身份認證、消費支付、網絡交易、個人資訊保護等......當你經曆這些生活場景時,有注意到商用密碼正在發揮的作用嗎?
商用密碼是保障網絡與資訊安全的核心技術和基礎支援,在我們的網絡生活中扮演着“信使”和“衛士”的重要角色。在資訊化、網絡化、數字化高度發達的今天,商用密碼技術已經應用到了社會生産生活各個方面,并與5G、物聯網、雲計算、大資料、人工智能、區塊鍊、量子通信、數字經濟等新技術新業态進行了緊密融合。重要網絡和資訊系統、關鍵資訊基礎設施、數字化平台都離不開密碼的保護。
商用密碼技術發展态勢
密碼分為核心密碼、普通密碼和商用密碼。大陸商用密碼的發展起源于20世紀90年代開啟的“金字”工程。近年來,大陸商用應用保障領域全面拓寬,産業生态持續繁榮壯大,産品自主創新能力持續增強。
圖源《2021-2022年中國商用密碼行業發展白皮書》
根據中國電子資訊産業發展研究院研究報告顯示,大陸現有商用密碼産品達到3000餘款,其中2200餘款産品取得商用密碼産品認證證書,品類涵蓋了密碼晶片、密碼闆卡、密碼整機、密碼系統等全産業鍊條,已經形成了完整的商用密碼産品體系,部分産品性能名額已達到國際先進水準。産品主要分為以下六類:
如何為網絡生活保駕護航
商用密碼技術與我們日常生活中的網絡資訊安全息息相關。微軟的一組資料表明,幾乎80%的網絡攻擊都是針對密碼的,平均每天有250個企業賬戶會遭到黑客攻擊。Verizon 2021年資料洩露調查報告中的一項統計資料顯示,61%的安全攻擊事件可歸因于憑據被盜。My1Login的一項研究表明,雖然有人們都知道什麼是強密碼,但53%的員工卻并不總是使用強密碼,并且85%的員工在接受安全教育訓練後仍會在各個業務應用中重複使用密碼。
是以,在數字生活場景不斷豐富的當下,重視發展商用密碼技術以推動網絡資訊安全的保護,就是在為每個人的網絡生活保駕護航。
圖源資訊安全國家工程研究中心
在行業應用方面,商用密碼技術和産品已廣泛應用在通信、金融、教育、醫療健康、交通、能源、國防工業等領域。例如,在物聯網應用場景中,傳統身份認證方式許多都是采用普通的密碼認證,密鑰強度低,安全隐患突出。目前許多專業安全廠商提供基于商用密碼的物聯網安全解決方案,覆寫雲管端三個層面,實作密鑰安全分發、身份認證、資料加密/簽名等安全服務。
商用密碼在物聯網領域的應用視圖(來源:中國軟體評測中心網絡空間安全測評工程技術中心)
在電信與網際網路領域,中國電信提出“商密雲”存儲系統,創新采用“雲+端”架構,實作商用密碼技術和雲存儲技術的融合,并采用屬性基加密和抗密鑰洩露技術解決資料存儲和共享安全問題。雲平台系統日常采用通路區域網路時通過VPN建立通信信道,VPN采用使用者名+PIN+UKey方式進行身份鑒别等手段實作系統運維。
商用密碼在電信和網際網路領域的應用視圖(來源:中國軟體評測中心網絡空間安全測工程技術中心)
在教育行業領域,主要展現在教育電子身份認證服務體系方面:通過對教育CA系統進行SM2算法的更新改造,完成教育CA軟硬體基礎環境和相關支撐體系建設,推動大中國小的電子身份認證;在醫療健康行業領域,醫院電子病曆系統電子證照(執照)、人口健康資訊平台、數字證書互信互認系統等都應用了商用密碼算法。
在電子政務領域,基于PKI技術的電子認證,對網絡上傳輸的資料進行加密、解密、數字簽名和數字認證,采用SM9算法和數字簽名、資料加密技術實作強身份認證機制和郵件内容加密等。此外,政務外網雲平台、各接入網絡、業務應用等都需要使用身份認證、權限管理、通路控制、加解密等安全的密碼服務。
在銀行業領域,金融IC卡、動态令牌、智能密碼鑰匙等密碼産品的使用能夠實作對客戶身份、伺服器身份等的認證,保護使用者資金等敏感資訊不被盜用、輸入的交易資料不被篡改,防止業務損失或服務中斷,為保護消費者資金安全,防止欺詐、套現、洗錢等違法犯罪行為發揮了重要作用。
在車聯網領域,通過采用商用密碼的數字證書、數字簽名、資料加密等密碼技術保障車與雲安全通信,應用安全晶片和軟體子產品等元件實作車端安全憑證管理和資料處理功能;在智慧交通領域,應用金融資料密碼機,實作分發管理PSAM卡以及OBU裝置和ETC卡的一次發行和二次發行、裝置初始化、使用者管理、消費交易和清分對賬等功能;在保險業和證券業領域,采用商用密碼技術的電子保單能夠確定網絡保險業務開展過程中各類電子單證的合法性,并且通過網上出單采用基于商用密碼的數字簽名技術,能夠有效解決網上業務的法律效力問題。
未來的挑戰與應對
近年來,商用密碼在維護國家安全、促進經濟社會發展、保護人民群衆利益中的作用日益凸顯。在未來,商用密碼的應用場景與技術需求也會進一步得到拓展更新,但與此同時,也面臨着新的多元化挑戰。例如目前商用密碼應用體系複雜、産品種類繁多,企業難以對商密産品體系的合規性、安全性以及“自主可控”等進行全面評估,此外,部分密碼應用營運管理體系的建設還面臨與其他安全産品方案(例如零信任)和資訊系統的整合和統一管理問題。
法律法規發揮“定海神針”作用
為此,大陸先後頒布《中華人民共和國網絡安全法》、《中華人民共和國密碼法》等法律法規,作為資訊化建設特别是網絡安全工作的法律基礎,并持續頒布、修訂、制訂多部法律法規及相關政策,明确要求要采用密碼對系統、環境、資料等進行安全保護。
《中華人民共和國密碼法》第二十七條規定,法律、行政法規和國家有關規定要求使用商用密碼進行保護的關鍵資訊基礎設施,其營運者應當使用商用密碼進行保護,自行或者委托商用密碼檢測機構開展商用密碼應用安全性評估。2021年10月,GB-39786《資訊安全技術資訊系統密碼應用基本要求》正式實施,成為指導商用密碼應用與安全性評估工作的基礎性标準。
2020年7月,國家密碼管理局正式公布了全國首批24家密評試點機構目錄。2021年6月,國家密碼管理局更新了《商用密碼應用安全性評估試點機構目錄》,密評試點機關增至48家。2022年1月,國家密碼管理局聯合中央網信辦等十部委聯合釋出《促進商用密碼産業高品質發展的若幹措施》。此外,2022年10月,工業和資訊化部與國家密碼管理局聯合印發通知提出,将組織開展工業和資訊化領域商用密碼典型應用方案征集工作。
以上法律法規及相關政策的頒布,通過完善現行商用密碼管理制度,強化對商用密碼的應用監管和行業規範,在商用密碼保障網絡資訊安全的過程中發揮了“定海神針”般的引導作用,切實推動着國産商用密碼行業健康有序發展,朝高品質發展目标穩步邁進。
商用密碼作為保護國家網絡安全的重要戰略性資源,和保護組織與個人合法權益的必備手段,其未來發展更需要立足國情,抓住重點,把握機遇,不斷推進密碼應用與安全性評估,做好網絡資訊安全保護的“定海神針”,為人民的網絡生活保駕護航。
責編:方钰潔
監制:李紅梅
文章參考
1.《密碼,讓百姓生活更安全》人民日報
2.《2021年商用密碼發展呈現新變化》中國資訊通信研究院
3.《商用密碼應用安全性評估白皮書》 中國軟體評測中心
4.《商用密碼應用法律政策及行業要求》臨滄日報
5.《2021-2022年中國商用密碼行業發展白皮書》中國電子資訊産業發展研究院