基于密碼應(yīng)用的網(wǎng)絡(luò)信息安全問(wèn)題解析

陳蔚

摘 要：網(wǎng)絡(luò)安全關(guān)系國(guó)家安全、社會(huì)穩(wěn)定和人民的根本利益。密碼作為網(wǎng)絡(luò)安全的核心技術(shù)和基礎(chǔ)支撐，是保護(hù)國(guó)家安全和根本利益的戰(zhàn)略性資源。本文從3個(gè)方面，闡述了以密碼為基礎(chǔ)支撐的網(wǎng)絡(luò)安全觀，并提出了相應(yīng)策略。

關(guān)鍵詞：密碼；網(wǎng)絡(luò)安全；策略

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1671-0037（2018）9-87-3

DOI：10.19345/j.cxkj.1671-0037.2018.09.022

Analysis of Network Information Security based on Cryptographic Application

Chen Wei

（Henan Provincial Scientific Equipment Supply Center， Zhengzhou Henan 450003）

Abstract： Network security is related to national security， social stability and fundamental interests of the people. As the core technology and basic support of network security， cryptography is a strategic resource to protect national security and fundamental interests. This paper expounded the concept of network security based on cryptography from three aspects， and put forward corresponding strategies.

Key words： cryptography； network security； strategy

沒(méi)有網(wǎng)絡(luò)安全就沒(méi)有國(guó)家安全。密碼是保障網(wǎng)絡(luò)安全的核心技術(shù)和基礎(chǔ)支撐，在維護(hù)國(guó)家安全、促進(jìn)經(jīng)濟(jì)社會(huì)發(fā)展、保護(hù)人民群眾利益中發(fā)揮著不可替代的重要作用。在信息化高速發(fā)展的今天，密碼的應(yīng)用已經(jīng)滲透到社會(huì)生產(chǎn)生活的各個(gè)方面，從涉及國(guó)家安全的保密通信、軍事指揮到涉及國(guó)民經(jīng)濟(jì)的金融交易、防偽稅控，再到涉及公民權(quán)益的電子支付、社會(huì)保障，密碼都在背后默默地發(fā)揮著作用[1]。

1 網(wǎng)絡(luò)安全面臨的現(xiàn)狀

信息推動(dòng)科技進(jìn)步發(fā)展，也給網(wǎng)絡(luò)安全帶來(lái)了諸多挑戰(zhàn)。大數(shù)據(jù)時(shí)代，海量信息的泛在、控制權(quán)限的弱化，使得更多主體有泄露大數(shù)據(jù)信息、危害網(wǎng)絡(luò)安全的可能性。很多大數(shù)據(jù)以云存儲(chǔ)的形式存在于智能終端，但其智能終端在技術(shù)上的穩(wěn)定性和安全性值得思考。此外，各類信息廣泛分散于互聯(lián)網(wǎng)，一些人可能利用互聯(lián)網(wǎng)，通過(guò)數(shù)據(jù)挖掘，在公開(kāi)傳播和散布的信息中搜集整理出具有商業(yè)價(jià)值甚至屬于私密性的信息。隨著大數(shù)據(jù)時(shí)代的到來(lái)，網(wǎng)絡(luò)安全領(lǐng)域出現(xiàn)了一些新的問(wèn)題和新的趨勢(shì)。勒索攻擊成為一種常見(jiàn)的網(wǎng)絡(luò)攻擊，且攻擊方式不斷改變。新技術(shù)推動(dòng)物聯(lián)網(wǎng)發(fā)展的同時(shí)，也產(chǎn)生了日趨嚴(yán)重的安全威脅，對(duì)用戶的個(gè)人隱私、資金財(cái)產(chǎn)乃至人身安全造成了巨大損失。

1.1 敏感數(shù)據(jù)缺乏密碼保護(hù)，泄露事件愈演愈烈

人們?cè)诰W(wǎng)上進(jìn)行的各類活動(dòng)越來(lái)越頻繁，儲(chǔ)存互聯(lián)網(wǎng)上的敏感信息越來(lái)越多，被泄露或被盜取的風(fēng)險(xiǎn)越來(lái)越大。情況更糟糕的是，國(guó)內(nèi)外相當(dāng)數(shù)量的信息服務(wù)提供商缺乏對(duì)用戶信息的有力保護(hù)，造成了近年來(lái)敏感數(shù)據(jù)泄露案件頻發(fā)。例如，2011年，我國(guó)最大的程序員社區(qū)中國(guó)軟件開(kāi)發(fā)網(wǎng)遭黑客攻擊，600萬(wàn)用戶賬號(hào)及明文口令遭泄露，資料被大量傳播。2014年，韓國(guó)發(fā)生史上最大規(guī)模的信用卡個(gè)人信息泄露事件，KB國(guó)民卡、樂(lè)天卡及NH家協(xié)卡公司的1億多條用戶個(gè)人信息被泄露，三家公司社長(zhǎng)全部引咎辭職。此次海量信息的泄露，是利用用戶敏感信息未加密的弱點(diǎn)非法收集和泄露的。2016年6月，代號(hào)為“peace”的黑客稱已經(jīng)拿到了全球第二大社交網(wǎng)站聚友網(wǎng)的3.6億用戶賬號(hào)以及4.27億口令。2016年9月，雅虎公布有至少5億用戶賬號(hào)信息被黑客盜取，盜取內(nèi)容包括用戶姓名、電郵地址、電話號(hào)碼、生日、口令等隱私信息。2017年3月，一臺(tái)沒(méi)有設(shè)置口令、沒(méi)有對(duì)數(shù)據(jù)進(jìn)行任何加密存儲(chǔ)的備份服務(wù)器暴露了數(shù)千份美國(guó)空軍的文件，內(nèi)容包括高級(jí)軍官的高度敏感個(gè)人文件資料，造成嚴(yán)重不良影響。

1.2 數(shù)據(jù)篡改和身份假冒已經(jīng)成為社會(huì)性問(wèn)題

網(wǎng)絡(luò)化時(shí)代，網(wǎng)絡(luò)和網(wǎng)絡(luò)設(shè)備已經(jīng)成為信息存儲(chǔ)、傳輸、處理的主要載體。網(wǎng)絡(luò)上的信息歸根結(jié)底是以二進(jìn)制數(shù)據(jù)的形式存在的，若不用密碼技術(shù)，很容易被復(fù)制和修改。然而由于對(duì)密碼技術(shù)的不重視，使得網(wǎng)絡(luò)數(shù)據(jù)篡改和網(wǎng)絡(luò)身份假冒事件屢屢發(fā)生，已經(jīng)成為嚴(yán)重的社會(huì)性問(wèn)題。例如，Xcode是蘋果公司推出的軟件開(kāi)發(fā)工具，常常有國(guó)內(nèi)的開(kāi)發(fā)者出于方便從非蘋果官方的第三方網(wǎng)站下載Xcode并使用。2015年9月12日，騰訊安全響應(yīng)中心發(fā)現(xiàn)有蘋果手機(jī)的軟件存在異常行為，騰訊立即告知中國(guó)國(guó)家互聯(lián)網(wǎng)應(yīng)急中心（CNCERT），后者發(fā)布預(yù)警，指出開(kāi)發(fā)者使用了非蘋果公司官方渠道的Xcode工具，會(huì)向正常的蘋果軟件植入惡意代碼，該惡意代碼具有信息竊取行為，并具有遠(yuǎn)程控制的功能。由于大多數(shù)程序員難以分辨所下載的版本是否與蘋果官方軟件的正版Xcode相同，導(dǎo)致病毒事件爆發(fā)。該事件涉及眾多產(chǎn)品，其中不乏大公司的知名應(yīng)用，也有不少金融類應(yīng)用，還有諸多民生類應(yīng)用，影響人數(shù)超過(guò)1億。

2011年12月，山西省國(guó)稅局發(fā)現(xiàn)兩個(gè)仿冒該局發(fā)票真?zhèn)尾樵兿到y(tǒng)的網(wǎng)站，經(jīng)調(diào)查發(fā)現(xiàn)，山西省地稅局及河北省國(guó)稅局也存在相同問(wèn)題。仿冒頁(yè)面與真實(shí)頁(yè)面相似度幾乎達(dá)到了100%，還利用搜索引擎把仿造的網(wǎng)站信息放置在搜索結(jié)果的前幾位，從而對(duì)納稅人起到了迷惑作用。這種欺騙用戶的高仿正規(guī)網(wǎng)站被稱作“釣魚(yú)網(wǎng)站”。不法分子常常通過(guò)手機(jī)短信、電子郵件等方式發(fā)送詐騙鏈接，誘導(dǎo)用戶打開(kāi)釣魚(yú)網(wǎng)站并輸入個(gè)人敏感信息，從而達(dá)到竊取用戶隱私的目的。如果被仿冒的是涉及金融交易的網(wǎng)站，則有可能給用戶帶來(lái)經(jīng)濟(jì)損失；如果被仿冒的是政府網(wǎng)站，則有可能發(fā)布假消息，極端情況下可能會(huì)造成社會(huì)恐慌。

1.3 網(wǎng)絡(luò)安全對(duì)抗已逐步升級(jí)為網(wǎng)絡(luò)“戰(zhàn)爭(zhēng)”

當(dāng)今世界互聯(lián)網(wǎng)的觸角已經(jīng)深入到地球的各個(gè)角落，而局部網(wǎng)絡(luò)的攻防對(duì)抗也經(jīng)常升級(jí)到國(guó)家對(duì)抗層面。在網(wǎng)絡(luò)戰(zhàn)爭(zhēng)中，密碼應(yīng)用的缺位是遭受損失的重要原因之一。2017年3月7日，維基解密網(wǎng)站公布了美國(guó)中情局（CIA）8 761份關(guān)于黑客入侵技術(shù)的機(jī)密文件，外界將此次泄露事件取名為Vault 7。泄密文件顯示，美國(guó)中情局利用個(gè)人電子設(shè)備及操作系統(tǒng)的漏洞，通過(guò)自己研發(fā)的上千種病毒軟件、木馬程序、遠(yuǎn)程控制軟件等黑客工具，竊聽(tīng)私人談話，收集個(gè)人信息。這些秘密文件的曝光不僅對(duì)美國(guó)中情局內(nèi)部造成嚴(yán)重沖擊，還對(duì)全球網(wǎng)絡(luò)安全帶來(lái)嚴(yán)重負(fù)面影響。據(jù)媒體報(bào)道，這些泄密文件都是從美國(guó)中情局設(shè)在美國(guó)弗吉尼亞州的蘭利總部泄露出來(lái)的，文件涵蓋美國(guó)中情局從2013—2016年的黑客工作。已由美國(guó)政府前情報(bào)官員所證實(shí)。泄密文件表明，美國(guó)中情局有一支專門的黑客部隊(duì)，黑客部隊(duì)內(nèi)部分工協(xié)作：有人專業(yè)從事網(wǎng)絡(luò)漏洞發(fā)現(xiàn)；有人基于漏洞開(kāi)發(fā)網(wǎng)絡(luò)攻擊武器；有人使用網(wǎng)絡(luò)武器執(zhí)行任務(wù)，使用網(wǎng)絡(luò)武器的人員通常都擁有外交護(hù)照，以美國(guó)國(guó)務(wù)院外交官的身份作為掩護(hù)，規(guī)避國(guó)外情報(bào)機(jī)構(gòu)的監(jiān)控。

2 密碼在網(wǎng)絡(luò)安全中的重要作用

密碼在網(wǎng)絡(luò)空間中的身份識(shí)別、安全隔離、信息加密、完整性保護(hù)和抗抵賴性等方面具有不可替代的重要作用。相對(duì)于其他類型的安全手段，如人力保護(hù)、設(shè)備加固、物理隔離、防火墻、監(jiān)控技術(shù)、生物技術(shù)等，密碼技術(shù)是保障網(wǎng)絡(luò)與信息安全最有效、最可靠、最經(jīng)濟(jì)的手段。

當(dāng)前，以網(wǎng)絡(luò)安全為代表的非傳統(tǒng)安全威脅持續(xù)蔓延。從國(guó)際看，網(wǎng)絡(luò)空間已成為國(guó)家地區(qū)間博弈的主戰(zhàn)場(chǎng)，網(wǎng)絡(luò)空間安全成為國(guó)家戰(zhàn)略，更加突出戰(zhàn)略的攻擊性和實(shí)戰(zhàn)性；從國(guó)內(nèi)看，我國(guó)信息領(lǐng)域核心技術(shù)設(shè)備受制于人的局面沒(méi)有從根本上得到改變，關(guān)鍵信息基礎(chǔ)設(shè)施安全防護(hù)能力仍然薄弱，網(wǎng)絡(luò)信任體系不健全，對(duì)國(guó)家安全和公民合法權(quán)益構(gòu)成嚴(yán)重威脅。

面對(duì)嚴(yán)峻的網(wǎng)絡(luò)安全形勢(shì)和密碼應(yīng)用存在的突出問(wèn)題，必須進(jìn)一步提升密碼安全意識(shí)，扎實(shí)推進(jìn)密碼全面應(yīng)用，加快密碼應(yīng)用技術(shù)的創(chuàng)新發(fā)展，構(gòu)建以密碼為底層支撐的完善的網(wǎng)絡(luò)安全保障體系，實(shí)現(xiàn)網(wǎng)絡(luò)的普遍安全、真實(shí)可信和自主可控。

第一，密碼是網(wǎng)絡(luò)安全的核心技術(shù)和基礎(chǔ)支撐。密碼是指使用特定變換，對(duì)數(shù)據(jù)等信息進(jìn)行加密保護(hù)或者安全認(rèn)證的物項(xiàng)和技術(shù)。其中加密保護(hù)是指使用特定變換，將原來(lái)可讀的信息變成不能識(shí)別的符號(hào)序列；安全認(rèn)證是指使用特定變換，確認(rèn)信息是否被篡改、是否來(lái)自可靠信息源以及確認(rèn)行為是否真實(shí)等；物項(xiàng)是指實(shí)現(xiàn)加密保護(hù)或安全認(rèn)證功能的設(shè)備與系統(tǒng)，技術(shù)是指物項(xiàng)實(shí)現(xiàn)加密保護(hù)或安全認(rèn)證功能的方法或手段[2]。密碼可以完整實(shí)現(xiàn)網(wǎng)絡(luò)和信息系統(tǒng)的真實(shí)性、機(jī)密性、完整性和不可否認(rèn)性等信息安全需求，可以實(shí)現(xiàn)防假冒、防泄密、防篡改、抗抵賴，有效解決網(wǎng)絡(luò)安全的5種需求，即不該進(jìn)的進(jìn)不來(lái)、不該看的看不懂、不該改的改不了、不是你的拿不走、只要干過(guò)就逃不掉。可見(jiàn)，密碼是網(wǎng)絡(luò)安全的核心技術(shù)和基礎(chǔ)支撐，是網(wǎng)絡(luò)免疫體系的基因。

第二，密碼是構(gòu)建網(wǎng)絡(luò)信任體系的重要基石。信任是世界上任何價(jià)值物轉(zhuǎn)移、交易、存儲(chǔ)和支付的基礎(chǔ)，是社會(huì)發(fā)展的潤(rùn)滑劑和助推器。最初人類社會(huì)依靠血緣和宗族關(guān)系建立信任，后來(lái)主要依靠法律和組織建立信任。信息時(shí)代，萬(wàn)物互聯(lián)、人機(jī)互認(rèn)、天地一體，網(wǎng)絡(luò)空間的信任建立主要依靠密碼算法和安全協(xié)議，解決人、機(jī)、物的身份標(biāo)識(shí)、身份認(rèn)證、統(tǒng)一管理、信任傳遞、行為審計(jì)等問(wèn)題，實(shí)現(xiàn)安全、可信、可控的互聯(lián)互通[3]。因此，密碼是構(gòu)建網(wǎng)絡(luò)信任體系的重要基石，是實(shí)現(xiàn)國(guó)家治理體系與治理能力現(xiàn)代化的重要支撐。

第三，密碼是國(guó)之重器，是國(guó)家的重要戰(zhàn)略性資源。密碼技術(shù)是國(guó)家的一項(xiàng)“撒手锏”技術(shù)，我國(guó)密碼技術(shù)能力已達(dá)到國(guó)際先進(jìn)水平，我國(guó)自主設(shè)計(jì)的密碼算法ZUC、SM2和SM9已成為國(guó)際標(biāo)準(zhǔn)。這是與國(guó)外最領(lǐng)先的密碼算法同臺(tái)競(jìng)爭(zhēng)、反復(fù)論證的結(jié)果，我國(guó)的密碼算法被證明是足夠安全的。在我國(guó)信息領(lǐng)域核心技術(shù)受制于人的局面沒(méi)有從根本上改變的情況下，要實(shí)現(xiàn)自主可控，應(yīng)當(dāng)把密碼作為構(gòu)建安全可控信息技術(shù)體系“彎道超車”的重要突破口，實(shí)施密碼優(yōu)先發(fā)展，在一定程度上可以扭轉(zhuǎn)核心技術(shù)和產(chǎn)品受制于人的被動(dòng)局面。

3 密碼在網(wǎng)絡(luò)安全中的實(shí)施策略

黨的十八大以來(lái)，我國(guó)密碼應(yīng)用技術(shù)實(shí)現(xiàn)了跨越式發(fā)展，管理體制不斷完善，科技創(chuàng)新能力不斷增強(qiáng)，形成了較完整的產(chǎn)業(yè)鏈條和產(chǎn)品體系，在金融和教育、社保、交通、通信、能源、稅收、公共安全、國(guó)防工業(yè)等重要領(lǐng)域得到了廣泛應(yīng)用。黨的十九大明確了網(wǎng)絡(luò)強(qiáng)國(guó)戰(zhàn)略和網(wǎng)絡(luò)安全的大方向，特別是提出了推動(dòng)互聯(lián)網(wǎng)、大數(shù)據(jù)、人工智能和實(shí)體經(jīng)濟(jì)深度融合以及發(fā)展數(shù)字經(jīng)濟(jì)、共享經(jīng)濟(jì)的新任務(wù)。在新的歷史起點(diǎn)上，密碼技術(shù)的應(yīng)用和發(fā)展必須跟上新形勢(shì)、滿足新需求，實(shí)現(xiàn)融合發(fā)展、創(chuàng)新發(fā)展。

一是規(guī)劃引領(lǐng)。要以貫徹落實(shí)黨的十九大精神為主線，以國(guó)家安全觀和網(wǎng)絡(luò)強(qiáng)國(guó)戰(zhàn)略為統(tǒng)領(lǐng)，建立健全密碼應(yīng)用的相關(guān)法律法規(guī)體系，統(tǒng)籌密碼應(yīng)用和創(chuàng)新發(fā)展，特別是在保障和改善民生、金融和現(xiàn)代服務(wù)業(yè)、基礎(chǔ)設(shè)施網(wǎng)絡(luò)和新興產(chǎn)業(yè)、社會(huì)治理體系建設(shè)等方面，規(guī)劃一批密碼支撐任務(wù)和工程，著力推動(dòng)密碼技術(shù)全面規(guī)范應(yīng)用。

二是創(chuàng)新驅(qū)動(dòng)。面向新應(yīng)用需求、新計(jì)算方式、新技術(shù)、新業(yè)態(tài)，培育積聚一批信息安全專業(yè)的優(yōu)秀人才，滿足網(wǎng)絡(luò)強(qiáng)國(guó)建設(shè)對(duì)人才的需求。通過(guò)密碼技術(shù)的創(chuàng)新獲得網(wǎng)絡(luò)信息安全的核心關(guān)鍵技術(shù)，強(qiáng)化對(duì)密碼標(biāo)準(zhǔn)的規(guī)范引導(dǎo)，建立信息與情報(bào)共享通報(bào)機(jī)制，提升風(fēng)險(xiǎn)分析研判和密碼安全態(tài)勢(shì)感知能力。

三是戰(zhàn)略融合。密碼應(yīng)用要與國(guó)家戰(zhàn)略相融合，支撐保障國(guó)家戰(zhàn)略落地實(shí)施。做好密碼應(yīng)用與網(wǎng)絡(luò)強(qiáng)國(guó)、“互聯(lián)網(wǎng)+”行動(dòng)計(jì)劃、“一帶一路”建設(shè)、軍民融合、“互聯(lián)網(wǎng)+”先進(jìn)制造、智慧城市、大數(shù)據(jù)等戰(zhàn)略的統(tǒng)籌實(shí)施，發(fā)揮密碼的基礎(chǔ)支撐和安全保障作用。

四是源頭管理。從職能部門角度看，各主管部門要從政策規(guī)劃制定的源頭落實(shí)密碼應(yīng)用要求；從產(chǎn)品技術(shù)提供商角度看，要在信息產(chǎn)品研發(fā)、網(wǎng)絡(luò)系統(tǒng)集成和網(wǎng)絡(luò)信息服務(wù)就開(kāi)始應(yīng)用密碼技術(shù)；從網(wǎng)絡(luò)系統(tǒng)運(yùn)營(yíng)者角度看，要明確密碼應(yīng)用主體責(zé)任，合規(guī)、正確、有效使用密碼保護(hù)網(wǎng)絡(luò)系統(tǒng)安全；從社會(huì)公眾角度看，要加大密碼知識(shí)和政策宣傳普及，切實(shí)提高社會(huì)公眾使用密碼保護(hù)網(wǎng)絡(luò)安全和個(gè)人信息安全的意識(shí)。

網(wǎng)絡(luò)安全離不開(kāi)密碼，密碼創(chuàng)新促進(jìn)網(wǎng)絡(luò)發(fā)展。構(gòu)建普遍安全的網(wǎng)絡(luò)空間命運(yùn)共同體，要樹(shù)立以國(guó)家安全觀為統(tǒng)領(lǐng)，以密碼為核心技術(shù)和基礎(chǔ)支撐的網(wǎng)絡(luò)信息安全觀，構(gòu)建以密碼基礎(chǔ)設(shè)施為底層支撐的網(wǎng)絡(luò)安全保障體系。通過(guò)密碼實(shí)現(xiàn)網(wǎng)絡(luò)的可信互聯(lián)、安全互通，推動(dòng)構(gòu)建網(wǎng)絡(luò)安全機(jī)制、營(yíng)造網(wǎng)絡(luò)安全環(huán)境、創(chuàng)造網(wǎng)絡(luò)安全文明。

密碼強(qiáng)則網(wǎng)絡(luò)強(qiáng)，網(wǎng)絡(luò)強(qiáng)則國(guó)家強(qiáng)。站在新的歷史起點(diǎn)上，必須堅(jiān)持“以人為中心”，推動(dòng)密碼與網(wǎng)絡(luò)安全的協(xié)同與融合發(fā)展，讓網(wǎng)絡(luò)空間更清朗、更安全，讓人民群眾有更多的獲得感、安全感和幸福感。

參考文獻(xiàn)：

[1] 商用密碼知識(shí)與政策干部讀本編委會(huì).商用密碼知識(shí)與政策干部讀本[M].北京：人民出版社，2017.

[2] 任忠偉.密碼是確保網(wǎng)絡(luò)空間安全的基礎(chǔ)支撐[N].2018-08-21.

[3] 霍煒.在新的歷史起點(diǎn)上推動(dòng)商用密碼創(chuàng)新發(fā)展[J].信息安全與通信保密，2018（5）：13-18.