今日頭條
官方微信
官方抖音
資訊頻道當前,數(shù)字化、網(wǎng)絡化、智能化深入發(fā)展,加速推動網(wǎng)絡空間向物理空間滲透,網(wǎng)絡空間與物理空間邊界在消融,以網(wǎng)絡安全為代表的非傳統(tǒng)威脅與傳統(tǒng)威脅融合交織,深刻變革網(wǎng)絡安全需求和影響網(wǎng)絡安全格局。網(wǎng)絡攻擊的影響遠遠超出數(shù)據(jù)泄露、設備宕機等傳統(tǒng)范疇,往往會造成物理世界的直接重大損失。
國家密碼管理局商用密碼管理辦公室副主任霍煒近日在接受記者采訪時表示,互聯(lián)網(wǎng)難以避免的各種先天缺陷和日趨復雜的應用,以及網(wǎng)絡廣泛脆弱性成為常態(tài)。“找漏洞、打補丁、防病毒等被動式防御、局部式治理、增量式修復,已不能適應多變的網(wǎng)絡安全形勢。網(wǎng)絡安全日益強調(diào)全域安全,強信任、強安全、強可控、強防護成為必然要求,必須以規(guī)范使用國家認可的密碼技術為基礎,以系統(tǒng)性、整體性和協(xié)同性為原則,構建以密碼為基石的網(wǎng)絡空間新安全。”霍煒說。
核心技術受制于人成最大軟肋
人類社會的全面信息化剛剛開始。霍煒表示,在全面信息化進程中,傳統(tǒng)網(wǎng)絡威脅和脆弱點將與新技術新業(yè)態(tài)帶來的新安全威脅匯聚、交織、放大,產(chǎn)生比傳統(tǒng)網(wǎng)絡信息時代更廣泛、更深遠、更難以預料的破壞力。
其一,互聯(lián)網(wǎng)開放的特性和安全設計不完善是網(wǎng)絡不安全的根源。互聯(lián)網(wǎng)設計之初,更多考慮計算和通訊問題,安全考慮不足,更沒有預測到今天的攻擊技術,這是造成網(wǎng)絡安全風險的根源。業(yè)內(nèi)學者普遍認為,互聯(lián)網(wǎng)和計算機是基于一系列邏輯構建的,在天文量級的邏輯中存在邏輯設計缺陷在所難免。安全打補丁,不僅成本高,還可能帶來新漏洞、新風險。比如:TCP/IP協(xié)議本身就是一個非安全的握手協(xié)議:采用明文方式傳輸,導致口令等敏感信息可能會被泄露;對源地址不要求真實性保證,導致源路由選擇欺騙等缺陷;很多問題從根本上無法修正,除非基于密碼技術推翻重來。
開放、共享、匿名和低進入壁壘等特性,促使互聯(lián)網(wǎng)迅速發(fā)展,網(wǎng)絡空間數(shù)據(jù)呈爆發(fā)式增長。更低成本的網(wǎng)絡接入、更為巨大的價值攫取、更大規(guī)模的軟硬件應用,使得網(wǎng)絡攻擊頻率、規(guī)模和復雜性、精準性持續(xù)上升,網(wǎng)絡攻擊的危害越來越大。一些國家政要的郵件數(shù)據(jù)、醫(yī)療數(shù)據(jù)被黑客實施精準攻擊,F(xiàn)acebook數(shù)據(jù)泄露影響國家選舉,網(wǎng)絡攻擊讓“茶杯里的風暴”變成社會大風暴,繼而發(fā)生“蝴蝶效應”,影響國家安全和社會穩(wěn)定。一部智能手機既是娛樂設備,又是支付工具,甚至可以是工作平臺;一款處理器芯片包含各種功能單元,構成片上系統(tǒng)。一個應用的攻擊可能迅速擴展到其它應用,一個模塊的漏洞可能導致整個系統(tǒng)安全受損。
其二,網(wǎng)絡空間向物理空間擴張不斷誘發(fā)安全風暴。隨著三網(wǎng)融合、物聯(lián)網(wǎng)等的發(fā)展,越來越多物理世界中的系統(tǒng)、業(yè)務、設備被引入網(wǎng)絡空間。連接數(shù)量的激增帶來巨大安全風險,安全認證和安全控制將成為首要的安全需求。如果缺乏有效的安全控制機制,黑客和犯罪組織就可以利用漏洞和缺陷,感染、破壞或摧毀與網(wǎng)絡相連接的物理基礎設施。有數(shù)據(jù)統(tǒng)計,網(wǎng)絡攻擊中直接的“提權”攻擊占到了50%以上,間接“提權”攻擊更是超過90%;一些高端制造領域的可編程序控制器(PLC)在控制上沒有采取安全措施,指令很容易被惡意篡改,導致整個生產(chǎn)線或者控制線混亂或崩潰。
萬物互聯(lián)時代,物聯(lián)網(wǎng)、人工智能等技術與互聯(lián)網(wǎng)加速融合,攻擊者利用云計算的分布式算力、人工智能的強大歸納分析能力等進行破壞,安全問題往往會在短時間內(nèi)產(chǎn)生連鎖效應,威脅呈指數(shù)級增長。2018年8月,DeepMind公司公布了首款醫(yī)療AI系統(tǒng),用了近1.5萬個人工標注數(shù)據(jù)進行訓練,精度超越人類醫(yī)生。如果用于訓練的醫(yī)療數(shù)據(jù)被惡意篡改,抑或是診斷中的數(shù)據(jù)被修改,那么智慧醫(yī)療就成了智能殺手。網(wǎng)絡安全專家Bruce Schneier感慨:互聯(lián)網(wǎng)泛化引發(fā)嚴重后果,相比于被人偷了數(shù)據(jù),我更關心我的血型數(shù)據(jù)被篡改,我的汽車剎車突然失靈,以及針對醫(yī)療設備、飛機、無人機等一切可能影響到生命安全設備的攻擊。他認為,這是一場安全的風暴,我們現(xiàn)在的安全失效了,我們生活在一個技術泛濫不受監(jiān)管的空間,必須建立一個足夠強大的安全防御體系,防患于未然。
其三,供應鏈風險日益成為網(wǎng)絡安全的巨大隱患。從供應鏈安全風險管控來看,許多軟硬件提供商和服務運營商缺乏足夠的安全設計和管理風險的能力,信息產(chǎn)業(yè)供應鏈的全球化、產(chǎn)品的碎片化、信息轉移的云化等行為,使得網(wǎng)絡系統(tǒng)脆弱點和風險日益增加。信息產(chǎn)品的底層漏洞大量被網(wǎng)絡攻擊者利用,攻擊技術水平和組織效率不斷提升。2018年年初,英特爾、AMD、ARM等國外主流中央處理器芯片被曝出“熔斷”和“幽靈”漏洞,利用高性能微處理器的緩存設計,打破了應用和應用之間、應用和操作系統(tǒng)之間的權限壁壘,竊取計算機內(nèi)存中的受保護數(shù)據(jù),影響范圍波及幾乎全球所有電腦和移動設備用戶。從供應鏈合作風險來看,協(xié)作互信面臨巨大挑戰(zhàn)。特別是在網(wǎng)絡協(xié)作模式中,一個業(yè)務不再由單一系統(tǒng)完成,而是由多個系統(tǒng)按照分工協(xié)作完成。業(yè)務的安全邊界可能跨越多個系統(tǒng),參與業(yè)務流程的不同信息系統(tǒng)或者服務提供方之間需要建立相互信任,共同保障業(yè)務流程安全。由于利益驅(qū)使,欺騙行為日益泛濫,網(wǎng)絡信任受到嚴峻挑戰(zhàn)。
從我國信息產(chǎn)品供應鏈現(xiàn)狀來看,核心技術受制于人成為我們最大的軟肋。我國信息產(chǎn)業(yè)普遍采用“技術引進—消化吸收—改進提高”的跟隨式發(fā)展思路,信息化程度很高,但安全防護與信息化發(fā)展不對等,核心技術不自主帶來安全上的不可控。2018年4月,中興被實施斷貨制裁,增加了供應鏈安全風險。7月,某創(chuàng)業(yè)公司存儲在國內(nèi)某大型云服務商上的核心數(shù)據(jù)、用戶數(shù)據(jù)和數(shù)十萬條用戶帖子等全部丟失,事故原因就是對磁盤核心技術和固有漏洞不掌握導致的數(shù)據(jù)錯誤。對于國外信息技術產(chǎn)品的漏洞、后門不掌握,我們就難以做到安全可控。網(wǎng)絡安全核心技術不自主,是制約我國網(wǎng)絡安全能力發(fā)展的短板。
構建網(wǎng)絡空間密碼支撐和防護體系
霍煒認為,密碼是網(wǎng)絡安全的核心技術,是網(wǎng)絡信任的基石。利用密碼在安全認證、加密保護、信任傳遞等方面的重要作用,能夠有效消除或控制潛在的“安全危機”,實現(xiàn)被動防御向積極防御的戰(zhàn)略轉變。
首先,密碼支撐構建安全防護綜合體。密碼在網(wǎng)絡安全防護中具有保底作用,是最后一道防線。密碼技術可以實現(xiàn)當前OSI網(wǎng)絡安全架構的“鑒別、訪問控制、機密性、完整性、抗抵賴”等5種基本安全服務。通過同步設計開發(fā)基于密碼的內(nèi)生安全機制,合規(guī)正確使用密碼技術、密碼模塊、密碼產(chǎn)品、密碼基礎設施、密碼服務等,有效提供事前、積極的正向防護,實現(xiàn)網(wǎng)絡基礎資源、信息設施、計算分析、應用服務、網(wǎng)絡通道、接入終端、設備控制等的全體系平臺安全;利用基于密碼技術的身份鑒別、信任管理、訪問控制、數(shù)據(jù)加密、可信計算、密文計算、數(shù)據(jù)脫敏等措施,有效解決數(shù)據(jù)產(chǎn)生、傳輸、存儲、處理、分析、使用、銷毀和備份等全生命周期安全。
其次,密碼助力打造安全共享價值鏈。密碼在共享協(xié)作中具有信任傳遞作用。數(shù)據(jù)的核心在于融合與挖掘,數(shù)據(jù)的價值在于共享與開放,而數(shù)據(jù)共享、交換的基礎在信任。利用基于密碼的數(shù)據(jù)標識、數(shù)字簽名、數(shù)字內(nèi)容和產(chǎn)權保護等技術,構建真實不可抵賴的“數(shù)字契約”,打通數(shù)據(jù)融通的“信任瓶頸”,實現(xiàn)數(shù)據(jù)資源開放共享、安全交互。產(chǎn)業(yè)數(shù)字化使得大范圍、高實時、精細化、全平臺的網(wǎng)絡協(xié)同成為可能,信任成為首要問題。利用密碼技術可以有效保證平臺及參與各方身份的真實性,上下游數(shù)據(jù)的完整性和來源真實性等,及時定位追溯協(xié)作鏈條上的任何一個環(huán)節(jié)。
第三,密碼推動形成安全協(xié)同生態(tài)圈。密碼在上下游安全機制對接上具有橋梁紐帶作用。世界主要發(fā)達國家高度重視密碼安全的整體性安排。在國家層面,NIST(國家技術與標準研究院)、ETSI(歐洲電信標準協(xié)會)等一直在積極搶占密碼理論研究和算法前沿高地,形成算法-協(xié)議-接口-應用相互銜接的技術體系并系統(tǒng)推進為國際標準。在聯(lián)盟層面,主流軟硬件廠商共同組成的IETF、GP等組織都從最底層硬件到最上層功能服務各層面涉及的密碼應用做了詳細規(guī)定,并上下兼容成為體系。在公司層面,IBM、Google、微軟、波音等公司都有獨立的密碼研究和安全設計能力,都有懂密碼的頂尖安全人才(Google有頂尖的密碼分析與量子計算團隊;微軟有專門的可信計算事業(yè)部)。事實證明,通過在上下游產(chǎn)品間、產(chǎn)品與系統(tǒng)間、系統(tǒng)與業(yè)務間實現(xiàn)對密碼的相互支持、協(xié)同配合,有助于掌握網(wǎng)絡安全的核心架構,有助于營造網(wǎng)絡安全的產(chǎn)業(yè)生態(tài),有助于形成安全可控的技術體系。
最后,密碼促進激發(fā)安全發(fā)展創(chuàng)造力。密碼在新興技術發(fā)展中具有雙向促進作用。一方面,圍繞密碼的攻防驅(qū)動技術創(chuàng)新。二戰(zhàn)時期,為破解德軍恩尼格瑪機械密碼機而設計的圖靈機,成為現(xiàn)代計算機的原型;20世紀90年代為了破解RSA密碼算法而提出的量子大整數(shù)分解Shor算法,推動了量子計算機研制由理論變?yōu)楝F(xiàn)實。另一方面,技術創(chuàng)新倒逼密碼創(chuàng)新。云計算為同態(tài)密碼理論創(chuàng)新注入了強大動力;移動互聯(lián)和物聯(lián)網(wǎng)使得終端密碼計算過程安全成為新工程實現(xiàn)的挑戰(zhàn);量子計算使得抗量子密碼算法設計成為新發(fā)展方向,等等。當前,新舊技術頻繁更替成為常態(tài)。近十年來,相繼發(fā)生了以iOS和Android系統(tǒng)為代表的移動智能終端操作系統(tǒng),逆襲以Windows為代表的PC操作系統(tǒng),以及以云操作系統(tǒng)架構顛覆傳統(tǒng)信息服務系統(tǒng)架構等經(jīng)典案例。抓住新興技術對安全、對密碼的迫切需求,及其在業(yè)態(tài)和模式上的顛覆性特征,促進新技術與密碼深度融合、協(xié)同創(chuàng)新,是我國核心技術換道超車和網(wǎng)絡安全迎頭趕上的重要機遇。
推動密碼與網(wǎng)絡空間深度融合發(fā)展
霍煒強調(diào),以密碼為基石的網(wǎng)絡空間新安全,就是要推動密碼與網(wǎng)絡空間持續(xù)深度融合,構建新網(wǎng)絡安全體系,建設新網(wǎng)絡安全環(huán)境,形成新網(wǎng)絡安全文明。
第一,以創(chuàng)新發(fā)展強融合,構建以密碼技術為核心、多種技術相互融合的新網(wǎng)絡安全體系。要緊盯前沿技術,通過密碼技術與前沿技術的深度融合和協(xié)同創(chuàng)新,引領信息領域關鍵核心技術的創(chuàng)新與突破,包括:布局與量子技術、云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)、人工智能、區(qū)塊鏈等新興技術的融合,布局與電子交易、電子支付、數(shù)字貨幣、互聯(lián)網(wǎng)金融等新興金融服務業(yè)態(tài)的融合,布局與數(shù)字農(nóng)業(yè)、工業(yè)互聯(lián)網(wǎng)、智能制造、服務業(yè)智能化、電子商務、智慧物流、分享經(jīng)濟、平臺經(jīng)濟、網(wǎng)絡化協(xié)同創(chuàng)新等產(chǎn)業(yè)數(shù)字化重點方向的融合,布局與教育、衛(wèi)生健康、社會保障、就業(yè)服務等信息惠民新方式的融合。
要打造產(chǎn)業(yè)生態(tài),強化安全體系設計特別是密碼使用的設計,在產(chǎn)品研制之初就把密碼設計進去,在提供計算和信息服務的同時,也要同步提供安全能力,形成良好產(chǎn)業(yè)生態(tài)。在網(wǎng)絡生態(tài)上,包括移動通信網(wǎng)、物聯(lián)網(wǎng)、廣播電視網(wǎng)等基礎通信網(wǎng)絡;在云管端生態(tài)上,包括云平臺底層設備和架構、網(wǎng)絡管道設備、移動智能終端和瀏覽器;在工業(yè)產(chǎn)品生態(tài)上,包括通用處理器、操作系統(tǒng)、數(shù)據(jù)庫、中間件等基礎軟硬件,以及工業(yè)互聯(lián)網(wǎng)和智能制造相關的裝備和控制系統(tǒng)等,都要支持國家認可的密碼。
要夯實創(chuàng)新支撐,加強面向新興技術發(fā)展需要和安全需求的密碼基礎理論、關鍵技術、交叉技術和應用技術研究,完善通用基礎和行業(yè)領域相結合的密碼標準體系,推動建立國家密碼科技創(chuàng)新基地、行業(yè)密碼應用研究中心、密碼開源庫和共享平臺,建設密碼產(chǎn)業(yè)聯(lián)盟和產(chǎn)業(yè)園區(qū),加快培育密碼領軍企業(yè),夯實密碼產(chǎn)業(yè)供給支撐。
第二,以全面應用促融合,建設以密碼基礎設施為底層支撐的新網(wǎng)絡安全環(huán)境。應用是從技術創(chuàng)新到價值創(chuàng)造的必經(jīng)之路,也是密碼的發(fā)展之基、生存之要,必須堅持以應用為先導、以應用促創(chuàng)新、以應用促融合、以應用促迭代,在應用中改進和提升,實現(xiàn)密碼全面應用與創(chuàng)新發(fā)展。
要控制源頭,涉及網(wǎng)絡安全相關的法規(guī)政策、規(guī)劃標準,要落實國家密碼應用政策要求;新建網(wǎng)絡信息系統(tǒng),要同步規(guī)劃、同步建設、同步運行密碼保障體系。要立足基礎,加強關鍵信息基礎設施密碼保障體系建設,包括金融業(yè)信息基礎設施、交通運輸網(wǎng)絡、能源基礎設施、資源信息化網(wǎng)絡、大數(shù)據(jù)中心和國家基礎信息資源庫等。要加強測評,注重密碼防護的系統(tǒng)性、整體性、動態(tài)性,注重密碼應用的合規(guī)性、正確性、有效性,依法開展密碼應用安全性評估。要壓實責任,重點是落實網(wǎng)絡安全法規(guī)和密碼法規(guī)要求,明確網(wǎng)絡運營者和信息技術產(chǎn)品提供者密碼應用的主體責任。
第三,以科學普及助融合,實現(xiàn)安全互信、開放共享的新網(wǎng)絡安全文明。要積極開展密碼政策和知識培訓,持續(xù)提高對密碼應用工作的認識。要拓展密碼宣傳普及渠道,增強人們使用密碼保護網(wǎng)絡安全的意識,加強對青少年普及教育,在科技館、博物館及科研院校建立密碼主題科普基地、體驗館或體驗區(qū)。要加強學校密碼教育,選取有條件的高校建設示范性密碼學院系,將密碼技術等基礎知識納入相關專業(yè)或課程。要建設密碼人才培訓和實訓基地,開展網(wǎng)絡安全攻防競賽,發(fā)現(xiàn)和培養(yǎng)懂密碼、懂網(wǎng)絡、懂產(chǎn)業(yè)、懂應用、懂實戰(zhàn),具有網(wǎng)絡安全體系性思維的實戰(zhàn)型、研究型、管理型人才。
來源:經(jīng)濟參考網(wǎng)
北京市公安局海淀分局備案號:11010802023656號