近年来,世界主要国家都将网络作为谋求战略优势的抓手,对内不断加强顶层设计和能力建设,对外抢抓网络空间控制权、规则权和话语权,世界大国网络空间博弈加剧。我国的网络安全形势异常严峻,面临着前所未有的威胁、风险和挑战,并存在许多突出的问题和困难。为此,必须依法落实国家网络安全等级保护制度,采取综合手段和强有力的措施,坚定不移地维护网络空间的国家安全和关键信息基础设施安全。
一、保护国家网络安全迫切需要核心技术支撑
随着信息技术的迅猛发展,金融、能源、交通等重要领域的系统、设备以及服务越来越多地采用联网的方式运行或通过互联网提供服务,这些重要领域的系统为社会生产和人民生活提供基础公共服务,用于保证国家或地区社会经济活动正常进行的公共服务,且承载着大量的国家基础数据、重要政务数据及公民个人信息,是网络空间安全的命脉所在,一旦遭到破坏和窃取,会对国家安全、社会秩序和公共利益产生严重危害和影响。同时,由于世界大国网络空间博弈加剧,网络空间政治化、军事化趋势明显,网络安全问题成为大国互动的新焦点。
习近平总书记指出:互联网核心技术是我们最大的“命门”,核心技术受制于人是我们最大的隐患。随着我国信息化进程全面加快,国家安全、社会民生对关键信息基础设施的依赖程度越来越大,针对关键信息基础设施的网络攻击行为,不仅会对本单位、本行业造成严重影响,还直接威胁国家安全、社会稳定和经济发展。网络安全已成为国家地区间博弈的主战场,网络对抗和网络攻击事件愈演愈烈,而我国信息领域核心技术设备受制于人的局面并没有从根本上改变,关键信息基础设施安全防护能力仍然薄弱,对国家安全和社会公众利益构成严重威胁。习近平总书记多次提到要突破关键核心技术。在今年5月28日召开的两院院士大会上,习近平在讲话中用“形势逼人,挑战逼人,使命逼人”来形容加快科技创新的紧迫感。在改变网络信息技术受制于人的被动局面过程中,需要不断加强以自主可控的密码技术、可信计算等网络安全核心技术支撑的网络安全等级保护技术体系建设,强化网络安全等级保护制度的落实,才能有力保障我国信息基础设施和网络安全,服务数字经济发展和网络社会治理,为网络强国战略实施提供坚实支撑。
二、网络安全等级保护是我国网络安全的基本制度,密码技术是等级保护的重要基础支撑
从2007年开始,我国全面开展网络安全等级保护工作,10多年的工作实践证明,等级保护工作有效提升了我国重要领域信息系统的安全防护能力。2017年6月1日,《中华人民共和国网络安全法》正式实施,这是我国网络安全领域的一部基础性法律。网络安全法明确规定,国家实行网络安全等级保护制度,关键信息基础设施是在网络安全等级保护制度的基础上,实行重点保护。网络安全等级保护制度是国家网络安全工作的基本制度、基本策略和基本方法,是促进信息化健康发展,维护国家安全、社会秩序和公共利益的根本保障。开展网络安全等级保护工作,目标就是要维护国家关键信息基础设施安全,维护重要网络设施、重要信息系统、重要数据的安全。
贯彻落实网络安全等级保护制度,在技术方面需要综合应用可信计算、身份鉴别、访问控制、数据加密、完整性保护和抗抵赖等安全措施,而密码技术是这些安全措施的重要基础,是网络安全的核心技术。密码包括密码编码和密码分析两部分,其中密码编码是对信息进行编码以实现信息隐蔽,而密码分析主要通过密文获取对应的明文信息。在保护关键信息基础设施安全的过程中,需要以密码基础设施为核心支撑,实现可信互联、自主可控、安全互通、开放共享的网络空间安全。密码技术是保障网络安全的核心技术,密码设施是保护国家安全的重要战略性资源。现在和未来相当长一段时间内,密码将在网络安全的可信计算、身份认证、安全隔离、信息加密和完整性保护等方面继续发挥着难以替代的重要作用。因此,我们要确保密码应用安全,就必须提升密码应用安全性测评能力和检测分析能力,完善密码应用安全性评估审查机制。在对关键信息基础设施和重要信息系统进行网络安全等级保护测评时,需要同步加强密码应用安全性评估,确保密码应用的正确性和有效性。
三、全面推进密码技术应用与创新,推动网络安全等级保护制度深入贯彻落实
2012年6月28日,《国务院关于大力推进信息化发展和切实保障信息安全的若干意见》(国发〔2012〕23号)正式发布,意见在第七部分明确提出,加强网络信任体系建设和密码保障。大力推动密码技术在涉密信息系统和重要信息系统保护中的应用,强化密码在保障电子政务、电子商务安全和保护公民个人信息等方面的支撑作用。
2018年6月27日,公安部会同有关部门起草的《网络安全等级保护条例(征求意见稿)》正式面向社会公开征求意见。条例(征求意见稿)第二十条规定,网络运营者应当落实数据分类、重要数据备份和加密等措施;第四十六条规定,涉密网络及传输的国家秘密信息,应当依法采用密码保护;第四十七条规定,第三级以上非涉密网络应当采用密码保护,并使用国家密码管理部门认可的密码技术、产品和服务。因此,密码应用推进的重点是在没有使用密码以及使用有风险密码的网络信息系统中尽快完善密码技术的正确应用。同时,新建网络和信息系统则需要同步规划、同步建设、同步使用密码技术。对于密码产品,需要加强密码产品检测认证,提升产品质量;对于网络信息系统,需要加强密码应用安全性评估,确保密码应用的正确性和有效性。
以新修订的《信息安全技术 网络安全等级保护基本要求》(报批稿)标准为例,技术方面提出的密码要求主要包括:在通信传输方面,要求采用密码技术保证通信过程中数据的完整性和敏感信息字段或整个报文的保密性;在身份鉴别方面,要求采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现;在数据完整性和保密性方面,要求采用密码技术保证重要数据在传输和存储过程中的完整性和保密性;在恶意代码防范和程序可信执行方面,要求采用可信验证机制对系统程序、应用程序和重要配置文件/参数进行可信执行验证,并在检测到其完整性受到破坏时采取恢复措施。可见,在网络空间中实体身份认证、信息存储与传输安全等方面都需要用密码来实现和保护。
网络安全已成为国家和地区间博弈的主战场,我国关键信息基础设施安全防护能力仍然薄弱,需要充分发挥密码技术的核心作用,加强网络安全等级保护工作,才能有力保障我国关键信息基础设施和大数据安全,服务数字经济发展和网络社会治理,为网络强国战略实施提供坚实支撑。