中关村可信计算产业联盟订阅号

 

敬请关注

霍炜:构筑可信、可控、可管、可用的网络空

首页    专家观点    霍炜:构筑可信、可控、可管、可用的网络空
 
信息安全研究 信息安全与通信保密杂志社  
 
 
霍炜,国家密码管理局商用密码管理办公室副主任.主要负责我国商用密码应用与管理、密码应用安全性评估体系建设、密码产业促进与市场体系建设等工作.
 
 
2019年10月24日,中央政治局就区块链技术进行第十八次集体学习,习近平总书记强调要加快区块链产业发展,加强区块链应用管理,加强区块链密码研究.10月26日,十三届全国人大常委会第十四次会议通过《中华人民共和国密码法》(以下简称《密码法》),习近平主席签署35号主席令予以公布,2020年1月1日起施行.
当前,网络空间争夺日益成为大国博弈的主战场,并呈现出强对抗性、强战略性、强实战性3个特征.随着网络空间的重要性日益凸显,网络空间安全成为国家安全的重中之重.密码是保障网络空间安全的根本性核心技术,必须全面贯彻落实《密码法》,积极推进密码和自主安全技术的应用,推动密码与网络可信体系深度融合与创新发展,构筑可信、可控、可管、可用的网络空间.
 
1  泛在可控是网络空间安全的迫切需求
 
21世纪以来,随着物联网、移动互联网、工业互联网等新兴网络形态的出现,网络的内涵已远远超出“互联网(Internet)”的范围.网络空间不再仅仅是以计算机作为主要终端的虚拟世界,它正与物理空间和现实世界快速融合,信息基础设施、电磁空间、信息空间甚至人员空间,都处在广义网络空间的范围之内.如今的网络空间,已经成为继陆、海、空、天之后,人类生产生活的“第五空间”.
习近平总书记强调:“要树立正确的网络安全观.不断强化网络安全意识,在头脑中真正筑起网络安全的‘防火墙’”.多年来网络安全发展的实践表明:网络发展到哪里,网络安全研究与应对必须跟到哪里.随着网络空间内涵和外延的扩展,网络安全研究与应对也在逐渐演进,从最初仅关注保护信息安全,演进到保护网络基础设施安全,再到如今保护广义网络空间的安全.
在数字世界与现实物理空间深度融合的趋势下,网络空间安全不再是简单的“黑客入侵”,而是在通信网络、基础设施、电磁空间、人才培养等各个层面全方位、成体系的对抗与博弈.数据资源成为争夺的焦点,密码攻防成为终极对决.必须系统研究新的网络安全形态与需求,加强应对策略,尽快形成制衡能力.
分析来看,网络空间安全需求已经发生重大变革,从传统上的保密性、完整性、可用性、抗抵赖性等基本安全需求,演进到网络泛在可控的安全需求.如何在泛在互联的网络空间,实现设施、频谱、数据、人员的可信、可控、可管、可用,是当前网络空间安全面临的重大挑战.

网络泛化引发严重后果,网络安全已不再局限于传统意义上的物质、财产损失,而是直接影响到运营、制造乃至生命.网络安全专家Bruce Schneier感慨,相比于被人偷了数据,我更关心我的血型数据被篡改,我的汽车刹车突然失灵,以及针对医疗设备、飞机、无人机等一切可能影响到生命安全设备的攻击.他认为,这是一场安全的风暴,我们现在的安全机制失效了,必须基于网络空间新的安全需求,建立一个足够强大的防御体系,防患于未然.

 
2  密码是网络空间泛在可控的根本性核心技术
 
密码为保护信息安全而生.密码的作用从传统的传输加密存储加密,发展到身份认证实体鉴别;从对主机系统的可信计算,发展到网络空间的可信可控;从信息数据防伪控制,发展到安全隔离可靠交换.密码作为网络空间安全的核心技术和基础支撑,是有完备和坚实的数学理论做基础,是经过严格数学证明的.
其他的网络安全手段和技术,比如防火墙、入侵检测等也都是有用的,但都没有理论支撑,难以从理论上证明安全.随着网络空间安全的演进,密码的作用将从最初的通信保密,拓展为网络空间信任体系构建的核心,在应对网络空间泛在可控挑战中,具有不可替代的重要作用.
1)密码支撑构建网络空间信任体系.
网络本质是解决互联互通,其天生就是不安全的.要增强网络的安全性,就要通过密码技术使每个联网实体可信、可管、可控,比如密码对每台手机、每台终端、每台路由器、每台交换机的支持,就可以实现网络的内生可信和安全.未来学家认为,“人类社会全面信息化刚刚开始”.在未来网络空间,物理世界与虚拟世界边界消弭、现实世界与数字世界深度融合.
有专家分析认为,未来网络空间,可信是基础,融合是趋势,合作是必然;溯源是能力,控制是关键,身份是根本.密码将像空气一样无处不在、不可替代.只有密码,才能保证并证明硬件及软件的可信,打造可信网络空间;只有密码,才能逻辑上分清你我、分清敌友,实现网络融合;只有密码,才能完成不泄露秘密的安全委托计算,实现网络合作.
只有密码,才能提供不可伪造的信息来源证明,实现网络溯源与治理;只有密码,才能保证智慧社会数据的准确和不被篡改,实现网络控制;只有密码,才能进行有效网络身份管理,构建网络可信秩序.未来网络空间,数据就是财富,安全才有价值.无论网络空间如何发展,密码都是网络空间安全体系的基石.没有密码,未来网络空间将没有未来.
2)密码应用和管理的的发展趋势.
随着网络空间的发展,密码应用和管理将表现为基因化、泛在化、标准化和多样化的基本特征.
所谓基因化,是指密码功能正在日益成为信息产品和信息系统的内生功能.传统上,密码产品是以密码机、密码卡、智能密码钥匙、密码芯片等独立物理形态存在,信息产品、信息系统对密码产品的使用是“外挂式”的,通过物理或逻辑接口调用密码产品,来实现加解密、签名验签等密码操作.
随着信息技术和信息产业发展,对密码效率、便捷性和通用性的要求,使得“外挂式”密码应用越来越不能适应需求,将密码功能集成在处理器芯片、主机操作系统等基础软硬件产品中,使密码成为信息产品的内生功能,是密码应用的发展趋势.
所谓泛在化,是指密码广泛分布于网络空间,大到骨干网路由器、小到RFID,都必须实现密码功能以承载基于密码的安全机制.当今,密码已经走进千家万户,从涉及政权安全的保密通信、军事指挥,到涉及国民经济的金融交易、防伪税控,再到涉及公民权益的电子支付、网上办事等.密码泛在化成为趋势,这与万物互联密不可分.
当前,个人消费、智能家居、教育医疗、工业制造等社会生产生活的各个方面已经与网络建立广泛联接.未来,5G完成部署后,智能驾驶、个人健康管理等应用将逐渐成为网络空间新热点.在万物互联的网络空间,在智联智融的新时代,来自物理空间的数据被集中、分散、加工、处理,任何一个环节、任何一个流向都离不开安全接入、身份鉴别、访问控制、加密保护等安全控制.密码将渗透到网络空间每一个角落,实现各类安全控制机制.
所谓标准化,是指密码算法、密码协议、密码功能接口、密码产品规格、密码应用要求等,都以国家、行业或团体标准的形式固定下来.多年实践表明,标准化是互联互通的前提,是一项技术走向大规模商业化应用的必然选择.
我国的商用密码曾长期沿袭定制化发展道路,每个算法、每个产品、每项应用,都是定制化的,虽然这种做法为密码产业的培育做出过历史贡献,但定制化所带来的算法依赖、产品依赖、厂商依赖等,阻碍了密码产业的规模化发展以及密码应用的规模化部署.
自2012年起,我国商用密码算法和技术开始走向标准化道路,如今已经初步形成完整的密码标准体系,通过标准定义通用的算法和协议,定义通用的产品和服务接口,扫除了不同密码产品、不同应用系统间的互联互通障碍,为密码在社会各行业普及应用奠定了基础.
所谓多样化,是指密码形态和应用场景的多样化.密码应用已延伸到数字金融、物联网、智能制造、供应链管理、数字资产交易、区块链等多个领域,展现出广泛的应用前景.适应并满足应用需求是对密码产品的基本要求,也是密码产品生命力和价值的体现.网络空间泛在互联使得承载于网络的业务日渐增多,业务的多样化决定了安全需求的多样化,进而决定了密码应用场景的多样化.
多样化的应用场景对密码产品和功能实现提出不同要求,期望以“广谱适用”的密码产品应对所有场景是不现实的,密码产品形态、密码功能实现方式等,都必须为适应应用场景而作出积极变革.
3)密码应用部署的基本要求.
从网络空间安全需求来看,密码应用部署将是战略性、体系性、同步性和动态性的.
所谓战略性,就是密码应用是网络空间安全的根本性要求,不是一般性安排.密码被誉为党和国家的“命门”“命脉”,密码工作被定位为党和国家事业发展的“生命线、保障线、指挥线”.推进密码应用是党中央作出的重要决策,是《密码法》明确的法定事项,是维护国家安全、提升网络空间安全保障能力的战略性部署,是政治责任所系、严峻形势所迫、职责任务所在、时代发展所需.
所谓体系性,就是密码应用要突出整体设计与系统实施,不是密码设备碎片化堆砌.网络空间安全遵循木桶原理,局部的安全不能支撑全局安全,片面的防护不能代表整体防御.推进密码应用强调从顶层设计入手,通过自上而下的体系化设计,综合运用技术、管理、测评等手段,综合考虑物理安全、网络安全、系统安全、应用安全等不同层面,基于网络的安全需求,应对网络潜在风险,站在整体角度设计密码应用解决方案.
所谓同步性,就是密码应用强调与网络信息系统建设要齐步走,不是简单外挂与修复.实践证明“外挂式”安全所达到的效果是有限的.不能在网络信息系统建成之后,再以“打补丁”的方式去考虑网络信息安全保障和密码应用,必须在网络信息系统设计之初、建设之时,就要把密码融入到网络信息系统整体架构中,同步规划、同步设计、同步建设、同步运行密码保障体系,定期进行密码应用安全性评估.
所谓动态性,就是要注重网络安全与密码安全的动态管理,在安全防护上不能一劳永逸.包括密码在内的任何安全技术,其安全强度都是相对的、动态的.几十年前的DES密码算法如今用普通计算机即可在有限时间内破解密钥,长期被认为足够安全的RSA算法在量子计算条件下变得异常脆弱.
密码安全支撑网络安全,网络风险也冲击密码安全.在密码应用中不能秉持“一次投资、永远安全”的观念,应通过定期风险评估、密码应用安全性评估等手段,持续跟踪系统安全风险水平和密码应用的有效性,适时采取措施更新密码算法、产品,必要时重新设计密码应用方案、重新建设密码应用保障体系.
 
3  全面落实《密码法》赋予的法定责任
 
《密码法》第一条就指出其立法宗旨是,规范密码应用、保障网络与信息安全,维护国家安全和社会公共利益.管理部门、产业单位、用户部门都应落实《密码法》赋予的法定责任,用密码技术支撑构建可信、可控、可管、可用的网络空间.
一是落实主体责任.从密码管理部门来看,《密码法》确立了国家、省、市、县四级密码管理体制,要在职责范围内履行密码管理和保障职责,确保各项制度措施落到实处.
对于商用密码应用和管理来讲,就是要基于网络空间安全,重塑密码管理与服务体系.从网络和信息化部门来看,重点是通过检测认证,将涉及国家安全、国计民生、社会公共利益的商用密码产品,依法列入网络关键设备和网络安全专用产品目录,确保密码产品供给高质量;还要协调网络安全评估、关键信息基础设施评估和密码应用安全性评估的有机衔接机制等.
从网络运营者来看,要落实《密码法》对密码应用的法定要求,落实关键信息基础设施密码应用,自行或者委托商用密码检测机构开展商用密码应用安全性评估,不管是自行还是委托,都需要符合相关标准和流程;采购涉及商用密码的网络产品和服务,可能影响国家安全的,按照《中华人民共和国网络安全法》的规定,还要通过有关部门组织的国家安全审查.
从网络信息系统主管来看,要熟悉《密码法》及相关文件要求,掌握密码知识与政策,了解承担的法律责任,做到知密码、懂密码、用密码、爱密码,自觉推动密码应用和依法规范管理.
二是坚持应用牵引.要坚定不移推进密码广泛应用,突出应用牵引,实施“密码+”行动,这既是网络空间之需,也是密码发展之要.各行业主管部门应将密码应用纳入本行业领域信息化发展规划,县级以上政府应将密码工作纳入本级国民经济和社会发展规划.落实《密码法》要与贯彻中央36号文等政策文件结合起来,着力在金融领域、基础网络、数字经济和信息惠民领域推进密码应用,努力在金融、交通、能源、自然资源、基础网络和信息服务、国防科技和工业制造、公共服务、电子政务等领域实现密码的规模化应用.
三是建设产业生态.密码高质量供给,归根结底靠产业,产业的强大依赖于产业生态的完善.一方面,要发挥好市场优势,进一步打通密码创新链、应用链、价值链,强化密码产业链上下游衔接互动.要加强密码学科建设和密码人才培养,推动高等院校、科研院所和企业深度合作.通过学、研、产、用等协同发力,促进密码产业生态形成.
另一方面,密码与网络安全、信息技术的产业生态具有协同性,要支持基础软硬件、工业控制系统、通信设施设备等底层嵌入式密码技术和产品研发,通过在上下游产品间、产品与系统间、系统与业务间实现对密码的相互支持,充分发挥密码标准与网安标准的引领作用,推动密码产业与网信产业的协同发展、融合发展,推动构建国家网络空间可信产业生态体系.
四是加强科技创新.一方面,要强化密码基础理论研究,基础研究搞不好,应用技术就是无源之水.《密码法》专门规定对密码科技研究的鼓励与支持.国家密码管理局正在推动相关专项予以支持.通过密码基础研究,提升原始创新能力,占据创新制高点,取得产业新优势.
另一方面,促进密码与区块链、大数据、物联网、人工智能、5G、工业互联网等前沿技术的深度融合,推动集成创新和融合应用,为国家网络空间安全提供坚实的基础支撑.比如密码技术与分布式技术融合创新,就产生了伟大的区块链技术,他将改变人类社会的价值传递方式.未来,密码技术与网络空间等前沿技术的融合创新,也必将为网络空间可信体系建设提供最新解决方案.
 
 

已留言

 

已回复

 
确定删除留言吗?
 

 

2020年5月26日 11:00
浏览量:0
收藏