商用密碼正在成為國計民生的安全守護神
來源:湖南日報 更新時間:2019-05-24

商用密碼正在成為國計民生的安全守護神

——訪網絡空間身份認證與數據安全湖南省工程實驗室主任王剛博士

圖為商用網絡加密構件。

随着網絡空間時代的來臨,世界成了一個“村”,全球經濟、政治、文化和社會均可“一網打盡”。因此,網絡信息安全顯得越來越重要,商用密碼應用技術的推廣,正在成為國計民生的安全守護神。在湖南商用密碼産業示範基地建設推進會議即将召開前夕,筆者專訪了網絡空間身份認證與數據安全湖南省工程實驗室主任王剛博士,他就商用密碼的含義、國内外應用現狀及其發展前景回答了筆者提問。

問:當今世界高新技術層出不窮,普通大衆對一些高新技術的了解和應用需要一個過程。那麼,到底什麼是商用密碼?它的應用有何重大意義?

答:國務院發布的《商用密碼管理條例》明确指出,商用密碼是指對不涉及國家秘密内容的信息進行加密保護或者安全認證所使用的密碼技術和密碼産品。具體說,第一,就是将商用密碼定義為商用密碼技術和商用密碼産品的總稱。第二,明确了凡是不涉及國家秘密内容的信息,又需要用密碼加以保護的信息系統,均可使用商用密碼來确保信息安全。第三,指明了商用密碼的作用,是實現對信息系統的加密保護和安全認證。商用密碼技術是商用密碼的核心,是信息化時代社會團體、企事業單位和個人用于保護自身權益的重要工具。國家對商用密碼産品的科研、生産、銷售和使用實行專控管理。

現在,網絡信息技術已延伸到經濟社會的每個角落,有網絡的地方如果沒有密碼技術的應用,其信息安全将無從談起。密碼技術,既是網絡信息安全的核心技術和基礎支撐,更是保護國家安全的重要戰略資源,也是保護個人合法權益的必備手段。正因為如此,應用和發展商用密碼技術及産業,從涉及國民經濟領域的金融、證券、稅控、教育、醫療,到涉及公民權益的電子支付、社會保障以及個人信息保護等方方面面,都具有十分重要的意義。

問:商用密碼随着網絡技術的興起而發展,随着互聯網産業的發展而得到廣泛應用。在國際上由于一些領域的商用密碼應用不到位,多次發生安全事件,我們應該如何引起重視?

答:網絡空間是密碼的主戰場,要想保護網絡上存儲、傳輸的數據不被非法獲取、非法篡改、非法假冒,最有效的手段非密碼技術莫屬。在全球範圍内,商用密碼技術的正确和有效應用仍然存在較大問題:

首先,敏感數據缺乏密碼保護,數據洩露事件時有發生。例如,2016年,美國某網站用戶隐私信息洩露,3.6億用戶賬戶和4.27億用戶口令遭到洩露,造成當時互聯網史上最大規模的口令洩露事件。其次,數據篡改和身份假冒也成為亟待解決的問題。互聯網上有大量的假冒網站,通過非常逼真的仿冒頁面來冒充一些官方網站,以達到其非法目的。第三,合法使用密碼技術會帶來安全保障,而非法濫用密碼技術也會造成社會危害。2017年,一款“魔哭”勒索軟件襲擊了全球網絡,使受害者電腦内的重要文件自動加密,逼迫受害者通過比特币交納贖金,否則被加密的文件無法恢複,影響範圍覆蓋全球150多個國家和地區。

因此,我們應該清醒地看到,當今世界局部的網絡攻防對抗,已不再是科幻小說才有的場景,在網絡戰争中,密碼技術和密碼産業落後的一方往往成為被動挨打的對象。網絡安全已成為國家安全的重要組成部分,網絡空間已成為繼海、陸、空、天之後的“第五空間”,世界各國紛紛将網絡安全納入國家戰略。密碼技術也随之上升到國家戰略層面。我們隻有高度重視在商用密碼技術算法、産品研發、設備制造、系統建設以及技術服務等方面,做到全産業鍊自主可控,确保所有網絡信息系統穩妥運行,才能牢牢掌握我國網絡安全主動權。

問:沒有商用密碼,就不可能有網絡信息安全,我國應在哪些方面加強商用密碼應用,來确保各個領域的網絡信息安全?

答:我國商用密碼技術的研發應用曆史較短。1996年,才明确“商用密碼”這一專有名詞。在“互聯網+”新時代,商用密碼技術的服務範圍更廣、應用領域更多。1999年,國務院頒布了《商用密碼管理條例》,并逐步出台了一系列管理辦法和指導應用措施,使商用密碼技術從無到有,逐步得到發展,如今已形成較好的科研和産業發展前景。

黨和國家對發展和應用商用密碼技術空前重視。通過多方面的努力,我國已形成較為完善的商用密碼标準體系,包括國家标準、行業标準、地方标準、企業标準和團體标準等。商用密碼行業标準體系由基礎類标準、應用類标準、檢測類标準和管理類标準組成,支撐我國的商用密碼産品研制、應用和管理。我國發布使用的商用密碼國家标準和行業标準已達50餘項,其中多項密碼算法成為國際标準。這些由我國自行設計、具有自主知識産權的安全高效密碼算法,相繼得到國際商用密碼界認可,标志着我國密碼算法國際标準體系已初步建成。這對于推進我國商用密碼标準國際化具有重大而深遠的意義。

百年大計,教育為本。為加強科教興國戰略的實施,我國在教育科研計算機網絡、教育資源系統、電子校務系統、教育基礎數據系統、學曆學籍管理系統、教育卡等支撐體系建設上,必須強化商用密碼技術應用,切實增強網絡信息安全保障能力。在互聯網、電信網、廣播電視網等基礎信息網絡建設上,必須将商用密碼應用技術納入建設規劃。在規範重要信息系統密碼應用方面,如電子政務、自然資源、能源、教育、公安、民政、社保、衛生、醫療、環保、交通、水利等涉及國計民生的重要信息系統,均需要将商用密碼技術應用,納入信息化建設規劃,并抓緊實施。

在面向社會服務的信息系統密碼應用方面,黨政機關、事業單位、社會團體的信息系統建設,應大力推進基于商用密碼技術應用的網絡信任、安全管理和運行監管體系建設。并規範商用密碼在電子文件、電子證照、電子印章、身份認證、電子簽名、數據存儲和傳輸等方面的應用。為确保其安全可靠運行,我們在商用密碼技術基礎支撐能力上,應大力加強雲計算、物聯網、大數據、移動互聯網和“智慧城市”等方面的建設,大力推進商用密碼技術與各種高新技術的融合發展,讓廣大人民群衆真正享受到更好、更快、更安全的網絡信息服務。(通訊員 鐘育 嚴敏)