今日頭條
官方微信
官方抖音
資訊頻道當(dāng)前,數(shù)字化、網(wǎng)絡(luò)化、智能化深入發(fā)展,加速推動網(wǎng)絡(luò)空間向物理空間滲透,網(wǎng)絡(luò)空間與物理空間邊界在消融,以網(wǎng)絡(luò)安全為代表的非傳統(tǒng)威脅與傳統(tǒng)威脅融合交織,深刻變革網(wǎng)絡(luò)安全需求和影響網(wǎng)絡(luò)安全格局。網(wǎng)絡(luò)攻擊的影響遠遠超出數(shù)據(jù)泄露、設(shè)備宕機等傳統(tǒng)范疇,往往會造成物理世界的直接重大損失。
國家密碼管理局商用密碼管理辦公室副主任霍煒近日在接受記者采訪時表示,互聯(lián)網(wǎng)難以避免的各種先天缺陷和日趨復(fù)雜的應(yīng)用,以及網(wǎng)絡(luò)廣泛脆弱性成為常態(tài)。“找漏洞、打補丁、防病毒等被動式防御、局部式治理、增量式修復(fù),已不能適應(yīng)多變的網(wǎng)絡(luò)安全形勢。網(wǎng)絡(luò)安全日益強調(diào)全域安全,強信任、強安全、強可控、強防護成為必然要求,必須以規(guī)范使用國家認可的密碼技術(shù)為基礎(chǔ),以系統(tǒng)性、整體性和協(xié)同性為原則,構(gòu)建以密碼為基石的網(wǎng)絡(luò)空間新安全。”霍煒說。
核心技術(shù)受制于人成最大軟肋
人類社會的全面信息化剛剛開始。霍煒表示,在全面信息化進程中,傳統(tǒng)網(wǎng)絡(luò)威脅和脆弱點將與新技術(shù)新業(yè)態(tài)帶來的新安全威脅匯聚、交織、放大,產(chǎn)生比傳統(tǒng)網(wǎng)絡(luò)信息時代更廣泛、更深遠、更難以預(yù)料的破壞力。
其一,互聯(lián)網(wǎng)開放的特性和安全設(shè)計不完善是網(wǎng)絡(luò)不安全的根源。互聯(lián)網(wǎng)設(shè)計之初,更多考慮計算和通訊問題,安全考慮不足,更沒有預(yù)測到今天的攻擊技術(shù),這是造成網(wǎng)絡(luò)安全風(fēng)險的根源。業(yè)內(nèi)學(xué)者普遍認為,互聯(lián)網(wǎng)和計算機是基于一系列邏輯構(gòu)建的,在天文量級的邏輯中存在邏輯設(shè)計缺陷在所難免。安全打補丁,不僅成本高,還可能帶來新漏洞、新風(fēng)險。比如:TCP/IP協(xié)議本身就是一個非安全的握手協(xié)議:采用明文方式傳輸,導(dǎo)致口令等敏感信息可能會被泄露;對源地址不要求真實性保證,導(dǎo)致源路由選擇欺騙等缺陷;很多問題從根本上無法修正,除非基于密碼技術(shù)推翻重來。
開放、共享、匿名和低進入壁壘等特性,促使互聯(lián)網(wǎng)迅速發(fā)展,網(wǎng)絡(luò)空間數(shù)據(jù)呈爆發(fā)式增長。更低成本的網(wǎng)絡(luò)接入、更為巨大的價值攫取、更大規(guī)模的軟硬件應(yīng)用,使得網(wǎng)絡(luò)攻擊頻率、規(guī)模和復(fù)雜性、精準(zhǔn)性持續(xù)上升,網(wǎng)絡(luò)攻擊的危害越來越大。一些國家政要的郵件數(shù)據(jù)、醫(yī)療數(shù)據(jù)被黑客實施精準(zhǔn)攻擊,F(xiàn)acebook數(shù)據(jù)泄露影響國家選舉,網(wǎng)絡(luò)攻擊讓“茶杯里的風(fēng)暴”變成社會大風(fēng)暴,繼而發(fā)生“蝴蝶效應(yīng)”,影響國家安全和社會穩(wěn)定。一部智能手機既是娛樂設(shè)備,又是支付工具,甚至可以是工作平臺;一款處理器芯片包含各種功能單元,構(gòu)成片上系統(tǒng)。一個應(yīng)用的攻擊可能迅速擴展到其它應(yīng)用,一個模塊的漏洞可能導(dǎo)致整個系統(tǒng)安全受損。
其二,網(wǎng)絡(luò)空間向物理空間擴張不斷誘發(fā)安全風(fēng)暴。隨著三網(wǎng)融合、物聯(lián)網(wǎng)等的發(fā)展,越來越多物理世界中的系統(tǒng)、業(yè)務(wù)、設(shè)備被引入網(wǎng)絡(luò)空間。連接數(shù)量的激增帶來巨大安全風(fēng)險,安全認證和安全控制將成為首要的安全需求。如果缺乏有效的安全控制機制,黑客和犯罪組織就可以利用漏洞和缺陷,感染、破壞或摧毀與網(wǎng)絡(luò)相連接的物理基礎(chǔ)設(shè)施。有數(shù)據(jù)統(tǒng)計,網(wǎng)絡(luò)攻擊中直接的“提權(quán)”攻擊占到了50%以上,間接“提權(quán)”攻擊更是超過90%;一些高端制造領(lǐng)域的可編程序控制器(PLC)在控制上沒有采取安全措施,指令很容易被惡意篡改,導(dǎo)致整個生產(chǎn)線或者控制線混亂或崩潰。
萬物互聯(lián)時代,物聯(lián)網(wǎng)、人工智能等技術(shù)與互聯(lián)網(wǎng)加速融合,攻擊者利用云計算的分布式算力、人工智能的強大歸納分析能力等進行破壞,安全問題往往會在短時間內(nèi)產(chǎn)生連鎖效應(yīng),威脅呈指數(shù)級增長。2018年8月,DeepMind公司公布了首款醫(yī)療AI系統(tǒng),用了近1.5萬個人工標(biāo)注數(shù)據(jù)進行訓(xùn)練,精度超越人類醫(yī)生。如果用于訓(xùn)練的醫(yī)療數(shù)據(jù)被惡意篡改,抑或是診斷中的數(shù)據(jù)被修改,那么智慧醫(yī)療就成了智能殺手。網(wǎng)絡(luò)安全專家Bruce Schneier感慨:互聯(lián)網(wǎng)泛化引發(fā)嚴(yán)重后果,相比于被人偷了數(shù)據(jù),我更關(guān)心我的血型數(shù)據(jù)被篡改,我的汽車剎車突然失靈,以及針對醫(yī)療設(shè)備、飛機、無人機等一切可能影響到生命安全設(shè)備的攻擊。他認為,這是一場安全的風(fēng)暴,我們現(xiàn)在的安全失效了,我們生活在一個技術(shù)泛濫不受監(jiān)管的空間,必須建立一個足夠強大的安全防御體系,防患于未然。
其三,供應(yīng)鏈風(fēng)險日益成為網(wǎng)絡(luò)安全的巨大隱患。從供應(yīng)鏈安全風(fēng)險管控來看,許多軟硬件提供商和服務(wù)運營商缺乏足夠的安全設(shè)計和管理風(fēng)險的能力,信息產(chǎn)業(yè)供應(yīng)鏈的全球化、產(chǎn)品的碎片化、信息轉(zhuǎn)移的云化等行為,使得網(wǎng)絡(luò)系統(tǒng)脆弱點和風(fēng)險日益增加。信息產(chǎn)品的底層漏洞大量被網(wǎng)絡(luò)攻擊者利用,攻擊技術(shù)水平和組織效率不斷提升。2018年年初,英特爾、AMD、ARM等國外主流中央處理器芯片被曝出“熔斷”和“幽靈”漏洞,利用高性能微處理器的緩存設(shè)計,打破了應(yīng)用和應(yīng)用之間、應(yīng)用和操作系統(tǒng)之間的權(quán)限壁壘,竊取計算機內(nèi)存中的受保護數(shù)據(jù),影響范圍波及幾乎全球所有電腦和移動設(shè)備用戶。從供應(yīng)鏈合作風(fēng)險來看,協(xié)作互信面臨巨大挑戰(zhàn)。特別是在網(wǎng)絡(luò)協(xié)作模式中,一個業(yè)務(wù)不再由單一系統(tǒng)完成,而是由多個系統(tǒng)按照分工協(xié)作完成。業(yè)務(wù)的安全邊界可能跨越多個系統(tǒng),參與業(yè)務(wù)流程的不同信息系統(tǒng)或者服務(wù)提供方之間需要建立相互信任,共同保障業(yè)務(wù)流程安全。由于利益驅(qū)使,欺騙行為日益泛濫,網(wǎng)絡(luò)信任受到嚴(yán)峻挑戰(zhàn)。
從我國信息產(chǎn)品供應(yīng)鏈現(xiàn)狀來看,核心技術(shù)受制于人成為我們最大的軟肋。我國信息產(chǎn)業(yè)普遍采用“技術(shù)引進—消化吸收—改進提高”的跟隨式發(fā)展思路,信息化程度很高,但安全防護與信息化發(fā)展不對等,核心技術(shù)不自主帶來安全上的不可控。2018年4月,中興被實施斷貨制裁,增加了供應(yīng)鏈安全風(fēng)險。7月,某創(chuàng)業(yè)公司存儲在國內(nèi)某大型云服務(wù)商上的核心數(shù)據(jù)、用戶數(shù)據(jù)和數(shù)十萬條用戶帖子等全部丟失,事故原因就是對磁盤核心技術(shù)和固有漏洞不掌握導(dǎo)致的數(shù)據(jù)錯誤。對于國外信息技術(shù)產(chǎn)品的漏洞、后門不掌握,我們就難以做到安全可控。網(wǎng)絡(luò)安全核心技術(shù)不自主,是制約我國網(wǎng)絡(luò)安全能力發(fā)展的短板。
構(gòu)建網(wǎng)絡(luò)空間密碼支撐和防護體系
霍煒認為,密碼是網(wǎng)絡(luò)安全的核心技術(shù),是網(wǎng)絡(luò)信任的基石。利用密碼在安全認證、加密保護、信任傳遞等方面的重要作用,能夠有效消除或控制潛在的“安全危機”,實現(xiàn)被動防御向積極防御的戰(zhàn)略轉(zhuǎn)變。
首先,密碼支撐構(gòu)建安全防護綜合體。密碼在網(wǎng)絡(luò)安全防護中具有保底作用,是最后一道防線。密碼技術(shù)可以實現(xiàn)當(dāng)前OSI網(wǎng)絡(luò)安全架構(gòu)的“鑒別、訪問控制、機密性、完整性、抗抵賴”等5種基本安全服務(wù)。通過同步設(shè)計開發(fā)基于密碼的內(nèi)生安全機制,合規(guī)正確使用密碼技術(shù)、密碼模塊、密碼產(chǎn)品、密碼基礎(chǔ)設(shè)施、密碼服務(wù)等,有效提供事前、積極的正向防護,實現(xiàn)網(wǎng)絡(luò)基礎(chǔ)資源、信息設(shè)施、計算分析、應(yīng)用服務(wù)、網(wǎng)絡(luò)通道、接入終端、設(shè)備控制等的全體系平臺安全;利用基于密碼技術(shù)的身份鑒別、信任管理、訪問控制、數(shù)據(jù)加密、可信計算、密文計算、數(shù)據(jù)脫敏等措施,有效解決數(shù)據(jù)產(chǎn)生、傳輸、存儲、處理、分析、使用、銷毀和備份等全生命周期安全。
其次,密碼助力打造安全共享價值鏈。密碼在共享協(xié)作中具有信任傳遞作用。數(shù)據(jù)的核心在于融合與挖掘,數(shù)據(jù)的價值在于共享與開放,而數(shù)據(jù)共享、交換的基礎(chǔ)在信任。利用基于密碼的數(shù)據(jù)標(biāo)識、數(shù)字簽名、數(shù)字內(nèi)容和產(chǎn)權(quán)保護等技術(shù),構(gòu)建真實不可抵賴的“數(shù)字契約”,打通數(shù)據(jù)融通的“信任瓶頸”,實現(xiàn)數(shù)據(jù)資源開放共享、安全交互。產(chǎn)業(yè)數(shù)字化使得大范圍、高實時、精細化、全平臺的網(wǎng)絡(luò)協(xié)同成為可能,信任成為首要問題。利用密碼技術(shù)可以有效保證平臺及參與各方身份的真實性,上下游數(shù)據(jù)的完整性和來源真實性等,及時定位追溯協(xié)作鏈條上的任何一個環(huán)節(jié)。
第三,密碼推動形成安全協(xié)同生態(tài)圈。密碼在上下游安全機制對接上具有橋梁紐帶作用。世界主要發(fā)達國家高度重視密碼安全的整體性安排。在國家層面,NIST(國家技術(shù)與標(biāo)準(zhǔn)研究院)、ETSI(歐洲電信標(biāo)準(zhǔn)協(xié)會)等一直在積極搶占密碼理論研究和算法前沿高地,形成算法-協(xié)議-接口-應(yīng)用相互銜接的技術(shù)體系并系統(tǒng)推進為國際標(biāo)準(zhǔn)。在聯(lián)盟層面,主流軟硬件廠商共同組成的IETF、GP等組織都從最底層硬件到最上層功能服務(wù)各層面涉及的密碼應(yīng)用做了詳細規(guī)定,并上下兼容成為體系。在公司層面,IBM、Google、微軟、波音等公司都有獨立的密碼研究和安全設(shè)計能力,都有懂密碼的頂尖安全人才(Google有頂尖的密碼分析與量子計算團隊;微軟有專門的可信計算事業(yè)部)。事實證明,通過在上下游產(chǎn)品間、產(chǎn)品與系統(tǒng)間、系統(tǒng)與業(yè)務(wù)間實現(xiàn)對密碼的相互支持、協(xié)同配合,有助于掌握網(wǎng)絡(luò)安全的核心架構(gòu),有助于營造網(wǎng)絡(luò)安全的產(chǎn)業(yè)生態(tài),有助于形成安全可控的技術(shù)體系。
最后,密碼促進激發(fā)安全發(fā)展創(chuàng)造力。密碼在新興技術(shù)發(fā)展中具有雙向促進作用。一方面,圍繞密碼的攻防驅(qū)動技術(shù)創(chuàng)新。二戰(zhàn)時期,為破解德軍恩尼格瑪機械密碼機而設(shè)計的圖靈機,成為現(xiàn)代計算機的原型;20世紀(jì)90年代為了破解RSA密碼算法而提出的量子大整數(shù)分解Shor算法,推動了量子計算機研制由理論變?yōu)楝F(xiàn)實。另一方面,技術(shù)創(chuàng)新倒逼密碼創(chuàng)新。云計算為同態(tài)密碼理論創(chuàng)新注入了強大動力;移動互聯(lián)和物聯(lián)網(wǎng)使得終端密碼計算過程安全成為新工程實現(xiàn)的挑戰(zhàn);量子計算使得抗量子密碼算法設(shè)計成為新發(fā)展方向,等等。當(dāng)前,新舊技術(shù)頻繁更替成為常態(tài)。近十年來,相繼發(fā)生了以iOS和Android系統(tǒng)為代表的移動智能終端操作系統(tǒng),逆襲以Windows為代表的PC操作系統(tǒng),以及以云操作系統(tǒng)架構(gòu)顛覆傳統(tǒng)信息服務(wù)系統(tǒng)架構(gòu)等經(jīng)典案例。抓住新興技術(shù)對安全、對密碼的迫切需求,及其在業(yè)態(tài)和模式上的顛覆性特征,促進新技術(shù)與密碼深度融合、協(xié)同創(chuàng)新,是我國核心技術(shù)換道超車和網(wǎng)絡(luò)安全迎頭趕上的重要機遇。
推動密碼與網(wǎng)絡(luò)空間深度融合發(fā)展
霍煒強調(diào),以密碼為基石的網(wǎng)絡(luò)空間新安全,就是要推動密碼與網(wǎng)絡(luò)空間持續(xù)深度融合,構(gòu)建新網(wǎng)絡(luò)安全體系,建設(shè)新網(wǎng)絡(luò)安全環(huán)境,形成新網(wǎng)絡(luò)安全文明。
第一,以創(chuàng)新發(fā)展強融合,構(gòu)建以密碼技術(shù)為核心、多種技術(shù)相互融合的新網(wǎng)絡(luò)安全體系。要緊盯前沿技術(shù),通過密碼技術(shù)與前沿技術(shù)的深度融合和協(xié)同創(chuàng)新,引領(lǐng)信息領(lǐng)域關(guān)鍵核心技術(shù)的創(chuàng)新與突破,包括:布局與量子技術(shù)、云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)、人工智能、區(qū)塊鏈等新興技術(shù)的融合,布局與電子交易、電子支付、數(shù)字貨幣、互聯(lián)網(wǎng)金融等新興金融服務(wù)業(yè)態(tài)的融合,布局與數(shù)字農(nóng)業(yè)、工業(yè)互聯(lián)網(wǎng)、智能制造、服務(wù)業(yè)智能化、電子商務(wù)、智慧物流、分享經(jīng)濟、平臺經(jīng)濟、網(wǎng)絡(luò)化協(xié)同創(chuàng)新等產(chǎn)業(yè)數(shù)字化重點方向的融合,布局與教育、衛(wèi)生健康、社會保障、就業(yè)服務(wù)等信息惠民新方式的融合。
要打造產(chǎn)業(yè)生態(tài),強化安全體系設(shè)計特別是密碼使用的設(shè)計,在產(chǎn)品研制之初就把密碼設(shè)計進去,在提供計算和信息服務(wù)的同時,也要同步提供安全能力,形成良好產(chǎn)業(yè)生態(tài)。在網(wǎng)絡(luò)生態(tài)上,包括移動通信網(wǎng)、物聯(lián)網(wǎng)、廣播電視網(wǎng)等基礎(chǔ)通信網(wǎng)絡(luò);在云管端生態(tài)上,包括云平臺底層設(shè)備和架構(gòu)、網(wǎng)絡(luò)管道設(shè)備、移動智能終端和瀏覽器;在工業(yè)產(chǎn)品生態(tài)上,包括通用處理器、操作系統(tǒng)、數(shù)據(jù)庫、中間件等基礎(chǔ)軟硬件,以及工業(yè)互聯(lián)網(wǎng)和智能制造相關(guān)的裝備和控制系統(tǒng)等,都要支持國家認可的密碼。
要夯實創(chuàng)新支撐,加強面向新興技術(shù)發(fā)展需要和安全需求的密碼基礎(chǔ)理論、關(guān)鍵技術(shù)、交叉技術(shù)和應(yīng)用技術(shù)研究,完善通用基礎(chǔ)和行業(yè)領(lǐng)域相結(jié)合的密碼標(biāo)準(zhǔn)體系,推動建立國家密碼科技創(chuàng)新基地、行業(yè)密碼應(yīng)用研究中心、密碼開源庫和共享平臺,建設(shè)密碼產(chǎn)業(yè)聯(lián)盟和產(chǎn)業(yè)園區(qū),加快培育密碼領(lǐng)軍企業(yè),夯實密碼產(chǎn)業(yè)供給支撐。
第二,以全面應(yīng)用促融合,建設(shè)以密碼基礎(chǔ)設(shè)施為底層支撐的新網(wǎng)絡(luò)安全環(huán)境。應(yīng)用是從技術(shù)創(chuàng)新到價值創(chuàng)造的必經(jīng)之路,也是密碼的發(fā)展之基、生存之要,必須堅持以應(yīng)用為先導(dǎo)、以應(yīng)用促創(chuàng)新、以應(yīng)用促融合、以應(yīng)用促迭代,在應(yīng)用中改進和提升,實現(xiàn)密碼全面應(yīng)用與創(chuàng)新發(fā)展。
要控制源頭,涉及網(wǎng)絡(luò)安全相關(guān)的法規(guī)政策、規(guī)劃標(biāo)準(zhǔn),要落實國家密碼應(yīng)用政策要求;新建網(wǎng)絡(luò)信息系統(tǒng),要同步規(guī)劃、同步建設(shè)、同步運行密碼保障體系。要立足基礎(chǔ),加強關(guān)鍵信息基礎(chǔ)設(shè)施密碼保障體系建設(shè),包括金融業(yè)信息基礎(chǔ)設(shè)施、交通運輸網(wǎng)絡(luò)、能源基礎(chǔ)設(shè)施、資源信息化網(wǎng)絡(luò)、大數(shù)據(jù)中心和國家基礎(chǔ)信息資源庫等。要加強測評,注重密碼防護的系統(tǒng)性、整體性、動態(tài)性,注重密碼應(yīng)用的合規(guī)性、正確性、有效性,依法開展密碼應(yīng)用安全性評估。要壓實責(zé)任,重點是落實網(wǎng)絡(luò)安全法規(guī)和密碼法規(guī)要求,明確網(wǎng)絡(luò)運營者和信息技術(shù)產(chǎn)品提供者密碼應(yīng)用的主體責(zé)任。
第三,以科學(xué)普及助融合,實現(xiàn)安全互信、開放共享的新網(wǎng)絡(luò)安全文明。要積極開展密碼政策和知識培訓(xùn),持續(xù)提高對密碼應(yīng)用工作的認識。要拓展密碼宣傳普及渠道,增強人們使用密碼保護網(wǎng)絡(luò)安全的意識,加強對青少年普及教育,在科技館、博物館及科研院校建立密碼主題科普基地、體驗館或體驗區(qū)。要加強學(xué)校密碼教育,選取有條件的高校建設(shè)示范性密碼學(xué)院系,將密碼技術(shù)等基礎(chǔ)知識納入相關(guān)專業(yè)或課程。要建設(shè)密碼人才培訓(xùn)和實訓(xùn)基地,開展網(wǎng)絡(luò)安全攻防競賽,發(fā)現(xiàn)和培養(yǎng)懂密碼、懂網(wǎng)絡(luò)、懂產(chǎn)業(yè)、懂應(yīng)用、懂實戰(zhàn),具有網(wǎng)絡(luò)安全體系性思維的實戰(zhàn)型、研究型、管理型人才。
來源:經(jīng)濟參考網(wǎng)
北京市公安局海淀分局備案號:11010802023656號