我國《密碼法》于今年1月1日正式實施,這無疑是構建國家安全法律制度體系、維護國家網絡空間主權安全、推動密碼事業(yè)高質量發(fā)展的重要舉措。密碼作為國家重要戰(zhàn)略資源,廣泛應用于關鍵信息基礎設施、國民經濟和社會發(fā)展各領域,是國家政治安全、經濟安全、國防安全和信息安全的“命脈”。其中,數(shù)字證書作為用戶訪問安全的“基石”至關重要,各大操作系統(tǒng)和瀏覽器都需要完善的根證書庫來解決“信任誰,誰來信”的問題。
作為與數(shù)字時代安全熱點同頻共振的萬人云峰會,ISC 2020敏銳地捕捉到這一熱點,于8月14日舉辦以“共建•共享•共筑 數(shù)字安全之根基”為主題的國密根證書庫計劃發(fā)布會,本次發(fā)布會由大數(shù)據(jù)協(xié)同安全技術國家工程實驗室為指導單位,11家信創(chuàng)產業(yè)鏈廠商企業(yè)共同參與。360集團董事長兼CEO周鴻祎、國家工業(yè)信息安全發(fā)展研究中心副主任董大健、龍芯中科技術有限公司董事長胡偉武進行了發(fā)布會致辭,統(tǒng)信軟件CTO張磊、360集團政企瀏覽器事業(yè)部總經理霍海濤、天威誠信首席安全官李延昭、數(shù)字認證首席科學家夏魯寧、中國金融認證中心副總經理張行、飛天誠信科技股份有限公司 副總經理謝梁、沃通電子認證服務有限公司CEO濮燦、上海煉石網絡CEO白小勇、龍芯中科信創(chuàng)總監(jiān)靳國杰、上海CA副總經理徐祺、格爾軟件副總經理范峰等生態(tài)伙伴代表就推動基于商用密碼的安全體系建設,有力保障信創(chuàng)產業(yè)和安全進行了議題分享和巔峰對話。
數(shù)字證書成網絡空間信任體系“基石”
信創(chuàng)國密證書生態(tài)建設迫在眉睫
在發(fā)布會致辭環(huán)節(jié),360集團董事長兼CEO周鴻祎表示“數(shù)字證書是網絡空間信任體系的基石。網站、設備、文件若沒有數(shù)字證書,那么設備就不可信,數(shù)據(jù)將可能被竊取。”同時周鴻祎還強調,我國數(shù)十億設備或個人都在使用國外數(shù)字證書,如果對方采取“拒絕頒發(fā)證書”、“吊銷已授權的證書”、“對網絡攻擊軟件頒發(fā)證書”、“非法解密數(shù)據(jù)”等措施,我國數(shù)字證書認證將面臨被“卡脖子”的困境,更甚者如果一旦受到網絡攻擊將威脅國家安全。
360從2018年起依托瀏覽器推行“根證書計劃”,已取得一定成果。周鴻祎表示未來將把自身積累的技術和經驗貢獻出來,聯(lián)合統(tǒng)信、龍芯等生態(tài)上下游廠商,發(fā)展壯大國密數(shù)字證書體系,提高國產數(shù)字證書的國際廠商支持和全球覆蓋率。承擔起為我國爭取數(shù)字證書話語權,守護國家安全的歷史重任。
360集團董事長兼CEO周鴻祎
值得一提的是,隨著《密碼法》正式實施,我國密碼產業(yè)進入了一個新的發(fā)展階段。國家工業(yè)信息安全發(fā)展研究中心副主任董大健在致辭中表示,在信息安全保障工作中,數(shù)字證書作為密碼領域實施安全認證的重要技術手段,對網絡防泄密、抗侵入、識真?zhèn)巍⒈0踩兄豢商娲闹匾饔谩T贑PU、操作系統(tǒng)、瀏覽器等關鍵基礎軟硬件引入國密根證書意義重大,是建立我國信息技術產業(yè)體系安全保障的核心基礎。本次SM2國密根證書庫的發(fā)布,也是一次推動我國密碼技術和產業(yè)發(fā)展的積極嘗試,對探索建立數(shù)字證書生態(tài)有著積極的作用和意義。
國家工業(yè)信息安全發(fā)展研究中心副主任董大健
龍芯中科技術有限公司董事長胡偉武在致辭中表示,龍芯作為我國信創(chuàng)的領軍企業(yè),一直秉持“自主的不一定安全,但不自主一定不安全”的理念,未來將與監(jiān)管機構和行業(yè)伙伴一道,持續(xù)推進國密在信創(chuàng)領域的落地實踐,深入貫徹落實我國《密碼法》,共同保障國家信息安全。
龍芯中科技術有限公司董事長胡偉武
從“缺芯少魂”到“芯煩魂亂”
操作系統(tǒng)成信創(chuàng)國產根證書的安全基石
發(fā)布會上,統(tǒng)信軟件CTO張磊結合“統(tǒng)信操作系統(tǒng) 共建安全基石”的議題,就信創(chuàng)領域安全建設現(xiàn)狀進行了分析,并對國密數(shù)字證書實施方法及未來發(fā)展趨勢進行了分析和解讀。張磊談到,統(tǒng)信UOS操作系統(tǒng)作為計算機系統(tǒng)的基礎和核心,通過統(tǒng)一技術路線和同源異構技術,可建立起統(tǒng)一的接口標準、生態(tài)體系、技術體系,實現(xiàn)對下協(xié)調硬件資源,對上調度應用軟件,最終做到穩(wěn)定、兼容、易用、安全的產品優(yōu)勢,打破了以前 “缺芯少魂”、“芯煩魂亂”的窘境。
“國密數(shù)字證書作為完整性與可溯源性的最佳實踐,可應用在固件證書、軟件簽名、瀏覽器HTTPS、SSH證書等范圍。而操作系統(tǒng)對于信創(chuàng)國密根證書庫的意義更是‘不可小覷’ ” ,張磊強調道。未來,也將聯(lián)合處理器、固件、軟件、CA等生態(tài)上下游廠商,發(fā)展壯大信創(chuàng)國密根證書庫,提高國產數(shù)字證書的覆蓋率。
統(tǒng)信軟件CTO張磊
360安全大腦賦能國密根證書庫
助力國密應用“安全最后一公里”
作為信創(chuàng)領域的知名專家,360集團政企瀏覽器事業(yè)部總經理霍海濤分享了數(shù)字時代根證書管理面臨的新問題和挑戰(zhàn),并分享了360根證書計劃的最新進展。霍海濤談到,隨著HTTPS的進程,違規(guī)證書頒發(fā),誤操作導致無法訪問,竊取數(shù)據(jù),證書失效,信息破解等數(shù)字證書安全事故頻發(fā),對CA公司的日常運營,證書簽發(fā)、審核、以及出現(xiàn)安全事故后快速恢復都提出了挑戰(zhàn),這無一不在提醒著我們要加強和重視國密根證書體系的建設。
霍海濤認為,隨著HTTPS和國密“二合一”,構建國密根證書庫有效加速商用密碼推廣和生態(tài)建設,實現(xiàn)了“并道趕超”。360 根證書計劃自2018年啟動至今,已有17家CA的61個根證書申請并加入。而此次信創(chuàng)SM2根證書計劃得到了國家有關部門的支持和指導,和統(tǒng)信軟件一同推進,實現(xiàn)一次審核,同時入庫的效果,得到了國內多個豐富經驗的CA廠商、國密網關廠商、國密Ukey廠商的支持和協(xié)作。
值得注意的是,鑒于信創(chuàng)和國密的特殊性,漏洞存在著被大量使用的風險,安全挑戰(zhàn)可能成為根證書庫計劃的“絆腳石”,因此安全問題需要前置”,霍海濤強調道。未來,360將利用360安全大腦的漏洞云,針對數(shù)字證書可能存在的漏洞進行發(fā)現(xiàn),分析溯源、情報管理和協(xié)同管控,有針對性地對使用的數(shù)字證書、驗證數(shù)字證書的軟件(包括操作系統(tǒng)、瀏覽器等)開展相關工作,共同推進數(shù)字證書的大安全。
360集團政企瀏覽器事業(yè)部總經理霍海濤
探索虛擬世界的信任“底線”
共建信創(chuàng)國密根證書生態(tài)
此次發(fā)布會旨在積極響應信創(chuàng)和密碼法的國家政策號召,凝聚優(yōu)勢企業(yè),呼吁共同建設“權威、先進、免費、全覆蓋”的國產數(shù)字證書生態(tài)系統(tǒng),推進國家“新基建”網絡安全體系建設,當然離不開瀏覽器、操作系統(tǒng)、CPU、CA等企業(yè)的協(xié)作推動。
來自天威誠信的首席安全官李延昭認為,當下我國服務器證書信任體系暫處于空白狀態(tài),且服務器證書市場被國外廠商占據(jù)。服務器證書應用作為密碼應用生態(tài)體系建設的重要因素,構建SM2服務器證書信任體系刻不容緩,應從體系建設、創(chuàng)新管理模式、突破關鍵技術、重點應用示范四個方面進行建設。
天威誠信首席安全官李延昭
作為數(shù)字認證領域的知名專家,北京數(shù)字認證股份有限公司首席科學家夏魯寧表示服務器作為承載互聯(lián)網信息服務的網絡載體,其身份真實性和數(shù)據(jù)傳輸安全性是網絡信任體系的核心問題。密碼是建立網絡空間信任的核心技術和基礎支撐,而數(shù)字證書作為密碼技術的網絡實體“身份證”,將迎來新的信任服務產業(yè)藍海。
北京數(shù)字認證股份有限公司首席科學家 夏魯寧
主題演講環(huán)節(jié)的最后,中國金融認證中心副總經理張行從CFCA發(fā)展歷程、電子認證服務運營數(shù)據(jù)、典型客戶、信息安全產品及業(yè)務范圍進行了介紹。表示CFCA在2019年已經完成了360入根,未來將繼續(xù)與產業(yè)鏈各方合作,共建健康、開放的網絡安全生態(tài)圈,以實現(xiàn)服務行業(yè)、服務客戶。飛天誠信副總經理謝梁從飛天國產化道路、多種類身份認證解決方案、未來業(yè)務發(fā)展規(guī)劃等方面進行了介紹,表示將繼續(xù)堅持自主創(chuàng)新的發(fā)展戰(zhàn)略,致力于成為嵌入式操作系統(tǒng)及數(shù)字安全系統(tǒng)整體解決方案的提供商和服務商。沃通電子認證服務有限公司CEO濮燦就數(shù)字證書背景、沃通國密證書全生態(tài)應用探索與實踐及國密證書全生態(tài)建設發(fā)展計劃進行了分享。
中國金融認證中心副總經理 張行
飛天誠信副總經理 謝梁
沃通電子認證服務有限公司CEO濮燦
CPU、操作系統(tǒng)、瀏覽器作為信創(chuàng)核心組件,上下游企業(yè)在軟硬件產品自主可控的基礎上,通過對國密的合作研究開發(fā),共同實現(xiàn)了成果轉化和推廣應用。隨后,眾嘉賓一同上臺參加SM2國密根證書計劃發(fā)布儀式,見證國密在信創(chuàng)領域的落地實踐,共同保障國家信息安全。
在最后的圓桌討論環(huán)節(jié)中,360集團首席安全官杜躍進擔任主持,煉石網絡CEO白小勇、龍芯中科信創(chuàng)總監(jiān)靳國杰、上海市數(shù)字證書認證中心副總經理徐祺、飛天誠信副總經理謝梁、格爾軟件副總經理范峰就各自在數(shù)字證書、國密應用、國產SM2服務器證書中遇到的痛點及實踐發(fā)表了真知灼見。
國產商用密碼廣泛應用于國民經濟發(fā)展和社會生產,涵蓋電子政務、金融、通信、能源等重要領域,與信創(chuàng)行業(yè)共同承擔著維護國家和關鍵產業(yè)安全,實現(xiàn)自主可控的歷史責任。而此次發(fā)布會正是積極響應信創(chuàng)和密碼法的國家政策號召,凝聚優(yōu)勢企業(yè),呼吁共同建設“權威、先進、免費、全覆蓋”的國產數(shù)字證書生態(tài)系統(tǒng),推進國家“新基建”網絡安全體系建設。
未來,希望聯(lián)合信創(chuàng)生態(tài)上下游廠商,發(fā)展壯大國密數(shù)字證書體系,為加快商用密碼推廣和生態(tài)建設提速,夯實數(shù)字證書安全之根基!
除了此次發(fā)布會外,本屆ISC互聯(lián)網安全大會還特別打造多個重磅主題日,百余個安全峰會論壇,海量精華議題,以及眾多特色環(huán)節(jié),在安全圈層掀起了一波強勁熱潮。永不閉幕的ISC將持續(xù)關注信創(chuàng)和商用密碼熱點,持續(xù)賦能行業(yè),帶動全產業(yè)共同進步。
