2.1 网络空间安全形势与商用密码工作
当前,国际国内网络空间安全形势严峻,安全事件层出不穷。密码应用既是保障网络空间安全的迫切需要,也是促进密码创新发展、发挥密码功能特性的必然选择,开展商用密码应用安全性评估是发挥密码作用的必要手段。
2.1.1 国际国内网络空间安全形势
当今世界,由海量数据、异构网络、复杂应用共同组成的“网络空间”,已成为与陆地、海洋、天空、太空同等重要的人类“第五空间”。网络空间正在加速演变为各国争相抢夺的新疆域、战略威慑与控制的新领域、意识形态斗争的新平台、维护经济社会稳定的新阵地、未来军事角逐的新战场。当前,信息技术变革方兴未艾,科技进步日新月异,以网络安全为代表的非传统安全威胁持续蔓延,网络空间安全风险持续增加,威胁挑战日益严峻,安全形势不容乐观。
1.国际网络空间安全形势
1)网络空间安全纳入国家战略
发展网络空间科技、维护国家网络空间主权,是一项长期性、战略性任务。世界各国纷纷将网络空间安全纳入国家战略,作为国家总体安全战略的重要组成部分。密码也随之上升到国家战略层面,只有在算法设计、产品研发、设备制造、系统建设及服务提供等方面做到全产业链自主可控,才能牢牢掌握网络空间安全主动权。美国、日本、欧盟等国家和组织先后推出网络空间战略和行动计划。我国也于2016年发布了《国家网络空间安全战略》,提出在总体国家安全观指导下,统筹国内国际两个大局和统筹发展安全两件大事,推进网络空间“和平、安全、开放、合作、有序”的战略发展目标,确立了共同维护网络空间和平与安全的“尊重维护网络空间主权、和平利用网络空间、依法治理网络空间、统筹网络安全与发展”四项原则。
2)网络攻击在国家对抗中深度应用
一些有政府或军方背景的机构通过组织实施大规模网络攻击,达到扰乱他国社会秩序的目的。2010年,“震网”(Stuxnet)病毒破坏伊朗核设施,致使伊朗纳坦兹铀浓缩基地至少五分之一的离心机因感染该病毒而被迫关闭,导致有毒放射性物质泄漏。2015年12月,乌克兰国家电力部门遭受恶意代码攻击,超过27家变电站系统被破坏。乌克兰的伊万诺弗兰克夫斯克州近一半家庭(约140万人)断电数小时。2016年12月,乌克兰电网再度被攻击,造成首都基辅北部及周边地区断电超过1小时。2019年3月,委内瑞拉最大的电力设施古里水电站计算机系统控制中枢遭受到网络攻击,引发全国性大面积停电,约3000万人口受到影响。近年来发生的网络安全事件,无不显示出互联网作战效果已经不亚于一场战争,网络安全对抗已逐步升级为网络战争。
3)网络攻击已逐步深入网络底层固件
随着网络攻击技术不断发展,网络攻击已从网络应用层深入网络底层固件,网络安全威胁无处不在。2017年3月7日,维基解密曝光了8761份网络攻击活动的秘密文件,曝光了一个规模庞大、种类齐全、技术先进、功能强大的黑客工具库,入侵对象涉及Windows、Android、iOS、Mac OS、Linux等操作系统,以及智能电视、车载智能系统等智能设备。
2.国内网络空间安全形势
1)核心技术受制于人的局面没有得到根本性改变
我国网络与信息系统应用的操作系统、高性能芯片等核心软硬件短板瓶颈问题突出,对国外厂商依赖程度高,带来巨大安全威胁,并且严重影响我国安全可控信息技术体系形成。2018年4月,中兴事件直击我国通信产业关键核心技术缺失的痛点,深刻揭示了我国关键核心技术受制于人的局面没有得到根本性改变这一事实。
2)信息产品存在巨大安全隐患
我国金融、电信、航空、政府、军工等领域关键信息基础设施大量使用不可控的产品和技术(如芯片、操作系统和密码算法等),存在巨大的安全隐患。一旦这些产品潜在的漏洞被利用发起规模化攻击,造成的安全威胁和产生的后果难以想象。“震网”“火焰”等病毒就是利用产品存在的漏洞实施攻击,造成了巨大的经济损失。这些攻击一旦实施,轻则导致秘密失泄、基础数据篡改蒸发,重则可能引发金融紊乱、供电中断、交通瘫痪等社会困局。
3)关键信息基础设施安全防护能力仍然薄弱
截至2019年6月,我国网民规模为8.54亿,互联网普及率达61.2%。我国互联网发展迅速,但网络安全防护体系尚不健全。一方面,我国网络安全投入比重较低,占整个IT产业比重仅为1%~2%,远低于西方国家10%的平均水平,系统防御体系尚未建立或不完善的情况是常态。另一方面,防护方式陈旧,以“入侵检测、防火墙、防病毒”老三样为主的传统网络安全防护方式,已不能满足日益复杂、多变的网络安全环境需求。以云计算为例,作为一种托管服务,服务商具有对用户数据的优先访问权,在数据从终端到云端的传输过程中,可能被黑客或恶意相邻租户截获并篡改;许多数据直接以明文形式存储在云端,未采取任何保密性保护措施;海量交易数据以非加密方式进行传输和存储,一旦被窃取,将对我国数据安全、个人隐私安全,乃至国家安全造成不可估量的损害。
3.密码在网络空间中的重要作用
密码是保障网络安全的核心技术,是构建网络信任的基石。利用密码在安全认证、加密保护、信任传递等方面的重要作用,能够有效消除或控制潜在的“安全危机”,实现被动防御向主动免疫的战略转变。
(1)密码支撑构建网络空间安全防护综合体。密码在网络安全防护中具有保底作用,是最后一道防线。通过同步设计开发基于密码的内生安全机制,合规、正确地使用密码技术、密码产品、密码服务等,能够使系统有效满足当前OSI网络安全架构“鉴别、访问控制、保密性、完整性、抗抵赖”五种基本安全需求,形成包括网络基础资源、信息设施、计算分析、应用服务、网络通道、接入终端、设备控制等的全体系平台安全,为网络空间构筑坚强的密码防线。
(2)密码助力打造网络空间数据共享价值链。数据的核心在于融合与挖掘,数据的价值在于共享与开放,而共享、交换的基础在信任,密码在数据保护和共享协作中具有信任传递作用。一方面,密码支撑构造数据安全防护链。利用基于密码的身份鉴别、信任管理、访问控制、数据加密、可信计算、密文计算、数据脱敏等措施,有效解决数据产生、传输、存储、处理、分析、使用、销毁和备份等全生命周期安全。另一方面,密码支撑构建数据共享价值链。利用基于密码的数据标识、数字签名、数字内容和产权保护等技术,可以有效保证平台及参与方身份的真实性、上下游数据的完整性和来源真实性等,及时定位追溯协作链条上的任何一个环节,构建真实不可抵赖的“数字契约”,打通数据融通的“信任瓶颈”,实现数据资源开放共享、安全交互。
(3)密码推动形成网络空间安全协同生态圈。密码在上下游安全机制对接上具有桥梁纽带作用。世界主要发达国家高度重视密码安全的整体性安排。在国家层面,美国NIST、ETSI(欧洲电信标准化协会)等一直在积极抢占密码理论研究和算法前沿高地,形成算法—协议—接口—应用相互衔接的技术体系并系统推进为国际标准。在联盟层面,主流软硬件厂商共同组成的IETF、GP等组织都对从最底层硬件到最上层功能服务各层面涉及的密码应用做了详细规定,并上下兼容成为体系。在公司层面,IBM、谷歌、微软、波音等公司都具备独立的密码研究和安全设计能力,都建设有顶尖的密码专业人才队伍(谷歌有顶尖的密码分析与量子计算团队;微软有专门的可信计算事业部)。事实证明,通过在上下游产品间、产品与系统间、系统与业务间实现对密码的相互支持、协同配合,有助于掌握网络安全的核心架构,有助于营造网络安全的产业生态,有助于形成安全可控的技术体系。
(4)密码促进激发网络空间安全发展创造力。密码与新兴技术双向促进。一方面,围绕密码的攻防驱动技术创新。第二次世界大战时期,为破解德军恩尼格玛机械密码机而设计的图灵机,成为现代计算机的原型;20世纪90年代为了破解RSA密码算法而提出的量子大整数因子分解Shor算法,推动了量子计算机研制由理论变为现实。另一方面,技术创新倒逼密码创新。云计算为同态密码理论创新注入了强大动力;移动互联和物联网使得终端密码计算过程安全成为新工程实现的挑战;量子计算使得抗量子密码算法设计成为新发展方向,等等。当前,新旧技术频繁更替成为常态,相继出现了以iOS和Android系统为代表的移动智能终端操作系统逆袭以Windows为代表的PC操作系统,云操作系统架构颠覆传统信息服务系统架构等经典案例。抓住新兴技术对安全、对密码的迫切需求,及其在业态和模式上的颠覆性特征,促进新技术与密码深度融合、协同创新,是我国核心技术换道超车和网络安全迎头赶上的重要机遇。
2.1.2 商用密码的由来与发展
商用密码工作是密码工作的重要组成部分。商用密码主要用于保护不属于国家秘密的信息,广泛用于通信、金融、税控、社保、能源等重要领域,在维护国家安全、促进经济发展、保护人民群众利益中发挥不可替代的作用。1996年7月,中央政治局常委会专题研究商用密码,做出在我国大力发展商用密码和加强对商用密码管理的决定,“商用密码”从此成为专有名词。经过20多年的发展,我国商用密码从无到有、从弱到强,取得了丰硕成果。特别是党的十八大以来,在习近平总书记网络强国战略思想指引下,商用密码工作全面推进,在依法管理、科技创新、产业发展、应用推广、检测认证等方面成绩斐然,实现了跨越式发展。
在科技创新方面,理论和技术研究取得重要进展,在序列密码、分组密码、密码杂凑算法的设计与分析等方面取得了一系列高水平、原创性科研成果;椭圆曲线公钥密码算法SM2、密码杂凑算法SM3、分组密码算法SM4、序列密码算法ZUC、标识密码算法SM9等算法标准发布实施,这标志着我国商用密码算法体系已基本形成;密码标准体系日益完善,截至2019年12月,共发布密码行业标准91项,覆盖了密码算法、产品、技术、检测、应用等各个方面;密码算法国际标准化工作取得重大突破,ZUC算法成为4G国际标准,SM2、SM9数字签名算法和SM3密码杂凑算法成为ISO/IEC国际标准,SM4算法国际化推进工作也正在有序展开。
在产业发展方面,供给质量和基础支撑能力持续增强。在供给质量方面,商用密码产品种类不断增多,功能不断丰富,性能不断优化。截至2019年12月,2000余款密码产品通过审批,涵盖密码芯片、密码板卡、密码机、密码系统等,形成了较完整的产业链条和产品体系。目前,这些密码产品和技术已出口数十个国家和地区,积极服务“一带一路”建设,向世界提供中国方案,贡献中国智慧。在支撑能力方面,商用密码管理体制不断完善,产品检测能力显著提升,商用密码应用安全性评估试点逐步展开,密码应用政策宣传和普及得到加强,密码的社会认可度大幅提升。
在应用推进方面,商用密码已经在金融、教育、社保、交通、通信、能源、公共安全、国防工业等重要领域得到广泛应用。截至2019年7月,在金融领域,已发放使用商用密码的金融IC卡6.1亿张;在能源领域,使用商用密码的智能电表已超过5.2亿只;在公共安全领域,使用商用密码的第二代居民身份证已成功换发18.1亿张。未来,基于商用密码的云CA管理服务将成为趋势,并逐步达到为数十亿网络实体提供认证服务的能力。
2.1.3 商用密码应用问题及安全性评估的重要性
如何合规、正确、有效使用商用密码,充分发挥商用密码在保障网络空间安全中的核心技术和基础支撑作用,关乎国家大局、关乎网络空间安全、关乎用户个人隐私。因此,要在保证商用密码应用大力推进和普及的同时,做好网络与信息系统的商用密码应用安全性评估,确保商用密码应用的合规、正确、有效。
1.密码应用问题
密码安全形势严峻,商用密码应用现状不容乐观,主要存在以下问题。
1)密码应用不广泛
目前,我国网络的整体安全防护能力十分脆弱,大量数据没有使用密码技术保护,处于“裸奔”状态,有些数据即使用了密码技术保护措施也是使用了不合规的密码技术,存在巨大的安全隐患。有关部门对所辖信息系统进行检查,结果表明商用密码应用比重较低,系统安全防护能力十分薄弱。
2)密码应用不规范
1999年《商用密码管理条例》提出,任何单位或个人只能使用经国家密码管理机构认可的商用密码产品,不得使用自行研制的或者境外生产的密码产品。虽然中央、地方、行业相继出台一些规定和配套制度、要求,但在一些地区和部门并未得到有效实施。一些单位重信息化建设、轻信息安全保护,信息系统密码使用不规范、不正确,在密钥管理、密码系统运行维护等方面存在风险。
3)密码应用不安全
现有大量系统依旧在使用MD5、SHA-1、RSA-512、RSA-1024、DES等已被警示有风险的密码算法,以及基于这些密码算法提供的不安全密码服务。此外,应用系统未按规范要求使用密码服务、或者错误调用密码应用接口等等,这给信息系统带来了严重安全隐患。
2.商用密码应用安全性评估是发挥密码作用的必要手段
商用密码应用安全性评估(“密评”)是商用密码检测认证体系建设的重要组成部分,是衡量商用密码应用是否合规、正确、有效的重要抓手。开展密评是维护网络空间安全、规范商用密码应用的客观要求,是深化商用密码“放管服”改革、加强事中事后监管的重要手段,也是重要领域网络与信息系统运营者和主管部门必须承担的法定责任。
1)开展密评是应对网络安全严峻形势的迫切需要
建立密评体系,就是为了解决商用密码应用中存在的突出问题,为重要网络与信息系统的安全提供科学评价方法,以评促建、以评促改、以评促用,逐步规范商用密码的使用和管理,从根本上改变商用密码应用不广泛、不规范、不安全的现状,确保商用密码在网络与信息系统中的有效使用,切实构建起坚实可靠的网络空间安全密码屏障。
2)开展密评是系统安全维护的必然要求
商用密码应用安全是整体的、系统的、动态的。密码安全是网络与信息系统安全的前提,构建成体系的、安全有效的密码保障系统,对重要网络与信息系统有效抵御网络攻击具有关键作用和重要意义。密码应用是否合规、正确、有效,涉及密码算法、协议、产品、技术体系、密钥管理、密码应用等多个方面。有必要委托专业机构、专业人员,采用专业工具和专业手段,对系统整体的商用密码应用安全进行专项测试和综合评估,形成科学准确的评估结果,以便及时掌握商用密码安全现状,采取必要的技术和管理措施。
3)开展密评是相关责任主体的法定职责
《中华人民共和国密码法》(以下简称《密码法》)规定,法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码进行保护,自行或者委托商用密码检测机构开展商用密码应用安全性评估。《中华人民共和国网络安全法》(以下简称《网络安全法》)也指出,网络运营者应当履行网络安全保护义务,并明确在网络安全等级保护制度的基础上,对关键信息基础设施实行重点保护。采取技术措施和其他必要措施,维护网络数据的完整性、保密性和可用性。《网络安全等级保护条例(征求意见稿)》强化密码应用要求,突出密码应用监管,重点面向网络安全等级保护第三级及以上系统,落实密码应用安全性评估制度。因此,针对网络安全等级保护第三级及以上信息系统、关键信息基础设施开展密评,将是网络运营者和主管部门的法定责任。