摘 要:密码是维护网络空间安全的核心技术之一,利用商用密码在安全认证、加密保护、信任传递等方面的重要作用,能够有效地消除或控制潜在的网络空间安全风险隐患。《中华人民共和国密码法》明确规定,关键信息基础设施须使用商用密码进行保护,并开展商用密码应用安全性评估。目前,我国商用密码产业化发展较快,在技术创新、产品供给、制度建设等方面取得了突出进展,但也存在商用密码应用不规范等问题,亟需进一步加大支持力度。当前国内外已有密码应用监测平台等相关产品,本文系统地分析了商用密码应用情况和存在的问题,结合国家政策标准要求,提出了商用密码应用监测感知平台建设方案,旨在将监测与感知技术相结合,准确掌握行业用户密码应用现状,实现密码应用安全合规。

1 商用密码应用发展现状

随着新一代信息技术的不断发展,由海量数据、异构网络、复杂应用组成的网络空间,已成为各国争相抢夺的新阵地、新战场。以网络安全为代表的非传统安全威胁持续蔓延,使得网络空间安全风险叠加倍增,威胁挑战日益严峻,安全形势不容乐观。密码是保障网络安全的核心技术,是构建网络信任的基石。利用密码在安全认证、加密保护、信任传递等方面的重要作用,能够有效地消除或控制潜在的“安全风险”,实现从被动防御向主动免疫的战略转变。

1.1 国外高度重视密码工作

国外高度重视密码工作,以密码产业化为基础不断增强应用,提升网络空间安全综合保障能力。各国围绕密码技术积极推动密码产业化应用,以密码为基础加强网络安全保障体系建设,特别是利用密码在数据保护、安全接入、信任体系建设等方面的作用,不断强化网络安全保障体系的机密性,带动密码和网络安全产业做大做强。

美国国家标准与技术研究院、欧洲电信标准化协会一直积极抢占密码理论研究和算法前沿高地,形成算法、协议、接口、应用相互促进、互相衔接的技术体系 。主流软硬件厂商组成了国际互联网工程任务组等组织,从底层硬件到顶层功能服务做出了详细要求,形成了全产业链兼容的协同生态。谷歌、微软等头部企业均具备独立开展密码研究和安全设计的能力,建设了密码分析与量子计算、可信计算等团队,形成了较为完善的对外服务体系。

1949 年,随着美国数学家、信息论创始人香农《保密系统的通信理论》论文的发表,密码技术逐渐建立起完善的理论基础,成为一门现代意义上的学科。经过 70 余年的不断发展,各国通过密码技术、密码产品、密码服务等,不断增强密码产品产业化能力,形成了包括网络基础资源、信息设施、计算分析、应用服务、网络通道、接入终端、设备控制等在内的全体系平台安全防护体系。

1.2 国内积极布局商用密码产业化应用推广

如何合规、正确、有效、广泛地使用商用密码,充分发挥商用密码在保障我国网络空间安全中的核心技术及基础支撑作用,关乎网络空间安全、更关乎国家安全大局。为做好商用密码应用推广和产业化工作,我国积极布局相关工作,在制度体系建设、关键产品研发、基础服务产业化等方面取得了阶段性成效。2020 年1 月 1 日起《中华人民共和国密码法》正式实施,明确了党管密码的根本原则,要求密码工作坚持总体国家安全观,遵循统一领导、分级负责,创新发展、服务大局,依法管理、保障安全的原则。在商用密码应用推广方面,明确提出“国家鼓励商用密码技术的研究开发、学术交流、成果转化和推广应用,健全统一、开放、竞争、有序的商用密码市场体系,鼓励和促进商用密码产业发展”为商用密码在更多领域、更广范围的产业化应用推广奠定了坚实的制度基础 。

在技术创新方面,我国已取得一系列高水平、原创性的科技成果。椭圆曲线公钥密码算法SM2、密码杂凑算法 SM3、分组密码算法 SM4、序列密码算法 ZUC、标识密码算法 SM9 等标准相继发布实施,ZUC 算法成为 4G 国际标准,SM2、SM3 和 SM9 算法成为国际标准。在产品供给方面,密码产品不断增多、功能愈发完善,据统计,已有 2 000 余款密码产品通过审批,涵盖了密码芯片、密码板卡、密码机、密码系统等多个方面,形成了较为完备的产业链条和服务体系。在制度建设方面,随着商用密码管理制度不断完善,产品检测能力显著提升,商用密码应用安全性评估试点逐步展开,密码相关政策法规的落地与实施得到有力加强,全社会对密码的认可度大幅提升。

2 问题及分析

目前,我国商用密码产业化发展进程较快,在技术创新、产品供给、制度建设等方面取得突出进展,但是仍存在以下问题,亟需进一步加大支持力度。

2.1 商用密码应用不广泛

《中华人民共和国密码法》对推广商用密码应用提出了明确要求,供给侧企业加大技术、产品、服务的研发力度,形成了包括密码芯片、板卡、加密机、系统在内的完整产品链条体系。同时,我国全国信息安全标准化技术委员会、密码行业标准化技术委员会等标准化组织大力开展商用密码标准化工作,以“急用先行、通用先立”为原则,加快推进标准化进程,研制发布与密码算法、技术应用、产品接口、模块检测等相关的国家标准 40 余项,发挥标准引领和规范作用,指导商用密码应用推广工作。但是,我国网络的整体安全防护能力仍然十分脆弱,大量网络数据、网络设备、信息系统处于“裸奔”状态,没有使用密码技术保护,部分数据、设备和系统还存在密码使用不合规的现象,存在巨大的网络安全隐患,相关检查数据显示,有关部门所辖信息系统密码应用比重仍然较低。此外,我国商用密码产业链上下游的供需对接能力亟待进一步加强,产业链上游供给侧与下游需求侧之间存在信息不匹配、消息不透明等问题。供给侧的供给能力和需求侧的实际需求尚未及时有效对接,产业链上下游协同联动、集成适配的能力有待提升。

2.2 商用密码应用不规范

《中华人民共和国密码法》明确规定,关键信息基础设施须使用商用密码进行保护,并开展商用密码应用安全性评估。为贯彻落实法律要求,国家密码管理局发布了《商用密码应用安全性评估试点机构目录》,在全国范围遴选了一批优质技术服务资源,支撑商用密码应用安全性评估工作加快实施。虽然国家、地方、行业相继出台了一些规定和配套的制度、要求,但在一些地区和部门并未得到有效实施。部分单位重信息化建设、轻信息安全保护,信息系统密码使用不规范、不正确,在密钥管理、密码系统运行维护等方面存在风险 。目前,亟需建设商用密码监测感知平台,进一步丰富主管部门监管手段,准确地掌握工业和信息化行业商用密码应用情况,并及时分析商用密码应用风险隐患,帮助密码应用企业对照国家标准、行业标准开展密码应用合规性检查评估,强化企业商用密码的管理与运用,提升密码应用风险消减与防范能力,确保密码应用安全合规。

2.3 商用密码应用不安全

密码应用涉及领域广、行业多,系统架构多元多样,对商用密码技术、产品、服务提出了更高的要求。在电子政务、电子商务、金融、移动互联网领域,现有大量信息系统仍然在使用 MD5、SHA-1、RSA-512、RSA-1024、 数 据加密标准(Data Encryption Standard,DES)等已被警示有安全风险的商用密码算法 [5]。此外,在装备制造、石油、化工、冶金、电力等重点工业领域,基于上述密码算法提供的密码服务仍在广泛运行,给信息系统、工控系统带来了严重安全隐患。亟需开展产业基础公共服务平台建设,带动更多技术力量和社会资本加大对密码应用供给能力的投入,丰富密码应用产业链上游供给。通过将国产商用密码芯片、算法、软件、板卡、模块与安全防护产品深度集成和适配,形成适用于工业和信息化典型行业且基于国产密码的网络安全成套防护方案,实现商用密码技术、产品和服务的综合集成和合规性评估,带动国产商用密码技术、产品、服务能力提升,帮助产业链下游企业将密码“基因”植入网络安全技术保障体系,促进网络安全综合防护能力提升。

3 商用密码应用监测感知平台

保障商用密码应用规范性和安全性是推动商用密码广泛应用的首要前提,监测感知技术是提高规范性与安全性的重要手段。本文面向商用密码应用存在的问题,提出了一套商用密码监测感知平台建设方案。

商用密码应用监测感知平台包含密码数据感知系统和密码数据监测系统。商用密码数据感知系统的建设,关键是数据来源、数据采集、智能分析等模块的研发,实现联网重要网络资产识别、信息采集与智能分析,定位资产所属位置、所属企业,评估密码应用情况,及时形成预警信息,并通过联盟供需对接门户及时开展信息报送与通报工作,提升企业密码安全应用水平。商用密码数据监测系统的建设,包括密码数据分析模块、合规性评估模块、监测展示模块,通过部署在密码云基础设施上的探针,实时监测分析密码产品资质、算法合规、算法正确和随机数质量等,并利用呈现系统展示安全态势、设备运行状态、资产和用户管理、规则告警信息等,帮助应用密码云基础服务、应用服务的需求侧企业持续提升密码应用安全合规水平。

3.1 密码数据感知系统

商用密码数据感知系统的建设在于数据来源、数据采集、智能分析等模块的研发。在数据来源方面,需要利用全镜像流量分析和探针的方式,提取安全设备、终端安全、操作系统、中间件、网络设备等的信息数据,辅以漏洞利用、威胁情报分析、异常流量识别等技术,实现联网重要网络资产的识别。在数据采集方面,将来源数据进行科学分类,提取审计数据、异常行为、违规访问、安全日志、情报信息等,为渗透测试工作提供元数据和安全检测日志。在智能分析方面,运用引擎分析、情报关联、异常识别等技术,全方位分析联网网络设备资产情况,定位资产所属位置、所属企业,评估密码应用情况,及时形成预警信息。

密码数据感知系统具备针对我国商用密码应用状况的监测能力,平台通过主动监测手段搜集互联网联网商密算法潜在应用系统的分布情况、全国重点商密算法潜在应用企业网络安全情况,并结合威胁情报和安全大数据对网络威胁形成实时的感知和分析能力;通过数据挖掘、深度学习、可视化计算等技术,并结合云端威胁情报实现未知网络攻击威胁的自动化发现及预警,形成对未知安全威胁的监测与发现能力,同时利用实时感知和分析能力建立安全事件通报、周期安全态势报告机制以及安全事件的应急处置能力。密码数据感知系统架构如图 1 所示。

图 1 密码数据感知系统架构

数据感知层。通过主动监测手段搜集互联网联网系统的分布情况、针对信息系统攻击行为的分布情况,全国重点商密算法潜在应用企业网络安全情况等多个渠道采集海量安全信息与事件数据。

数据存储分析层。对采集的海量数据进行关键信息提取、格式归一化转换和信息富化处理,将处理后的信息分别输送到存储和大数据分析部分,由支撑大数据的安全存储层完成对海量安全数据的安全保存,流式计算引擎对流量进行实时处理后送至威胁感知、脆弱分析、安全风险分析等安全引擎完成安全威胁分析功能。结合威胁情报和安全大数据,通过数据挖掘、机器学习、人工智能等技术,对商用密码算法应用情况进行综合研判和分析。

数据应用层。应用层主要由各安全应用系统组成,可以通过可视化技术,将潜在商用密码应用用户系统在线联网情况以及安全态势综合分析结果进行实时呈现,帮助主管部门快速掌握商用密码应用情况,并根据实际情况做出相应的决策,快速有效地应对网络安全威胁。

3.2 密码数据监测系统

3.2.1 遵循的技术标准

研制过程中严格遵循商用密码主管单位的管理要求,参照的技术标准如表 1 所示。

表 1 遵循的技术标准

3.2.2 系统组成

密码数据监测系统如图 2 所示,由密码数据分析模块、合规性评估模块和监测呈现模块组成。

图 2 密码数据监测系统

密码数据分析模块。通过主动采集、定时上报或旁路抓包的方式与各类密码设备、密码系统或密码模块进行对接,实现监测数据的采集、处理和建模分析,从而发现接入的业务系统在密码使用过程中存在的问题和安全隐患。

合规性评估模块。主要对监测对象进行密码设备自检、检测工具检查和人工检查等,完成全流程检查后进行被测对象综合评估。检查内容包括密码算法实现的正确性、密钥的完整性、产品功能正确性、加密流量安全性、传输协议安全性、产品资质情况、密码使用情况等方面。

监测呈现模块。主要包括资产管理、设备运行状态监测、告警管理、预警管理、系统管理、规则管理、日志管理、用户管理和报表管理等功能。

3.2.3 主要业务流程

(1)监测数据采集流程。监测系统数据采集流程如图 3 所示。

图 3 密码监测数据采集流程

数据采集模块通过《密码设备管理 设备管理技术规范》、RESTful、SNMP 等协议采集密码产品相关数据;数据采集模块将数据发送到消息队列;数据处理模块消费信息;数据采集模块处理数据;数据处理模块将数据存储到搜索服务器(Elastic Search,ES)中;数据处理模块将数据发送到消息队列;数据分析模块消费信息;数据分析模块分析数据;数据分析模块将分析的数据发送到消息队列;呈现模块消费信息,并存储到 mysql 中。

(2)镜像流量识别流程。镜像流量识别系统具有加密流量恶意行为分析、检测的能力,可以在不解密情况下提高对网络流量的监控能力,避免网络攻击行为和失泄密事件发生。平台包括数据采集层、数据存储层、威胁感知层、态势感知层和运维管理层,如图 4 所示。

图 4 镜像流量识别系统架构

镜像流量识别系统基于网络流量和数据包分析;通过机器学习方法和密码分析手段,结合规则库与黑名单规则,发现安全威胁和未知网络密码攻击;迭代机器学习模型和数据仓库;形成安全威胁态势和统计报表。

(3)事件分析处理流程。安全事件分析子系统将预处理完成的初始化安全事件数据进行进一步的事件分析,安全事件关联分析流程如图5所示。

图 5 安全事件关联分析流程

通过事件采集模块对原始事件进行预处理;通过事件实时分析模块对经过预处理的安全事件进行实时分析,并对危急安全事件进行告警;通过事后关联分析模块对时间跨度大的历史安全事件进行关联分析,并对潜在安全风险和危险行为进行安全预警。

4 结 语

本文根据当前商用密码应用情况及存在的问题,结合相应的国家政策和标准,将传统的安全态势感知技术与商用密码技术成果相结合,提出了商用密码应用监测感知平台的建设方案。经验证,该平台通过主动扫描提取重要设备的关键信息数据,对数据进行分类、提取以及智能分析,定位资产所属位置、所属企业,评估密码应用情况,实现联网安全设备主动扫描感知;结合云基础设施的探针部署模式,基于数据分析模块可以实时监测分析密码算法、随机数、证书等合规性和有效性,同时通过多种形式展现密码资产、设备状态、预警信息等密码应用现状和风险隐患,帮助密码应用企业开展密码应用合规性检查评估,强化商用密码的管理运用,提升密码应用风险消减与防范能力,确保密码应用安全合规。