基于密码应用的网络信息安全问题解析

陈蔚

摘 要：网络安全关系国家安全、社会稳定和人民的根本利益。密码作为网络安全的核心技术和基础支撑，是保护国家安全和根本利益的战略性资源。本文从3个方面，阐述了以密码为基础支撑的网络安全观，并提出了相应策略。

关键词：密码；网络安全；策略

中图分类号：TP393 文献标识码：A 文章编号：1671-0037（2018）9-87-3

DOI：10.19345/j.cxkj.1671-0037.2018.09.022

Analysis of Network Information Security based on Cryptographic Application

Chen Wei

（Henan Provincial Scientific Equipment Supply Center， Zhengzhou Henan 450003）

Abstract： Network security is related to national security， social stability and fundamental interests of the people. As the core technology and basic support of network security， cryptography is a strategic resource to protect national security and fundamental interests. This paper expounded the concept of network security based on cryptography from three aspects， and put forward corresponding strategies.

Key words： cryptography； network security； strategy

没有网络安全就没有国家安全。密码是保障网络安全的核心技术和基础支撑，在维护国家安全、促进经济社会发展、保护人民群众利益中发挥着不可替代的重要作用。在信息化高速发展的今天，密码的应用已经渗透到社会生产生活的各个方面，从涉及国家安全的保密通信、军事指挥到涉及国民经济的金融交易、防伪税控，再到涉及公民权益的电子支付、社会保障，密码都在背后默默地发挥着作用[1]。

1 网络安全面临的现状

信息推动科技进步发展，也给网络安全带来了诸多挑战。大数据时代，海量信息的泛在、控制权限的弱化，使得更多主体有泄露大数据信息、危害网络安全的可能性。很多大数据以云存储的形式存在于智能终端，但其智能终端在技术上的稳定性和安全性值得思考。此外，各类信息广泛分散于互联网，一些人可能利用互联网，通过数据挖掘，在公开传播和散布的信息中搜集整理出具有商业价值甚至属于私密性的信息。随着大数据时代的到来，网络安全领域出现了一些新的问题和新的趋势。勒索攻击成为一种常见的网络攻击，且攻击方式不断改变。新技术推动物联网发展的同时，也产生了日趋严重的安全威胁，对用户的个人隐私、资金财产乃至人身安全造成了巨大损失。

1.1 敏感数据缺乏密码保护，泄露事件愈演愈烈

人们在网上进行的各类活动越来越频繁，储存互联网上的敏感信息越来越多，被泄露或被盗取的风险越来越大。情况更糟糕的是，国内外相当数量的信息服务提供商缺乏对用户信息的有力保护，造成了近年来敏感数据泄露案件频发。例如，2011年，我国最大的程序员社区中国软件开发网遭黑客攻击，600万用户账号及明文口令遭泄露，资料被大量传播。2014年，韩国发生史上最大规模的信用卡个人信息泄露事件，KB国民卡、乐天卡及NH家协卡公司的1亿多条用户个人信息被泄露，三家公司社长全部引咎辞职。此次海量信息的泄露，是利用用户敏感信息未加密的弱点非法收集和泄露的。2016年6月，代号为“peace”的黑客称已经拿到了全球第二大社交网站聚友网的3.6亿用户账号以及4.27亿口令。2016年9月，雅虎公布有至少5亿用户账号信息被黑客盗取，盗取内容包括用户姓名、电邮地址、电话号码、生日、口令等隐私信息。2017年3月，一台没有设置口令、没有对数据进行任何加密存储的备份服务器暴露了数千份美国空军的文件，内容包括高级军官的高度敏感个人文件资料，造成严重不良影响。

1.2 数据篡改和身份假冒已经成为社会性问题

网络化时代，网络和网络设备已经成为信息存储、传输、处理的主要载体。网络上的信息归根结底是以二进制数据的形式存在的，若不用密码技术，很容易被复制和修改。然而由于对密码技术的不重视，使得网络数据篡改和网络身份假冒事件屡屡发生，已经成为严重的社会性问题。例如，Xcode是苹果公司推出的软件开发工具，常常有国内的开发者出于方便从非苹果官方的第三方网站下载Xcode并使用。2015年9月12日，腾讯安全响应中心发现有苹果手机的软件存在异常行为，腾讯立即告知中国国家互联网应急中心（CNCERT），后者发布预警，指出开发者使用了非苹果公司官方渠道的Xcode工具，会向正常的苹果软件植入恶意代码，该恶意代码具有信息窃取行为，并具有远程控制的功能。由于大多数程序员难以分辨所下载的版本是否与苹果官方软件的正版Xcode相同，导致病毒事件爆发。该事件涉及众多产品，其中不乏大公司的知名应用，也有不少金融类应用，还有诸多民生类应用，影响人数超过1亿。

2011年12月，山西省国税局发现两个仿冒该局发票真伪查询系统的网站，经调查发现，山西省地税局及河北省国税局也存在相同问题。仿冒页面与真实页面相似度几乎达到了100%，還利用搜索引擎把仿造的网站信息放置在搜索结果的前几位，从而对纳税人起到了迷惑作用。这种欺骗用户的高仿正规网站被称作“钓鱼网站”。不法分子常常通过手机短信、电子邮件等方式发送诈骗链接，诱导用户打开钓鱼网站并输入个人敏感信息，从而达到窃取用户隐私的目的。如果被仿冒的是涉及金融交易的网站，则有可能给用户带来经济损失；如果被仿冒的是政府网站，则有可能发布假消息，极端情况下可能会造成社会恐慌。

1.3 网络安全对抗已逐步升级为网络“战争”

当今世界互联网的触角已经深入到地球的各个角落，而局部网络的攻防对抗也经常升级到国家对抗层面。在网络战争中，密码应用的缺位是遭受损失的重要原因之一。2017年3月7日，维基解密网站公布了美国中情局（CIA）8 761份关于黑客入侵技术的机密文件，外界将此次泄露事件取名为Vault 7。泄密文件显示，美国中情局利用个人电子设备及操作系统的漏洞，通过自己研发的上千种病毒软件、木马程序、远程控制软件等黑客工具，窃听私人谈话，收集个人信息。这些秘密文件的曝光不仅对美国中情局内部造成严重冲击，还对全球网络安全带来严重负面影响。据媒体报道，这些泄密文件都是从美国中情局设在美国弗吉尼亚州的兰利总部泄露出来的，文件涵盖美国中情局从2013—2016年的黑客工作。已由美国政府前情报官员所证实。泄密文件表明，美国中情局有一支专门的黑客部队，黑客部队内部分工协作：有人专业从事网络漏洞发现；有人基于漏洞开发网络攻击武器；有人使用网络武器执行任务，使用网络武器的人员通常都拥有外交护照，以美国国务院外交官的身份作为掩护，规避国外情报机构的监控。

2 密码在网络安全中的重要作用

密码在网络空间中的身份识别、安全隔离、信息加密、完整性保护和抗抵赖性等方面具有不可替代的重要作用。相对于其他类型的安全手段，如人力保护、设备加固、物理隔离、防火墙、监控技术、生物技术等，密码技术是保障网络与信息安全最有效、最可靠、最经济的手段。

当前，以网络安全为代表的非传统安全威胁持续蔓延。从国际看，网络空间已成为国家地区间博弈的主战场，网络空间安全成为国家战略，更加突出战略的攻击性和实战性；从国内看，我国信息领域核心技术设备受制于人的局面没有从根本上得到改变，关键信息基础设施安全防护能力仍然薄弱，网络信任体系不健全，对国家安全和公民合法权益构成严重威胁。

面对严峻的网络安全形势和密码应用存在的突出问题，必须进一步提升密码安全意识，扎实推进密码全面应用，加快密碼应用技术的创新发展，构建以密码为底层支撑的完善的网络安全保障体系，实现网络的普遍安全、真实可信和自主可控。

第一，密码是网络安全的核心技术和基础支撑。密码是指使用特定变换，对数据等信息进行加密保护或者安全认证的物项和技术。其中加密保护是指使用特定变换，将原来可读的信息变成不能识别的符号序列；安全认证是指使用特定变换，确认信息是否被篡改、是否来自可靠信息源以及确认行为是否真实等；物项是指实现加密保护或安全认证功能的设备与系统，技术是指物项实现加密保护或安全认证功能的方法或手段[2]。密码可以完整实现网络和信息系统的真实性、机密性、完整性和不可否认性等信息安全需求，可以实现防假冒、防泄密、防篡改、抗抵赖，有效解决网络安全的5种需求，即不该进的进不来、不该看的看不懂、不该改的改不了、不是你的拿不走、只要干过就逃不掉。可见，密码是网络安全的核心技术和基础支撑，是网络免疫体系的基因。

第二，密码是构建网络信任体系的重要基石。信任是世界上任何价值物转移、交易、存储和支付的基础，是社会发展的润滑剂和助推器。最初人类社会依靠血缘和宗族关系建立信任，后来主要依靠法律和组织建立信任。信息时代，万物互联、人机互认、天地一体，网络空间的信任建立主要依靠密码算法和安全协议，解决人、机、物的身份标识、身份认证、统一管理、信任传递、行为审计等问题，实现安全、可信、可控的互联互通[3]。因此，密码是构建网络信任体系的重要基石，是实现国家治理体系与治理能力现代化的重要支撑。

第三，密码是国之重器，是国家的重要战略性资源。密码技术是国家的一项“撒手锏”技术，我国密码技术能力已达到国际先进水平，我国自主设计的密码算法ZUC、SM2和SM9已成为国际标准。这是与国外最领先的密码算法同台竞争、反复论证的结果，我国的密码算法被证明是足够安全的。在我国信息领域核心技术受制于人的局面没有从根本上改变的情况下，要实现自主可控，应当把密码作为构建安全可控信息技术体系“弯道超车”的重要突破口，实施密码优先发展，在一定程度上可以扭转核心技术和产品受制于人的被动局面。

3 密码在网络安全中的实施策略

党的十八大以来，我国密码应用技术实现了跨越式发展，管理体制不断完善，科技创新能力不断增强，形成了较完整的产业链条和产品体系，在金融和教育、社保、交通、通信、能源、税收、公共安全、国防工业等重要领域得到了广泛应用。党的十九大明确了网络强国战略和网络安全的大方向，特别是提出了推动互联网、大数据、人工智能和实体经济深度融合以及发展数字经济、共享经济的新任务。在新的历史起点上，密码技术的应用和发展必须跟上新形势、满足新需求，实现融合发展、创新发展。

一是规划引领。要以贯彻落实党的十九大精神为主线，以国家安全观和网络强国战略为统领，建立健全密码应用的相关法律法规体系，统筹密码应用和创新发展，特别是在保障和改善民生、金融和现代服务业、基础设施网络和新兴产业、社会治理体系建设等方面，规划一批密码支撑任务和工程，着力推动密码技术全面规范应用。

二是创新驱动。面向新应用需求、新计算方式、新技术、新业态，培育积聚一批信息安全专业的优秀人才，满足网络强国建设对人才的需求。通过密码技术的创新获得网络信息安全的核心关键技术，强化对密码标准的规范引导，建立信息与情报共享通报机制，提升风险分析研判和密码安全态势感知能力。

三是战略融合。密码应用要与国家战略相融合，支撑保障国家战略落地实施。做好密码应用与网络强国、“互联网+”行动计划、“一带一路”建设、军民融合、“互联网+”先进制造、智慧城市、大数据等战略的统筹实施，发挥密码的基础支撑和安全保障作用。

四是源头管理。从职能部门角度看，各主管部门要从政策规划制定的源头落实密码应用要求；从产品技术提供商角度看，要在信息产品研发、网络系统集成和网络信息服务就开始应用密码技术；从网络系统运营者角度看，要明确密码应用主体责任，合规、正确、有效使用密码保护网络系统安全；从社会公众角度看，要加大密码知识和政策宣传普及，切实提高社会公众使用密码保护网络安全和个人信息安全的意识。

网络安全离不开密码，密码创新促进网络发展。构建普遍安全的网络空间命运共同体，要树立以国家安全观为统领，以密码为核心技术和基础支撑的网络信息安全观，构建以密码基础设施为底层支撑的网络安全保障体系。通过密码实现网络的可信互联、安全互通，推动构建网络安全机制、营造网络安全环境、创造网络安全文明。

密码强则网络强，网络强则国家强。站在新的历史起点上，必须坚持“以人为中心”，推动密码与网络安全的协同与融合发展，让网络空间更清朗、更安全，让人民群众有更多的获得感、安全感和幸福感。

参考文献：

[1] 商用密码知识与政策干部读本编委会.商用密码知识与政策干部读本[M].北京：人民出版社，2017.

[2] 任忠伟.密码是确保网络空间安全的基础支撑[N].2018-08-21.

[3] 霍炜.在新的历史起点上推动商用密码创新发展[J].信息安全与通信保密，2018（5）：13-18.