今日頭條
官方微信
官方抖音
資訊頻道作者:中國電子技術標準化研究院 周睿康,姚相振,黃晶晶,李琳
摘要:當前,新一代信息技術不斷展,推動人類社會從“信息化”向“網絡化”“智能化”轉變,開啟了萬物互聯新時代,復雜的萬物互聯環境使得網絡空間面臨迥異以往的嚴峻安全挑戰。為維護網絡空間安全,我國陸續發布實施商用《網絡安全法》和《密碼法》等法律法規,為網絡安全保障體系建設和密碼應用推廣工作指明了方向,但在物聯網等重點領域,商用密碼應用推廣工作還存在較大發展空間。
關鍵詞:物聯網;商用密碼;密碼應用;網絡空間安全
Abstract: The continuous development of a new generation ofinformation technology has promoted the transformation of humansociety from "informatization" to "networking" and "intelligence",starting a new era of interconnection of all things. The complexinterconnection environment of all things makes cyberspace face asevere security challenge different from the past. In order to maintainthe security of cyberspace, China has issued and implemented"Cybersecurity Law", "Cryptography Law" and other laws andregulations, which pointed out the direction for the construction of thecybersecurity system and the promotion of cryptographic applications.However, in key areas such as the Internet of Things, there is still muchspace for development in the promotion of commercial cryptographyapplications.
Key words: Internet of things; Commercial cipher; Cryptographicapplications; Cyberspace security
1 引言
當前,物聯網、人工智能、大數據等新一代信息技術不斷發展,推動人類社會從“信息化”向“網絡化”“智能化”轉變,開啟了萬物互聯新時代。與此同時,復雜的萬物互聯環境使得網絡空間面臨迥異往的嚴峻安全挑戰。密碼作為國家重要戰略資源,是保障網絡空間安全的核心技術和基礎支撐,是解決物聯網環境下網絡安全問題的重要手段。本文針對物聯網領域密碼應用情況開展了集中研究,系統梳理了物聯網領域密碼應用現狀,深入分析了存在的問題和困難,并研究提出了下一步建議。
2 應用現狀:安全威脅加劇,密碼應用推廣初步啟動
物聯網技術在智慧城市、智慧醫療、智能汽車、智能家居和可穿戴智能設備等領域應用廣泛,具有連接數量多、并發訪問高、數據規模大等特點。在物聯網環境下,網絡安全邊界愈發模糊,安全威脅多元,攻擊手段多樣,風險隱患突出,對人民生命財產、社會公共服務,甚至國家總體安全造成嚴重影響。
(1)物聯網安全防護體系亟待完善
近年來,物聯網領域安全事件頻發,高危漏洞頻現,再次敲響了安全警鐘。研究顯示,2016年物聯網惡意軟件(Mirai)感染全球超過250萬臺視頻監控設備,發動的拒絕服務攻擊導致美德大規模斷網[1] 。2017年物聯網病毒(BrickerBot和Satori)快速傳播,超過1000萬臺物聯網設備和數十萬臺家庭路由器遭受攻擊[2]。2019年數十款智能門鈴、門鎖、攝像頭、手表、音箱等電子設備爆出安全漏洞,多達8萬個網絡IP設備暴露在漏洞攻擊之下[3]。不難看出,網絡安全威脅正在向物聯網領域加速滲透,對個人隱私保護、數據安全防護、終端身份認證等提出了更高的要求。
(2)物聯網密碼應用工作加快部署
為解決物聯網領域面臨的網絡安全風險,國家有關部門組織產學研用各方力量積極開展技術探索和產品攻關,加速推動國產商用密碼在物聯網領域的應用推廣,在終端設備身份認證、敏感信息加密保護等方面進行了有益的嘗試。一方面部分頭部企業深入開展商用密碼融合應用創新,通過公鑰基礎設施(PKI)數字證書技術,建立了基于SM2、SM9等國產商密算法的終端設備身份認證體系,強化設備身份安全防護。另一方面,密碼廠商加大研發力度,利用SM3、SM4等國產商密算法,對物聯網業務場景中的信息數據進行加密,實現了個人隱私信息和重要敏感數據的機密性、完整性保護。
3 問題分析:體系亟待健全,密碼推廣力度仍需加大
隨著國產商用密碼應用的推廣,物聯網領域安全防護能力得到提升。據國家信息安全漏洞共享平臺(CNVD)和國家信息安全漏洞庫(CNNVD)統計,近五年我國物聯網領域網絡安全高危漏洞已呈現出明顯下降趨勢。但是,在推動商用密碼應用的過程中,我們發現還存在政策標準缺失、產業支撐不足、創新氛圍不濃等實際問題,掣肘物聯網領域安全保障體系建設,密碼應用推廣工作體系還需進一步完善。
(1)重點領域政策標準供給亟待加強
2019年《密碼法》正式發布,對商用密碼應用推廣提出了明確要求。全國信息安全標準化技術委員會和全國密碼行業標準化技術委員會積極貫徹有關要求,組織研制了一系列密碼相關國家標準、行業標準,但物聯網等特定領域的密碼應用標準和測評規范尚存空缺。在智能家居、可穿戴設備、視頻監控等重要應用場景中,缺少相應政策標準指導企業建立“同步規劃、同步建設、同步運行”的密碼應用機制。
(2)產業鏈上下游協同能力有待提升
密碼算法在物聯網領域的融合創新應用具有極強的技術性和復雜度,目前商用密碼應用開發和適配工作存在較高的技術難度,企業須投入大量配套資源完成商用密碼應用改造,導致產品成本大幅提高。此外,物聯網設備的計算、存儲、通信資源極為有限,密碼算法的應用必然增加算力消耗,對加密芯片、嵌入式軟件、通信協議的性能和功能要求更為嚴苛,產業鏈現有技術產品供給與實際應用需求存在差距[4]。
(3)密碼應用推廣良性氛圍尚需營造
物聯網領域相關企業對商用密碼的應用開發和技術改造仍然處于政策驅動階段,受研發成本和技術能力的限制,主動使用商用密碼解決復雜網絡環境下安全問題的意愿不強。同時,相關企業缺乏專業機構的指導與支持,商用密碼安全應用意識不足,部分產品未對密鑰進行安全保護,密碼使用僅限于單點設備,對數據采集、傳輸、使用和存儲未實現全生命周期安全防護,相關法律、政策、標準的宣貫力度仍需加強。
4 后續展望:強化應用實踐,建設世界一流密碼強國
針對當前物聯網領域密碼應用存在的問題和困難,應按照《密碼法》有關要求,進一步強化頂層設計、統籌產業發展、抓好宣貫培訓,夯實物聯網領域密碼安全的應用基礎,形成更為完備的應用推廣工作體系,為建設世界一流的密碼強國筑牢發展根基。
第一,構建物聯網領域商用密碼應用推廣制度體系。結合物聯網領域技術能力和產業環境,組織制定并實施“一行一策”,形成國產商用密碼應用推廣政策標準。重點推動智能家居、可穿戴設備、視頻監控等領域密碼應用標準落地實施,形成法律、政策、標準相互銜接、互為補充的制度體系,促進行業健康有序發展。
第二,打造物聯網商用密碼協同發展優質生態環境。產學研用各方力量須進一步形成工作合力,搭建供需對接平臺,加大產業供給和釋放應用需求,增強軟硬件研發和應用技術改造。上下游企業圍繞應用實施加大聯合攻關力度,打造基于商用密碼的物聯網設備身份認證體系,構建密鑰安全分發機制,形成樣板工程降低應用成本,優化產業生態。
第三,營造物聯網領域商用密碼應用推廣濃厚氛圍。進一步加大政策標準的宣貫力度,開展商用密碼安全應用技術培訓,引導物聯網領域頭部企業在智能家居、可穿戴設備、視頻監控等關鍵設備中規范應用商用密碼技術。落實《密碼法》有關規定,切實做好商用密碼安全性評估,形成有依據、有指導、有評價的應用推廣機制。
作者簡介:
周睿康(1990-),男,浙江東陽人,工程師,碩士,現就職于中國電子技術標準化研究院,主要研究方向為工控安全、密碼學、網絡空間安全等。
姚相振(1984-),男,山東濟南人,高級工程師,博士,現任中國電子技術標準化研究院網絡安全研究中心主任,主要研究方向為工業互聯網安全、工控安全、網絡空間安全等。
黃晶晶(1985-),女,安徽合肥人,高級工程師,博士,現就職于中國電子技術標準化研究院,主要研究方向為密碼學、網絡空間安全、工業數據安全等。
李 琳(1983-),男,山東濟南人,高級工程師,博士,現就職于中國電子技術標準化研究院,主要研究方向為工業互聯網安全、工控安全、網絡空間安全等。
參考文獻:
[1] 劉劍, 蘇璞睿, 楊珉, 和亮, 張源, 朱雪陽, 林惠民. 軟件與網絡安全研究綜述[J]. 軟件學報, 2018,29(01):42 - 68.
[2] 王宸東, 郭淵博, 甄帥輝, 楊威超. 網絡資產探測技術研究[J]. 計算機科學, 2018, 45 (12) : 24 - 31.
[3] 張星, 張克雷, 桑鴻慶, 張浩然, 魏佩儒, 周鴻屹. 2019物聯網安全年報[J]. 信息安全與通信保密,2020,313 (01) : 45 - 62.
[4] 陳釗, 曾凡平, 陳國柱, 張燕詠, 李向陽. 物聯網安全測評技術綜述[J]. 信息安全學報, 2019, 4 (03) : 2 - 16.
摘自《自動化博覽》2021年10月刊
北京市公安局海淀分局備案號:11010802023656號