打造密码科技的“中国芯”

2015-11-020阅读0

——大连佳姆信息安全软件技术有限公司董事长张建军博士访谈录

  

  当今世界,随着互联网技术的不断更新,网络信息安全日益成为全球关注的一个重要议题,也是摆在世界各国面前的紧迫任务。刚刚闭幕的中共十八届五中全会提 出, 实施国家安全战略,坚决维护国家政治、经济、文化、社会、信息、国防等安全。信息安全是国家安全的重要组成部分。由大连佳姆信息安全软件技术有限公司研发 的新一代动态密码(GRM)核心技术“中国芯”,为中国网络信息安全提供了领先的技术保障。近日,美中时报记者在北京独家采访了公司董事长、首席席科学家 张建军博士。

  

  

  

网络安全是大杀器

  美中时报:最近,中国国家主席习近平在访问美国谈到中美网络安全时说,当今时代,社会信息化迅速发展,一个安全、稳定、繁荣的网络空间,对一国 乃至世界和平与发展越来越具有重大意义。显然,安全——是网络空间稳定、繁荣的基石。张博士,你是网络安全方面的专家,请首先谈谈你对网络安全的理解。

  张建军:网络安全是大杀器。现实国家里有了坦克、飞机、大炮、原子弹,就可以安心生产和生活,不用担心自己的劳动果实被别人摘走,不用担心某一 天醒来,侵略者闯入自己的家园。网络空间也是一样,没有武器的保护,自己的家园随时可以被别人进入,自己的成果随时可以被别人窃取或抢夺。

  网络空间没有疆域。每个政府部门、企业、个人都是网络上的一个节点,打通这些节点并加以利用,就意味着对国家的控制和操纵。看似一个个主权国家 和独立的经济体,就好像是流水线上的一节链条,被人调动和指挥。连每个生活在自己国度的人,在网络空间都可以成为别人理念、信仰的载体和受众。

加密技术是网络安全的核心

  美中时报:网络空间的安全武器都有哪些呢?

  张建军:传统的网络空间安全武器有防火墙、入侵检测、杀毒工具等,但是现在越来越多的人意识到,加密技术是网络安全的核心。事实上,加密技术和操作系统、核心硬件等并列称为网络空间的“两弹一星”。

  回头看看,经过了这几十年的发展,中国这三样武器有哪一个?世界上除了美国,谁也没有这三个东西,换句话说,美国是全球唯一拥有网络空间大杀器 的国家。你要搞工业4.0吗?好极了!所有制造数据都可以被我获取,你的需求我知道,你的能力我知道,你的市场我也知道,到头来我叫你干啥还不是一句话的 事?你要搞 “互联网+”吗?好极了!政府的、银行的、企业的、商家的、百姓的数据我都能知道。听我话就给我打工,我赏你一口饭吃;不听话我就乱你市场、坏你金融、毁 你产业、动摇你的信心。还有大数据、智慧城市、三网融合、两化融合等等。

  这就是习主席所说的“没有网络安全就没有国家安全,没有信息化就没有现代化。”

  美国在网络空间的超强地位是用技术堆积起来的。美国凭借技术创新领先一个时代。现有的网络空间攻防手段都是美国发明的,美国还主导了第一代和第 二代加密标准,现在正向第三代进发,把所有国家都远远地抛在后面。斯诺登让世人知道,前两代的加密算法已经没有作用了,即使是德、英、法等国家照样形同虚 设,或者说即使是自己的盟友也不会放过!

  网络空间安全有两个基本原则:一是建立以密码为核心的信息安全保障体系;二是信息安全自主可控。这两个原则,只有美国可以完全做到,因为他们有 自主可控的密码技术。包括中国在内的大多数国家,因为大量使用美国的前两代密码产品和软硬件产品,积重难返,隐患重重,但又取舍两难!

动态密码技术是佳姆公司的核心技术

  美中时报:与美国相比,中国网络安全现状如何?

  张建军:与美国相比,中国的网络安全产业起步较晚,网络安全技术落后,关键技术依赖进口,核心受制于他人。许多预设了后门的操作系统、网络设备 及安全产品大量涌入,已经在电信、电力和部分银行、证券系统广泛使用,逐渐形成了垄断局面,严重的“信息回传”问题给我国信息安全带来了重大隐患。

  近些年来,我国在安全操作系统、安全数据库、多级安全机制等方面开展了大量的研究工作,也取得了可喜的进展,但由于安全内核受控于人,自主安全产品的数量和质量都难以保证。

  在密码基础理论、密码技术的应用方面,我国与美国相比差距更大。由于缺乏基础理论的创新和自主的核心技术,我国密码产品大多依赖进口,我们自己 只能够从事应用开发。随着社会信息化程度的加深,现行加密技术本身的缺陷逐渐暴露,致使各种黑客攻击、网银大盗、木马病毒、数据泄密等案件频发,给社会造 成的危害触目惊心。

  密码理论和加密技术,是网络安全技术的核心,可以说没有密码技术就没有网络安全。简单地进口、模仿、移植、打补丁,远远不能满足信息社会发展的要求。国家基础设施、重要敏感行业的网络安全直接关系到国家利益和社会稳定,必须逐步用我国自主产品取代。

  佳姆公司的创业,走的就是自主创新之路。我们的努力目标,是要用先进的动态密码技术(GRM),打造一颗“中国芯”。力争在一些基础性、前沿 性、战略性,特别是在核心技术和产品上谋求突破,改变我国密码技术受制于他人的现状,有效抵御来自外界的各种攻击,保障国家网络安全和主权,为经济建设和 社会稳定服务。

  动态密码技术是佳姆公司的核心技术,有完整、自主的知识产权。这种密码是动态的、随进程而变化,在认证真实性、动态实时性、抗抵赖性、可追溯性 方面有所突破。它的功能十分强大,包括双向身份识别、数据加密、动态签约、神经适配等,特别是其动态签约、神经适配的功能,即使是业内专家预想、研发的第 三代密码也不具备。

  动态密码以数学难题为基础,以时空为变量,不惧怕由于计算能力的提升带来的威胁。它巧妙融合了认证和加密,避免了现有密码技术在密钥管理方面的复杂性,在加密强度和加解密效率方面同时获得最大值,是大数据、云计算、物联网以及未来网络货币发展的可靠安全保障。

防范数据泄密,为电子政务、商务保驾护航

  美中时报:近年,媒体多次爆出政府或企事业单位人员,将国家、单位的重要信息泄漏,造成重大损失和严重影响的事件。网上黑客攻击、间谍窃密事件也频繁发生。

  张建军:网络攻击的重点是机关、军工、科研和制造企业,据调查,最易泄密的五种数据包括:核心技术、商业机密、政务文件、市场及客户数据、财务人事资料。

  仅仅强调保密制度建设和加强管理,缺乏有效的保密技术做支撑,是企事业单位数据泄密案件频发的主要原因。许多机关和企事业单位普遍采用了物理隔 绝手段,或者制定“上网不涉密,涉密不上网”,“涉密电脑不得使用移动存储介质”等管理制度,但是无法化解网络安全和工作效率之间的矛盾。当前主流的杀 毒、入侵检测、网络监控和漏洞扫描技术,无法有效防范来自内部的安全威胁,难以堵住内部有意、无意的泄密行为。

  美中时报:据了解,针对数据泄密情况,贵公司开发了数据泄密防护产品,请张博士具体作一介绍。

  张建军:“数据泄密防护产品”,也叫“文档及数据加密软件”,这是一款实时的、动态的、内核级的智能化加密产品。对核心数据的形成、存储、使 用、传输、归档及销毁等全生命周期进行安全控制。其特点可以概括为强制加密、使用方便、内部畅通、堵住所有泄密途径。数据泄密防护产品所保护的对象是每一 个文档,保护了文档就保护了根本。

  佳姆文档及数据加密软件,主要为单位和公司领导解决了如下困扰:公务人员有意、无意泄露重要公文、政务资料;产品技术方案、图纸泄密,或员工跳 槽带走技术、客户资料;间谍“潜伏”,偷走政务、商务文件;在职人员利用公司技术资料揽私活获利;员工发邮件,泄露竞标方案、财务、人事资料。

  美中时报:这款产品的具体应用场景,你能举个例子吗?

  张建军:好的。某热力集团在升级他们的OA办公自动化系统时发现,OA系统只是通过口令的方式来简单区别不同管理层级,同时电子文件的流转无法 做到内外网隔离。佳姆公司根据用户的需求,为热力集团量身定制了内网数据保护系统,用密码绑定口令来严格区分终端用户层级,将文件按照出处进行分类,形成 与现有OA匹配的安全管理机制,同时弥补了OA系统在外发管理和移动终端管理方面的不足。

  安装了这套数据防护系统,用户无需改变原有工作习惯和工作流程,不用手工输入密码就能自动完成数据加解密,使用非常简单方便。通过文档外发控制 和解密审批流程,实现与客户、合作伙伴、上下级部门之间高效、安全交流,防止了二次泄密。非法用户无论从什么渠道、采取什么技术手段,只能拿到加密后的乱 码文件。

  这一产品满足了开放性与机密性的双重需求,受到科研设计、企事业单位、政府部门、金融、大专院校、军队等用户的高度认可和称赞。

  美中时报:据说,贵公司还参与了南京第二届夏季青年奥林匹克运动会的信息安全保障工作,请你也介绍一下。

  张建军:南京第二届夏季青年奥林匹克运动会于去年8月举办。外国元首布隆迪总统恩库伦齐扎、斐济总统奈拉蒂考、马尔代夫总统亚明、黑山总统武亚 诺维奇、新加坡总统陈庆炎、瓦努阿图总理纳图曼和联合国秘书长潘基文等世界政要出席了开幕式,中国国家主席习近平出席开幕式并宣布开幕。

  为了办好这次运动会,南京市委市政府和组委会高度重视信息安全工作,组委会邀请我公司给予特约支持。接到任务后我们用了短短15天时间,就为青 奥组委会提交了保障大型活动信息安全全面解决方案。该方案把主动防护作为核心理念,从数据安全出发,评估了可能存在的信息安全风险,提供了规避风险的具体 建议和措施。同时公司还为关键的票务系统做了安全加固,在青奥会期间技术人员全程跟踪维护,实时准备应对各种可能的问题,圆满完成保障任务。

  美中时报:当今信息社会,国外举办大型活动是否都有负责信息安全的公司参与?

  张建军:有的,而且是必须的。比如,青奥会的活动,主要保护的是票务系统不被攻击,防止全球购票出现错误。更为重要的是,保护领导人的活动场所、时间、路线不会被提前透露。

  大型活动信息安全保障这个领域,我们在国内确实是比较早的介入。

  美中时报:有否大型活动泄密而造成安全事故的案例?

  张建军:有。例如伦敦奥运会,活动细节提前泄密了,然后被媒体公布了。

  佳姆公司拥有国家密码管理局颁发的《密码产品定点生产单位》资质,拥有多项发明专利和专有技术,还有一只特别敬业、负责的专业团队。做个简单的类比,佳姆公司相当于有资质的安全帽、防盗门生产企业。

安全帽与防盗门

  美中时报:怎样理解?

  张建军:安全帽是一款安全产品。建筑工地或其他施工现场要强调戴安全帽,而且严格要求每个人、每时每刻都要戴,为什么?因为存在风险。概率虽然小,但是发生了就是百分之百。一个人出事,整个公司的业务就受影响,要停产整顿,公司的利益要遭受巨大损失。

  安全帽就是企业主动防护的例子。“安全第一”在每个车间工地都是最醒目的口号。这个制度的设计如此深入人心,以至于每个来工地的人都要戴安全帽。总书记来要戴,美国总统漂洋过海来到工地也要戴。

  例如某重工集团全面采用了先进的ERP来组织生产流程和内部管理。面向严峻的国内外市场环境,他们主动提出了网络安全的需求,佳姆公司和集团信 息化技术人员一道,将数据保护系统与ERP进行完美对接,实现从零件出库到生产决策的全程安全,在不降低效率的前提下,大大提升了内部安全管理水平,提升 了市场竞争力。

  数据时代,单位和企业都是电子数据,这些数据是他们的宝贝命根子。内部办公、生产都网络化,还要上外网查阅资料,由于有竞争对手、恐怖组织、敌对势力,有见利忘义的内外勾结,有一不留神的粗心大意,所以数据泄露防不胜防。

  员工觉悟参差不齐,制度设计难防万一,法律追诉是亡羊补牢,唯一的办法就是主动防护,而数据加密是网络空间主动防护的唯一工具,别管危险从哪里来,先给数据戴上“安全帽”。

  美中时报:这个比喻很贴切很生动。再说说防盗门吧?

  张建军:网络空间里保护企业数据、个人隐私和装防盗门一样。防盗门为什么要装?显而易见是为了防被盗。贼来不来、啥时候来不知道,但是装上了心 理就踏实了,这也是主动防护。现在城市里家家基本上都装防盗门,主动防护的安全意识非常高。网络空间里人们保护个人隐私的意识还远远够,有待大幅度提升。

  每个人都有些不愿意让别人知道的事,例如各种口令密码、家庭状况,与朋友的私聊等,这些事在网络上就变成了数据。有人感慨,现在每个人在网络空 间里都是“裸奔”,还有个说法是,电商和交流平台“比我自己还了解我”,更何况还有那么多偷窥者,他们针对不同人设计不同的骗局,能够做到精确打击、一击 必中。

  非常有意思的是,防盗门对盗贼具有筛选作用。不断进步的防盗门技术,要求盗贼不断提升自己的业务水平。水平低的盗贼失败了被抓获了,高手越来越 少,越来越被孤立,整个社会整体安全水平就得到了提高。这个筛选的过程就是安全理念普及、安全措施完备的过程,只是在网络空间才刚刚起步。

  网络技术的进步方便且丰富了人们的生活,也让盗取数据的人如鱼得水,犯罪成本大大降低,换言之,就是低成本、低科技含量的犯罪使得大多数人成为受害者。如果有面向个人的加密安全产品,把低科技含量的作案过滤掉,其实就是保护了大多数人的利益。

  一个人既是企业、单位的人,也是社会性的人。人携带着信息行走于组织内部和外部,让各种安全管理措施防不胜防。以“隐酷输入法”为代表的系列产品,就是佳姆公司专门为网络空间打造的“安全帽”和“防盗门”。

  

隐酷输入法

  美中时报:什么是隐酷输入法?

  张建军:隐酷输入法是加密输入法。用密码技术保护输入内容,短信、微信、facebook、来往等……你能想到的都能用,防偷窥、防泄露,保护商业机密、个人隐私,还有记事本和日程表里的内容。这是当今世界上第一款也是唯一一款面向个人主动保护内容的安全工具。

  在手机上点击这个网址(http://a.app.qq.com/o/simple.jsp?pkgname=com.grmis.incool

  )就可以下载链接隐酷加密输入法,由于刚刚开发成功,目前只支持安卓系统。

  美中时报:隐酷输入法有哪些亮点?

  张建军:隐酷加密输入法有七个亮点:

  1、首创加密手段保护内容,且简单方便,容易推广普及。以前没有加密手段,输入信息、特别是重要关键信息的时候,心里难免忐忑不安,害怕被人盗用或扩散,甚至有些话不得不使用隐晦的说法与暗语。加密输入法提供了一种简单易用的工具,给人以可视的安全感。

  2、防偷窥,防中间环节泄露信息。不用再刻意回避身旁的好奇者了。最重要的是,从发到收有很多中间环节,各个环节都存在着泄露信息的可能性,人们无法逐一排查并加以防范。加密输入法把安全从入口做到了出口,一个小工具就消除了所有中间环节的隐患。

  3、防止截屏导致的信息扩散。两人之间的通话被对方截屏扩散,这样的担心太多了!加密输入法把屏幕上的文字变成乱码,解除了这种担心。

  4、没有后台支持的联想功能,不会在打字时损失流量和泄露信息,而且占用手机内存小。很多输入法因为联想功能强大而使用方便,原因在于用户的常 用词句都被后台收集了。用户发的信息,对方还没有收到,输入法的后台上就已经收到了。这不仅是流量损失,更可怕的是内容泄露。没有后台的加密输入法使用上 小有不方便,但是排除了这种安全隐患。

  5、用户可以选择是否加密,以及密文的安全时间。什么内容不需要加密?什么需要加密?用户不仅可以自己选,还能设定密文的安全时间,过了这个时 间,密文就不能再被打开了。越是重要的信息,安全时间就要设得越短。以前发出去的信息就是泼出去的水,有了加密输入法,即使信息发出去,仍然在自己掌控 中。

  6、能在短信、微信、facebook等各种交流工具上使用需要打字的地方,都可以用到加密输入法。

  7、自己的安全自己做主。谁都可以说能保护用户的信息安全,但别人的保证都比不上自己的主动保护。网络空间等同于现实世界,每个人都有秘密,总有些话只想说给特定的人听。当人们开始对自己输入的内容进行把关,安全意识就在这个瞬间得到普及和提高。

《网络安全法》与加密输入法

  美中时报:中国政府即将出台《网络安全法》,前些日子全国人大制定了《网络安全法》草案,向社会公开征求意见。请问《网络安全法》与你研发的加密输入法关系如何?

  张建军:《网络安全法》对网络运营者收集和使用个人信息的行为提出了安全要求,但是没有限制网络运营者收集、分析和使用个人内容数据从事商业活 动,或干脆就买卖这些内容数据---个人内容数据不同于个人信息,内容数据是你在短信、微信、facebook、来往……上面敲进去的那些字、贴的那些 图、说的那些话、发的那些视频。

  想象一下,你在微信的时候,冥冥之中有无数只眼睛在看着你,而且看得一清二楚,那将是什么感觉?

  《网络安全法》为大数据分析预留了空间,也给企业留下了生财之道。本来嘛,社交平台上的这些内容数据是白来的,是大家心甘情愿放上去的!

  为什么刚刚有了孩子,一大堆奶粉、奶瓶、童装、童车、早教……就来推销了呢?

  《网络安全法》默认了一个事实:每个人发出了内容数据,这些内容数据就是网络运营者的了。网络运营者不仅不必为其安全负责,相反,他们可以研究、分析、交易这些数据,发财致富。

  《网络安全法》已经要求网络运营者保护个人信息;而个人在网上发些什么,属于自己的意愿,国家只能做到提醒你小心,你愿不愿意给网络运营者,本来就是你的自由。

  当你敲击发送键之前的0.001秒,脑子里面闪念一下吧:这句话说了有没有安全风险?要不要保护?账号密码、密切用语、位置信息、行为习惯等等,你想和多少人一起分享?这些顾虑的解决,加密输入法给出了方便、有效的工具。

  只有加密的数据才是自己的财产

  美中时报:在信息社会,数据,其实也是一种财产或财富,可以称之为“数据财产”。这些数据财产归劳动者所有,本应该是十分明确的,但是在网络空 间却被有意或者无意地忽略了,包括移动空间的微信,订阅号、公众号,朋友圈里的大量数据,仿佛都成了无主的资产,谁都可以用甚至被滥用。我想,如果运用了 你的加密输入法,自己的数据就会成为自己的数据财产。

  张建军:你说的很对。现实空间的财物都是有主的。但是,这些有主的财物,如果没有能力来保护,他们的所有权就会丧失。在网络空间更是如此,网络 空间的财物就是数据。针对这些数据财物的明抢暗夺每时每刻都在发生,手段各式各样,还经常被冠之以高科技,精准服务等,利用了人们对科技的崇拜,对便利生 活的向往。

  国家标准(GB/T 28001)对 “安全”给出的定义是:“免除了不可接受的损害风险的状态”。这个定义里,状态的用法是准确的,安全是一个可以用概率来衡量的状态。但是整个定义的方法采 用了否定的方式,将风险引入到安全的定义里面,使得“安全”这个最基本、最贴近民生、同时又是最广泛应用着的概念存在着不清晰。

  美中时报:你如何为“安全”这个概念定义?

  张建军:在我看来,“安全”可以这样来定义:确认并保持人或事物处于它的本来状态。从这个定义出发,安全首先要明确主体,也即是谁的安全?在此基础上确认那个保持稳定的状态范围。

  美中时报:按照这个定义,怎样理解信息安全?

  张建军:信息安全在网络空间里的作用是两个:一、明确数据所有权归属;二、保护这个所有权的归属状态不被改变。

  美中时报:请展开谈谈。

  张建军:首先明确是谁的安全。国家的网络疆域就是国家安全的一部分,企业和个人也同样,例如企业生产数据和个人隐私数据等,作为主体的企业、个人有权利来确认并保护。

  其次,网络空间要划界,也就是所谓的安全范围。这个范围的确定和保护,不是说说就行了,要靠安全工具,也就是说安全工具是用来划界的。一个类比 就是国家的陆海空域都是有界限的,划好了,就要有工具来保护。坦克、舰船、飞机、导弹等就是确认并保护陆海空天安全范围的工具。

  同样道理,企业、个人在网络空间里有着自己的安全范围,要用安全手段来保护。保护企业关键数据和个人隐私数据的最好方法是主动加密。所谓“主 动”,就是“自己的数据财产自己保护”。从技术角度看,谁加密,数据的所有权就归谁。换句话说“只有自己加密了,数据才真正属于自己”,“加密了的数据, 放在哪里都是自己的”。

  回到上面谈的两个原则我们会发现,自主可控是根本,密码是核心,体系是保障。自主可控是要体现在国家、集体、个人三个层面,这三个层面是紧密关联的。人(包括传感器)是数据内容的输入口,如果个人数据不能自己把控安全,企业单位就会出现短板,国家层面就要有缺失。

  相关链接

张建军档案

  1989年毕业于北京邮电大学无线电工程系,1989—1999年就职于工信部国家无委无线电监测中心,任工程师,2009年获得加拿大电子工 程学博士学位,具有长期在国外研究和工作的经验。现任大连市政府网络与信息安全专家组成员,大连佳姆信息安全软件技术有限公司董事长。

  张建军在先进密码领域的研究取得多项具有自主产权的科研成果。2009年在大连高新技术园区创办了大连佳姆信息安全软件技术有限公司,担任董事长及首席科学家,同时被大连市政府聘为网络与信息安全专家组成员。

  张博士关于信息安全发展的建议,得到了中央领导的批复。加密理论和技术的重大突破,对于提升我国相关领域的研发和自主创新能力,赶超国际先进水 平具有重要意义。它的产业化项目得到辽宁省、大连市市委、市政府、大连高新区的广泛关注和支持。2009年,由大连高新园区和大连市推荐,张博士当选为辽 宁省“十百千高端人才”, 2010年9月,大连佳姆信息安全公司正式通过了国家密码管理局组织的联合专家组现场审核,被批准为国家指定密码产品定点生产单位。2011年5月,张博 士入选大连“海创工程”高端人才。