陳蔚

摘 要：網(wǎng)絡(luò)安全關(guān)系國家安全、社會穩(wěn)定和人民的根本利益。密碼作為網(wǎng)絡(luò)安全的核心技術(shù)和基礎(chǔ)支撐，是保護(hù)國家安全和根本利益的戰(zhàn)略性資源。本文從3個方面，闡述了以密碼為基礎(chǔ)支撐的網(wǎng)絡(luò)安全觀，并提出了相應(yīng)策略。

關(guān)鍵詞：密碼；網(wǎng)絡(luò)安全；策略

中圖分類號：TP393 文獻(xiàn)標(biāo)識碼：A 文章編號：1671-0037（2018）9-87-3

DOI：10.19345/j.cxkj.1671-0037.2018.09.022

Analysis of Network Information Security based on Cryptographic Application

Chen Wei

（Henan Provincial Scientific Equipment Supply Center， Zhengzhou Henan 450003）

Abstract： Network security is related to national security， social stability and fundamental interests of the people. As the core technology and basic support of network security， cryptography is a strategic resource to protect national security and fundamental interests. This paper expounded the concept of network security based on cryptography from three aspects， and put forward corresponding strategies.

Key words： cryptography； network security； strategy

沒有網(wǎng)絡(luò)安全就沒有國家安全。密碼是保障網(wǎng)絡(luò)安全的核心技術(shù)和基礎(chǔ)支撐，在維護(hù)國家安全、促進(jìn)經(jīng)濟(jì)社會發(fā)展、保護(hù)人民群眾利益中發(fā)揮著不可替代的重要作用。在信息化高速發(fā)展的今天，密碼的應(yīng)用已經(jīng)滲透到社會生產(chǎn)生活的各個方面，從涉及國家安全的保密通信、軍事指揮到涉及國民經(jīng)濟(jì)的金融交易、防偽稅控，再到涉及公民權(quán)益的電子支付、社會保障，密碼都在背后默默地發(fā)揮著作用[1]。

1 網(wǎng)絡(luò)安全面臨的現(xiàn)狀

信息推動科技進(jìn)步發(fā)展，也給網(wǎng)絡(luò)安全帶來了諸多挑戰(zhàn)。大數(shù)據(jù)時代，海量信息的泛在、控制權(quán)限的弱化，使得更多主體有泄露大數(shù)據(jù)信息、危害網(wǎng)絡(luò)安全的可能性。很多大數(shù)據(jù)以云存儲的形式存在于智能終端，但其智能終端在技術(shù)上的穩(wěn)定性和安全性值得思考。此外，各類信息廣泛分散于互聯(lián)網(wǎng)，一些人可能利用互聯(lián)網(wǎng)，通過數(shù)據(jù)挖掘，在公開傳播和散布的信息中搜集整理出具有商業(yè)價值甚至屬于私密性的信息。隨著大數(shù)據(jù)時代的到來，網(wǎng)絡(luò)安全領(lǐng)域出現(xiàn)了一些新的問題和新的趨勢。勒索攻擊成為一種常見的網(wǎng)絡(luò)攻擊，且攻擊方式不斷改變。新技術(shù)推動物聯(lián)網(wǎng)發(fā)展的同時，也產(chǎn)生了日趨嚴(yán)重的安全威脅，對用戶的個人隱私、資金財產(chǎn)乃至人身安全造成了巨大損失。

1.1 敏感數(shù)據(jù)缺乏密碼保護(hù)，泄露事件愈演愈烈

人們在網(wǎng)上進(jìn)行的各類活動越來越頻繁，儲存互聯(lián)網(wǎng)上的敏感信息越來越多，被泄露或被盜取的風(fēng)險越來越大。情況更糟糕的是，國內(nèi)外相當(dāng)數(shù)量的信息服務(wù)提供商缺乏對用戶信息的有力保護(hù)，造成了近年來敏感數(shù)據(jù)泄露案件頻發(fā)。例如，2011年，我國最大的程序員社區(qū)中國軟件開發(fā)網(wǎng)遭黑客攻擊，600萬用戶賬號及明文口令遭泄露，資料被大量傳播。2014年，韓國發(fā)生史上最大規(guī)模的信用卡個人信息泄露事件，KB國民卡、樂天卡及NH家協(xié)卡公司的1億多條用戶個人信息被泄露，三家公司社長全部引咎辭職。此次海量信息的泄露，是利用用戶敏感信息未加密的弱點非法收集和泄露的。2016年6月，代號為“peace”的黑客稱已經(jīng)拿到了全球第二大社交網(wǎng)站聚友網(wǎng)的3.6億用戶賬號以及4.27億口令。2016年9月，雅虎公布有至少5億用戶賬號信息被黑客盜取，盜取內(nèi)容包括用戶姓名、電郵地址、電話號碼、生日、口令等隱私信息。2017年3月，一臺沒有設(shè)置口令、沒有對數(shù)據(jù)進(jìn)行任何加密存儲的備份服務(wù)器暴露了數(shù)千份美國空軍的文件，內(nèi)容包括高級軍官的高度敏感個人文件資料，造成嚴(yán)重不良影響。

1.2 數(shù)據(jù)篡改和身份假冒已經(jīng)成為社會性問題

網(wǎng)絡(luò)化時代，網(wǎng)絡(luò)和網(wǎng)絡(luò)設(shè)備已經(jīng)成為信息存儲、傳輸、處理的主要載體。網(wǎng)絡(luò)上的信息歸根結(jié)底是以二進(jìn)制數(shù)據(jù)的形式存在的，若不用密碼技術(shù)，很容易被復(fù)制和修改。然而由于對密碼技術(shù)的不重視，使得網(wǎng)絡(luò)數(shù)據(jù)篡改和網(wǎng)絡(luò)身份假冒事件屢屢發(fā)生，已經(jīng)成為嚴(yán)重的社會性問題。例如，Xcode是蘋果公司推出的軟件開發(fā)工具，常常有國內(nèi)的開發(fā)者出于方便從非蘋果官方的第三方網(wǎng)站下載Xcode并使用。2015年9月12日，騰訊安全響應(yīng)中心發(fā)現(xiàn)有蘋果手機(jī)的軟件存在異常行為，騰訊立即告知中國國家互聯(lián)網(wǎng)應(yīng)急中心（CNCERT），后者發(fā)布預(yù)警，指出開發(fā)者使用了非蘋果公司官方渠道的Xcode工具，會向正常的蘋果軟件植入惡意代碼，該惡意代碼具有信息竊取行為，并具有遠(yuǎn)程控制的功能。由于大多數(shù)程序員難以分辨所下載的版本是否與蘋果官方軟件的正版Xcode相同，導(dǎo)致病毒事件爆發(fā)。該事件涉及眾多產(chǎn)品，其中不乏大公司的知名應(yīng)用，也有不少金融類應(yīng)用，還有諸多民生類應(yīng)用，影響人數(shù)超過1億。

2011年12月，山西省國稅局發(fā)現(xiàn)兩個仿冒該局發(fā)票真?zhèn)尾樵兿到y(tǒng)的網(wǎng)站，經(jīng)調(diào)查發(fā)現(xiàn)，山西省地稅局及河北省國稅局也存在相同問題。仿冒頁面與真實頁面相似度幾乎達(dá)到了100%，還利用搜索引擎把仿造的網(wǎng)站信息放置在搜索結(jié)果的前幾位，從而對納稅人起到了迷惑作用。這種欺騙用戶的高仿正規(guī)網(wǎng)站被稱作“釣魚網(wǎng)站”。不法分子常常通過手機(jī)短信、電子郵件等方式發(fā)送詐騙鏈接，誘導(dǎo)用戶打開釣魚網(wǎng)站并輸入個人敏感信息，從而達(dá)到竊取用戶隱私的目的。如果被仿冒的是涉及金融交易的網(wǎng)站，則有可能給用戶帶來經(jīng)濟(jì)損失；如果被仿冒的是政府網(wǎng)站，則有可能發(fā)布假消息，極端情況下可能會造成社會恐慌。

1.3 網(wǎng)絡(luò)安全對抗已逐步升級為網(wǎng)絡(luò)“戰(zhàn)爭”

當(dāng)今世界互聯(lián)網(wǎng)的觸角已經(jīng)深入到地球的各個角落，而局部網(wǎng)絡(luò)的攻防對抗也經(jīng)常升級到國家對抗層面。在網(wǎng)絡(luò)戰(zhàn)爭中，密碼應(yīng)用的缺位是遭受損失的重要原因之一。2017年3月7日，維基解密網(wǎng)站公布了美國中情局（CIA）8 761份關(guān)于黑客入侵技術(shù)的機(jī)密文件，外界將此次泄露事件取名為Vault 7。泄密文件顯示，美國中情局利用個人電子設(shè)備及操作系統(tǒng)的漏洞，通過自己研發(fā)的上千種病毒軟件、木馬程序、遠(yuǎn)程控制軟件等黑客工具，竊聽私人談話，收集個人信息。這些秘密文件的曝光不僅對美國中情局內(nèi)部造成嚴(yán)重沖擊，還對全球網(wǎng)絡(luò)安全帶來嚴(yán)重負(fù)面影響。據(jù)媒體報道，這些泄密文件都是從美國中情局設(shè)在美國弗吉尼亞州的蘭利總部泄露出來的，文件涵蓋美國中情局從2013—2016年的黑客工作。已由美國政府前情報官員所證實。泄密文件表明，美國中情局有一支專門的黑客部隊，黑客部隊內(nèi)部分工協(xié)作：有人專業(yè)從事網(wǎng)絡(luò)漏洞發(fā)現(xiàn)；有人基于漏洞開發(fā)網(wǎng)絡(luò)攻擊武器；有人使用網(wǎng)絡(luò)武器執(zhí)行任務(wù)，使用網(wǎng)絡(luò)武器的人員通常都擁有外交護(hù)照，以美國國務(wù)院外交官的身份作為掩護(hù)，規(guī)避國外情報機(jī)構(gòu)的監(jiān)控。

2 密碼在網(wǎng)絡(luò)安全中的重要作用

密碼在網(wǎng)絡(luò)空間中的身份識別、安全隔離、信息加密、完整性保護(hù)和抗抵賴性等方面具有不可替代的重要作用。相對于其他類型的安全手段，如人力保護(hù)、設(shè)備加固、物理隔離、防火墻、監(jiān)控技術(shù)、生物技術(shù)等，密碼技術(shù)是保障網(wǎng)絡(luò)與信息安全最有效、最可靠、最經(jīng)濟(jì)的手段。

當(dāng)前，以網(wǎng)絡(luò)安全為代表的非傳統(tǒng)安全威脅持續(xù)蔓延。從國際看，網(wǎng)絡(luò)空間已成為國家地區(qū)間博弈的主戰(zhàn)場，網(wǎng)絡(luò)空間安全成為國家戰(zhàn)略，更加突出戰(zhàn)略的攻擊性和實戰(zhàn)性；從國內(nèi)看，我國信息領(lǐng)域核心技術(shù)設(shè)備受制于人的局面沒有從根本上得到改變，關(guān)鍵信息基礎(chǔ)設(shè)施安全防護(hù)能力仍然薄弱，網(wǎng)絡(luò)信任體系不健全，對國家安全和公民合法權(quán)益構(gòu)成嚴(yán)重威脅。

面對嚴(yán)峻的網(wǎng)絡(luò)安全形勢和密碼應(yīng)用存在的突出問題，必須進(jìn)一步提升密碼安全意識，扎實推進(jìn)密碼全面應(yīng)用，加快密碼應(yīng)用技術(shù)的創(chuàng)新發(fā)展，構(gòu)建以密碼為底層支撐的完善的網(wǎng)絡(luò)安全保障體系，實現(xiàn)網(wǎng)絡(luò)的普遍安全、真實可信和自主可控。

第一，密碼是網(wǎng)絡(luò)安全的核心技術(shù)和基礎(chǔ)支撐。密碼是指使用特定變換，對數(shù)據(jù)等信息進(jìn)行加密保護(hù)或者安全認(rèn)證的物項和技術(shù)。其中加密保護(hù)是指使用特定變換，將原來可讀的信息變成不能識別的符號序列；安全認(rèn)證是指使用特定變換，確認(rèn)信息是否被篡改、是否來自可靠信息源以及確認(rèn)行為是否真實等；物項是指實現(xiàn)加密保護(hù)或安全認(rèn)證功能的設(shè)備與系統(tǒng)，技術(shù)是指物項實現(xiàn)加密保護(hù)或安全認(rèn)證功能的方法或手段[2]。密碼可以完整實現(xiàn)網(wǎng)絡(luò)和信息系統(tǒng)的真實性、機(jī)密性、完整性和不可否認(rèn)性等信息安全需求，可以實現(xiàn)防假冒、防泄密、防篡改、抗抵賴，有效解決網(wǎng)絡(luò)安全的5種需求，即不該進(jìn)的進(jìn)不來、不該看的看不懂、不該改的改不了、不是你的拿不走、只要干過就逃不掉?？梢?，密碼是網(wǎng)絡(luò)安全的核心技術(shù)和基礎(chǔ)支撐，是網(wǎng)絡(luò)免疫體系的基因。

第二，密碼是構(gòu)建網(wǎng)絡(luò)信任體系的重要基石。信任是世界上任何價值物轉(zhuǎn)移、交易、存儲和支付的基礎(chǔ)，是社會發(fā)展的潤滑劑和助推器。最初人類社會依靠血緣和宗族關(guān)系建立信任，后來主要依靠法律和組織建立信任。信息時代，萬物互聯(lián)、人機(jī)互認(rèn)、天地一體，網(wǎng)絡(luò)空間的信任建立主要依靠密碼算法和安全協(xié)議，解決人、機(jī)、物的身份標(biāo)識、身份認(rèn)證、統(tǒng)一管理、信任傳遞、行為審計等問題，實現(xiàn)安全、可信、可控的互聯(lián)互通[3]。因此，密碼是構(gòu)建網(wǎng)絡(luò)信任體系的重要基石，是實現(xiàn)國家治理體系與治理能力現(xiàn)代化的重要支撐。

第三，密碼是國之重器，是國家的重要戰(zhàn)略性資源。密碼技術(shù)是國家的一項“撒手锏”技術(shù)，我國密碼技術(shù)能力已達(dá)到國際先進(jìn)水平，我國自主設(shè)計的密碼算法ZUC、SM2和SM9已成為國際標(biāo)準(zhǔn)。這是與國外最領(lǐng)先的密碼算法同臺競爭、反復(fù)論證的結(jié)果，我國的密碼算法被證明是足夠安全的。在我國信息領(lǐng)域核心技術(shù)受制于人的局面沒有從根本上改變的情況下，要實現(xiàn)自主可控，應(yīng)當(dāng)把密碼作為構(gòu)建安全可控信息技術(shù)體系“彎道超車”的重要突破口，實施密碼優(yōu)先發(fā)展，在一定程度上可以扭轉(zhuǎn)核心技術(shù)和產(chǎn)品受制于人的被動局面。

3 密碼在網(wǎng)絡(luò)安全中的實施策略

黨的十八大以來，我國密碼應(yīng)用技術(shù)實現(xiàn)了跨越式發(fā)展，管理體制不斷完善，科技創(chuàng)新能力不斷增強，形成了較完整的產(chǎn)業(yè)鏈條和產(chǎn)品體系，在金融和教育、社保、交通、通信、能源、稅收、公共安全、國防工業(yè)等重要領(lǐng)域得到了廣泛應(yīng)用。黨的十九大明確了網(wǎng)絡(luò)強國戰(zhàn)略和網(wǎng)絡(luò)安全的大方向，特別是提出了推動互聯(lián)網(wǎng)、大數(shù)據(jù)、人工智能和實體經(jīng)濟(jì)深度融合以及發(fā)展數(shù)字經(jīng)濟(jì)、共享經(jīng)濟(jì)的新任務(wù)。在新的歷史起點上，密碼技術(shù)的應(yīng)用和發(fā)展必須跟上新形勢、滿足新需求，實現(xiàn)融合發(fā)展、創(chuàng)新發(fā)展。

一是規(guī)劃引領(lǐng)。要以貫徹落實黨的十九大精神為主線，以國家安全觀和網(wǎng)絡(luò)強國戰(zhàn)略為統(tǒng)領(lǐng)，建立健全密碼應(yīng)用的相關(guān)法律法規(guī)體系，統(tǒng)籌密碼應(yīng)用和創(chuàng)新發(fā)展，特別是在保障和改善民生、金融和現(xiàn)代服務(wù)業(yè)、基礎(chǔ)設(shè)施網(wǎng)絡(luò)和新興產(chǎn)業(yè)、社會治理體系建設(shè)等方面，規(guī)劃一批密碼支撐任務(wù)和工程，著力推動密碼技術(shù)全面規(guī)范應(yīng)用。

二是創(chuàng)新驅(qū)動。面向新應(yīng)用需求、新計算方式、新技術(shù)、新業(yè)態(tài)，培育積聚一批信息安全專業(yè)的優(yōu)秀人才，滿足網(wǎng)絡(luò)強國建設(shè)對人才的需求。通過密碼技術(shù)的創(chuàng)新獲得網(wǎng)絡(luò)信息安全的核心關(guān)鍵技術(shù)，強化對密碼標(biāo)準(zhǔn)的規(guī)范引導(dǎo)，建立信息與情報共享通報機(jī)制，提升風(fēng)險分析研判和密碼安全態(tài)勢感知能力。

三是戰(zhàn)略融合。密碼應(yīng)用要與國家戰(zhàn)略相融合，支撐保障國家戰(zhàn)略落地實施。做好密碼應(yīng)用與網(wǎng)絡(luò)強國、“互聯(lián)網(wǎng)+”行動計劃、“一帶一路”建設(shè)、軍民融合、“互聯(lián)網(wǎng)+”先進(jìn)制造、智慧城市、大數(shù)據(jù)等戰(zhàn)略的統(tǒng)籌實施，發(fā)揮密碼的基礎(chǔ)支撐和安全保障作用。

四是源頭管理。從職能部門角度看，各主管部門要從政策規(guī)劃制定的源頭落實密碼應(yīng)用要求；從產(chǎn)品技術(shù)提供商角度看，要在信息產(chǎn)品研發(fā)、網(wǎng)絡(luò)系統(tǒng)集成和網(wǎng)絡(luò)信息服務(wù)就開始應(yīng)用密碼技術(shù)；從網(wǎng)絡(luò)系統(tǒng)運營者角度看，要明確密碼應(yīng)用主體責(zé)任，合規(guī)、正確、有效使用密碼保護(hù)網(wǎng)絡(luò)系統(tǒng)安全；從社會公眾角度看，要加大密碼知識和政策宣傳普及，切實提高社會公眾使用密碼保護(hù)網(wǎng)絡(luò)安全和個人信息安全的意識。

網(wǎng)絡(luò)安全離不開密碼，密碼創(chuàng)新促進(jìn)網(wǎng)絡(luò)發(fā)展。構(gòu)建普遍安全的網(wǎng)絡(luò)空間命運共同體，要樹立以國家安全觀為統(tǒng)領(lǐng)，以密碼為核心技術(shù)和基礎(chǔ)支撐的網(wǎng)絡(luò)信息安全觀，構(gòu)建以密碼基礎(chǔ)設(shè)施為底層支撐的網(wǎng)絡(luò)安全保障體系。通過密碼實現(xiàn)網(wǎng)絡(luò)的可信互聯(lián)、安全互通，推動構(gòu)建網(wǎng)絡(luò)安全機(jī)制、營造網(wǎng)絡(luò)安全環(huán)境、創(chuàng)造網(wǎng)絡(luò)安全文明。

密碼強則網(wǎng)絡(luò)強，網(wǎng)絡(luò)強則國家強。站在新的歷史起點上，必須堅持“以人為中心”，推動密碼與網(wǎng)絡(luò)安全的協(xié)同與融合發(fā)展，讓網(wǎng)絡(luò)空間更清朗、更安全，讓人民群眾有更多的獲得感、安全感和幸福感。

參考文獻(xiàn)：

[1] 商用密碼知識與政策干部讀本編委會.商用密碼知識與政策干部讀本[M].北京：人民出版社，2017.

[2] 任忠偉.密碼是確保網(wǎng)絡(luò)空間安全的基礎(chǔ)支撐[N].2018-08-21.

[3] 霍煒.在新的歷史起點上推動商用密碼創(chuàng)新發(fā)展[J].信息安全與通信保密，2018（5）：13-18.