張楊 張艷 彭華熹 陳磊 李邦靈 馬愛良

(中國移動通信有限公司研究院安全技術研究所，北京 100032)

0 引言

隨著科技的快速發(fā)展，信息化、數(shù)字化、智能化已成為社會發(fā)展的重要方向，基礎電信企業(yè)承擔著保障基礎通信服務的使命，在其中扮演了重要角色。近年來，電信行業(yè)發(fā)展迅速，用戶數(shù)量穩(wěn)步持續(xù)增長，基礎設施建設快速有序推進，據工業(yè)和信息化部發(fā)布的信息[1]，2021年，全國電話用戶凈增4 755萬戶，總數(shù)達到18.24億戶，其中移動電話用戶總數(shù)16.43億戶；新建光纜線路長度319萬公里，全國光纜線路總長度達5 488萬公里；全國移動通信基站總數(shù)達996萬個，全年凈增65萬個。與此同時，網絡空間安全形勢日趨復雜和嚴峻，安全事件層出不窮，基礎電信企業(yè)面臨越來越嚴重的信息安全威脅。密碼技術是解決網絡和信息安全的有效技術手段，自1999年《商用密碼管理條例》頒布以來，商用密碼產業(yè)快速發(fā)展，應用領域不斷擴大，在保障網絡信息安全工作中發(fā)揮了重要作用。基礎電信企業(yè)也逐步開展商用密碼應用建設，保護網絡和信息系統(tǒng)安全。

1 商用密碼應用及密評的法律法規(guī)要求

為了促進信息系統(tǒng)中商用密碼應用的規(guī)范性、正確性和有效性，國家建立商用密碼應用安全性評估(以下簡稱“密評”)制度，并通過《中華人民共和國密碼法》(簡稱《密碼法》)推動其實施。密評最早于2007年提出，經過十余年的積累，密評制度體系不斷成熟，于2017年基本完成密評體系建設并啟動密評試點工作。自《密碼法》頒布以來，關于密評的相關法律逐步在各項法律法規(guī)和規(guī)范性文件中體現(xiàn)[2](見表1)。

總體而言，我國法律法規(guī)對于網絡和信息系統(tǒng)的密評有關要求，可以歸納為3個方面。

表1 法律法規(guī)對商用密碼應用及密評的要求

(1)關鍵信息基礎設施、網絡安全等級保護第三級以上網絡、國家政務信息系統(tǒng)等網絡與信息系統(tǒng)，其運營者應當使用商用密碼進行保護，制定商用密碼應用方案，配備必要的資金和專業(yè)人員，同步規(guī)劃、同步建設、 同步運行商用密碼保障系統(tǒng)。

(2)法律、行政法規(guī)和國家有關規(guī)定要求使用商用密碼進行保護的關鍵信息基礎設施和網絡安全等級保護三級及以上系統(tǒng)應開展密評，且每年應至少評估一次。

(3)關鍵信息基礎設施和網絡安全等級保護三級及以上系統(tǒng)中的密碼應用和管理，應遵守相關法律法規(guī)和管理辦法的要求，并配合密碼管理等相關部門的安全檢查，不符合安全要求的單位和個人將受到處罰。

2 商用密碼技術在基礎電信企業(yè)信息系統(tǒng)中的應用

在國家日益重視信息安全并大力推動利用商用密碼技術增強網絡與系統(tǒng)信息安全能力的大背景下，基礎電信企業(yè)作為國內通信技術設施的建設者和運營者，肩負著為國家做好通信服務保障的重任，有責任做好商用密碼應用建設，保障網絡和通信安全。商用密碼技術和產品經過近年的快速發(fā)展，已經具備為基礎電信企業(yè)網絡和信息系統(tǒng)服務的能力和條件。目前，在部分基礎電信企業(yè)建設和運維的網絡和系統(tǒng)中已經開展了商用密碼應用規(guī)劃與建設，旨在在提高信息安全能力方面發(fā)揮積極作用。

2.1 基礎網絡

2011年9月，在第53次3GPP系統(tǒng)架構組會議上，以ZUC算法為核心的加密算法128-EEA3和完整性保護算法128EIA3已成為4G國際標準。目前，正在推動256比特版本的ZUC算法進入5G通信安全標準，這一版本的算法采用256比特密鑰與184比特初始向量，可產生32/64/128比特3種不同長度的認證標簽?；A電信企業(yè)提供的移動通信業(yè)務采用該算法后，在5G時代可以更好地保障移動通信網絡和業(yè)務的保密性和完整性。

專網是指基礎電信企業(yè)基于授權頻譜，為專有行業(yè)客戶提供的服務范圍、網絡能力、隔離程度可定制的移動通信服務。隨著用戶對移動通信的需求從覆蓋、性能等服務質量需求向差異化需求的不斷改變，在5G時代，專網已成為用戶的迫切需求，無論是邏輯專網還是物理專網，安全性都是專網的重要特性，利用商用密碼技術可以為用戶提供安全程度可定制的移動通信服務，包括不同量級的數(shù)據通信加密和身份認證強度等，以及利用不同算法、參數(shù)或協(xié)議在專網之間進行密碼隔離，為專網的可定制特性增加了安全維度，可以更好地滿足不同用戶的差異化安全需求。

2.2 業(yè)務系統(tǒng)

當前，信息技術正處于快速發(fā)展和不斷變革之中，云計算、物聯(lián)網、車聯(lián)網、大數(shù)據、互聯(lián)網金融、數(shù)字貨幣等新技術和新應用層出不窮?；A電信企業(yè)身處其中，除了語音通話、短信、分組數(shù)據和家庭寬帶等傳統(tǒng)業(yè)務外，也推出了包括云、大數(shù)據、直播、視頻會議、移動支付等在內的一系列新型業(yè)務，覆蓋教育、能源、交通、醫(yī)療、政務、金融等重要領域。

在這些業(yè)務系統(tǒng)中，一方面涉及用戶的隱私、財產、健康，甚至人身安全，另一方面關系到國家重要系統(tǒng)的平穩(wěn)運行，對信息安全的需求強烈。在當前網絡安全形勢不斷變化、日益嚴峻的背景下，商用密碼技術作為解決信息安全問題的有效手段，已經逐漸應用于上文所述業(yè)務系統(tǒng)，且在未來其應用范圍的廣度和深度還將不斷提升。

2.3 運維系統(tǒng)

網絡管理系統(tǒng)是基礎電信企業(yè)用來對網絡系統(tǒng)和業(yè)務系統(tǒng)的各類管理維護作業(yè)進行統(tǒng)一管理的系統(tǒng)，4A管理系統(tǒng)是將賬號管理、認證管理、授權管理和安全審計整合成集中、統(tǒng)一的安全服務系統(tǒng)，它們是基礎電信企業(yè)為了保障通信服務而建設的眾多內部運維系統(tǒng)中的一部分，雖然不直接面向用戶，有些甚至與互聯(lián)網隔離，但仍然面臨著信息泄露、信息篡改等外部安全風險，以及來自內部操作人員的安全隱患。

利用商用密碼技術，可在身份認證、訪問控制、安全審計、信息的安全傳輸和存儲等方面，起到有效作用。

3 基礎電信企業(yè)開展商用密碼應用及密評的必要性分析

根據工業(yè)和信息化部2021年的統(tǒng)計數(shù)據，全國電話用戶總數(shù)達到18.24億戶，基礎設施規(guī)模巨大，信息系統(tǒng)數(shù)量眾多，是保障國家基礎通信能力的基石，安全保障能力至關重要，有必要對重要系統(tǒng)和關鍵信息基礎設施進行密評。

3.1 國家法律法規(guī)的明文要求

國家對信息系統(tǒng)的密評工作有法律法規(guī)層面的明文要求，其中《密碼法》第二十七條規(guī)定：“法律、行政法規(guī)和國家有關規(guī)定要求使用商用密碼進行保護的關鍵信息基礎設施，其運營者應當使用商用密碼進行保護，自行或者委托商用密碼檢測機構開展商用密碼應用安全性評估”[3]，基礎電信企業(yè)作為通信領域基礎設施和信息系統(tǒng)的建設者、使用者、管理者和運營者，必須遵守國家法律法規(guī)，對使用商用密碼進行保護的關鍵信息基礎設施和信息系統(tǒng)進行密評。

3.2 檢驗密碼應用效果的必要手段

為了提升信息系統(tǒng)的安全能力，基礎電信企業(yè)已逐步規(guī)劃并開展在現(xiàn)網通信基礎設施和業(yè)務信息系統(tǒng)的商用密碼應用建設，但當前實際的商用密碼應用情況并不容樂觀，存在商用密碼應用不規(guī)范、不正確、不安全等問題，因此有必要采用測評的方式來確保密碼應用確實起到應有的效果。

4 開展后續(xù)相關工作的建議

4.1 完善商用密碼應用技術標準體系

一方面，目前我國已形成較為完善的商用密碼標準體系。截至2021年10月，我國已發(fā)布行業(yè)標準130項、國家標準30余項，范圍覆蓋密碼算法、協(xié)議、產品、檢測、應用、管理等各方面[4]。

另一方面，商用密碼在各行業(yè)應用的相關標準還不盡完善，跨行業(yè)制定密碼應用標準難度較大，適用于具體行業(yè)的密碼應用標準缺失，較難對商用密碼應用的切實落地起到指導作用。

具體到通信領域，缺乏明確的電信領域網絡和基礎設施商用密碼應用標準規(guī)范來指導，導致在商用密碼應用方面形成不敢用和無從下手的局面。

基礎電信企業(yè)應通過密標委、CCSA、工業(yè)和信息化部密碼應用推進標準工作組等標準化組織積極參與通信領域商用密碼應用行業(yè)標準的制定工作，通過聚焦通信行業(yè)，更好地適應各行業(yè)差異化的安全需求，明確行業(yè)內密碼應用的安全需求，完善密碼應用標準化工作，有效指導通信行業(yè)開展商用密碼應用工作，充分發(fā)揮標準化的基礎性和引領性作用。

4.2 推進商用密碼應用人才隊伍建設

作為信息安全領域的一個重要分支，密碼專業(yè)具有較強的專業(yè)性。在密碼人才方面，密碼人才匱乏已成為制約密碼合規(guī)、正確、有效應用的瓶頸。

基礎電信企業(yè)雖然較少甚至不涉及密碼算法、密碼協(xié)議等密碼基礎技術研究工作，但隨著商用密碼應用深度和廣度的不斷增加，實際通信基礎設施和業(yè)務系統(tǒng)平臺的建設和運維工作與密碼應用緊密耦合，牽涉密碼背景知識較多，對密碼相關從業(yè)人員的能力水平要求較高。然而基礎電信企業(yè)內部具有商用密碼相關背景的員工非常少，對相關人才的引進和培養(yǎng)也不夠重視。

為解決密碼人才的巨大缺口，基礎電信企業(yè)需盡快完善密碼人才培養(yǎng)的設計和規(guī)劃，確立以實現(xiàn)國家安全戰(zhàn)略為密碼人才培養(yǎng)目標，建立政治素養(yǎng)過硬、專業(yè)基礎扎實、實踐能力強的密碼人才隊伍。

4.3 打造商用密碼應用統(tǒng)一服務平臺

近年來，基礎電信企業(yè)的部分基礎網絡和業(yè)務系統(tǒng)已逐步開展商用密碼應用建設，但在建設過程中，密碼應用體系的建設往往以信息系統(tǒng)為單位，由各個業(yè)務部門主導進行建設，進而導致密碼應用體系極其繁雜，密碼產品數(shù)量、種類繁多，不可避免地產生密碼基礎設施重復建設問題，使企業(yè)自身難以對密碼應用體系的合規(guī)性和安全性進行評估，極易造成網絡安全漏洞和隱患，以及對接沖突和投資浪費等問題。

因此，建議以密碼服務為資源，建立統(tǒng)一的密碼應用服務平臺，提供統(tǒng)一的密碼設備和密鑰、密碼服務，簡化密碼應用流程，降低密碼應用門檻，提供正確、合規(guī)和有效的國產密碼服務，降低信息系統(tǒng)應用密碼的復雜度。

同時，建議形成應用接入密碼服務平臺標準規(guī)范、接口和制度，指導各信息系統(tǒng)快速實現(xiàn)密碼服務的集成。

此外，建議在管理角度實現(xiàn)統(tǒng)一密碼資源管理、統(tǒng)一密鑰管理、統(tǒng)一業(yè)務監(jiān)控分析考核等監(jiān)管功能，實現(xiàn)行業(yè)級、集團級、企業(yè)級的密碼應用統(tǒng)一管控和細粒度管控。

4.4 構建商用密碼應用安全測評能力

目前，國家密碼管理局已授權全國48家單位開展密評試點工作，然而名單中缺乏基礎電信企業(yè)，具有電信行業(yè)背景的相關單位和機構也較少。

在密評工作中，給出明確的風險分析和合理的整改意見是一個重要環(huán)節(jié)，密評的最終目的也是幫助被測信息系統(tǒng)完善商用密碼應用安全性。顯然具備電信行業(yè)背景知識，了解基礎電信企業(yè)業(yè)務和運作流程特點的測評人員能夠更快、更有效地發(fā)現(xiàn)商用密碼在電信行業(yè)信息系統(tǒng)應用中存在的問題，能夠給出更合理的整改建議，通過以評促建、以評促改、以評促用，一方面提升信息系統(tǒng)商用密碼應用安全能力，另一方面推動電信行業(yè)商用密碼應用的深度和廣度。

4.5 研究新技術新業(yè)務中的密碼應用技術

信息技術發(fā)展日新月異，云計算、大數(shù)據、區(qū)塊鏈、人工智能等新技術和新應用層出不窮，基礎電信企業(yè)也順應趨勢和需求開展新業(yè)務的研發(fā)和建設，產生了新的信息安全需求，抗量子攻擊密碼、抗密鑰攻擊密碼、同態(tài)密碼等密碼新技術不斷產生，給傳統(tǒng)密碼技術帶來了新的機遇和挑戰(zhàn)，導致部分傳統(tǒng)密碼技術應用方式面臨安全風險[5]。

因此，基礎電信企業(yè)應深入開展密碼新技術研究，大膽創(chuàng)新密碼技術在新業(yè)務中的應用方法，適應新時代信息安全需求，利用密碼技術提升基礎電信企業(yè)新系統(tǒng)新業(yè)務的信息安全能力。

5 結束語

本文從國家法律法規(guī)要求和信息系統(tǒng)安全需求兩方面論述了基礎電信企業(yè)開展密評工作的必要性，然后從標準制定、人才培養(yǎng)、平臺研發(fā)、能力建設和技術研究等方面給出了后續(xù)開展密碼應用及密評工作的建議，希望能對基礎電信企業(yè)開展信息安全工作提供有益的參考。