動態性,就是要注重網絡安全與密碼安全的動態管理,在安全防護上不能一勞永逸.包括密碼在內的任何安全技術,其安全強度都是相對的、動態的.幾十年前的DES密碼算法如今用普通計算機即可在有限時間內破解密鑰,長期被認為足夠安全的RSA算法在量子計算條件下變得異常脆弱.
密碼安全支撐網絡安全,網絡風險也沖擊密碼安全.在密碼應用中不能秉持“一次投資、永遠安全”的觀念,應通過定期風險評估、密碼應用安全性評估等手段,持續跟蹤系統安全風險水平和密碼應用的有效性,適時采取措施更新密碼算法、產品,必要時重新設計密碼應用方案、重新建設密碼應用保障體系.
3 全面落實《密碼法》賦予的法定責任
《密碼法》第一條就指出其立法宗旨是,規范密碼應用、保障網絡與信息安全,維護國家安全和社會公共利益.管理部門、產業單位、用戶部門都應落實《密碼法》賦予的法定責任,用密碼技術支撐構建可信、可控、可管、可用的網絡空間.
一是落實主體責任.從密碼管理部門來看,《密碼法》確立了國家、省、市、縣四級密碼管理體制,要在職責范圍內履行密碼管理和保障職責,確保各項制度措施落到實處.
對于商用密碼應用和管理來講,就是要基于網絡空間安全,重塑密碼管理與服務體系.從網絡和信息化部門來看,重點是通過檢測認證,將涉及國家安全、國計民生、社會公共利益的商用密碼產品,依法列入網絡關鍵設備和網絡安全專用產品目錄,確保密碼產品供給高質量;還要協調網絡安全評估、關鍵信息基礎設施評估和密碼應用安全性評估的有機銜接機制等.
從網絡運營者來看,要落實《密碼法》對密碼應用的法定要求,落實關鍵信息基礎設施密碼應用,自行或者委托商用密碼檢測機構開展商用密碼應用安全性評估,不管是自行還是委托,都需要符合相關標準和流程;采購涉及商用密碼的網絡產品和服務,可能影響國家安全的,按照《中華人民共和國網絡安全法》的規定,還要通過有關部門組織的國家安全審查.
從網絡信息系統主管來看,要熟悉《密碼法》及相關文件要求,掌握密碼知識與政策,了解承擔的法律責任,做到知密碼、懂密碼、用密碼、愛密碼,自覺推動密碼應用和依法規范管理.
二是堅持應用牽引.要堅定不移推進密碼廣泛應用,突出應用牽引,實施“密碼+”行動,這既是網絡空間之需,也是密碼發展之要.各行業主管部門應將密碼應用納入本行業領域信息化發展規劃,縣級以上政府應將密碼工作納入本級國民經濟和社會發展規劃.落實《密碼法》要與貫徹中央36號文等政策文件結合起來,著力在金融領域、基礎網絡、數字經濟和信息惠民領域推進密碼應用,努力在金融、交通、能源、自然資源、基礎網絡和信息服務、國防科技和工業制造、公共服務、電子政務等領域實現密碼的規模化應用.
三是建設產業生態.密碼高質量供給,歸根結底靠產業,產業的強大依賴于產業生態的完善.一方面,要發揮好市場優勢,進一步打通密碼創新鏈、應用鏈、價值鏈,強化密碼產業鏈上下游銜接互動.要加強密碼學科建設和密碼人才培養,推動高等院校、科研院所和企業深度合作.通過學、研、產、用等協同發力,促進密碼產業生態形成.
另一方面,密碼與網絡安全、信息技術的產業生態具有協同性,要支持基礎軟硬件、工業控制系統、通信設施設備等底層嵌入式密碼技術和產品研發,通過在上下游產品間、產品與系統間、系統與業務間實現對密碼的相互支持,充分發揮密碼標準與網安標準的引領作用,推動密碼產業與網信產業的協同發展、融合發展,推動構建國家網絡空間可信產業生態體系.
四是加強科技創新.一方面,要強化密碼基礎理論研究,基礎研究搞不好,應用技術就是無源之水.《密碼法》專門規定對密碼科技研究的鼓勵與支持.國家密碼管理局正在推動相關專項予以支持.通過密碼基礎研究,提升原始創新能力,占據創新制高點,取得產業新優勢.
另一方面,促進密碼與區塊鏈、大數據、物聯網、人工智能、5G、工業互聯網等前沿技術的深度融合,推動集成創新和融合應用,為國家網絡空間安全提供堅實的基礎支撐.比如密碼技術與分布式技術融合創新,就產生了偉大的區塊鏈技術,他將改變人類社會的價值傳遞方式.未來,密碼技術與網絡空間等前沿技術的融合創新,也必將為網絡空間可信體系建設提供最新解決方案.
霍煒,國家密碼管理局商用密碼管理辦公室副主任.主要負責我國商用密碼應用與管理、密碼應用安全性評估體系建設、密碼產業促進與市場體系建設等工作.
來源: 信息安全與通信保密雜志社
北京市公安局海淀分局備案號:11010802023656號