張楊 張艷 彭華熹 陳磊 李邦靈 馬愛良

(中國(guó)移動(dòng)通信有限公司研究院安全技術(shù)研究所，北京 100032)

0 引言

隨著科技的快速發(fā)展，信息化、數(shù)字化、智能化已成為社會(huì)發(fā)展的重要方向，基礎(chǔ)電信企業(yè)承擔(dān)著保障基礎(chǔ)通信服務(wù)的使命，在其中扮演了重要角色。近年來，電信行業(yè)發(fā)展迅速，用戶數(shù)量穩(wěn)步持續(xù)增長(zhǎng)，基礎(chǔ)設(shè)施建設(shè)快速有序推進(jìn)，據(jù)工業(yè)和信息化部發(fā)布的信息[1]，2021年，全國(guó)電話用戶凈增4 755萬戶，總數(shù)達(dá)到18.24億戶，其中移動(dòng)電話用戶總數(shù)16.43億戶；新建光纜線路長(zhǎng)度319萬公里，全國(guó)光纜線路總長(zhǎng)度達(dá)5 488萬公里；全國(guó)移動(dòng)通信基站總數(shù)達(dá)996萬個(gè)，全年凈增65萬個(gè)。與此同時(shí)，網(wǎng)絡(luò)空間安全形勢(shì)日趨復(fù)雜和嚴(yán)峻，安全事件層出不窮，基礎(chǔ)電信企業(yè)面臨越來越嚴(yán)重的信息安全威脅。密碼技術(shù)是解決網(wǎng)絡(luò)和信息安全的有效技術(shù)手段，自1999年《商用密碼管理?xiàng)l例》頒布以來，商用密碼產(chǎn)業(yè)快速發(fā)展，應(yīng)用領(lǐng)域不斷擴(kuò)大，在保障網(wǎng)絡(luò)信息安全工作中發(fā)揮了重要作用。基礎(chǔ)電信企業(yè)也逐步開展商用密碼應(yīng)用建設(shè)，保護(hù)網(wǎng)絡(luò)和信息系統(tǒng)安全。

1 商用密碼應(yīng)用及密評(píng)的法律法規(guī)要求

為了促進(jìn)信息系統(tǒng)中商用密碼應(yīng)用的規(guī)范性、正確性和有效性，國(guó)家建立商用密碼應(yīng)用安全性評(píng)估(以下簡(jiǎn)稱“密評(píng)”)制度，并通過《中華人民共和國(guó)密碼法》(簡(jiǎn)稱《密碼法》)推動(dòng)其實(shí)施。密評(píng)最早于2007年提出，經(jīng)過十余年的積累，密評(píng)制度體系不斷成熟，于2017年基本完成密評(píng)體系建設(shè)并啟動(dòng)密評(píng)試點(diǎn)工作。自《密碼法》頒布以來，關(guān)于密評(píng)的相關(guān)法律逐步在各項(xiàng)法律法規(guī)和規(guī)范性文件中體現(xiàn)[2](見表1)。

總體而言，我國(guó)法律法規(guī)對(duì)于網(wǎng)絡(luò)和信息系統(tǒng)的密評(píng)有關(guān)要求，可以歸納為3個(gè)方面。

表1 法律法規(guī)對(duì)商用密碼應(yīng)用及密評(píng)的要求

(1)關(guān)鍵信息基礎(chǔ)設(shè)施、網(wǎng)絡(luò)安全等級(jí)保護(hù)第三級(jí)以上網(wǎng)絡(luò)、國(guó)家政務(wù)信息系統(tǒng)等網(wǎng)絡(luò)與信息系統(tǒng)，其運(yùn)營(yíng)者應(yīng)當(dāng)使用商用密碼進(jìn)行保護(hù)，制定商用密碼應(yīng)用方案，配備必要的資金和專業(yè)人員，同步規(guī)劃、同步建設(shè)、 同步運(yùn)行商用密碼保障系統(tǒng)。

(2)法律、行政法規(guī)和國(guó)家有關(guān)規(guī)定要求使用商用密碼進(jìn)行保護(hù)的關(guān)鍵信息基礎(chǔ)設(shè)施和網(wǎng)絡(luò)安全等級(jí)保護(hù)三級(jí)及以上系統(tǒng)應(yīng)開展密評(píng)，且每年應(yīng)至少評(píng)估一次。

(3)關(guān)鍵信息基礎(chǔ)設(shè)施和網(wǎng)絡(luò)安全等級(jí)保護(hù)三級(jí)及以上系統(tǒng)中的密碼應(yīng)用和管理，應(yīng)遵守相關(guān)法律法規(guī)和管理辦法的要求，并配合密碼管理等相關(guān)部門的安全檢查，不符合安全要求的單位和個(gè)人將受到處罰。

2 商用密碼技術(shù)在基礎(chǔ)電信企業(yè)信息系統(tǒng)中的應(yīng)用

在國(guó)家日益重視信息安全并大力推動(dòng)利用商用密碼技術(shù)增強(qiáng)網(wǎng)絡(luò)與系統(tǒng)信息安全能力的大背景下，基礎(chǔ)電信企業(yè)作為國(guó)內(nèi)通信技術(shù)設(shè)施的建設(shè)者和運(yùn)營(yíng)者，肩負(fù)著為國(guó)家做好通信服務(wù)保障的重任，有責(zé)任做好商用密碼應(yīng)用建設(shè)，保障網(wǎng)絡(luò)和通信安全。商用密碼技術(shù)和產(chǎn)品經(jīng)過近年的快速發(fā)展，已經(jīng)具備為基礎(chǔ)電信企業(yè)網(wǎng)絡(luò)和信息系統(tǒng)服務(wù)的能力和條件。目前，在部分基礎(chǔ)電信企業(yè)建設(shè)和運(yùn)維的網(wǎng)絡(luò)和系統(tǒng)中已經(jīng)開展了商用密碼應(yīng)用規(guī)劃與建設(shè)，旨在在提高信息安全能力方面發(fā)揮積極作用。

2.1 基礎(chǔ)網(wǎng)絡(luò)

2011年9月，在第53次3GPP系統(tǒng)架構(gòu)組會(huì)議上，以ZUC算法為核心的加密算法128-EEA3和完整性保護(hù)算法128EIA3已成為4G國(guó)際標(biāo)準(zhǔn)。目前，正在推動(dòng)256比特版本的ZUC算法進(jìn)入5G通信安全標(biāo)準(zhǔn)，這一版本的算法采用256比特密鑰與184比特初始向量，可產(chǎn)生32/64/128比特3種不同長(zhǎng)度的認(rèn)證標(biāo)簽?；A(chǔ)電信企業(yè)提供的移動(dòng)通信業(yè)務(wù)采用該算法后，在5G時(shí)代可以更好地保障移動(dòng)通信網(wǎng)絡(luò)和業(yè)務(wù)的保密性和完整性。

專網(wǎng)是指基礎(chǔ)電信企業(yè)基于授權(quán)頻譜，為專有行業(yè)客戶提供的服務(wù)范圍、網(wǎng)絡(luò)能力、隔離程度可定制的移動(dòng)通信服務(wù)。隨著用戶對(duì)移動(dòng)通信的需求從覆蓋、性能等服務(wù)質(zhì)量需求向差異化需求的不斷改變，在5G時(shí)代，專網(wǎng)已成為用戶的迫切需求，無論是邏輯專網(wǎng)還是物理專網(wǎng)，安全性都是專網(wǎng)的重要特性，利用商用密碼技術(shù)可以為用戶提供安全程度可定制的移動(dòng)通信服務(wù)，包括不同量級(jí)的數(shù)據(jù)通信加密和身份認(rèn)證強(qiáng)度等，以及利用不同算法、參數(shù)或協(xié)議在專網(wǎng)之間進(jìn)行密碼隔離，為專網(wǎng)的可定制特性增加了安全維度，可以更好地滿足不同用戶的差異化安全需求。

2.2 業(yè)務(wù)系統(tǒng)

當(dāng)前，信息技術(shù)正處于快速發(fā)展和不斷變革之中，云計(jì)算、物聯(lián)網(wǎng)、車聯(lián)網(wǎng)、大數(shù)據(jù)、互聯(lián)網(wǎng)金融、數(shù)字貨幣等新技術(shù)和新應(yīng)用層出不窮。基礎(chǔ)電信企業(yè)身處其中，除了語音通話、短信、分組數(shù)據(jù)和家庭寬帶等傳統(tǒng)業(yè)務(wù)外，也推出了包括云、大數(shù)據(jù)、直播、視頻會(huì)議、移動(dòng)支付等在內(nèi)的一系列新型業(yè)務(wù)，覆蓋教育、能源、交通、醫(yī)療、政務(wù)、金融等重要領(lǐng)域。

在這些業(yè)務(wù)系統(tǒng)中，一方面涉及用戶的隱私、財(cái)產(chǎn)、健康，甚至人身安全，另一方面關(guān)系到國(guó)家重要系統(tǒng)的平穩(wěn)運(yùn)行，對(duì)信息安全的需求強(qiáng)烈。在當(dāng)前網(wǎng)絡(luò)安全形勢(shì)不斷變化、日益嚴(yán)峻的背景下，商用密碼技術(shù)作為解決信息安全問題的有效手段，已經(jīng)逐漸應(yīng)用于上文所述業(yè)務(wù)系統(tǒng)，且在未來其應(yīng)用范圍的廣度和深度還將不斷提升。

2.3 運(yùn)維系統(tǒng)

網(wǎng)絡(luò)管理系統(tǒng)是基礎(chǔ)電信企業(yè)用來對(duì)網(wǎng)絡(luò)系統(tǒng)和業(yè)務(wù)系統(tǒng)的各類管理維護(hù)作業(yè)進(jìn)行統(tǒng)一管理的系統(tǒng)，4A管理系統(tǒng)是將賬號(hào)管理、認(rèn)證管理、授權(quán)管理和安全審計(jì)整合成集中、統(tǒng)一的安全服務(wù)系統(tǒng)，它們是基礎(chǔ)電信企業(yè)為了保障通信服務(wù)而建設(shè)的眾多內(nèi)部運(yùn)維系統(tǒng)中的一部分，雖然不直接面向用戶，有些甚至與互聯(lián)網(wǎng)隔離，但仍然面臨著信息泄露、信息篡改等外部安全風(fēng)險(xiǎn)，以及來自內(nèi)部操作人員的安全隱患。

利用商用密碼技術(shù)，可在身份認(rèn)證、訪問控制、安全審計(jì)、信息的安全傳輸和存儲(chǔ)等方面，起到有效作用。

3 基礎(chǔ)電信企業(yè)開展商用密碼應(yīng)用及密評(píng)的必要性分析

根據(jù)工業(yè)和信息化部2021年的統(tǒng)計(jì)數(shù)據(jù)，全國(guó)電話用戶總數(shù)達(dá)到18.24億戶，基礎(chǔ)設(shè)施規(guī)模巨大，信息系統(tǒng)數(shù)量眾多，是保障國(guó)家基礎(chǔ)通信能力的基石，安全保障能力至關(guān)重要，有必要對(duì)重要系統(tǒng)和關(guān)鍵信息基礎(chǔ)設(shè)施進(jìn)行密評(píng)。

3.1 國(guó)家法律法規(guī)的明文要求

國(guó)家對(duì)信息系統(tǒng)的密評(píng)工作有法律法規(guī)層面的明文要求，其中《密碼法》第二十七條規(guī)定：“法律、行政法規(guī)和國(guó)家有關(guān)規(guī)定要求使用商用密碼進(jìn)行保護(hù)的關(guān)鍵信息基礎(chǔ)設(shè)施，其運(yùn)營(yíng)者應(yīng)當(dāng)使用商用密碼進(jìn)行保護(hù)，自行或者委托商用密碼檢測(cè)機(jī)構(gòu)開展商用密碼應(yīng)用安全性評(píng)估”[3]，基礎(chǔ)電信企業(yè)作為通信領(lǐng)域基礎(chǔ)設(shè)施和信息系統(tǒng)的建設(shè)者、使用者、管理者和運(yùn)營(yíng)者，必須遵守國(guó)家法律法規(guī)，對(duì)使用商用密碼進(jìn)行保護(hù)的關(guān)鍵信息基礎(chǔ)設(shè)施和信息系統(tǒng)進(jìn)行密評(píng)。

3.2 檢驗(yàn)密碼應(yīng)用效果的必要手段

為了提升信息系統(tǒng)的安全能力，基礎(chǔ)電信企業(yè)已逐步規(guī)劃并開展在現(xiàn)網(wǎng)通信基礎(chǔ)設(shè)施和業(yè)務(wù)信息系統(tǒng)的商用密碼應(yīng)用建設(shè)，但當(dāng)前實(shí)際的商用密碼應(yīng)用情況并不容樂觀，存在商用密碼應(yīng)用不規(guī)范、不正確、不安全等問題，因此有必要采用測(cè)評(píng)的方式來確保密碼應(yīng)用確實(shí)起到應(yīng)有的效果。

4 開展后續(xù)相關(guān)工作的建議

4.1 完善商用密碼應(yīng)用技術(shù)標(biāo)準(zhǔn)體系

一方面，目前我國(guó)已形成較為完善的商用密碼標(biāo)準(zhǔn)體系。截至2021年10月，我國(guó)已發(fā)布行業(yè)標(biāo)準(zhǔn)130項(xiàng)、國(guó)家標(biāo)準(zhǔn)30余項(xiàng)，范圍覆蓋密碼算法、協(xié)議、產(chǎn)品、檢測(cè)、應(yīng)用、管理等各方面[4]。

另一方面，商用密碼在各行業(yè)應(yīng)用的相關(guān)標(biāo)準(zhǔn)還不盡完善，跨行業(yè)制定密碼應(yīng)用標(biāo)準(zhǔn)難度較大，適用于具體行業(yè)的密碼應(yīng)用標(biāo)準(zhǔn)缺失，較難對(duì)商用密碼應(yīng)用的切實(shí)落地起到指導(dǎo)作用。

具體到通信領(lǐng)域，缺乏明確的電信領(lǐng)域網(wǎng)絡(luò)和基礎(chǔ)設(shè)施商用密碼應(yīng)用標(biāo)準(zhǔn)規(guī)范來指導(dǎo)，導(dǎo)致在商用密碼應(yīng)用方面形成不敢用和無從下手的局面。

基礎(chǔ)電信企業(yè)應(yīng)通過密標(biāo)委、CCSA、工業(yè)和信息化部密碼應(yīng)用推進(jìn)標(biāo)準(zhǔn)工作組等標(biāo)準(zhǔn)化組織積極參與通信領(lǐng)域商用密碼應(yīng)用行業(yè)標(biāo)準(zhǔn)的制定工作，通過聚焦通信行業(yè)，更好地適應(yīng)各行業(yè)差異化的安全需求，明確行業(yè)內(nèi)密碼應(yīng)用的安全需求，完善密碼應(yīng)用標(biāo)準(zhǔn)化工作，有效指導(dǎo)通信行業(yè)開展商用密碼應(yīng)用工作，充分發(fā)揮標(biāo)準(zhǔn)化的基礎(chǔ)性和引領(lǐng)性作用。

4.2 推進(jìn)商用密碼應(yīng)用人才隊(duì)伍建設(shè)

作為信息安全領(lǐng)域的一個(gè)重要分支，密碼專業(yè)具有較強(qiáng)的專業(yè)性。在密碼人才方面，密碼人才匱乏已成為制約密碼合規(guī)、正確、有效應(yīng)用的瓶頸。

基礎(chǔ)電信企業(yè)雖然較少甚至不涉及密碼算法、密碼協(xié)議等密碼基礎(chǔ)技術(shù)研究工作，但隨著商用密碼應(yīng)用深度和廣度的不斷增加，實(shí)際通信基礎(chǔ)設(shè)施和業(yè)務(wù)系統(tǒng)平臺(tái)的建設(shè)和運(yùn)維工作與密碼應(yīng)用緊密耦合，牽涉密碼背景知識(shí)較多，對(duì)密碼相關(guān)從業(yè)人員的能力水平要求較高。然而基礎(chǔ)電信企業(yè)內(nèi)部具有商用密碼相關(guān)背景的員工非常少，對(duì)相關(guān)人才的引進(jìn)和培養(yǎng)也不夠重視。

為解決密碼人才的巨大缺口，基礎(chǔ)電信企業(yè)需盡快完善密碼人才培養(yǎng)的設(shè)計(jì)和規(guī)劃，確立以實(shí)現(xiàn)國(guó)家安全戰(zhàn)略為密碼人才培養(yǎng)目標(biāo)，建立政治素養(yǎng)過硬、專業(yè)基礎(chǔ)扎實(shí)、實(shí)踐能力強(qiáng)的密碼人才隊(duì)伍。

4.3 打造商用密碼應(yīng)用統(tǒng)一服務(wù)平臺(tái)

近年來，基礎(chǔ)電信企業(yè)的部分基礎(chǔ)網(wǎng)絡(luò)和業(yè)務(wù)系統(tǒng)已逐步開展商用密碼應(yīng)用建設(shè)，但在建設(shè)過程中，密碼應(yīng)用體系的建設(shè)往往以信息系統(tǒng)為單位，由各個(gè)業(yè)務(wù)部門主導(dǎo)進(jìn)行建設(shè)，進(jìn)而導(dǎo)致密碼應(yīng)用體系極其繁雜，密碼產(chǎn)品數(shù)量、種類繁多，不可避免地產(chǎn)生密碼基礎(chǔ)設(shè)施重復(fù)建設(shè)問題，使企業(yè)自身難以對(duì)密碼應(yīng)用體系的合規(guī)性和安全性進(jìn)行評(píng)估，極易造成網(wǎng)絡(luò)安全漏洞和隱患，以及對(duì)接沖突和投資浪費(fèi)等問題。

因此，建議以密碼服務(wù)為資源，建立統(tǒng)一的密碼應(yīng)用服務(wù)平臺(tái)，提供統(tǒng)一的密碼設(shè)備和密鑰、密碼服務(wù)，簡(jiǎn)化密碼應(yīng)用流程，降低密碼應(yīng)用門檻，提供正確、合規(guī)和有效的國(guó)產(chǎn)密碼服務(wù)，降低信息系統(tǒng)應(yīng)用密碼的復(fù)雜度。

同時(shí)，建議形成應(yīng)用接入密碼服務(wù)平臺(tái)標(biāo)準(zhǔn)規(guī)范、接口和制度，指導(dǎo)各信息系統(tǒng)快速實(shí)現(xiàn)密碼服務(wù)的集成。

此外，建議在管理角度實(shí)現(xiàn)統(tǒng)一密碼資源管理、統(tǒng)一密鑰管理、統(tǒng)一業(yè)務(wù)監(jiān)控分析考核等監(jiān)管功能，實(shí)現(xiàn)行業(yè)級(jí)、集團(tuán)級(jí)、企業(yè)級(jí)的密碼應(yīng)用統(tǒng)一管控和細(xì)粒度管控。

4.4 構(gòu)建商用密碼應(yīng)用安全測(cè)評(píng)能力

目前，國(guó)家密碼管理局已授權(quán)全國(guó)48家單位開展密評(píng)試點(diǎn)工作，然而名單中缺乏基礎(chǔ)電信企業(yè)，具有電信行業(yè)背景的相關(guān)單位和機(jī)構(gòu)也較少。

在密評(píng)工作中，給出明確的風(fēng)險(xiǎn)分析和合理的整改意見是一個(gè)重要環(huán)節(jié)，密評(píng)的最終目的也是幫助被測(cè)信息系統(tǒng)完善商用密碼應(yīng)用安全性。顯然具備電信行業(yè)背景知識(shí)，了解基礎(chǔ)電信企業(yè)業(yè)務(wù)和運(yùn)作流程特點(diǎn)的測(cè)評(píng)人員能夠更快、更有效地發(fā)現(xiàn)商用密碼在電信行業(yè)信息系統(tǒng)應(yīng)用中存在的問題，能夠給出更合理的整改建議，通過以評(píng)促建、以評(píng)促改、以評(píng)促用，一方面提升信息系統(tǒng)商用密碼應(yīng)用安全能力，另一方面推動(dòng)電信行業(yè)商用密碼應(yīng)用的深度和廣度。

4.5 研究新技術(shù)新業(yè)務(wù)中的密碼應(yīng)用技術(shù)

信息技術(shù)發(fā)展日新月異，云計(jì)算、大數(shù)據(jù)、區(qū)塊鏈、人工智能等新技術(shù)和新應(yīng)用層出不窮，基礎(chǔ)電信企業(yè)也順應(yīng)趨勢(shì)和需求開展新業(yè)務(wù)的研發(fā)和建設(shè)，產(chǎn)生了新的信息安全需求，抗量子攻擊密碼、抗密鑰攻擊密碼、同態(tài)密碼等密碼新技術(shù)不斷產(chǎn)生，給傳統(tǒng)密碼技術(shù)帶來了新的機(jī)遇和挑戰(zhàn)，導(dǎo)致部分傳統(tǒng)密碼技術(shù)應(yīng)用方式面臨安全風(fēng)險(xiǎn)[5]。

因此，基礎(chǔ)電信企業(yè)應(yīng)深入開展密碼新技術(shù)研究，大膽創(chuàng)新密碼技術(shù)在新業(yè)務(wù)中的應(yīng)用方法，適應(yīng)新時(shí)代信息安全需求，利用密碼技術(shù)提升基礎(chǔ)電信企業(yè)新系統(tǒng)新業(yè)務(wù)的信息安全能力。

5 結(jié)束語

本文從國(guó)家法律法規(guī)要求和信息系統(tǒng)安全需求兩方面論述了基礎(chǔ)電信企業(yè)開展密評(píng)工作的必要性，然后從標(biāo)準(zhǔn)制定、人才培養(yǎng)、平臺(tái)研發(fā)、能力建設(shè)和技術(shù)研究等方面給出了后續(xù)開展密碼應(yīng)用及密評(píng)工作的建議，希望能對(duì)基礎(chǔ)電信企業(yè)開展信息安全工作提供有益的參考。