撰稿 | 賈賈
編輯 | 圖圖
5月22日,中國工程院院士、中科院計算所研究員倪光南在2020統信UOS新產品發佈會上宣佈:統信UOS代表了目前我國自研操作系統的最高水平。
倪光南院士之所以會對統信UOS給予如此高的評價,一方面是因為UOS確實是一個好系統,另一方面可能也和自身際遇有關。在當下這個大環境下,統信UOS若能巧借天時地利,未必不能脫穎而出。
這則消息固然使人驚喜,但同時也為不少了解不深的吃瓜看客帶來了新的疑惑:作為統信UOS系統誕生的大功臣一同出現在新聞中的,卻是個不太常見的新名詞——“信創”。
若要深究起來,“信創”於我們而言,說遠不遠,說近不近。
在ISC 2020信創安全論壇上,360首席安全官杜躍進從攻防角度,全局視角,縱觀信創產業發展全局,強調“無安全,不信創”,指出信創安全面臨的三大挑戰、五大問題的同時,提出要以攻防視角、整體思維、統一調度、開放運營、能力驅動的全新思路,構建可信的、安全的、可控的、可對抗的、可存活的信創安全體系。眾多數據顯示,“信創”這個風口,將是一個萬億級的市場,對於網絡安全產業來說,既是機遇,也是挑戰。
信創是什麼
“信創”顧名思義,是信息技術應用創新產業的簡稱,囊括了從IT基礎設置、基礎軟件再到信息安全等一系列的創新型產業。
2020年,是信創產業作為一項國家戰略全面推廣的元年。信創產業將作為“新基建”的重要內容和拉動經濟發展的重要抓手之一,在未來三到五年將迎來黃金髮展期。我國的大量國產基礎軟硬件也將從“不可用”發展為“可用”,進而逐步向“好用”演變。然而,在此過程中一個重要的問題亟待解決,那就是作為網絡“身份證”的數字證書一直受制於國外 ,我國的數字證書到底應該“信任誰,誰來信”?
這不是信創第一次被提及,卻是第一次這麼頻繁地在公眾視野裡亮相,歸根結底,還是與現下複雜多變的國際形勢脫不開干係。此時,刻在華夏子民骨子裡的居安思危就更顯其重要性。
2019年3月27日,國家工業信息安全發展研究中心副主任董大健就曾在信息技術應用創新研討會上表示:將繼續加大對信息技術應用創新的支持力度,推動國產信息技術新產品和技術在更多領域應用推廣。
國家工業信息安全發展研究中心副主任董大健
近一年半後的8月14日,他在第八屆互聯網安全大會(ISC 2020)信創國密根證書庫發佈會上再次強調了建立我國專屬的信息技術產業體系的重要性。這一體系的基礎,就是國內用戶訪問安全的“基石”——國產數字證書。
本次國密根證書庫計劃發佈,由大數據協同安全技術國家工程實驗室作為指導單位,360公司、統信軟件、龍芯中科、北京數字證書中心、上海CA、天威誠信、中國金融認證中心、飛天誠信科技股份有限公司、沃通電子認證服務有限公司、北京煉石網絡、格爾軟件11家信創產業鏈廠商企業共同參與,助力商用密碼“安全最後一公里”建設。
按照老周的一貫風格,發佈會剛一開場,他就把現下面臨的最大困境展示給了所有人:
我國數十億設備或個人都在使用不那麼安全的國外數字證書。
回望過去幾年,數字證書安全事故確實頻頻發生:2016年,GlobalSign的OCSP服務故障導致淘寶、京東被所有的瀏覽器標記為不安全的網站;2017年,賽門鐵克由於錯發了3萬張證書,被微軟、Google、蘋果做了除根處理。事件的發生其實也從側面警示了我們,操作系統和瀏覽器的話語權,有足夠的影響力。
典型正規的數字證書
眾人皆知君子不應立於危牆之下,卻很容易忽視日常上網行為中最普遍的安全手段——數字證書。360集團政企瀏覽器事業部總經理霍海濤接受採訪時表示,安全人員對數字證書有個形象的比喻,就是一個網站的“身份證”。
“無感的安全”是最好的安全,數字證書就是一種潤物細無聲的安全手段。這張網站的“身份證”可以說是無處不在、無處不用,它就像空氣一般:平時你感覺不到它的存在,沒了它你卻寸步難行。
一旦證書所有方採取“拒絕頒發證書”、“吊銷已授權的證書”、“對網絡攻擊軟件頒發證書”、“非法解密數據”等措施,設備幾乎就是空門大開,毫無還手之力。
有風險的數字證書就像一顆定時炸彈:不爆發則已,一爆炸就非死即傷。打個形象的比喻,就像是大學生埋頭完成了四年學業,轉頭卻發現投進去的時間精力打了水漂:學校是所根本不被承認的野雞大學,辛苦拿來的一張文憑轉眼間就成了廢紙。
此次SM2更證書庫的發佈就是想利用360瀏覽器和統信操作系統的已有用戶基數,多平臺的覆蓋,來解決“誰來信”的問題。然後,吸引合規的CA廠商積極支持SM2根並進行入根,把“信任誰”的生態建設出來,所以,它是相互的依賴關係,是一個生態的問題。
從保護數據安全的角度出發,繼續使用風險指數不低的數字證書,對當下以“新基建”為主要發展方向的我國來說,實在不是一個穩妥的選擇,而這也正是老周未雨綢繆提前佈局的最主要原因。
凡事要趁早
溯回2017年,360正式加入了制定全球數字證書規範的國際組織CA/Browser Forum,該組織集合了全球的操作系統廠商、操作系統廠商,多家CA機構。在組織期間,360通過了解和學習對根證書管理的經驗,發現國外的操作系統和瀏覽器廠商擁有自己的根證書庫。
市佔率常年第一,中國用戶滲透率超過82%,月活用戶高達4億的360瀏覽器,擁有得天獨厚的入根條件。若有大量國內外CA機構前來入根,備案系統就能夠無縫支持可能出現的極端情況。
因此在2018年底,360正式上線了“根證書計劃”,接受CA廠商的入根的申請。截至2020年7月底,已有國內外17家CA公司錄入61個根,和微軟根證書計劃98%的覆蓋率持平。
做到這樣就能高枕無憂了嗎?並不能。因為初期360根證書計劃的成果以被廣泛使用的國際算法為基礎,並不包括目前《密標委》給定的商用密碼系列。
不過顯然,緩下腳步不是360的作風。就在今年年初,360意識到安全的問題要隨著信創產業的發展前置,便通過專家研討,與國內廠商共同協作,加緊推出了SM2根證書庫。 通過瀏覽器的帶動作用,360集團也很快把包括360終端防護安全系統、360安全衛士、360壓縮、360播放器、360雲盤等六款產品也都進行了信創平臺適配。2020年,360集團正式把信創作為公司的核心發展戰略進行推進,並制定了長期規劃。
360集團政企瀏覽器事業部總經理霍海濤告訴筆者,SM2根證書和信創產業的推進是分不開的。安裝了信創芯片、操作系統和瀏覽器的整機為商用密碼改造提供了良好的環境,缺失了這一前提,是絕對無法達成現有的成果的。
360集團政企瀏覽器事業部總經理霍海濤
“現下,國產商用密碼廣泛應用於國民經濟發展和社會生產,涵蓋電子政務、金融、通信、能源等重要領域,與信創行業共同承擔起維護國家和關鍵產業安全的歷史責任。如果未來有一天,所有大流量級別的網站都能部署並支持SM2證書,能夠正常地用商用密碼算法來通訊,對於國產商用密碼來說,就是一個成功的里程碑。”
從霍海濤詳盡的描述中,筆者似乎已經看到了未來那個完全屬於我們自己的安全、權威、可靠的互聯網環境。
隨著信創國密根證書庫發佈會行至尾聲,筆者不禁開始思索:當下的艱難時局是否也在倒逼著我們,要加快腳步提速發展?
也不是沒有人質疑說,360這次的步伐越邁越大,還要聯合信創生態上下游廠商一起做,會不會貪心不足蛇吞象。
但他們沒有想過,晴雨變化就在轉瞬之間。最壞的可能性,就是下一刻我國大量的基礎設施證書不再被信任、被吊銷,數據安全岌岌可危的時刻,根證書的管理權限依然沒能握在我們手裡。
360走在前頭,既是希望能大聲疾呼,把數字證書安全的重要程度廣告天下,為求儘快發展壯大國密數字證書體系,更是懷揣一腔報國熱情,提速商用密碼推廣、生態建設之路,夯實我國數字證書安全之根基。
為的是這次,我們能趁勢而上,先行一步。
