“互联网是把双刃剑,用得好,它是阿里巴巴的宝库;用不好,它就是潘多拉的魔盒。”近日,国家密码管理局商用密码管理办公室副主任霍炜在接受记者采访时如此表示。
霍炜说,互联网发展不能成为沙漠之上的“海市蜃楼”。在现在和未来相当长时间内,密码技术是经过理论证明的保障互联网安全的核心技术和基础支撑。当前日益严峻的网络安全形势对密码提出了更多需求,在新时代亟需推动商用密码全面应用和创新发展,让互联网成为安全之网、放心之网。
商用密码实现跨越式发展
2014年、2015年,中央办公厅、国务院办公厅先后印发通知,分别就金融和重要领域密码应用作出部署。《网络安全法》和正在制修订的《商用密码管理条例》《关键信息基础设施安全保护条例》《网络安全等级保护条例》等都突出了密码应用监管,《政务信息系统政府采购管理暂行办法》等部门规章强化了同步规划、同步建设、同步运行密码保障系统和开展密码应用安全性评估审查的要求。
霍炜表示,商用密码是密码的重要组成部分,主要用于保护不属于国家秘密的信息和网络系统,提供加密保护和安全认证服务。维护国家安全、促进经济发展、保护人民群众利益是商用密码的使命担当。商用密码姓党、姓人民,党和国家战略推进到哪里,商用密码就保障到哪里;人民群众的利益在哪里,商用密码服务就在那里。
党中央高度重视商用密码工作。党的十八大以来,商用密码实现了跨越式发展,管理体制不断完善,科技创新能力不断增强,形成了较完整的产业链条和产品体系,在金融和教育、社保、交通、通信、能源、税收、公共安全、国防工业等重要领域得到广泛应用。数据显示,截至2017年年底,金融领域,已发放使用商用密码的金融IC卡1.84亿张,构建了以商用密码为支撑的信息系统,而五年前这一数字几乎为零;能源领域,使用商用密码的智能电表已达4亿多只;公共安全领域,使用商用密码的第二代居民身份证已成功换发15亿张,没有出现一张假证;税收领域,使用商用密码的防伪税控系统用户已达数千万户,有专家称每年为国家防止偷漏税款达千亿元。
从系统角度看,商用密码有力保障了各类应用系统的安全。比如,商用密码与国家电网技术深度融合,从安全芯片、设备到系统已完全实现国产化,确保了电网持续安全稳定运行,支撑了我国能源安全、经济安全、战略安全。再比如,采用商用密码的政务移动办公系统,已在电子政务、城市管理、行政监管、应急安全等领域广泛应用,保障了移动办公系统的安全运行。全国32个省级公安机关100多万民警配备终端密码模块,保障了1000多种移动警务应用安全。还比如,基于商用密码建设的云CA体系,将在服务网络用户认证需求的基础上,逐步实现物联网环境下数十亿网络实体的认证需求,建立起基于商用密码、基于大数据的全球信任体系。又比如,我国商用密码已出口数十个国家和地区,积极服务“一带一路”建设,为更多国家和地区提供密码安全服务,向世界提供中国方案,贡献中国智慧。
商用密码应用和发展面临新任务
根据霍炜介绍,党的十九大报告25次提到网络和信息化工作,安排部署了网络强国、数字中国、智慧社会等国家发展战略,倡议构建人类命运共同体,建设普遍安全、开放包容、清洁美丽的世界。这些都需要发挥密码的核心保障和基础支撑作用。
当前,以网络安全为代表的非传统安全威胁持续蔓延。从国际看,网络空间已成为国家地区间博弈的主战场,网络空间安全成为国家战略,更加突出战略的攻击性和实战性;从国内看,我国信息领域核心技术设备受制于人的局面没有从根本上改变,关键信息基础设施安全防护能力仍然薄弱,网络信任体系不健全,对国家安全和公民合法权益构成严重威胁。日益严峻的安全形势对密码提出了更多需求,特别是总体国家安全观提出的12个安全,都对密码提出了迫切需求。
就商用密码应用自身而言,目前情况也不容乐观。一是一些重要信息系统使用密码尚不广泛,涉及国家、法人和社会公众的大量数据还在裸奔;二是一些单位重信息化建设、轻安全保护,信息系统密码使用不规范、不正确,密码使用存在不安全情况,在密钥管理、密码系统运维等方面存在风险;三是不少信息系统还在大量使用已警示有风险的密码,如MD5、RSA-1024、SHA-1等,以及基于此提供的不安全密码服务。
面对严峻的网络安全形势和密码应用存在的突出问题,必须进一步提升密码安全意识,扎实推进密码全面应用,加快密码创新发展,构建以密码为底层支撑,系统、完善的网络安全保障体系,实现网络的普遍安全、真实可信和自主可控。
第一,密码是网络安全的核心技术和基础支撑。密码,也只有密码,可以完整实现网络和信息系统的真实性、机密性、完整性和不可否认性等信息安全需求,可以实现防假冒、防泄密、防篡改、抗抵赖,有效解决网络安全的“五种需求”,即不该进的进不来、不该看的看不懂、不该改的改不了、不是你的拿不走、只要干过就逃不掉。通过合规正确使用密码技术、密码模块和产品、密码基础设施、密码工程、密码服务,能够有效解决网络安全问题,满足安全需求。密码是网络免疫体系的基因,是DNA。没有密码的网络系统,就像是在沙地上建楼,绝对不安全。
第二,密码是构建网络信任体系的重要基石。信任是世界上任何价值物转移、交易、存储和支付的基础,是社会发展的润滑剂和助推器。最初人类社会依靠血缘和宗族关系建立信任,后来主要依靠法律和组织建立信任。信息时代,万物互联、人机互认、天地一体,网络空间的信任建立主要依靠密码算法和安全协议,解决人、机、物的身份标识、身份认证、统一管理、信任传递、行为审计等问题,实现安全、可信、可控的互联互通。因此说,密码是构建网络信任体系的重要基石,是实现国家治理体系与治理能力现代化的重要支撑。
第三,密码是国之重器,是国家的重要战略性资源。密码技术是国家的一项“撒手锏”技术,我国密码技术能力已达到国际先进水平,我国自主设计的商用密码算法ZUC、SM2和SM9已成为国际标准。这是与国外最领先的密码算法同台竞争、反复论证的结果,我国的商密算法被证明是足够安全的。在我国信息领域核心技术受制于人的局面没有从根本上改变的情况下,要实现自主可控,应当把密码作为构建安全可控信息技术体系“弯道超车”的重要突破口,实施密码优先发展,在一定程度上扭转核心技术和产品受制于人的被动局面。
新时代实现融合发展和创新发展
党的十九大明确了网络强国战略和网络安全的大方向,特别是提出了推动互联网、大数据、人工智能和实体经济深度融合以及发展数字经济、共享经济的新任务。在新的历史起点上,商用密码应用和发展必须跟上新形势、新需求,实现融合发展、创新发展。
一是规划引领。要以贯彻落实党的十九大精神为主线,以总体国家安全观和网络强国战略为统领,建立健全商用密码法律法规体系,提升商用密码依法行政管理能力。要统筹密码应用和创新发展,特别是在民生保障和改善、金融和现代服务业、基础设施网络和新兴产业、社会治理体系建设等方面,规划一批密码支撑任务和工程,着力推动密码全面规范应用。
二是创新驱动。面向新应用需求、新计算方式、新技术新业态,通过密码科技创新突破一批核心关键技术、基础共性技术和前沿引领技术,做到在用一代、储备一代、预研一代,始终保持战略主动。培育积聚各类商用密码优秀人才,满足网络强国建设和密码发展的人才需求。强化密码标准规范引导,继续提升密码供给质量、优化产业生态,建立信息与情报共享通报机制,提升风险分析研判和密码安全态势感知能力。
三是坚守底线。对于新建重要网络系统,要同步规划、建设、运行基于密码的保障体系,这是密码应用工作的底线。对于已建重要网络系统,要结合实际,积极稳妥地实施密码应用升级改造,特别是要尽快完成改造那些仍在使用已警示有风险密码算法的系统。
四是战略融合。商用密码应用要与国家战略相融合,支撑保障国家战略落地实施。当前重点是做好密码应用与“网络强国”、“互联网+”行动计划、“一带一路”建设、“军民融合”、“互联网+先进制造”、“智慧城市”、“大数据”等战略的统筹实施,发挥密码的基础支撑和安全保障作用。
五是源头管理。从职能部门角度看,各主管部门要从政策规划制定的源头落实密码应用要求;从产品技术提供商角度看,要在信息产品研发、网络系统集成和网络信息服务一开始就用好密码;从网络系统运营者角度看,要明确密码应用主体责任,合规、正确、有效使用密码保护网络系统安全;从社会公众角度看,要加大商用密码知识和政策宣传普及,切实提高社会公众使用密码保护网络安全和个人信息安全的意识。
六是分类施策。金融领域要加快实施密码升级换装工程,形成辐射带动效应;重要信息系统和基础信息网络要条块配合,按领域按类型推进;重要工业控制系统要试点先行,稳妥推进,逐步拓展;政务信息系统要抓牢不放,尤其是使用财政性资金建设的政务信息系统,采购需求应落实国家密码管理的法律法规、政策和标准规范要求,同步规划、同步建设、同步运行密码保障系统并定期进行评估,验收方案应当包括密码应用和安全审查情况等内容。已经开展试点的领域要做好验收和经验推广,新的领域要做好试点示范。
七是依法测评。没有网络安全就没有国家安全,没有密码安全就谈不上网络安全。要构建与国际体系接轨的、完全自主可控的密码检测认证和测评体系,对内提升密码应用整体安全性,对外应对国际网络安全对抗挑战。一方面,对密码产品和服务,加强检测认证,提升产品和服务供给质量;另一方面,对网络系统,加强商用密码应用安全性评估,确保密码应用的合规性、正确性、有效性,保证密码的应用安全、体系安全和动态安全。
八是统筹落实。密码应用涉及到方方面面,任务艰巨、责任重大、使命光荣。必须以钉钉子的精神,统筹落实密码应用各项任务,包括落实商用密码应用推进的主体责任,加强商用密码应用与部门间相关法规政策、标准规范的衔接,加大专项资金投入和金融支持,以及落实税收优惠和各项降费政策,落实督促检查和绩效考核制度,落实密码应用责任审计各项部署等,从而形成密码应用和创新发展的工作合力,共同落实好这一国家战略。
网络安全离不开密码,密码创新促进网络发展。构建普遍安全的网络空间命运共同体,要树立以总体国家安全观为统领,以密码为核心技术和基础支撑的网络信息安全观,构建以密码基础设施为底层支撑的网络安全保障体系,通过密码实现网络的可信互联、安全互通,推动建设网络新安全机制、新安全环境、新安全文明。
密码强则网络强,网络强则国家强。站在新的历史起点上,必须坚持“以人民为中心”,推动密码与网络安全的协同与融合发展,让网络空间更清朗、更安全、更美丽,让人民群众有更多获得感、安全感、幸福感。