如何更好的保護我國的網絡安全（網絡安全需主動出擊）

2023-04-30 03:04:33

導讀

近年來，移動應用的數量呈現爆炸式增長，移動應用滲透到的場景愈加廣泛，安全問題也隨之凸顯，呈現出多元化、複雜化、頻發高發趨勢。伴隨著數位化轉型的持續加速，更加直觀地暴露出網絡安全防護技術的滯後，數字風險逐步累積逼近危險的閾值，成為制約數位化發展的瓶頸。網絡安全攻易守難，如何避免不斷亡羊補牢、響應處置滯後已成為業界關注的重點，如何真正實現移動安全風險的被動響應到主動防護已成為發展的必然要求。對此，信息化觀察網記者獨家採訪了中國金融認證中心（CFCA）戰略發展部助理總經理李達，希望他從信息安全從業者角度，分析研判當前網絡安全防範的嚴峻形勢，為網絡安全防護提供可資借鑑之策。

嘉賓介紹：李達，現任中國金融認證中心（CFCA）戰略發展部助理總經理。在信息安全領域擁有20年的工作經驗，2001年獲得俄羅斯聖彼得堡電子工業大學計算機網絡方向的學士學位，擁有11年信息安全類產品開發經驗、9年信息安全解決方案及產品管理經驗。李達專注電子認證業務、信息安全領域研究、策劃與產品孵化，擁有多項成果和專利，中國銀監會2016年信息安全課題3類獎獲得者，中國人民銀行科技進步獎獲得者。《一種連接音頻接口的USB轉接裝置》、《一種通過音頻接口轉接USB協議設備實現PKI應用的系統及方法》以及《一種連接音頻接口的USB轉接裝置》等專利第一發明人。在全國性期刊上多次發表署名學術文章，系移動安全整體解決方案產品、客戶端APP安全加固與渠道監控方案產品、音頻雙接口及藍牙雙接口Key產品、無紙化應用產品系列、電子證據保全產品、綜合司法服務產品的孵化和推廣人。

Q&A

信息化觀察網：智能終端設備的普及、移動電子商務的崛起、行動支付的全民化，為移動網際網路帶來重大機遇，但在該領域內的安全問題卻不容忽視。貴司認為該如何打造更安全、更可靠的移動應用？

李達：2012年，移動網際網路爆發以來，智慧型手機愈發普及，廣大手機用戶總的來說經歷了幾個階段：最初，智慧型手機剛剛進入市場，用戶對智慧型手機都很新鮮，大部分用戶持觀望態度。在這個階段，智慧型手機市場覆蓋率與應用數量較少，相關金融業務場景較少，安全的需求還未凸顯。2013、14年左右，當人們普遍接受智慧型手機後，「刷機」、「越獄」興起，用戶大量使用未經授權的系統與應用，引發了大量安全問題。近幾年來，隨著用戶們對智慧型手機應用安全的逐漸重視，移動應用安全技術發展、移動應用環境安全得到了很大提升。我認為移動網際網路作為業務發展的必然趨勢，在為各行各業帶來新機遇的同時，也帶來了新的安全挑戰。

總體來說，移動安全包括網絡安全、應用安全、數據安全、業務安全與終端安全。網絡安全即數據在行動網路中的傳輸安全。應用安全即應用軟體自身存在漏洞、後門等會被、易被利用或攻擊的安全問題。數據安全即數據的落地存儲與應用安全。業務安全即在業務流程中，及時發現異常及非法操作，保障業務可持續發展的能力。終端安全指移動終端的系統安全。

在移動安全領域，中國金融認證中心（CFCA）有著豐富的行業經驗，在網絡安全層面，CFCA移動端數字證書應用方案可以通過國產加密算法的數字籤名技術，使用密鑰與摘要算法保證移動數據通信的真實性與有效性。在應用安全層面，CFCA能夠通過代碼審查、漏洞掃描、滲透測試、安全加固等手段，避免移動客戶端應用程式被破解、篡改和竊取、核心數據洩漏等安全風險。在數據安全層面，CFCA可以幫助用戶對敏感數據進行加密處理，協助建設數據安全管理體系與應用數據安全審計系統，完善數據安全管理制度和運行機制，實現對靜態數據和動態數據的風險監控。在業務安全層面，CFCA的實名身份認證系統、反欺詐系統能夠對用戶真實身份進行有效驗證，並對風險交易發出預警。在終端安全層面，CFCA提供移動終端進行安全檢測與漏洞掃描服務，並通過TEE/SE可信執行環境對數字證書、指紋等重要安全信息進行管理。CFCA通過自身安全實踐經驗，整合移動安全證書應用、身份認證、監測評估等產品及服務，幫助客戶有效構建安全的移動應用環境。

當然，從技術不斷發展的角度來說，不存在絕對的安全。因此我們要未雨綢繆，警鐘長鳴，時刻關注最前沿安全技術與應用的發展趨勢，才能在飛速發展的信息技術時代為廣大用戶提供最安全的服務。

信息化觀察網：針對當前複雜多變的網絡和應用安全，貴司有什麼應對策略？

李達：我們需要看到，我們面對的是整個網絡空間安全挑戰，網絡空間安全指網絡空間中的信息在產生、傳輸、存儲、處理等環節中所面臨的威脅和防禦措施，以及網絡和系統本身的威脅和防護機制，不僅包括傳統信息安全所研究的信息的保密性、完整性和可用性，還包括構成網絡空間基礎設施的基礎設施的安全和可信。保護網絡空間安全，涉及到身份認證、電子合同、數字籤名、司法實踐等一系列關鍵環節，這是一個極其複雜的社會工程學問題，要想徹底解決網絡空間安全問題，必須從幾個方面來考慮：

1.網絡和應用安全風險是全球共同面臨的挑戰，應對全球化的網絡空間安全問題，必須要實現全球針對網絡安全控制項的認知同步、行業同步。CFCA設立了金融行業信息安全檢測與研究機構中國金融認證中心（CFCA）信息安全實驗室，面向人民銀行、銀監會、工信部、國家密碼管理局等主管部門提供行業信息安全標準制修訂技術支撐、行業新技術與隨之適應的信息安全保障策略預研、行業信息安全防護措施有效性檢測驗證與持續性跟蹤。同時，CFCA積極與國際接軌，投身於國際安全認證體系構建。CFCA是中國最早一批完成Webtrust國際標準審計並獲得蘋果、微軟、谷歌、火狐等主流作業系統全入根的電子認證機構；為加強全球數字身份認證體系的建設，CFCA申請加入全球法人識別編碼基金會CA群組，成為中國內地唯一獲得全球法人識別編碼（LEI）驗證代理資格的CA機構。近年來，CFCA積極參與CAB論壇、亞太PKI論壇、FIDO聯盟、GLEIF Global CA Stakeholder Group等國際組織，為打造全球化數字安全生態貢獻了自己的力量。

2.電子認證始終是網絡空間安全的核心之一，CFCA二十餘年來深耕金融業信息安全領域，在基於數字證書的電子認證領域具有豐富的理論與實踐經驗。CFCA積極拓展信息安全和業務安全，基於相關法律法規及最新標準，向前拓展身份認證等數據服務，向後拓展證據保全、在線訴訟等法律服務，形成事前身份認證、事中電子籤名、籤章和證據保全、事後司法訴服，結合監管科技，為線上業務辦理提供滿足司法實踐要求的安全解決方案。

3.密碼技術與應用的飛速發展，也為網絡空間安全不斷帶來新的挑戰。面對各行業對網絡空間安全不斷發展的新需求，CFCA積極拓展密碼技術儲備，以電子認證服務為基石，構建完整的密碼應用體系，同時，通過對外合作和自研等方式，加強5G、物聯網、區塊鏈等新技術中密碼技術的應用，面對未來網絡空間安全風險，給出完備有效且符合我國法律要求的綜合密碼應用方案。

4.其他信息安全問題也不容忽視。CFCA持續關注行業與技術前沿發展，依託CFCA信息安全實驗室的技術支撐力量，關注網絡空間安全的每一個角落，並面向各行業提供優質的信息安全綜合服務。

總的來看，當前網絡和應用安全複雜程度已超出想像，我們要時刻保持對全球範圍內技術與應用發展的敏感性，並結合自身實踐經驗，構建適合行業發展特點的網絡空間安全防護體系，爭取在各領域中，實現國內引領國際，只有這樣才能做到從容面對、妥善處理。

信息化觀察網：提到行動支付就不得不提密碼，尤其是在信息技術飛速發展的當下，密碼的重要性與日俱增，構建高安全性的密碼系統越來越受到各行各業的重視，貴司認為密碼安全防護該怎麼做？

李達：密碼技術在保護信息安全中起著不可替代的作用。密碼技術能夠為用戶解決身份認證、數據傳輸的機密性、交易信息的完整性、業務的法律效力等方面的問題。正是這些非常基礎但又很重要的功能，保護著我們的信息安全。

做好密碼安全防護，首先要嚴格遵守國家相關法律法規的要求。近些年，為保障密碼安全，推進網絡安全法制建設，《網絡安全法》、《中華人民共和國密碼法》等多部法律已頒布；《個人信息保護法》、《數據安全法》等受到越來越多的關注。《網絡安全法》中明確規定國家實行網絡安全等級保護制度，落實網絡安全責任，依據相關規定開展等級保護工作，通過等級測評來檢驗網絡系統的安全防護能力，識別系統中可能存在的安全風險；《密碼法》規定使用商用密碼進行保護的關鍵基礎設置，其運營者應履行開展商用密碼應用安全評估的工作。

其次，採用成熟的解決方案。密碼技術已有數十年的歷史，發展到今天，已經有很多針對具體場景非常有效的解決方案。密碼安全對技術和經驗要求比較高，自己做的東西存在安全漏洞的可能性很大，因此建議採用行業內成熟的方案或技術。當然技術上如果有足夠的能力，也應注意新技術的引入。最近數據隱私問題受到關注越來越多。數據是一種新資源，如何實現數據可用不可見，對於發揮數據作用至關重要。密碼安全防護可以考慮綜合使用多方安全計算、聯邦學習、區塊鏈等新型技術，解決數據隱私保護中存在的問題。

最後，除了制度、技術隱私外，還應該把人的因素考慮進去。對密碼安全參與人員進行密碼安全培訓，提高人員對於密碼安全的認識，從小事、從細節做起，實際上也是非常有效地保障密碼安全的重要手段。

信息化觀察網：貴司在密碼工程領域深耕多年，在密碼安全領域有哪些實踐？

李達：密碼工程領域可以大致分為密碼算法、密碼應用和密碼服務三方面，CFCA主要致力於密碼應用和密碼服務領域的工作。CFCA主要產品的數字證書認證、PKI體系就是以非對稱密碼技術應用為基礎，因此CFCA與密碼應用是密不可分的。CFCA在二十餘年的實踐過程中，積累了豐富的密碼應用與服務經驗，在可信數字身份認證、網絡安全傳輸加固、信息數據安全防護等方面，都有著完善的產品與服務方案。可以舉幾個簡單的例子，第一個例子是CFCA的密碼控制項產品，能夠有效保證用戶在網銀、桌面客戶端以及移動客戶端程序中，輸入密碼等敏感信息的安全性，防止運行在客戶系統上的病毒、木馬等惡意程序入侵竊取用戶輸入的敏感信息。保證從用戶輸入、本地緩存、到伺服器接收的整個流程中，輸入的敏感信息不被竊取。第二個例子是CFCA的籤名驗籤伺服器產品，它是一款基於PKI安全體系並全面支持國際、國密算法的網絡安全認證產品，能夠對網上證券、網上保險、網上銀行及電子商務和電子政務活動中的關鍵敏感數據進行籤名驗籤，從而保證數據的機密性、完整性和不可否認性，在金融安全領域得到廣泛應用。第三個例子是安心籤電子籤約綜合平臺，該平臺是由CFCA建設、運維、管理的第三方電子合同服務平臺，以電子籤名技術為核心，為用戶籤發數字證書並提供數據電文或電子合同文件的在線籤署、存儲和管理服務，基於密碼學原理，實現對電子合同籤署者的身份認證，防止抵賴、防止篡改、防止偽造，保障電子合同內容的真實性、完整性、機密性，為電子合同籤署者提供完善的司法保障。第四個例子是CFCA的網絡安全戰略規劃諮詢服務，幫助企業或金融機構進行整體網絡安全的戰略規劃和頂層審計，研究和分析安全監管需求和業務安全需要，梳理網絡安全需求和風險，並提出針對性的安全建設任務，並將各項安全任務進行歸併和優先級排序，最終形成網絡安全整體建設藍圖和推進計劃。

上述幾個例子是CFCA在行業實踐中很有代表性的密碼應用與密碼服務的實踐。除此之外，在產品方面，CFCA打造了電子認證、網絡安全產品與服務，先後培育出無紙化、安心籤、雲證通、APP檢測等旗艦產品，為銀行、保險、證券等行業提供安全解決方案。在服務方面，包括系統安全與質量檢測、產品安全檢測、移動應用測評、安全諮詢和評估等。總之，CFCA通過成熟的密碼安全產品與完善的密碼安全服務，降低密碼安全保護的難度，為守護各行業密碼安全做出了應有的貢獻。

信息化觀察網：能否分享下貴司在密碼安全方面的客戶案例？

李達：CFCA在密碼安全方面的客戶案例有很多，下面我舉一個在密碼應用方面比較有代表性的案例供大家參考：

某客戶，為深入推進業務移動信息化建設，搭建了行動裝置網絡接入平臺與移動應用支撐平臺。一線業務人員需要採用平板電腦、智慧型手機等移動終端，實時查詢和操作相關業務數據。一線業務人員需在VPN環境下，外接硬體設備或TF卡來進行身份認證與數字籤名，以確保關鍵業務數據的信息安全。與此同時，國家密碼管理局發布的《GM/T 0028-2014密碼模塊安全技術要求》，對四個等級密碼模塊的安全和運行其實也提出了明確要求。結合國家主管部門有關要求與實際應用需求，該客戶與中國金融認證中心（CFCA）達成合作，通過部署滿足《GM/T 0028-2014密碼模塊安全技術要求》中「安全二級要求」的協同籤名模塊，即移動證書——雲證通，以進一步完善移動信息系統的安全策略，在確保安全合規要求的同時，實現了應用端一線業務人員的操作體驗與工作效率的雙提升，還降低了成本。

這個案例很具有代表性，因為它是密碼應用推動業務實踐的典範，創新密碼技術在適配相關標準、滿足監管合規要求的同時提升業務效率並降低成本的典範。在這個案例中，正是由於該客戶引入移動證書「雲證通」，使得業務在確保安全合規的同時，大幅度提高了工作效率與使用體驗，同時還降低了成本。該客戶引入移動證書「雲證通」，既是業務移動信息化建設過程中的一次有益探索與實踐，也為今後向數位化縱深發展開啟了新的可能。

信息化觀察網：伴隨著數位化轉型的深入發展，越來越多的傳統風險，逐漸轉變為帶有網絡安全風險特徵的場景。作為網絡安全領域的生力軍，貴司將如何守住網絡安全為數位化轉型保駕護航？

李達：企業數位化轉型的核心要點是數據的集中化管理與業務為導向驅動、人員的數位化思維意識培養和數字安全實踐體系與管理體系建設。CFCA通過為企業提供完善的密碼產品與信息安全服務，助力企業完成數位化轉型。

在企業數位化轉型的過程中，全新的技術與架構帶來了新的安全挑戰，數字安全實踐體系與管理體系建設至關重要。隨著雲計算、大數據、物聯網技術的廣泛應用，企業資產形態更加複雜多變，攻擊手段不斷升級，安全管理的難度持續增加。在企業將業務遷移至線上、雲端後，雲端的公共屬性進一步加大了企業安全管理和控制的難度，數據分散導致數據的洩露和非法訪問風險加大，應用之間的物理隔離轉變為邏輯的虛擬隔離，安全邊界模糊、漏洞被放大，各安全產品難以做到統一管理。

針對上述安全隱患，《網絡安全法》、「等級保護2.0」都對雲時代的安全運營及管理提出了新的要求。CFCA具備國家網絡安全等級保護工作協調小組辦公室頒發的「網絡安全等級保護測評機構推薦證書」能夠基於GB/T28448-2019：《信息安全技術網絡安全等級保護測評要求》等國家標準的等級保護測評、信息安全風險評估、網絡安全戰略規劃諮詢等信息安全服務，為企業數位化轉型提供諮詢、評估及檢測服務，實現企業數位化轉型更合規、更安全。

同時，CFCA基於多年信息安全行業經驗，整合自身產品及服務，藉助於安全認證、電子籤名、加解密、授權管理等先進的信息安全技術，推出企業數位化轉型安全建設方案，做到業務辦理操作留痕，抗抵賴，關鍵文件加密傳輸及保存，業務過程安全、完整、可靠，為企業數位化轉型保駕護航。

寫在最後

網絡安全已經成為數位化轉型中繞不開、躲不過的「關節點」，破解數位化轉型中的網絡安全之痛，極大考驗安全廠商的綜合能力。面對複雜多變的網絡安全形勢，安全廠商要從習慣「亡羊補牢」轉向自覺「未雨綢繆」,維護網絡安全任重道遠，安全廠商需時刻緊繃「安全弦」。值得注意的是，像CFCA這樣的信息安全服務商早已行動起來，通過主動出擊、提前布局，構建了具有安全性、合規性、完整性、可靠性基因的縱深防禦的網絡安全體系，護航企業數位化轉型。

（本文經作者授權轉載）