基于密碼應用的網絡信息安全問題解析

陳蔚

摘 要：網絡安全關系國家安全、社會穩定和人民的根本利益。密碼作為網絡安全的核心技術和基礎支撐，是保護國家安全和根本利益的戰略性資源。本文從3個方面，闡述了以密碼為基礎支撐的網絡安全觀，并提出了相應策略。

關鍵詞：密碼；網絡安全；策略

中圖分類號：TP393 文獻標識碼：A 文章編號：1671-0037（2018）9-87-3

DOI：10.19345/j.cxkj.1671-0037.2018.09.022

Analysis of Network Information Security based on Cryptographic Application

Chen Wei

（Henan Provincial Scientific Equipment Supply Center， Zhengzhou Henan 450003）

Abstract： Network security is related to national security， social stability and fundamental interests of the people. As the core technology and basic support of network security， cryptography is a strategic resource to protect national security and fundamental interests. This paper expounded the concept of network security based on cryptography from three aspects， and put forward corresponding strategies.

Key words： cryptography； network security； strategy

沒有網絡安全就沒有國家安全。密碼是保障網絡安全的核心技術和基礎支撐，在維護國家安全、促進經濟社會發展、保護人民群眾利益中發揮著不可替代的重要作用。在信息化高速發展的今天，密碼的應用已經滲透到社會生產生活的各個方面，從涉及國家安全的保密通信、軍事指揮到涉及國民經濟的金融交易、防偽稅控，再到涉及公民權益的電子支付、社會保障，密碼都在背后默默地發揮著作用[1]。

1 網絡安全面臨的現狀

信息推動科技進步發展，也給網絡安全帶來了諸多挑戰。大數據時代，海量信息的泛在、控制權限的弱化，使得更多主體有泄露大數據信息、危害網絡安全的可能性。很多大數據以云存儲的形式存在于智能終端，但其智能終端在技術上的穩定性和安全性值得思考。此外，各類信息廣泛分散于互聯網，一些人可能利用互聯網，通過數據挖掘，在公開傳播和散布的信息中搜集整理出具有商業價值甚至屬于私密性的信息。隨著大數據時代的到來，網絡安全領域出現了一些新的問題和新的趨勢。勒索攻擊成為一種常見的網絡攻擊，且攻擊方式不斷改變。新技術推動物聯網發展的同時，也產生了日趨嚴重的安全威脅，對用戶的個人隱私、資金財產乃至人身安全造成了巨大損失。

1.1 敏感數據缺乏密碼保護，泄露事件愈演愈烈

人們在網上進行的各類活動越來越頻繁，儲存互聯網上的敏感信息越來越多，被泄露或被盜取的風險越來越大。情況更糟糕的是，國內外相當數量的信息服務提供商缺乏對用戶信息的有力保護，造成了近年來敏感數據泄露案件頻發。例如，2011年，我國最大的程序員社區中國軟件開發網遭黑客攻擊，600萬用戶賬號及明文口令遭泄露，資料被大量傳播。2014年，韓國發生史上最大規模的信用卡個人信息泄露事件，KB國民卡、樂天卡及NH家協卡公司的1億多條用戶個人信息被泄露，三家公司社長全部引咎辭職。此次海量信息的泄露，是利用用戶敏感信息未加密的弱點非法收集和泄露的。2016年6月，代號為“peace”的黑客稱已經拿到了全球第二大社交網站聚友網的3.6億用戶賬號以及4.27億口令。2016年9月，雅虎公布有至少5億用戶賬號信息被黑客盜取，盜取內容包括用戶姓名、電郵地址、電話號碼、生日、口令等隱私信息。2017年3月，一臺沒有設置口令、沒有對數據進行任何加密存儲的備份服務器暴露了數千份美國空軍的文件，內容包括高級軍官的高度敏感個人文件資料，造成嚴重不良影響。

1.2 數據篡改和身份假冒已經成為社會性問題

網絡化時代，網絡和網絡設備已經成為信息存儲、傳輸、處理的主要載體。網絡上的信息歸根結底是以二進制數據的形式存在的，若不用密碼技術，很容易被復制和修改。然而由于對密碼技術的不重視，使得網絡數據篡改和網絡身份假冒事件屢屢發生，已經成為嚴重的社會性問題。例如，Xcode是蘋果公司推出的軟件開發工具，常常有國內的開發者出于方便從非蘋果官方的第三方網站下載Xcode并使用。2015年9月12日，騰訊安全響應中心發現有蘋果手機的軟件存在異常行為，騰訊立即告知中國國家互聯網應急中心（CNCERT），后者發布預警，指出開發者使用了非蘋果公司官方渠道的Xcode工具，會向正常的蘋果軟件植入惡意代碼，該惡意代碼具有信息竊取行為，并具有遠程控制的功能。由于大多數程序員難以分辨所下載的版本是否與蘋果官方軟件的正版Xcode相同，導致病毒事件爆發。該事件涉及眾多產品，其中不乏大公司的知名應用，也有不少金融類應用，還有諸多民生類應用，影響人數超過1億。

2011年12月，山西省國稅局發現兩個仿冒該局發票真偽查詢系統的網站，經調查發現，山西省地稅局及河北省國稅局也存在相同問題。仿冒頁面與真實頁面相似度幾乎達到了100%，還利用搜索引擎把仿造的網站信息放置在搜索結果的前幾位，從而對納稅人起到了迷惑作用。這種欺騙用戶的高仿正規網站被稱作“釣魚網站”。不法分子常常通過手機短信、電子郵件等方式發送詐騙鏈接，誘導用戶打開釣魚網站并輸入個人敏感信息，從而達到竊取用戶隱私的目的。如果被仿冒的是涉及金融交易的網站，則有可能給用戶帶來經濟損失；如果被仿冒的是政府網站，則有可能發布假消息，極端情況下可能會造成社會恐慌。

1.3 網絡安全對抗已逐步升級為網絡“戰爭”

當今世界互聯網的觸角已經深入到地球的各個角落，而局部網絡的攻防對抗也經常升級到國家對抗層面。在網絡戰爭中，密碼應用的缺位是遭受損失的重要原因之一。2017年3月7日，維基解密網站公布了美國中情局（CIA）8 761份關于黑客入侵技術的機密文件，外界將此次泄露事件取名為Vault 7。泄密文件顯示，美國中情局利用個人電子設備及操作系統的漏洞，通過自己研發的上千種病毒軟件、木馬程序、遠程控制軟件等黑客工具，竊聽私人談話，收集個人信息。這些秘密文件的曝光不僅對美國中情局內部造成嚴重沖擊，還對全球網絡安全帶來嚴重負面影響。據媒體報道，這些泄密文件都是從美國中情局設在美國弗吉尼亞州的蘭利總部泄露出來的，文件涵蓋美國中情局從2013—2016年的黑客工作。已由美國政府前情報官員所證實。泄密文件表明，美國中情局有一支專門的黑客部隊，黑客部隊內部分工協作：有人專業從事網絡漏洞發現；有人基于漏洞開發網絡攻擊武器；有人使用網絡武器執行任務，使用網絡武器的人員通常都擁有外交護照，以美國國務院外交官的身份作為掩護，規避國外情報機構的監控。

2 密碼在網絡安全中的重要作用

密碼在網絡空間中的身份識別、安全隔離、信息加密、完整性保護和抗抵賴性等方面具有不可替代的重要作用。相對于其他類型的安全手段，如人力保護、設備加固、物理隔離、防火墻、監控技術、生物技術等，密碼技術是保障網絡與信息安全最有效、最可靠、最經濟的手段。

當前，以網絡安全為代表的非傳統安全威脅持續蔓延。從國際看，網絡空間已成為國家地區間博弈的主戰場，網絡空間安全成為國家戰略，更加突出戰略的攻擊性和實戰性；從國內看，我國信息領域核心技術設備受制于人的局面沒有從根本上得到改變，關鍵信息基礎設施安全防護能力仍然薄弱，網絡信任體系不健全，對國家安全和公民合法權益構成嚴重威脅。

面對嚴峻的網絡安全形勢和密碼應用存在的突出問題，必須進一步提升密碼安全意識，扎實推進密碼全面應用，加快密碼應用技術的創新發展，構建以密碼為底層支撐的完善的網絡安全保障體系，實現網絡的普遍安全、真實可信和自主可控。

第一，密碼是網絡安全的核心技術和基礎支撐。密碼是指使用特定變換，對數據等信息進行加密保護或者安全認證的物項和技術。其中加密保護是指使用特定變換，將原來可讀的信息變成不能識別的符號序列；安全認證是指使用特定變換，確認信息是否被篡改、是否來自可靠信息源以及確認行為是否真實等；物項是指實現加密保護或安全認證功能的設備與系統，技術是指物項實現加密保護或安全認證功能的方法或手段[2]。密碼可以完整實現網絡和信息系統的真實性、機密性、完整性和不可否認性等信息安全需求，可以實現防假冒、防泄密、防篡改、抗抵賴，有效解決網絡安全的5種需求，即不該進的進不來、不該看的看不懂、不該改的改不了、不是你的拿不走、只要干過就逃不掉。可見，密碼是網絡安全的核心技術和基礎支撐，是網絡免疫體系的基因。

第二，密碼是構建網絡信任體系的重要基石。信任是世界上任何價值物轉移、交易、存儲和支付的基礎，是社會發展的潤滑劑和助推器。最初人類社會依靠血緣和宗族關系建立信任，后來主要依靠法律和組織建立信任。信息時代，萬物互聯、人機互認、天地一體，網絡空間的信任建立主要依靠密碼算法和安全協議，解決人、機、物的身份標識、身份認證、統一管理、信任傳遞、行為審計等問題，實現安全、可信、可控的互聯互通[3]。因此，密碼是構建網絡信任體系的重要基石，是實現國家治理體系與治理能力現代化的重要支撐。

第三，密碼是國之重器，是國家的重要戰略性資源。密碼技術是國家的一項“撒手锏”技術，我國密碼技術能力已達到國際先進水平，我國自主設計的密碼算法ZUC、SM2和SM9已成為國際標準。這是與國外最領先的密碼算法同臺競爭、反復論證的結果，我國的密碼算法被證明是足夠安全的。在我國信息領域核心技術受制于人的局面沒有從根本上改變的情況下，要實現自主可控，應當把密碼作為構建安全可控信息技術體系“彎道超車”的重要突破口，實施密碼優先發展，在一定程度上可以扭轉核心技術和產品受制于人的被動局面。

3 密碼在網絡安全中的實施策略

黨的十八大以來，我國密碼應用技術實現了跨越式發展，管理體制不斷完善，科技創新能力不斷增強，形成了較完整的產業鏈條和產品體系，在金融和教育、社保、交通、通信、能源、稅收、公共安全、國防工業等重要領域得到了廣泛應用。黨的十九大明確了網絡強國戰略和網絡安全的大方向，特別是提出了推動互聯網、大數據、人工智能和實體經濟深度融合以及發展數字經濟、共享經濟的新任務。在新的歷史起點上，密碼技術的應用和發展必須跟上新形勢、滿足新需求，實現融合發展、創新發展。

一是規劃引領。要以貫徹落實黨的十九大精神為主線，以國家安全觀和網絡強國戰略為統領，建立健全密碼應用的相關法律法規體系，統籌密碼應用和創新發展，特別是在保障和改善民生、金融和現代服務業、基礎設施網絡和新興產業、社會治理體系建設等方面，規劃一批密碼支撐任務和工程，著力推動密碼技術全面規范應用。

二是創新驅動。面向新應用需求、新計算方式、新技術、新業態，培育積聚一批信息安全專業的優秀人才，滿足網絡強國建設對人才的需求。通過密碼技術的創新獲得網絡信息安全的核心關鍵技術，強化對密碼標準的規范引導，建立信息與情報共享通報機制，提升風險分析研判和密碼安全態勢感知能力。

三是戰略融合。密碼應用要與國家戰略相融合，支撐保障國家戰略落地實施。做好密碼應用與網絡強國、“互聯網+”行動計劃、“一帶一路”建設、軍民融合、“互聯網+”先進制造、智慧城市、大數據等戰略的統籌實施，發揮密碼的基礎支撐和安全保障作用。

四是源頭管理。從職能部門角度看，各主管部門要從政策規劃制定的源頭落實密碼應用要求；從產品技術提供商角度看，要在信息產品研發、網絡系統集成和網絡信息服務就開始應用密碼技術；從網絡系統運營者角度看，要明確密碼應用主體責任，合規、正確、有效使用密碼保護網絡系統安全；從社會公眾角度看，要加大密碼知識和政策宣傳普及，切實提高社會公眾使用密碼保護網絡安全和個人信息安全的意識。

網絡安全離不開密碼，密碼創新促進網絡發展。構建普遍安全的網絡空間命運共同體，要樹立以國家安全觀為統領，以密碼為核心技術和基礎支撐的網絡信息安全觀，構建以密碼基礎設施為底層支撐的網絡安全保障體系。通過密碼實現網絡的可信互聯、安全互通，推動構建網絡安全機制、營造網絡安全環境、創造網絡安全文明。

密碼強則網絡強，網絡強則國家強。站在新的歷史起點上，必須堅持“以人為中心”，推動密碼與網絡安全的協同與融合發展，讓網絡空間更清朗、更安全，讓人民群眾有更多的獲得感、安全感和幸福感。

參考文獻：

[1] 商用密碼知識與政策干部讀本編委會.商用密碼知識與政策干部讀本[M].北京：人民出版社，2017.

[2] 任忠偉.密碼是確保網絡空間安全的基礎支撐[N].2018-08-21.

[3] 霍煒.在新的歷史起點上推動商用密碼創新發展[J].信息安全與通信保密，2018（5）：13-18.