有人将密码形象地比喻为网络空间的DNA,密码技术作为保护信息安全最基础、最核心的手段之一,其重要性不言而喻。当前,密码应用已经渗透到社会生产生活的各个方面,从维护国家安全的保密通信到军事指挥,到保护国民经济的金融交易、防伪税控,再到保护公民权益的电子支付、社会保障等,密码都发挥着重要作用。
深圳CA是经中华人民共和国工业和信息化部及国家密码管理局批准成立的权威认证机构,是重要的国家信息安全基础设施之一,专注于为个人、政府机关及企事业单位提供权威、公正、可信的电子认证服务。日前,信息化和软件服务网有幸邀请到深圳CA副总经理罗伟伟,基于密码应用、密码安全、国密改造以及身份认证等热点问题分享真知灼见。
信息化和软件服务网:您作为密码行业的专家,您认为密码在整个安全行业的地位是怎么样的?
深圳CA罗伟伟:密码是网络安全的基石,在网络空间安全防护中发挥着重要的基础支撑作用。计算机系统设计之初,并没有穷尽所有的逻辑,而是在寻找一条可行路径,密码的出现能够对“可行路径”下的网络安全,形成一种有效的保护机制。在整个安全领域,密码作为一种底层技术应用范围十分广泛,比如银行和政府领域。密码最为大众熟知的应用应该在银行业务方面,像如今的微信、支付宝等支付软件,也会用到密码设施来保护支付账户的资金安全。而密码在政府服务方面的应用就是身份认证,它能够保障服务对象的身份可信。虽然目前国内密码产业规模不大,但密码的核心作用却不容忽视。
信息化和软件服务网:密码是如何解决当下公众遇到的安全问题的?
深圳CA罗伟伟:网络安全最大的风险,我认为就是不确定性。在系统访问对象的身份、意图、权限等不明的状况下,会存在极大的安全风险,密码的出现能够很好的解决这个问题。密码作为支撑技术存在于我们生活的方方面面,以智能手机为例,我们所使用的各种手机APP都需要密码技术作为支撑。需要明确的是,密码并非等同于口令,但多数人认知中的密码,其实就是口令。我们所理解的QQ、微信登陆密码以及银行卡支付密码,都属于口令,它的安全机制非常薄弱。而密码就像一个复杂的数学公式,能够将这些口令转换成一种不可人为识别的,需要通过机器去进行比对和校验的认证机制。
信息化和软件服务网:您如何看待国产密码改造这个问题?
深圳CA罗伟伟:实现密码国产化可以说是顺应时代的要求,也是国家安全的必然选择。一方面,传统国际密码算法已经面临被破解风险,它的安全机制面临巨大威胁。另一方面,国产密码算法技术成熟、安全性高,具备推广应用条件。可以说,密码国产化是新时期政务应用等重要信息系统安全建设的内在需求,也是构筑“新基建”安全防线、实现自主创新和安全可信的必然选择,因此,推进密码算法改造是行业大势所趋和必然要求。
但对于国产密码改造范围及对应要求很多运维单位并不清楚,深圳CA作为工信部及国家密码管理局授权牌照的第三方电子认证服务提供商,通过密码技术为用户提供身份认证、数据存储安全、数据传输安全等方面的服务。在这里跟大家介绍一下深圳CA的商密改造解决方案,简单点来说就是在商业密码里实现国产化。它的技术应用要求体现在物理和环境、网络和通信、设备和计算、安全管理、密钥管理、应用和数据等方面,能够从根本上为系统运行提供一个更好的支撑,从而达到政策法规的要求,满足数据使用方的安全需求。举例来说,过去的企业注册流程,需要申请人去工商局完成一系列的备案工作,如今通过深圳CA办理的数字身份证就可以在线上完成所有的注册流程。而它的使用场景就需要保证在机房、数据存储、密钥管理等安全的情况下进行。
信息化和软件服务网:深圳CA在数字政府领域除了商密改造目前还有一些什么其他的优秀实践吗?
深圳CA罗伟伟:深圳CA的业务涉及政务、金融、跨境贸易等领域,这里着重说下深圳CA在跨境贸易领域的实践。跨境贸易中蕴藏着巨大的信息流,数据的安全性就不得不考虑,身份认证就变的尤为重要。深圳CA在跨境贸易领域里提供的身份认证服务能够在确保传输安全的情况下,既满足境内外的业务往来需求,同时还能适应境内外双方的法律制度要求。尤其是在全球疫情不稳定的情况下,线上业务的服务能力以及安全性的提升我们有目共睹,而这些都离不开密码的保驾护航。
当前,新一轮科技革命和产业革命全球化进程正处在加速演进过程中,密码必将以前所未有的广泛影响力,深度融入大国博弈的各个主战场,以国产密码核心技术助力网络强国建设已成为共识。深圳CA的国产密码技术的广泛应用,证明构建可信空间、守护国家安全,国产密码大有可为。
