9月17日,“2018国家网络安全宣传周——网络安全技术高峰论坛”在成都世纪城国际会议中心举行。中国电子科技网络信息安全公司副总经理、中国电子科技集团公司第三十研究所所长卿昱在会上发表了演讲,用一次微信支付的历程为例,将大家带入了“无处不密、处处需密”的全民密码时代,跟大家分享了全民密码时代的特征、机遇挑战、趋势研判并提出了四点倡议。
(中国电子科技网络信息安全公司副总经理、中国电子科技集团公司第三十研究所所长卿昱发表演讲)
密码技术的发展经历了由手工密、机械密、电子密直至网络密的发展阶段,如今大步迈向全民密码时代。卿昱表示,全民密码时代密码技术已经广泛服务于商用和服务等多个领域,可以说“你用或者不用,密码都在那里,无声无息,默默守护着你”。全民密码时代呈现了以下四个时代特征:一是密码应用的泛在化,密码技术正在以前所未有的广度和深度,为网络空间的云计算、大数据、人工智能、物联网等应用保驾护航。二是密码保障的全时化,密码技术能够为信息的产生到传递、共享、使用,直至销毁提供全生命周期的防护。三是密码体制的公开化,目前,密码算法和协议的研究已经走向了全球公开遴选和标准化。四是密码服务的易用化,密码技术不断地向低成本易使用逼近,密码技术的使用已经不再局限于专业人士,已逐步成为全民服务。
卿昱表示,全民密码时代迎来了重大历史机遇,一是网络空间安全已经上升到国家战略高度,受到前所未有的重视,也给密码带来了新的政策发展机遇,国家一系列的重大战略部署均和密码息息相关。二是互联网经济、共享经济、数字经济为全民密码时代带来了前所未有的巨大市场需求,密码深度地融合于网络强国、交通强国等一系列国家行动计划中,为之赋予了隐形的保护罩。三是个人信息泄露事件频发,数据隐私保护需求旺盛,密码成为人民“刚需”,以近期某酒店用户数据泄露事件为例,若用户数据进行了脱敏处理,若关键数据进行了加密处理,那么即便是数据被泄露,也可以将对用户隐私的侵害大大的降低。
“这个时代是美好的,也是有挑战的”,卿昱强调“在看到机遇的同时,我们也要直视挑战”。第一个挑战是被滥用,密码全民化给网络空间的安全和监管带来巨大挑战;密码技术是一个“双刃剑”的技术,既可以用来保护用户数据,又可以被黑客利用对用户进行勒索,卿昱用著名的“永恒之蓝”为例向大家解剖了密码技术“加密勒索、索要赎金和破坏数据”方面的滥用。第二个挑战是缺共用,密码基础设施构建和广泛融入业务迎来新的挑战;虽然我们的行业在广泛推广密码应用,但是各行各业对密码应用能力参差不齐,这需要构建密码管理基础设施、统一信任基础设施,为密码的普适性提供最基础的核心支撑,同时全民密码时代也要打通密码和电力、通信、交通、金融互联互通共享数据的接口。第三个挑战是要提升,密码技术能力已经成为各国之间网络空间对抗博弈的一个新焦点,例如量子计算在计算速度、求解规模上都有了质的飞越,对密码的破译速度理论上会有巨大的提升,这对目前的加密体制带来了巨大的挑战。
面对全民密码时代,趋势如何?我们又如何来应对呢?卿昱提出了全民密码时代趋势发展的“密码PI3”理念,密码Inside、密码Plus、密码Innovation和密码 International。
- 一是密码Inside,即密码仍是构建网络空间信息体系的基石;尽管网络安全技术日新月异,但密码技术在现在和未来相当长的时间内仍然是保障网络安全的核心技术和基础支撑,仍然是网络安全最核心、最基础的手段和措施。
- 二是密码Plus,即“密码+”定会无缝融入并“基因”般保障国计民生安全;密码+大数据将会提供去中心化的认证鉴权,密码+云计算将会提供远程证明等,密码将深度融合到国家重大战略任务和新应用中。
- 三是密码Innovation,即密码蓬勃发展将促进激发网络安全创新力;以动态密码、可编程密码、全同态密码、后量子密码为代表的诸多新型领域创新,为信息化新技术、新能力发展带来指数级增长。
- 四是密码 International,即密码技术发展须坚持国际开放和自主创新并举之路。我国的SM2和SM9等商用密码算法已经成为ISO/IEC国际标准,在密码国际标准制定中的话语权和主导权不断提升,同时,一些密码领域关键技术还存在受制于人的情况,需要我们跟踪和研究国际密码科技的先进理论、前沿技术,同时,加大自主创新的研发,加强新型的算法设计和分析评估等。
全民密码时代的有序发展,需要政府、企业、社会组织和民众一同携起手来,共建全民密码时代,共享密码保障成果。因此,卿昱提出了四个方面的倡议:
- 一是政府层面加快立法、推进应用,密码使用立法需要与时俱进,进一步规范密码的使用,尤其是加密数据的跨境流动规范管理。同时要细分密码的应用场景和密码强度使用等级,推广密码使用备案制度等。
- 二是企业层面勇于担当、夯实生态,企业是促进发展的主体,应加大核心技术研发,打造符合人民群众生产、生活的密码产品和生态体系,营造全民网络空间安全、可信、有获得感的良好氛围与环境。
- 三是社会组织层面搭建平台、引入走出,如通过中国密码学会,繁荣密码学术研究,开展国际交流、专业培训等,通过密码行业标准化技术委员会促进开放共融、互联互通等,通过密码行业协会、产业联盟整合产业力量,形成优势互补、布局合理的产业体系。
- 四是民众层面提升意识、主动使用,切实提升公众对于密码的掌握度竟和熟悉度,增强密码意识和技能,开展宣传活动,形成和完善公众对网络安全及密码技术的正确认知。
网络安全为人民,网络安全靠人民!卿昱表示,希望和各界一起携手共同迈进全民密码时代。