近年来,移动应用的数量呈现爆炸式增长,移动应用渗透到的场景愈加广泛,安全问题也随之凸显,呈现出多元化、复杂化、频发高发趋势。伴随着数字化转型的持续加速,更加直观地暴露出网络安全防护技术的滞后,数字风险逐步累积逼近危险的阈值,成为制约数字化发展的瓶颈。网络安全攻易守难,如何避免不断亡羊补牢、响应处置滞后已成为业界关注的重点,如何真正实现移动安全风险的被动响应到主动防护已成为发展的必然要求。对此,信息化观察网记者独家采访了中国金融认证中心(CFCA)战略发展部助理总经理李达,希望他从信息安全从业者角度,分析研判当前网络安全防范的严峻形势,为网络安全防护提供可资借鉴之策。
嘉宾介绍:李达,现任中国金融认证中心(CFCA)战略发展部助理总经理。在信息安全领域拥有20年的工作经验,2001年获得俄罗斯圣彼得堡电子工业大学计算机网络方向的学士学位,拥有11年信息安全类产品开发经验、9年信息安全解决方案及产品管理经验。李达专注电子认证业务、信息安全领域研究、策划与产品孵化,拥有多项成果和专利,中国银监会2016年信息安全课题3类奖获得者,中国人民银行科技进步奖获得者。《一种连接音频接口的USB转接装置》、《一种通过音频接口转接USB协议设备实现PKI应用的系统及方法》以及《一种连接音频接口的USB转接装置》等专利第一发明人。在全国性期刊上多次发表署名学术文章,系移动安全整体解决方案产品、客户端APP安全加固与渠道监控方案产品、音频双接口及蓝牙双接口Key产品、无纸化应用产品系列、电子证据保全产品、综合司法服务产品的孵化和推广人。
信息化观察网:智能终端设备的普及、移动电子商务的崛起、移动支付的全民化,为移动互联网带来重大机遇,但在该领域内的安全问题却不容忽视。贵司认为该如何打造更安全、更可靠的移动应用?
李达:2012年,移动互联网爆发以来,智能手机愈发普及,广大手机用户总的来说经历了几个阶段:最初,智能手机刚刚进入市场,用户对智能手机都很新鲜,大部分用户持观望态度。在这个阶段,智能手机市场覆盖率与应用数量较少,相关金融业务场景较少,安全的需求还未凸显。2013、14年左右,当人们普遍接受智能手机后,“刷机”、“越狱”兴起,用户大量使用未经授权的系统与应用,引发了大量安全问题。近几年来,随着用户们对智能手机应用安全的逐渐重视,移动应用安全技术发展、移动应用环境安全得到了很大提升。我认为移动互联网作为业务发展的必然趋势,在为各行各业带来新机遇的同时,也带来了新的安全挑战。
总体来说,移动安全包括网络安全、应用安全、数据安全、业务安全与终端安全。网络安全即数据在移动网络中的传输安全。应用安全即应用软件自身存在漏洞、后门等会被、易被利用或攻击的安全问题。数据安全即数据的落地存储与应用安全。业务安全即在业务流程中,及时发现异常及非法操作,保障业务可持续发展的能力。终端安全指移动终端的系统安全。
在移动安全领域,中国金融认证中心(CFCA)有着丰富的行业经验,在网络安全层面,CFCA移动端数字证书应用方案可以通过国产加密算法的数字签名技术,使用密钥与摘要算法保证移动数据通信的真实性与有效性。在应用安全层面,CFCA能够通过代码审查、漏洞扫描、渗透测试、安全加固等手段,避免移动客户端应用程序被破解、篡改和窃取、核心数据泄漏等安全风险。在数据安全层面,CFCA可以帮助用户对敏感数据进行加密处理,协助建设数据安全管理体系与应用数据安全审计系统,完善数据安全管理制度和运行机制,实现对静态数据和动态数据的风险监控。在业务安全层面,CFCA的实名身份认证系统、反欺诈系统能够对用户真实身份进行有效验证,并对风险交易发出预警。在终端安全层面,CFCA提供移动终端进行安全检测与漏洞扫描服务,并通过TEE/SE可信执行环境对数字证书、指纹等重要安全信息进行管理。CFCA通过自身安全实践经验,整合移动安全证书应用、身份认证、监测评估等产品及服务,帮助客户有效构建安全的移动应用环境。
当然,从技术不断发展的角度来说,不存在绝对的安全。因此我们要未雨绸缪,警钟长鸣,时刻关注最前沿安全技术与应用的发展趋势,才能在飞速发展的信息技术时代为广大用户提供最安全的服务。
信息化观察网:针对当前复杂多变的网络和应用安全,贵司有什么应对策略?
李达:我们需要看到,我们面对的是整个网络空间安全挑战,网络空间安全指网络空间中的信息在产生、传输、存储、处理等环节中所面临的威胁和防御措施,以及网络和系统本身的威胁和防护机制,不仅包括传统信息安全所研究的信息的保密性、完整性和可用性,还包括构成网络空间基础设施的基础设施的安全和可信。保护网络空间安全,涉及到身份认证、电子合同、数字签名、司法实践等一系列关键环节,这是一个极其复杂的社会工程学问题,要想彻底解决网络空间安全问题,必须从几个方面来考虑:
1.网络和应用安全风险是全球共同面临的挑战,应对全球化的网络空间安全问题,必须要实现全球针对网络安全控件的认知同步、行业同步。CFCA设立了金融行业信息安全检测与研究机构中国金融认证中心(CFCA)信息安全实验室,面向人民银行、银监会、工信部、国家密码管理局等主管部门提供行业信息安全标准制修订技术支撑、行业新技术与随之适应的信息安全保障策略预研、行业信息安全防护措施有效性检测验证与持续性跟踪。同时,CFCA积极与国际接轨,投身于国际安全认证体系构建。CFCA是中国最早一批完成Webtrust国际标准审计并获得苹果、微软、谷歌、火狐等主流操作系统全入根的电子认证机构;为加强全球数字身份认证体系的建设,CFCA申请加入全球法人识别编码基金会CA群组,成为中国内地唯一获得全球法人识别编码(LEI)验证代理资格的CA机构。近年来,CFCA积极参与CAB论坛、亚太PKI论坛、FIDO联盟、GLEIF Global CA Stakeholder Group等国际组织,为打造全球化数字安全生态贡献了自己的力量。
2.电子认证始终是网络空间安全的核心之一,CFCA二十余年来深耕金融业信息安全领域,在基于数字证书的电子认证领域具有丰富的理论与实践经验。CFCA积极拓展信息安全和业务安全,基于相关法律法规及最新标准,向前拓展身份认证等数据服务,向后拓展证据保全、在线诉讼等法律服务,形成事前身份认证、事中电子签名、签章和证据保全、事后司法诉服,结合监管科技,为线上业务办理提供满足司法实践要求的安全解决方案。
3.密码技术与应用的飞速发展,也为网络空间安全不断带来新的挑战。面对各行业对网络空间安全不断发展的新需求,CFCA积极拓展密码技术储备,以电子认证服务为基石,构建完整的密码应用体系,同时,通过对外合作和自研等方式,加强5G、物联网、区块链等新技术中密码技术的应用,面对未来网络空间安全风险,给出完备有效且符合我国法律要求的综合密码应用方案。
4.其他信息安全问题也不容忽视。CFCA持续关注行业与技术前沿发展,依托CFCA信息安全实验室的技术支撑力量,关注网络空间安全的每一个角落,并面向各行业提供优质的信息安全综合服务。
总的来看,当前网络和应用安全复杂程度已超出想象,我们要时刻保持对全球范围内技术与应用发展的敏感性,并结合自身实践经验,构建适合行业发展特点的网络空间安全防护体系,争取在各领域中,实现国内引领国际,只有这样才能做到从容面对、妥善处理。
信息化观察网:提到移动支付就不得不提密码,尤其是在信息技术飞速发展的当下,密码的重要性与日俱增,构建高安全性的密码系统越来越受到各行各业的重视,贵司认为密码安全防护该怎么做?
李达:密码技术在保护信息安全中起着不可替代的作用。密码技术能够为用户解决身份认证、数据传输的机密性、交易信息的完整性、业务的法律效力等方面的问题。正是这些非常基础但又很重要的功能,保护着我们的信息安全。
做好密码安全防护,首先要严格遵守国家相关法律法规的要求。近些年,为保障密码安全,推进网络安全法制建设,《网络安全法》、《中华人民共和国密码法》等多部法律已颁布;《个人信息保护法》、《数据安全法》等受到越来越多的关注。《网络安全法》中明确规定国家实行网络安全等级保护制度,落实网络安全责任,依据相关规定开展等级保护工作,通过等级测评来检验网络系统的安全防护能力,识别系统中可能存在的安全风险;《密码法》规定使用商用密码进行保护的关键基础设置,其运营者应履行开展商用密码应用安全评估的工作。
其次,采用成熟的解决方案。密码技术已有数十年的历史,发展到今天,已经有很多针对具体场景非常有效的解决方案。密码安全对技术和经验要求比较高,自己做的东西存在安全漏洞的可能性很大,因此建议采用行业内成熟的方案或技术。当然技术上如果有足够的能力,也应注意新技术的引入。最近数据隐私问题受到关注越来越多。数据是一种新资源,如何实现数据可用不可见,对于发挥数据作用至关重要。密码安全防护可以考虑综合使用多方安全计算、联邦学习、区块链等新型技术,解决数据隐私保护中存在的问题。
最后,除了制度、技术隐私外,还应该把人的因素考虑进去。对密码安全参与人员进行密码安全培训,提高人员对于密码安全的认识,从小事、从细节做起,实际上也是非常有效地保障密码安全的重要手段。
信息化观察网:贵司在密码工程领域深耕多年,在密码安全领域有哪些实践?
李达:密码工程领域可以大致分为密码算法、密码应用和密码服务三方面,CFCA主要致力于密码应用和密码服务领域的工作。CFCA主要产品的数字证书认证、PKI体系就是以非对称密码技术应用为基础,因此CFCA与密码应用是密不可分的。CFCA在二十余年的实践过程中,积累了丰富的密码应用与服务经验,在可信数字身份认证、网络安全传输加固、信息数据安全防护等方面,都有着完善的产品与服务方案。可以举几个简单的例子,第一个例子是CFCA的密码控件产品,能够有效保证用户在网银、桌面客户端以及移动客户端程序中,输入密码等敏感信息的安全性,防止运行在客户系统上的病毒、木马等恶意程序入侵窃取用户输入的敏感信息。保证从用户输入、本地缓存、到服务器接收的整个流程中,输入的敏感信息不被窃取。第二个例子是CFCA的签名验签服务器产品,它是一款基于PKI安全体系并全面支持国际、国密算法的网络安全认证产品,能够对网上证券、网上保险、网上银行及电子商务和电子政务活动中的关键敏感数据进行签名验签,从而保证数据的机密性、完整性和不可否认性,在金融安全领域得到广泛应用。第三个例子是安心签电子签约综合平台,该平台是由CFCA建设、运维、管理的第三方电子合同服务平台,以电子签名技术为核心,为用户签发数字证书并提供数据电文或电子合同文件的在线签署、存储和管理服务,基于密码学原理,实现对电子合同签署者的身份认证,防止抵赖、防止篡改、防止伪造,保障电子合同内容的真实性、完整性、机密性,为电子合同签署者提供完善的司法保障。第四个例子是CFCA的网络安全战略规划咨询服务,帮助企业或金融机构进行整体网络安全的战略规划和顶层审计,研究和分析安全监管需求和业务安全需要,梳理网络安全需求和风险,并提出针对性的安全建设任务,并将各项安全任务进行归并和优先级排序,最终形成网络安全整体建设蓝图和推进计划。
上述几个例子是CFCA在行业实践中很有代表性的密码应用与密码服务的实践。除此之外,在产品方面,CFCA打造了电子认证、网络安全产品与服务,先后培育出无纸化、安心签、云证通、APP检测等旗舰产品,为银行、保险、证券等行业提供安全解决方案。在服务方面,包括系统安全与质量检测、产品安全检测、移动应用测评、安全咨询和评估等。总之,CFCA通过成熟的密码安全产品与完善的密码安全服务,降低密码安全保护的难度,为守护各行业密码安全做出了应有的贡献。
信息化观察网:能否分享下贵司在密码安全方面的客户案例?
李达:CFCA在密码安全方面的客户案例有很多,下面我举一个在密码应用方面比较有代表性的案例供大家参考:
某客户,为深入推进业务移动信息化建设,搭建了移动设备网络接入平台与移动应用支撑平台。一线业务人员需要采用平板电脑、智能手机等移动终端,实时查询和操作相关业务数据。一线业务人员需在VPN环境下,外接硬件设备或TF卡来进行身份认证与数字签名,以确保关键业务数据的信息安全。与此同时,国家密码管理局发布的《GM/T 0028-2014密码模块安全技术要求》,对四个等级密码模块的安全和运行其实也提出了明确要求。结合国家主管部门有关要求与实际应用需求,该客户与中国金融认证中心(CFCA)达成合作,通过部署满足《GM/T 0028-2014密码模块安全技术要求》中“安全二级要求”的协同签名模块,即移动证书——云证通,以进一步完善移动信息系统的安全策略,在确保安全合规要求的同时,实现了应用端一线业务人员的操作体验与工作效率的双提升,还降低了成本。
这个案例很具有代表性,因为它是密码应用推动业务实践的典范,创新密码技术在适配相关标准、满足监管合规要求的同时提升业务效率并降低成本的典范。在这个案例中,正是由于该客户引入移动证书“云证通”,使得业务在确保安全合规的同时,大幅度提高了工作效率与使用体验,同时还降低了成本。该客户引入移动证书“云证通”,既是业务移动信息化建设过程中的一次有益探索与实践,也为今后向数字化纵深发展开启了新的可能。
信息化观察网:伴随着数字化转型的深入发展,越来越多的传统风险,逐渐转变为带有网络安全风险特征的场景。作为网络安全领域的生力军,贵司将如何守住网络安全为数字化转型保驾护航?
李达:企业数字化转型的核心要点是数据的集中化管理与业务为导向驱动、人员的数字化思维意识培养和数字安全实践体系与管理体系建设。CFCA通过为企业提供完善的密码产品与信息安全服务,助力企业完成数字化转型。
在企业数字化转型的过程中,全新的技术与架构带来了新的安全挑战,数字安全实践体系与管理体系建设至关重要。随着云计算、大数据、物联网技术的广泛应用,企业资产形态更加复杂多变,攻击手段不断升级,安全管理的难度持续增加。在企业将业务迁移至线上、云端后,云端的公共属性进一步加大了企业安全管理和控制的难度,数据分散导致数据的泄露和非法访问风险加大,应用之间的物理隔离转变为逻辑的虚拟隔离,安全边界模糊、漏洞被放大,各安全产品难以做到统一管理。
针对上述安全隐患,《网络安全法》、“等级保护2.0”都对云时代的安全运营及管理提出了新的要求。CFCA具备国家网络安全等级保护工作协调小组办公室颁发的“网络安全等级保护测评机构推荐证书”能够基于GB/T28448-2019:《信息安全技术网络安全等级保护测评要求》等国家标准的等级保护测评、信息安全风险评估、网络安全战略规划咨询等信息安全服务,为企业数字化转型提供咨询、评估及检测服务,实现企业数字化转型更合规、更安全。
同时,CFCA基于多年信息安全行业经验,整合自身产品及服务,借助于安全认证、电子签名、加解密、授权管理等先进的信息安全技术,推出企业数字化转型安全建设方案,做到业务办理操作留痕,抗抵赖,关键文件加密传输及保存,业务过程安全、完整、可靠,为企业数字化转型保驾护航。
写在最后
网络安全已经成为数字化转型中绕不开、躲不过的“关节点”,破解数字化转型中的网络安全之痛,极大考验安全厂商的综合能力。面对复杂多变的网络安全形势,安全厂商要从习惯“亡羊补牢”转向自觉“未雨绸缪”,维护网络安全任重道远,安全厂商需时刻紧绷“安全弦”。值得注意的是,像CFCA这样的信息安全服务商早已行动起来,通过主动出击、提前布局,构建了具有安全性、合规性、完整性、可靠性基因的纵深防御的网络安全体系,护航企业数字化转型。
