“密码技术是网络安全的核心技术,是信息保护和网络信息体系建设的基础,是保障网络空间安全的关键技术,但是,国内密码技术应用并不广泛。”

近日,由中国(中关村)网络安全与信息化产业联盟、北京网络信息安全技术创新产业联盟、中国保密协会产业分会共同主办,北京安华金和科技有限公司承办的第三届中国数据安全治理高峰论坛举行。北京市电子产品质量检测中心软件与信息安全测评部副部长李恒宇在以《商用密码技术在数据安全上的应用》为主题的演讲中表达上述观点。

北京市电子产品质量检测中心软件与信息安全测评部副部长李恒宇。图自主办方。

云平台将推出针对租户的商用密码服务

关于国内密码技术应用不广泛,李恒宇分享了一组数据。2018年,国家密码管理局联合公安部对部分等级保护系统进行信息统计,在7728个系统中,仅38个系统使用了国产密码,966个系统使用了国际密码,6724个系统未使用密码技术。

之所以出现上述现象,李恒宇对隐私护卫队解释说,主要是企业的意识不到位。信息化工作是一个不断推进的过程,企业起初是保证业务能够使用,可能没考虑到安全。等到国家开始重视网络安全、信息安全时,企业才开始使用密码技术来保护系统安全,但还没落实到使用国产密码或商用密码技术。

同时,李恒宇表示,中小企业短期内应用密码保护的时机还不成熟,但是需要有安全意识、明白相关要求,在适当时机应用(或购买)密码技术。

他透露说,某云平台企业配合国家要求,建立了一套针对租户的商用密码服务,中小企业在使用云平台建设系统时,可以调用现成的密码技术。“很多厂商都在跟进该服务。”

此外,“我国密码技术还存在关键技术、关键产品受制于人的情况。”李恒宇表示,我国使用的很多密码产品的标准、算法都由西方国家牵头制定,“我们只是使用者和实施者。”并且,如果算法中存在漏洞和后门,制定算法之外的国家并不知晓,也无法控制。

他表示,建设自主可控、安全领先的网络空间密码防线是十分必要、势在必行的。

等保2.0中明确提出通信领域等使用密码技术

2018年,中共中央办公厅、国务院办公厅下发《金融和重要领域密码应用与新发展工作规划》(2018-2022年)的文件,要求到2022年,全社会应用密码技术保护网络安全的意识普遍增强,密码与国家重大战略和新技术新应用深度融合,高质量密码供给体系和测评认证体系基本建立,密码保障金融和重要领域的网络安全的作用得到充分发挥。其中,金融行业、基础设施行业、数字经济、信息惠民等领域要着力开展密码应用工作。

还有,“等保1.0中对密码要求并不明显,但2.0中明确提出某些层面需要使用密码技术。”李恒宇解读说,首先是通信领域。通信传输过程中要求使用密码技术,保障通信数据的完整性、保密性;还有管理方面。安全设计方案必须包含密码相关技术、(密码)产品的采购和使用必须经过国家密码局的认可等。(尤一炜

声明:本文来自隐私护卫队,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。