国内要闻

公安部专家:建立以密码等技术为核心的技术保障体系

2018-10-08 09:09来源:中国信息安全作者:点击:


近年来,世界主要国家都以网络为战略优势的起点。他们不断加强顶层设计和能力建设,并控制网络空间,规则和声音。世界主要大国的网络游戏日益激烈。中国的网络安全形势极为严峻,面临前所未有的威胁,风险和挑战,存在许多突出的问题和困难。为此,有必要依法实施国家网络安全等级保护体系,采取综合手段和有力措施,坚定不移地维护网络空间的国家安全和重点信息基础设施的安全。

首先,国家网络安全的保护迫切需要核心技术支持

随着信息技术的快速发展,金融,能源和交通等重要领域的系统,设备和服务越来越多地以网络方式或通过互联网运行。这些重要领域的系统提供社会生产和人们的生活。基本公共服务,用于确保一个国家或地区的社会和经济活动的正常运作,并携带大量的国家基础数据,重要的政府数据和公民个人信息,这是网络空间安全的生命线。一旦被摧毁和被盗,将对国家安全,社会秩序和公共利益造成严重伤害和影响。与此同时,由于世界主要大国网络游戏的激化,网络战术化和军事化趋势明显,网络安全问题成为大国互动的新焦点。

习近平总书记指出:互联网的核心技术是我们最大的“生命之门”,核心技术受人们的制约是我们最大的隐患。随着中国信息化进程的全面加速,国家安全和社会民生越来越依赖于关键的信息基础设施。对关键信息基础设施的网络攻击不仅会对单位和行业产生严重影响,还会直接威胁国家安全,社会稳定和经济发展。网络安全已成为国家和地区之间游戏的主战场。网络对抗和网络攻击变得越来越严重。但是,中国信息领域的核心技术设备并没有根本改变。关键信息基础设施的安全保护仍然薄弱。公共利益构成严重威胁。习近平总书记多次提到要突破关键核心技术。在今年5月28日举行的两院院士会议上,习近平在讲话中描述了加快科技创新的紧迫性,“情况紧迫,挑战迫在眉睫,任务是紧迫人民”。在改变以人为本的网络信息技术被动局面的过程中,有必要不断加强由独立可控密码技术和可信计算等网络安全核心技术支持的网络安全级保护技术体系的构建,强化实施网络安全级别保护系统。为有效保护中国的信息基础设施和网络安全,服务于数字经济发展和网络社会治理,为网络电力战略的实施提供坚实的支持。

其次,网络安全级别保护是中国网络安全的基本系统,密码学是级别保护的重要基础支持

自2007年以来,中国全面开展了网络安全级保护工作。十多年的工作实践证明,水平保护工作有效地提高了中国重要地区信息系统的安全防护能力。 2017年6月1日,《中华人民共和国网络安全法》正式实施,这是中国网络安全领域的基本法律。网络安全法明确规定,国家实施网络安全级保护系统,关键信息基础设施基于网络安全级保护系统,实现密钥保护。网络安全等级保护系统是国家网络安全工作的基本系统,基本策略和基本方法,是促进信息技术健康发展,维护国家安全,社会秩序和公共利益的根本保证。为了实现网络安全级别保护,目标是维护国家关键信息基础设施的安全性,维护重要网络设施,重要信息系统和重要数据的安全。

实施网络安全级别保护系统,技术方面需要全面应用可信计算,身份认证,访问控制,数据加密,完整性保护和不可否认等安全措施,密码学是这些安全措施的重要依据。安全的核心技术。密码包括两部分:密码编码和密码分析。密码编码是对信息进行编码以实现信息隐藏,密码分析主要通过密文获取相应的明文信息。在保护关键信息基础设施安全的过程中,加密基础设施需要成为通过可信互连,自主控制,安全互操作性和开放共享实现安全网络空间安全的核心支持。密码学是确保网络安全的核心技术。加密设施是保护国家安全的重要战略资源。在现在和将来的很长一段时间里,密码将继续在可信计算,身份认证,安全隔离,信息加密和网络安全的完整性保护中发挥重要作用。因此,为了保证密码应用的安全性,必须提高密码应用的安全评估能力和检测分析能力,完善密码应用的安全评估和审查机制。在评估关键信息基础设施和重要信息系统的网络安全级别保护时,有必要同步密码应用程序的安全评估,以确保密码应用程序的正确性和有效性。

三是全面推进密码学的应用和创新,推动网络安全等级保护体系的实施

2012年6月28日,《国务院澳门皇冠投注:大力推进信息化发展和切实保障信息安全的若干意见》(国发[2012] 23号)正式发布。第七部分明确提出了加强网络信任系统建设和密码保护的意见。大力推进密码学在保密机密信息系统和重要信息系统中的应用,强化密码在保障电子政务,电子商务安全和保护公民个人信息方面的支撑作用。

2018年6月27日,公安部和有关部门起草《网络安全等级保护条例(征求意见稿)》正式公开征求意见。 “条例”(征求意见稿)第20条规定,网络运营者应当实施数据分类,重要数据备份和加密等措施;第四十六条规定,机密网络和国家秘密信息的传递,应当依法受密码保护。第47条规定,第三级以上的非机密网络应受密码保护,并使用国家密码管理部门认可的加密技术,产品和服务。因此,密码应用程序推进的重点是尽快在不使用密码和使用有风险密码的网络信息系统中改进密码学的正确应用。同时,新的网络和信息系统需要同时规划,同步和同时使用密码术。对于加密产品,有必要加强加密产品测试和认证,以提高产品质量;对于网络信息系统,有必要加强加密应用程序安全评估,以确保加密应用程序的正确性和有效性。

以新修订的《信息安全技术 网络安全等级保护基本要求》(报告草案)标准为例,密码的技术要求主要包括:在通信传输方面,需要加密技术来确保通信过程中的数据完整性和敏感信息字段或整个消息。保密;在身份认证方面,需要使用两种或多种组合认证技术,如密码,加密和生物技术来对用户进行认证,其中一种认证技术至少应使用加密技术来实现;在完整性和机密性方面,需要加密技术来确保传输和存储过程中重要数据的完整性和机密性;在恶意代码防护和程序可信执行的情况下,系统程序和应用程序需要可信认证机制。使用关键配置文件/参数执行受信任的身份验证,并在检测到其完整性受到威胁时执行恢复操作。可以看出,在网络空间中,实体身份认证,信息存储和传输安全需要通过密码来实现和保护。

网络安全已成为国家和地区之间的主战场。中国关键信息基础设施的安全防护能力仍然薄弱。要充分发挥密码学的核心作用,加强对网络安全水平的保护,以有效保护中国的关键信息基础设施和大数据安全,服务数字经济发展和网络社会治理为实施提供坚实的支持。网络力量。



上一条:我国掌握超晶格密码新技术

下一条:中国互联网安全标准被国际接纳 取得重大进展

关闭