为确保大力推进和普及商用密码应用,做好商用密码应用安全性评估工作,本白皮书基于商用密码的行业应用现状,首先说明了密码的重要性,并对商用密码及当前商用密码的标准化进展进行了概述;其次举例说明了商用密码在不同行业的应用需求;然后总结了商用密码当前存在的系列问题,并做出原因分析;再后对商用密码应用安全性评估工作做出陈述,强调了进行商用密码应用安全性评估的必要性,介绍了评估内容;最后针对当前商用密码应用存在的问题,提出了管理建议,并且对商用密码的发展趋势做出了进一步展望。
一、密码的重要性
应用先进的密码技术能够使公民、法人或其他组织的合法权益得到有效保障。随着经济社会数字化发展步伐加快,密码所承载的商用价值和社会价值愈发受到各界重视。
近年来,各类网络安全事件时有发生。2011年,国内某知名程序员社区数据库被攻破,大约600万条用户注册信息和密码等资料在互联网被公开,该公司证实在2009年前确实使用过明文密码的方式存储用户数据,就此埋下了安全隐患,大量用户被通知建议修改密码。2012年,某全球职场社交网站的650万条经过加密的密码数据遭到泄露,事发原因是由于该社交网站使用了未加盐的方法存储加密密码,从而加大了攻击者破解密码的可能性,进而给了黑客进入到用户数据库的可乘之机。2016年,某全球互联网网站用户个人账户的保密算法被攻破,从而导致上亿用户的个人信息遭黑客窃取,其中涉及用户姓名、电子邮箱、电话号码、出生日期、部分登录密码等信息。2019年,美国某知名图形图像和排版软件生产商旗下一处数据库由于没有采取密码技术做安全措施,导致任何人皆可访问该数据库,从而致使750万个软件用户的个人信息遭到泄露。
这些网络安全事件进一步提高了企业对信息安全保护的重视程度,加快了密码发展应用步伐。只有充分保障网络信息的机密性、可用性、信息来源的真实性、数据的完整性以及行为的不可否认性,信息系统才能够安全稳定运行。密码是维护网络安全最有效、最可靠、最经济的技术手段,其作用可以概括简述为三点:
一是密码可作为网络安全的核心技术和基础支撑,密码可以完整实现网络空间信息防泄密、内容防篡改、身份防假冒、行为抗抵赖等功能,满足网络与信息系统对机密性、完整性、真实性和不可否认性等安全需求;二是密码可承担网络信任体系的构建基础,密码算法和密码协议可解决人、机、物的身份标识、身份鉴别、统一管理、信任传递和行为审计问题,是实现安全、可信、可控的互联互通的核心技术手段,密码是网络空间传递价值和信任的重要媒介及手段;三是密码技术可作为重要的战略性资源,近年来,我国密码算法设计分析能力达到国际先进水平,我国自主设计的ZUC序列密码、SM2公钥密码、SM3杂凑密码、SM4对称密码、SM9标识密码等商用密码算法已成为国际标准,这是与世界先进密码算法同台竞争、反复论证的结果1。商务部、国家密码管理局、海关总署联合发布的商用密码进口许可清单、出口管制清单中,进口许可清单包括加密电话机、加密传真机、密码机(密码卡)、加密VPN设备等;出口管制清单中包括安全芯片、密码机(密码卡)、加密VPN设备、密钥管理产品、专用密码设备、量子密码设备、密码分析设备、密码研制生产设备、密码测试验证设备,以及相关软件和技术。因而密码技术和产品已经成为一种重要战略资源。
二、商用密码概述
(一)商用密码概念
根据《商用密码管理条例》中的定义,商用密码是指对不涉及国家秘密内容的信息进行加密保护或者安全认证所使用的密码技术和密码产品。公民、法人和其他组织可以依法使用商用密码保护网络与信息安全。
商用密码具有广泛的应用前景,主要面向不涉及国家秘密内容但又具有敏感性的内部信息、行政事务信息、经济信息等数据进行加密保护。例如企业敏感信息的传输与存储加密、防止非法第三方获取数据、安全认证与数字签名等。
(二)商用密码发展现状
党的十八大以来,党中央高度重视互联网、发展互联网、治理互联网,形成了网络强国战略思想,走出了一条中国特色治网之道,指引我国网信事业取得历史性成就,商用密码由此得到全面发展。工业和信息化部党组高度重视商用密码应用推进工作,团结商用密码各方力量,助力商用密码产业做大做强。2021年3月11日,工业和信息化部商用密码应用产业促进联盟成立。联盟贯彻落实《密码法》有关要求,推动工业和信息化领域商用密码应用和创新发展,进而做大做强商用密码产业,推动商用密码产业健康、高质量发展。当前,商用密码在科技创新、产业发展和应用推广等方面的落实工作已经初见成效。
在科技创新方面,商用密码理论和技术研究取得重要进展。我国商用密码的自主创新能力持续增强,已取得一系列高水平、原创性科研成果。部分密码算法例如ZUC算法已经成为3GPP中4G国际标准,SM2/SM9数字签名算法、SM3密码杂凑算法、SM4分组密码算法、SM9标识加密算法也已达到国际先进水平,成为国际标准。这些算法标准的发布实施,标志着我国商用密码算法具有国际领先的技术理论基础,已经具备了可以广泛应用商用密码的条件。国家密码管理局密码标准查询的统计结果显示,截至2021年5月,我国现行密码行业标准共有116项,现行和即将实行的密码国家标准共有36项,这些标准覆盖了密码算法、产品、技术、检测、应用等多个方面,意味着我国密码标准体系正在日益完善。
在产业发展方面,商用密码产业总体规模保持高增长率,商用密码供给质量不断提高,基础支撑能力持续增强。据《2020-2021 中国商用密码产业发展报告》显示,2016 年至 2020 年,我国商用密码产业总体规模持续增长,2020 年我国商用密码产业规模突破 466 亿,同比增速超 33%,详见表 1 所示:
………………
商用密码应用安全性评估技术白皮书 PDF 完整版下载(文字可复制):
https://www.aliyundrive.com/s/pCBnLJix5vP 提取码: j3o5