首页>安全资讯>解读《国家网络空间安全战略》

解读《国家网络空间安全战略》

-- 保护国家关键信息基础设施迫在眉睫

国家互联网信息办公室12月27日发布 《国家网络空间安全战略》 (以下简称《战略》),阐明了中国关于网络空间发展和安全的重大立场和主张,为指导我国网络安全工作做出了战略性的顶层设计,战略任务的贯彻落实将对互联网安全行业带来重大影响。

本文重点解读战略任务中的第三条“保护关键信息基础设施”,“国家关键信息基础设施是指关系国家安全、国计民生,一旦数据泄露、遭到破坏或者丧失功能可能严重危害国家安全、公共利益的信息设施,包括但不限于提供公共通信、广播电视传输等服务的基础信息网络,能源、金融、交通、教育、科研、水利、工业制造、医疗卫生、社会保障、公用事业等领域和国家机关的重要信息系统,重要互联网应用系统等。采取一切必要措施保护关键信息基础设施及其重要数据不受攻击破坏。”本文提出了如何充分利用PKI(公钥基础设施)技术来保护我国的关键信息基础设施的安全。

一、全面部署SSL证书,确保我国关键信息基础设施系统安全

为保障政府公共服务系统的安全,2015-2016年英美政府先后发布了强制规定,要求政府网站在2016年底之前完成全站HTTPS加密的安全基础建设,截至到12月26日,68%的美国政府网站已经实现了全站HTTPS加密保护。

美国政府网站全站HTTPS加密

而我国政府网站的HTTPS加密应用现状仍然令人担忧。截至2016年7月,针对已解析到Gov.cn的68029个政府网站进行的统计分析显示,近90%的政府网站尚未部署SSL证书,4%的政府网站部署了非常不安全的自签名证书,5.6%的政府网站证书已过期或无效,仅1.7%的政府网站部署了有效的SSL证书。

根据英国互联网调查公司Netcraft 12月份统计报告显示,全球部署了SSL证书(HTTPS加密)的网站数量,美国排名第一位,占39.24%,而中国排名第22位,仅占0.7%,落后于许多小国家,如新加坡(排名第14 位,占1.14%)、罗马尼亚、意大利、印度尼西亚、巴西、乌克兰等等。

全球部署SSL证书网站数量

中国的网民数量和网络规模世界第一,网站数量排名全球第二,仅略少于美国,而用于网站数据保护的SSL证书的部署量却排名第22位,这意味着我国的各种重要的信息系统都没有采用PKI加密技术来保护机密信息安全。

基于PKI/CA体系的数字证书,已经非常成熟应用于全球所有信息系统安全防护中,通过服务器SSL证书来保障网络通信数据的机密性和完整性,通过客户端证书解决信息系统中身份真实性及行为抗抵赖性等身份鉴别问题。服务器SSL证书作为网络通信安全中的基础安全保护措施,已经在全球掀起了应用热潮,全球互联网正在从HTTP向HTTPS的大迁移。谷歌浏览器和火狐浏览器从明年起对不采用HTTPS加密的网站提示不安全,苹果要求从明年起所有APP通信都必须采用HTTPS加密。

为各种的信息系统部署SSL证书(HTTPS加密)是目前唯一有效的技术措施,我国必须加强国家关键信息基础设施、加强党政机关以及重点领域网站的安全防护,使HTTPS加密成为基础标准安全配置。急需国家从战略层面提出具体的基础安全建设要求和实施细节,尽快完善网络和信息系统的网络安全基础。

二、夯实网络安全基础,加强网络安全标准化和认证认可工作

《战略》要求,“建立完善国家网络安全技术支撑体系。加强网络安全基础理论和重大问题研究。加强网络安全标准化和认证认可工作,更多地利用标准规范网络空间行为。”

控制和争夺标准化制高点已经成为实施技术和产业政策的重要手段,发达国家通过对国际标准的主导和控制,牢牢掌握国际市场话语权。加强网络安全标准化和认证认可工作,是我国从网络大国走向网络强国的必经之路,一方面可以规范我国各行各业在网络空间中的行为,另一方面可以形成适应本国国情的网络安全标准,对进入中国市场的各国技术和产品起到良好的规范作用。

全面采用PKI(公钥基础设施)技术是保护我国的关键信息基础设施安全的必要技术手段,但是,目前支撑PKI/CA体系运行的加密算法、传输协议、安全审计标准等都需要遵循美国制定的标准体系,国际通用的加密算法都是由美国国家标准及技术研究所(NIST)设计发布,国际通行的密码算法体系均为美国机构提出,所有CA机构都必须遵守美国制定的WebTrust标准才能受浏览器的信任,浏览器也都是美国厂商所主导;国际标准组织CAB论坛成员中占主要话语权的浏览器和操作系统厂商,大部分都来自美国。这整套体系虽然被称为“国际标准”体系,但事实上美国标准,欧洲也有自己的标准,而我国并没有!我国急需建立适应我国网络安全需要的PKI/CA标准体系,掌握中国市场标准话语权。

沃通建议我国参照国际标准、美国标准和欧洲标准,从保护我国的网络空间安全出发,制定符合我国国情和PKI/CA标准体系,大力推广我国的加密算法,制定我国的安全审计标准,大力发展自主知识产权的国产浏览器开发,并采取必要的技术手段(如建设国家级的证书透明日志系统)来管理和规范全球CA在我国市场的有序发展,并加强对国外CA签发的服务器加密证书的监管,确保我国重要信息系统的机密信息安全。

三、结束语

中国的网民数量和网络规模世界第一,人们的生活和工作都已经依赖于网络系统,这些重要的信息系统的安全防护离不开PKI公钥基础设施的全面部署,如果我国的SSL证书的部署量能达到美国市场的水平,则意味着我国的SSL证书市场将扩大56倍,这对于我国的CA产业将是一个巨大的利好,我们必须抓住这个巨大机遇,迎接目前的严峻挑战,制定我国自己的网络安全标准体系,用我国自己的加密算法和自己的数字证书产品来保护我国的关键信息系统基础设施安全,提升我国在网络空间的防护能力,为我国的国民经济持续快速发展提供有力的技术保障。