关键信息基础设施是关乎国家命脉的重要战略资源。通过介绍关键信息基础设施体系化安全防护的需求和问题,提出了采用商用密码进行安全防护既需满足定期评估“密码应用合规性”要求,又需实现动态监控“密码运行安全性”的观点;既要保证系统自身安全,又要提升关联业务系统的整体安全防护水平。在现有商用密码应用保障体系的基础上,构建了密码运行安全体系,提出建设商用密码态势感知平台以及密码应用成熟度评估体系的设想和建议。
当今世界面临着国际局势复杂动荡、网络空间威胁加剧、关键信息基础设施安全攻击事件暴增等突出问题。文献 [1] 分析国外关基保护制度、标准体系、关基保护范围及其对我国的启示和借鉴意义。世界主要发达国家吸取“俄乌冲突中两国的关键信息基础设施遭受重创”的教训,高度重视关基安全问题,在国家网络空间安全战略、关键信息基础设施保护等方面,加快出台相关政策、科技战略和重要举措。
美国早在 2018 年就成立了专门保护关键基础设施网络安全的机构——网络安全和基础设施 安 全 局(Cybersecurity and Infrastructure Security Agency,CISA),为利益相关方提供持续性、主动性、全国性的应对风险、威胁,以及缓解措施的方法。
2021 年 7 月,拜登签署《加强关键基础设施控制系统网络安全备忘录》,指出关键基础设施面临的网络安全威胁是美国面临的日益严重的关键问题之一。要求 CISA 和美国国家标准 与 技 术 研 究 院(National Institute of Standards and Technology,NIST)为管理关键基础设施的组织创建相关基准 。2023 年 3 月,美国公布了 2024 财年的预算申请,其中有 4.25 亿美元用于 CISA 的网络分析与数据系统(Cyber Analytics and Data System,CADS)。CADS 为原“爱因斯坦”计划,也称为国家网络安全保护系统(National Cybersecurity Protection System,NCPS)的“后端分析大脑”,为关键基础设施及关键网络提供主动检测、可定制的风险评估、缓解策略、漏洞披露等技术支持和战略援助,以提早识别漏洞、供应链攻击等潜在的安全风险,便于主动施策、抵御攻击 。
近年来,我国相继出台了《密码法》《关键信息基础设施安全保护条例》《信息安全技术关键信息基础设施安全保护要求》等一系列法律法规及标准要求。各行业领域对关键信息基础设施的保护也越来越重视,推动了商用密码技术的深入应用与全面发展,为关基安全保障提供了重要政策支撑。随着网络空间技术的发展和安全需求的不断变化,密码技术在重要领域关键信息系统中的作用和地位愈发凸显,以新安全格局保障新发展格局,确保国家安全更为稳固。
1、密码应用保障体系现状分析
1.1 商用密码产品检测认证方面
新修订的《商用密码管理条例》(以下简称《条例》)明确提出“建立国家统一推行的商用密码认证制度,实行商用密码产品、服务、管理体系认证,制定并公布认证目录和技术规范、规则”。
(1)检测认证机构能力不断提升。目前,国家密码管理局商用密码检测中心是唯一一家取得相关资质的商用密码产品认证机构,具备安全芯片、服务器密码机、区块链密码模块等全系列 28 类商用密码产品检测、认证的能力。为保障行业、区域商用密码产品、商用密码服务符合相关技术标准规范,分布在深圳、上海、成都、重庆的 4 家商用密码产品检测机构的检测认证能力全速发展。
(2)检测认证管理体系不断强化。我国商用密码产品检测认证实施制度、运行机制、标准规范不断健全,形成了商用密码认证规则、认证实施细则、认证业务指南、认证标志使用要求、认证证书管理等制度文件。
(3)检测认证技术能力不断提升。目前,商用密码检测技术主要为软件、芯片、模块、板卡、整机、系统等 6 种形态的密码设备提供产品检测、型号试验、产品认证及产品版本升级等检测认证服务。而面向云计算、区块链、车联网、卫星互联网等新技术、新应用的商用密码检测分析理论、检测分析工具、检测分析平台环境还需加强。
1.2 商用密码应用安全性评估方面
商用密码于 1996 年在中共政治局常委会专题研究中被确定,历经近 30 年的发展,已在依法管理、科技创新、产业发展、应用推进、检测认证等方面实现了跨越式发展 。在密码算法层面上,SM2、SM3、SM4 和 SM9 算法均已被采纳为 ISO/IEC 国际标准;在制度文件层面上,从2018 年中办、国办联合发布的《金融和重要领域密码应用与创新发展工作规划(2018—2022 年)》到 2020 年《密码法》的正式施行,再到 2023 年国务院公布修订后的《条例》,逐步为商用密码在金融、政务、交通等重要行业领域规模化发展应用及密评工作的拓展提供了重大机遇。
密评工作的萌生可追溯到 2007 年,同年11 月 27 日,国家密码管理局印发《信息安全等级保护商用密码管理办法》,要求信息安全等级保护商用密码测评工作由国家密码管理局指定的测评机构承担。2021 年,国家标准 GB/T39786—2021《信息安全技术 信息系统密码应用基本要求》成为商用密码应用与安全性评估工作的指导性文件。经过多年来密评体系的建设、密评试点的开展及 48 家密评机构的建立 ,密评的法律依据和制度支撑逐步完善。
依据《密码法》第二十七条与《条例》第三十八条,对于法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施而言,开展密评是法定责任,同时也是密码应用的标配。
2023 年 11 月 1 日起施行的《商用密码应用安全性评估管理办法》(以下简称《办法》)细化了“三同步一评估”的评估程序、评估对象及评估内容等,强调了密码资金投入和密评人员专业性要求,明确了密评实施规范。具体要求如图 1 所示。《办法》第五条提出了“国家密码管理局支持商用密码应用安全性评估技术、标准、工具创新,完善商用密码应用安全性评估标准体系”。为更好地发挥商用密码应用安全性评估对重要信息系统、重要工业控制系统,以及面向社会服务的政务信息系统的密码安全评估作用,围绕信息系统需要保护的重要业务数据,还应继续加强密评相关评估技术、工具及管理平台的投入。
图 1 “三同步一评估”要求
1.3 商用密码行政执法方面
《密码法》和《条例》的颁布实施推动了中央、省、市、县 4 级商用密码行政管理体系的建设。按照国务院深化“放管服”改革、加强事中事后监管要求,密码管理部门应积极开展商用密码市场监管和行政执法工作。在商用密码市场监管方面,国家制定了“一单两库一办法”,并实施“双随机一公开”随机抽查工作。一单是指《商用密码随机抽查事项清单》,两库是指商用密码随机抽查事项名录库和随机抽查人员名录库,一办法是指《商用密码随机抽查办法》。在商用密码行政执法方面,密码管理部门依法开展商用密码行政管理工作,建立失信企业联合惩戒和守信企业联合激励制度,受理投诉举报,组织协调处理商用密码违法违规案件,纠正违法行为,对维护商用密码管理秩序具有重大意义。
2、关基安全面临挑战
尽管我国在密码产品检测认证、密评及行政执法方面已形成较为完善的体系机制,但是在关基体系化安全防护、密码安全风险实时动态评估等方面还面临技术、管理、组织推进等诸多难题。
2.1 关键信息基础设施体系化安全防护
我国关键信息基础设施涉及公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域,是支撑重要行业和领域运行的大型复杂网络信息系统或工业控制系统。以往,关基自成体系,例如工业网络原本是封闭的。而现在,关基涉及的系统触角延伸,网络边界越来越模糊,例如工业网络逐渐与公共互联网深度融合,相互关联、相互影响,使得系统业务交织在一起。因此,传统的边界防护技术难以应对庞大的关基整体业务安全需求。
关键信息基础设施已成为经济社会运行的神经中枢,采用商用密码技术保护关键信息基础设施,既要通过密评,满足密码应用合规要求,又要建立以风险管理为导向的动态安全防护机制,以便于持续监测安全威胁态势、动态调整安全措施,及时有效地防范应对安全风险。
提升关基安全水平是形势所需,但关基涉及行业众多,业务特征差异大、信息化发展水平不一、安全防护侧重不同、密码应用评估要求不一致,导致各关基体系化安全防护措施难以从顶层进行统筹和规范。此外,不同垂直领域关基系统商用密码推进水平参差不齐,国内外双算法并存,行业密码应用监管手段不足,行业之间信息共享或系统之间数据交互存在安全防护不对等、安全区隔离不彻底、防护策略配置不到位等问题,使攻击者有可乘之机。
依据《信息安全技术 关键信息基础设施安全保护要求》,关基安全保护要遵循以关键业务为核心的整体防控、以风险管理为导向的动态防护、以信息共享为基础的协同联防 3 个基本原则,关基业务可用性是核心,应对新技术新应用的动态防护是基本,安全威胁信息的跨行跨业协同共享是关键。
为有效推进关基体系化安全防护在各行业的落地实施,提升国家关键信息基础设施安全的整体水平,需深入研究和完善关基商用密码使用管理体制机制、标准规范,突破自适应动态构建关基安全防护体系方法,提高密码产品有效供给能力,为行业领域提供智能化、精准化、动态化的安全防护体系目标画像,从全局视角提升对密码安全威胁的发现识别、理解分析和响应处置的能力,以保证关基业务的连续性。
2.2 密码安全风险实时动态评估
密码安全具有动态性、系统性。密码安全是动态的,在于密码安全态势影响因子包括了新技术的发展应用、业务系统自身的升级改造、证书有效性、密钥存储方式、外来恶意威胁攻击和内部人员异常操作等。密码安全是系统的,在于密码安全承载关基业务的多个网络、多个部门、多个系统相互依存,密码风险、威胁不局限于影响和破坏单个系统或实体,还可能导致系统性重大风险事件和层叠效应。
商用密码应用安全保障体系缺少常态化监控环节。我国商用密码应用安全保障体系包括从产品设计、产品开发、产品检测到密码系统规划、建设、应用评估和开通运行等环节,目前,缺少对密码保障系统运行期间的持续性、常态化、动态监控环节 ,无法提供全天候、全方位的密码安全风险评估预警、应急处置能力,无法保障已通过密评的关键网络和信息系统在评估间隔之内的密码应用实时动态的合规性,也无法保障满足合规水平之上、亟须重点防护的关键信息基础设施的安全生产和稳定运行。
关键信息基础设施运行中存在的密码风险既要精确识别,以确认影响程度,也要分类施策,及时明确处置方案。在发现设施存在高风险时,要及时预警处置;在发现设施存在低风险时,需具体分析风险问题,并对其进行持续监测,研判安全防护对策。例如,采用与密码应用相匹配的密码算法和密钥长度,选择正确的密码算法工作模式和建立安全可靠的随机数选取模式等。
增强重点领域国家安全能力,提升关键信息基础设施抗攻击能力,需要加强行业侧关基体系化安全防护技术体系研究和标准规范的制定,完善商用密码应用安全保障体系,建立常态化密码应用态势感知平台,推进商用密码有效应用和高质量发展。
3、数字经济时代的密码运行安全体系
习近平总书记强调,“数字经济事关国家发展大局,要做好我国数字经济发展顶层设计和体制机制建设,加强形势研判,抓住机遇,赢得主动”。关键信息基础设施作为数字经济发展的重要支撑,其信息流动和数据应用面临的安全威胁和风险隐患复杂又多变,需要更完善的密码运行安全防护体系,以加强对未知安全威胁的态势感知能力,提升大型复杂系统整体安全的实时监测预警、科学决策处置水平。
3.1 加强密码应用态势感知能力
前文已提到,密码安全具有动态性和系统性。密码应用安全与否取决于诸多因素:合规的密码算法和密码技术 ,通过检测认证的密码产品和密码服务,通过密评的密码应用方案,以及密码在实际部署、建设及运行中是否发挥了实际效用,是否解决了密码保障系统运行过程中的动态安全问题。
密码动态安全风险在实际系统运行中客观存在。重要网络和信息系统在规划阶段、建设阶段及运行阶段分别开展了密码应用方案的密评、运行前密评及运行后定期密评等工作,一定程度上规范了密码合规、有效和正确应用。但是,系统实际运行中可能存在以下几种情况(不限):一是系统运营者为了工作便利,私自断开为应用系统提供密码加解密或数字认证服务的密码设备;二是系统运营者在跨部门、跨应用的数据交换共享中,使用了不合规的密码技术和协议,导致敏感信息泄露;三是系统运营者分发密钥时未采用完整性保护措施,导致密钥可能被篡改,系统信息存在安全隐患;四是信息系统升级改造后,系统运营者未及时梳理业务的增量安全需求和需要保护的关键环节,未开展相应密码应用保障措施和策略的调整,导致密码服务部分失效;五是新技术、新应用迅猛发展带来新的安全挑战。针对这些遗留的问题,现有密码保障机制无法解决和应对。
为应对密码保障系统运行期间可能存在的密码设备不正确连接、密码技术不合规使用、密码服务失效等安全风险,亟须构建密码应用态势感知系统,以提升业务信息系统安全稳定运行水平。
密码应用态势感知模型如图 2 所示,该模型分为能力维、对象维和安全维。商用密码应用态势感知重点面向关基系统业务应用和数据,针对基于密码的业务访问保护、用户身份认证和产权保护等进行密码设备运行状态监测、密码应用在线状态管理、密码运行风险评估预警、密码安全威胁应急处置,实现从业务应用、用户行为到数据流转的全方位实时动态监控。密码应用态势感知平台通过构建通报协同机制,掌握跨行业关基密码应用推进的协同问题及密码应用总体成效,该平台自身安全体系能够覆盖数据采集、传输、存储、分析、共享、销毁的全生命周期。
图 2 密码应用态势感知模型
3.2 重视密码应用成熟度评估
密码应用安全与否不仅依赖系统自身的安全保障能力,还取决于关联系统 / 业务整体的安全保障水平。
传统的密码应用安全主要以“密码应用合规性”为驱动力,对业务信息系统开展定期评估和随机抽查。密评对象可能涉及基础信息网络、重要信息系统、重要工业控制系统、面向社会服务的政务信息系统等不同应用场景、数量众多的信息系统。而开展密评密改,需要基于每一个独立信息系统的业务安全需求,进行密码应用的设计、实现、部署、应用及评估。例如,在支撑某大型型号设计生产的上下游众多个系统的应用场景中,可能存在上游某些系统已通过密评,下游系统还没有深入推进密码应用的情况,在整体链条中,业务数据上下流转传递,而密码应用推进情况不一致,导致安全防护不对称,风险漏洞隐患多。面对拥有诸多关联业务信息系统的庞大组织,其密码应用整体安全能力水平如何验证和评估仍是个难题。
企业中的某一个业务信息系统自身通过密评,获得开通运行资格,可以证明其密码应用的合规性、有效性和正确性。但放眼整个业务应用链条,该信息系统面临的密码威胁攻击及自身的抵御对抗能力,仍处于“已知的未知状态”,无法找准施策方向,合理应对新技术、新应用带来的不确定的、未知的和动态的风险,同时也无法提供主动防御,有效应对潜在的威胁和攻击。在过去,数据泄露事件可能仅影响目标企业,而现在,新型攻击可以摧毁整条供应链。许多企业或组织虽投入大量资金、资源防范安全攻击,但体系化的安全能力水平无法得到有效验证,仍难以统筹分类施策,找准突破点。针对上述问题,现有密码保障机制无法有效应对。
在技术实践中,成熟度模型 通常被用于评价企业工作的组织能力与技术水平状态。密码应用成熟度评估模型如图 3 所示,该模型分为 5 级,包括规划级、规范级、集成级、优化级和引领级。密码应用成熟度评估应围绕跨行业、跨区域关联的多个业务系统,融合相关政策标准和密码应用安全实践,探索密码应用抗攻击能力成熟度评估、自主可控能力成熟度评估、互联互通能力成熟度评估及密码与网信融合度成熟度评估技术和判定方法,实现对行业、企业或组织的密码体系化应用效能的量化评价,发现密码应用推进过程中可能存在的问题,为明确改进方向提供科学的数据参考。
图 3 密码应用成熟度评估模型
3.3 构建新的密码运行安全体系
面对严峻复杂的国内外形势,亟须有效应对有组织的、面向关基的网络攻击行为和数据窃取行为,深入推进政策牵引、市场驱动的商用密码的全面应用,研究能够满足大型复杂场景的密码应用所需的整体安全性验证能力和面向行业、区域、关键信息基础设施密码保障系统所需的密码运行常态化监控能力,补齐密码安全短板,构建新的密码运行安全体系,如图 4所示,始终紧贴系统性、全方位安全防护需求和发展趋势。
图 4 密码运行安全体系
从 图 4 可 知, 密 码 运 行 安 全 体 系 由 产 品检测认证、密码应用安全性评估、密码应用态势感知、行政执法管理及密码应用成熟度评估5 部分协同发挥各自优势,全面保障关键网络和信息系统身份认证、设备使用、网络通信、业务应用、数据资源等方面的安全。
密码产品检测认证提供全业务链产品检测认证支撑,保障商用密码产品、服务符合相关技术标准规范。密码应用安全性评估针对业务信息系统密码应用的合规性、正确性和有效性进行专业测试和综合评估。密码应用态势感知围绕运行中的业务信息系统的密码保障系统,提供动态监测、风险评估、应急处置及信息通报等。顶层商用密码态势感知完成与各关键信息基础设施密码保障系统的对接,全面掌握关键领域重要信息系统密码应用的整体态势。行政执法管理通过颁布商用密码相关政策、法规、标准及指导性文件,对商用密码进行市场监管和行政执法,维护商用密码管理秩序。密码应用成熟度评估面向大型、复杂场景下的行业、领域、关基提供密码体系化应用能力等级评估,发现密码应用发展中存在的主要问题,明确改进方向和建设路径。
4、结语
本文研究了国外网络空间安全战略、关键信息基础设施保护重要举措,结合我国相继出台的法律法规及标准规范,强调了密码技术在重要领域关键信息系统中的作用和地位。通过分析关基体系化安全防护及密码安全风险动态评估面临的问题、现状,提出密码应用态势感知模型及密码应用成熟度评估模型,尝试构建能够有效保障单个系统及多个相关联系统整体协同安全的密码运行安全体系。
关键信息基础设施是经济社会发展的重要支撑,是经济社会运行的神经中枢,是大国博弈的重要抓手。应准确把握数字经济时代脉搏,创新发展密码工程应用。为推动密码产业全面推广应用及高质量发展,保障各行业领域关键信息基础设施安全稳定运行,建议通过开展密码应用成熟度评估试点示范,研究密码应用成熟度评估体系,制定密码应用成熟度评估标准,构建密码应用成熟度评估模型,确定密码应用成熟度模型认证落实机制。建议具有商用密码优势的企事业单位、科研机构、行业协会广泛参与、积极探索密码应用态势感知技术标准、管理标准、检测评估标准、建设标准、应用标准等研究工作,研究基于 AI 的密码安全动态评估技术、密码风险分级分类预警响应机制等关键技术,以支撑顶层设计构建密码运行安全体系。