全面推进信息安全领域自主创新

2018-11-06 06:10
网络安全和信息化 2018年10期
关键词:密码学核心技术密码

我国网信领域建设任重而道远。在“智能时代信息安全高端论坛”上,信息安全领域的院士、学者及企业专家围绕核心技术突破,密码学研究进展,智能化信息安全发展等话题,进行了深度分析。

我国网信领域的若干创新

■中国工程院院士 倪光南

核心技术受制于人是我们最大的隐患。在引进高新技术方面不能抱任何幻想,应当清醒地认识到,关键核心技术是要不来、买不来、讨不来的。大国重器一定要掌握在自己手里。

网信领域技术新、发展快、人才作用大,中国有后发优势。网络信息技术是全球研发投入最集中、创新最活跃、应用最广泛、辐射带动作用最大的技术创新领域,是全球技术创新的竞争高地。我国网信事业发展很快,有一些长处,但也存在很多短板。

核心技术受制于人是我们最大的隐患。在引进高新技术方面不能抱任何幻想,应当清醒地认识到,关键核心技术是要不来、买不来、讨不来的。大国重器一定要掌握在自己手里。

实际上核心技术受制于人不仅会带来供应链风险,同样会带来安全风险。我们应当认真地分析产业状况,找出其中的“短板”和“长板”,制订相应对策,增强抗风险能力。

网信领域软硬件的发展过程一般要经历“不可用”、“可用”、“好用”三个阶段。

随着云计算、移动互联网等新技术的发展,“Wintel”体系优势正在逐渐缩小。经过多年努力,目前国产软硬件大多已达到“可用”,并正向“好用”发展。

自主创新是我们攀登世界科技高峰的必由之路,我们完全有能力通过自主创新做出自主操作系统,确保网络安全。我们要坚定地走中国特色的自主创新之路。那么,如何达到自主可控?

事实证明,自主可控的技术不等于技术安全,但不自主可控的技术一定不安全,即:自主可控-技术安全-网络安全。因此,应当将自主可控作为达到技术安全和网络安全的必要条件。国产软硬件必须通过不断使用,不断改建,才能达到好用。

作为一个用户,每个人都要支持和应用国产软硬件,这就是对自主可控作贡献。

新形势下密码研究的思考

■中国科学院院士 郑建华

计算机科学和信息论等的发展促进了现代密码学的诞生,编码与破译的对抗不断推动密码学的发展。同时,新应用的需求,特别是近三十年来的新应用,给密码学带来新的课题。

信息安全有着保密性、完整性、可用性、可控性、不可抵赖性等基本要求,而密码是信息安全保障的核心技术。

计算机科学和信息论等的发展促进了现代密码学的诞生,编码与破译的对抗不断推动密码学的发展。同时,新应用的需求,特别是近三十年来的新应用,给密码学带来新的课题。

随着信息化的不断深入,出现了一些新的问题需要我们去思考。随着移动应用及设备的发展,以往的身份认证密码技术部署到移动终端存在一系列问题,我们需要认真思考面向移动应用的密码技术。对此,可以靠算法的可重构多变来解决这样的问题。

另外,基于生物特征识别的技术正在成为保障用户身份认证的重要技术,但当前生物特征识别在构建整个密码体系安全链条中尚存在一些缺陷。如何与密码技术进行融合?如何通过构造典型密码函数来验证身份、协商密钥,来做完整性验证?基于生物特征识别与经典密码的结合成为研究热门。

量子计算的发展给经典密码带来挑战,所以要投入更多的力量进行深入研究。

现在大数据发展非常快,而密码技术明显滞后于应用发展,因此在面向大数据的密码系统需要我们投入更多的力量。现在提出的同态密码的概念发展很快,但距离应用还有很大距离。

总之,密码研究要紧紧围绕国家信息安全需求,面向实际应用。而当前我们的密码理论研究和密码实际应用的结合有待进一步加强。因此我们要有自信,勇于创新。

我国信息领域核心技术安全可控发展路径

核心技术是国之重器,最关键最核心的技术要立足自主创新、自立自强。市场换不来核心技术,有钱也买不来核心技术,必须靠自己研发、自己发展。

信息领域核心技术通常包括三类:一是基础技术、通用技术;二是非对称技术、“杀手锏”技术;三是前沿技术、颠覆性技术。近年来我国在信息领域核心技术发展方面实现了一些突破,但问题也非常突出,目前仍面临技术路线分散,自主创新缺少生态,发展步履维艰,引进创新消化不良,再创新堪忧等困难。

■赛迪智库网络安全研究所所长 刘权

要坚持自主创新路线不动摇,以突破核心技术、统一技术方向、构建安全可控生态、抢抓新兴业务布局为重点推动核心技术安全可控路径的实现。

因此,抓紧突破网络发展的前沿技术和具有国际竞争力的关键核心技术,加快推进国产自主可控替代计划,构建安全可控的信息技术体系成为当务之急。

我国信息领域核心技术安全可控在实现路径上需要做到:

一是在认识上,要坚持自主创新路线,长期不动摇;实施自主、可控、安全评估,建立评价标准、评价机制,开展评价工作。

二是在发展路径上,需要突破核心技术,统一技术方向,为CPU、操作系统等核心技术厂商提供安全可控发展的方向,构建安全可控生态,抢抓新兴业态布局,建设开源技术平台。

三是在措施保障上,应加快党政机关和重要行业的国产替代和应用系统迁移,加强基于自主核心技术的学科建设,建立科学的人才评价和激励机制,加大人才培养力度,加大投入财政资金或引导设立产业发展基金。

科技创新在安全建设中的应用

■京东集团安全战略官 吉贻俊

引领智能时代的核心在于创新,科技创新为相关产业的发展带来了新的活力。科技是京东发展的驱动力。最近14年间,京东的交易额增长13万倍,年均复合增长率接近150%,目前正联手腾讯打造全球独有的社交电商新模式。这需要依靠新技术作为支撑,京东目前利用人工智能技术和产品,以技术驱动打造智能商业体。新技术革新也涌现出大量安全问题,信息安全是对抗敌对势力的资源争夺。因此,将新技术应用到安全领域是每一家企业的共同任务。

安全的人工智能系统为京东的应用提供了更为精准的判断,而利用人工智能识别网络攻击大大提高了网络安全水平。在人工智能与安全的交互应用中,黑产等恶意用户对人工智能系统进行攻击,因此,京东通过“安全+人工智能”的方式对抗黑产,通过自主学习,不断进化,以AI技术主动打击黑产,同时利用人工智能、大数据与物联网相结合,构筑面向未来的安全体系,保障电商平台安全。

智能时代的网络安全

■360企业安全集团高级副总裁 曲晓东

智能时代的网络安全形势无疑变得更加错综复杂,尤其是人工智能技术的发展给网络安全带来诸多不确定性,我们需要构建怎样的安全能力?智能时代具有三大特征:一切皆可编程;万物都可连接;网络空间成为第五空间。

网络空间的扩大,令网络安全的威胁变得越来越严重,网络空间也呈现出新的威胁形势。一是新技术的出现带来新的攻击面,网络安全的对象是IT基础设施,正面临转型升级,在为人们带来便利的同时,也使得安全风险增加,过去的安全防护难以适应新的形势变化,需要整体防护。二是新技术让黑客有了新手段,需要新技术对抗,人工智能与安全是相辅相成甚至是相得益彰的,用人工智能可以解决安全问题,用安全也可以解决人工智能的问题。安全是对抗性的,人工智能的能力提高对攻方有帮助,同时对守方也有帮助。需要正确看待人工智能技术与安全的关系。三是安全的本质是人的对抗,安全运营的各个阶段都离不开人的参与,培养专业的安全人员已是当务之急。

由此还带来安全防护理念的转变,360企业安全集团目前已经形成了基于叠加演进思路构建安全能力以及数据驱动的安全能力构建,同时还加强了将人工智能应用于安全防护的探索,将人工智能应用到漏洞挖掘、反病毒等多种细分领域。在人才培养上,360与当地政府、高等院校合作共建网络安全人才培养基地,为网络安全市场输送专业的安全人才。

数据时代的伦理困境

■电子科技大学教授、成都市新经济发展研究院执行院长 周涛

数据对企业的重要性不言而喻,对于我们每一个人来说也是至关重要的。在探索大数据和人工智能给我们带来诸多利益的同时,可能将会给我们带来三个方面的伦理挑战。

一是数据中立性的问题,很多人直观地认为技术一定是中立,一定没有偏袒,但实际并非如此。由于数据在使用过程中掺杂着人为主观的因素。近年来在某些领域,数据和算法的歧视更为隐蔽,例如推荐算法带给不同阶层的人不同的结果,这种数据和人工智能的使用到底会缩小人们的差异,还是会进一步增大阶层分化,实际上难有答案。

二是数据的实效性问题,计算机中长期存储着数据,是否会影响我们未来的行为,过去留下的数据是否对未来的安全风险买单?

三是谁将制定道理和伦理的准则?机器人、无人驾驶等技术的发展,规则成为冷冰冰的数据被写入芯片,常规的道德将受到挑战。随着人工智能的发展,在未来将导致资源进一步集中,或许人类也会分化,少数掌握核心技术的人获得益处,但还有一部分人将“活得没有价值”。

随着技术的发展,以数据为原材料,以人工智能为牵引的新科技时代的到来是不可避免的,不管未来有哪些让我们更幸福快乐的或是挑战人类底线的事物,我们需要保持冷静,在这种指导思想下拥抱新时代。

从国家商用密码发展趋势谈重庆信息安全产业生态圈的培育

■重庆大学教授、国家密码行业标准化技术委员会委员 向宏

密码算法是网络空间的定海神针,密码技术自始至终都是网络空间安全的基石,没有密码技术就没有网络安全。而自主可靠的密码技术是自主可控的网络安全的聚点。当前,无论是密码软件还是硬件,我国均已做到了自主研发。

在未来,物联网、工业互联网等领域,有着大量的应用空间,使得我们可以对网络空间密码的应用有崭新的看法。例如,IPv6的大规模启用,使得物联网、工业互联网等将得到飞速发展,但其背后的安全如何保障?在IPv6协议中,有多少密码协议和密码算法和我们自主可控的密码算法相关,它的整个图谱有没有做过细致的分析?这些都是需要考量的。

大量城市基础设施一旦遭受攻击后,谁来保护?如何应对?我们可以考虑通过科技手段把城市基础设施具象成大量数据抽象模型,通过对模型的分析调控来模拟实体基础设施的抗打击能力,并在这个系统里进行充分检验。

以国产商用密码技术为出发点,在大数据、云计算、人工智能、物联网等不同领域进行的不同粒度应用试点示范,是我国商用密码技术发展的大势所趋。

最后,在重庆信息安全产业生态圈建设方面,我们需要聚焦重庆直辖全域智能,专注国产商密全面应用,开拓重庆安全全景生态三个方面,来打造未来中国智慧城市的信息安全“样板房”。

猜你喜欢
密码学核心技术密码
密码里的爱
图灵奖获得者、美国国家工程院院士马丁·爱德华·海尔曼:我们正处于密钥学革命前夕
密码抗倭立奇功
提升变电站一次检修核心技术的研究
影响规模化猪场收益的核心技术探讨
信息安全专业密码学课程体系的建设
密码学课程教学中的“破”与“立”
颠覆式创新: 集汽车级十项核心技术的ROBYF1
密码藏在何处
夺命密码