浅谈量子技术及其对网络安全的影响

阅读量168264

发布时间 : 2022-11-02 15:00:40

 

2021年7月30日,国务院令第745号公布《关键信息基础设施安全保护条例》(以下简称《条例》),自2021年9月1日起施行,2021年8月17日正式对外颁布。该条例的颁布标志着我国网络安全法律法规建设和安全保障工作进入一个新的阶段。《条例》颁布一年以来,各相关部门和有关机构积极推进关键信息基础设施安全保护工作,并取得显著成效。在此,我联盟特邀请行业内数位专家对我国关键信息基础设施安全保护工作发表专家观点并进行系列报道,敬请关注。

随着技术变革的不断向前推进,以人工智能、5G、量子技术等为代表的新兴技术作为社会变革的推动力受到全球广泛关注。其中,量子技术作为基础型信息处理技术有望带来新的技术革命而受到高度重视。部分国家研究起步较早,对该技术理解比较深刻,也有部分国家作为后起之秀奋起追赶并取得了一定的研究成果。与此同时,对于量子技术带来的网络安全问题各国也各有考虑。当前,不仅需要跟进全球主要国家的最新量子技术相关政策动态,紧跟技术发展的国际大趋势,更需要对技术发展带来的机遇和挑战进行辨析,这对完善我国网络安全保障体系的相关工作具有重要参考价值。 

姚南威  丰诗朵  

中国信息通信研究院

图片

主要国家量子技术的最新发展动态

 美国占据先发优势,紧密出台标准政策强化网络安全

不少大型企事业单位多以合规体系包含法律,或者以合规代替法律的模式驱动网络和数据安全体系的建设。这种模式的直接后果就是导致“法律”这个顶层设计在体系的许多环节中处于“失语”状态,既不能完整覆盖业务全链条,又难以保证其在数据全生命周期的管控中发挥应有的作用。许多技术意义上的标准和要求(如脱敏、加密)未必就等同于法律意义上的达标,技术和合规、管理与法律多套“语系”在实践中常常各自表述。法律应用思维,尤其是司法思维在数据治理、网络安全的决策层面难以形成应具的影响力。
英国起步相对较晚,发展关键技术推动网络安全
以往我国的合规建设重行政监管和民商事风险,刑事合规起步较晚。加之合规版块通常在大型企事业内部独立于法务部门,而法务部门通常专注于诉讼或合同文书等审核事务,由此法务、合规、审计和技术运营模块之间交融不深,不少单位负责人或组织架构设计者也并未意识到网络安全和合规版块具有复合型职能这一特质。这一被动局面在遇到涉嫌单位犯罪、网络或数据安全审查等情形时尤为突出。实践中,依赖于诉讼方案的司法经验、传统的合规思维、技术运维视角、公司决策战略等任何一种单一模块的运作都不能保证网络和数据安全体系的搭建符合法律和标准要求,而“关基”被破坏所产生的严重后果又不可避免会牵涉重大的行政和刑事责任,最终形成了合规在实战场景中难以发力的困境。有别于行政和民商领域的责任承担,刑事责任针对的是性质严重的犯罪行为,“关基”的安全防控理应强调其后果的严重性和刑事责任,及在此基础上所应构建的刑事防控体系。因此,脱离刑事责任和刑事激励政策的合规体系是有缺陷的制度设计。
欧盟合作推动发展,注重网络安全相关应用
早在2008年欧盟就意识到量子技术的巨大潜力并开始推进相关工程,技术水平目前处于世界前沿。2019年,10个欧盟国家合作研发和部署基于量子的防黑客通信基础设施(QCI),以提高欧洲在量子技术和网络安全方面的竞争力。欧盟对共同塑造欧洲数字市场安全可信的框架制度和保障网络安全也形成了统一的规划方针。2020年12月,欧盟更新了于2013年制定的《网络安全战略》,在量
子通信与量子计算领域,将运用其在通信和加密方面的技术优势来构建欧洲传输机密信息的安全加密通信渠道。2021年7月,欧盟委员会通过了《数字欧洲计划》,将量子通信基础设施和网络安全纳入投资领域以提升欧盟各国的数字实力。
 中国作为后起之秀,加强网络安全技术攻关
中国对于量子计算的政策支持也相对较早,2006年就已经提出对于量子通信相关技术的重点研究。关于量子技术在安全领域的应用,中国正在逐步完善相关政策。2020年12月发布的《2020量子安全技术白皮书》,是中国首份以“量子安全”为主题的白皮书,其中对量子安全技术发展、标准化推进、产业应用等方面达成了学术和产业界的共识。2021年7月工信部发布《网络安全产业高质量发展三年行动计划(2021-2023)(征求意见稿)》,点名加强量子通信等领域安全技术攻关,发展创新安全技术。2022年9月举办的国家网络安全宣传周首次设立量子安全分论坛,推动量子知识的普及以及相关技术和产业的发展。
量子技术为网络安全发展带来的机遇

当前,以量子技术为代表的新兴科学技术高速发展,激发革命性的科学创新,引领科技革命和产业变革的新方向。网络安全作为社会数字化转型的核心关键,在量子技术的加持下,成为各国和各行业关注的热点。基于现有的发展状况,主要推动作用如下:

 量子技术促进网络安全通信加密产业的技术变革
网络通信安全从数据加密上受到诸多挑战,例如水下通信因传输介质问题易被侦察,各行业通信系统受黑客攻击而导致敏感数据失窃和泄露,仅依赖于计算复杂度的经典加密技术易被高算力计算设施破解等。量子技术在解决这些问题上具有得天独厚的优势,例如量子本身具有的不可克隆性就决定了量子没办法被复制,为量子通信加密技术的安全性提供了先决条件;量子具有不可分割性, 基于此的量子密匙分发(QKD)技术能让窃听行为暴露,提升了通信保密性和安全性。可以看出量子技术能攻克许多现有技术难题,对高关注度的关键信息基础设施通信安全保护将发挥重要作用。目前相关的市场主要集中在对保密性和安全性要求极高的党政军和金融领域,但是随着技术更深入的发展和成本的降低,基于量子技术的网络安全技术将在更多产业领域大展身手。
 量子技术推动网络安全攻防能力建设的升级换代
量子技术作为科技革命中重要的一个环节,对于一个国家在科技发展中占据优势地位起到了关键性的推动作用。正如习近平总书记指出的,“近年来,量子科技发展突飞猛进,成为新一轮科技革命和产业变革的前沿领域,加快发展量子科技,对促进高质量发展、保障国家安全具有非常重要的作用”。关键信息基础设施保护作为保障国家安全的基石之一,应注重相关网络安全攻防技术研发。目前,多国开始着手量子技术在网络攻防的相关研究:美国开始研究不受量子计算攻击的加密技术以保障网络通信安全;中国在济南设立了“量子攻防实验室”就量子攻防和网络安全防护能力建设进行研究探索;德国开展量子加密技术研发项目以抵抗量子计算机可能造成的网络安全问题。因而从国家网络安全战略层面,加快量子技术的研究攻关,对提升网络攻防能力至关重要。
量子技术为网络安全发展带来的挑战
  量子技术认知不充分,基于该技术的网络安全体系或存漏洞
一是量子技术还不成熟,目前的高关注度导致投资资本大量流入,但距商业落地还需较长时间。这可能导致行业盲目崇拜其在网络安全的促进作用,反而放缓对传统网络安全技术的投资和研发,不利于网络安全相关产业的发展。二是对量子技术带来的网络通信安全风险和信息隐私泄露风险没有足够的认识。这可能导致政企片面追求对量子技术的投资和研发,忽视了未认知的风险及技术, 或将导致基于量子技术的网络安全防御体系存在致命缺陷。
  量子技术发展不成熟,或将成为通信网络安全发展的掣肘
按照Gartner的技术成熟度曲线,量子通信产业仍然处在商业化早期阶段,距离技术的大规模成熟落地还需要时间。德勤在2020年的分析报告中称量子技术对包括高安全性通信网络在内的国家安全必定有重大影响,只是基于现状还不能确定这些影响发生的具体时间和发生的具体形式。可以看出,量子技术发展仍不成熟,该技术的应用对社会经济的具体影响内容和影响效果目前还不够明朗, 尤其在通信网络安全中的具体影响还有待时间的检验,而不明确的发展目标不利于开展量子通信网络安全的防护工作。
对我国网络安全保障体系的思考和建议

依据《中华人民共和国国民经济和社会发展第十四个五年规划和 2035 年远景目标纲要》(简称“十四五”规划),网络安全保障体系和能力建设应融合于“加快数字化发展,建设数字中国”这一时代背景下,其中明确要求建立健全关键信息基础设施保护体系、推动全球网络安全保障合作机制建设等目标和措施,以塑造和维护我国良好的网络安全生态环境。基于我国的战略目标,结合上述各国量子技术的发展现状和量子技术对网络安全的双重影响,对完善我国网络安全保障体系有以下几个建议:

  健全完善量子技术相关网络安全标准体系
虽然《网络关键设备和网络安全专用产品目录(第一批)》对网络设备和产品的保护范围有明确规定,但随着科学技术日新月异的发展,该目录的相关保护范围应及时得到更新,并建立有效的认证机制。一是随着量子技术应用的成熟落地,要进一步把相关技术的设备和产品纳入到《网络关键设备和网络安全专用产品目录》的保护范围,并完善相关安全认证和安全检测机构名单。二是要细化相关规章制度,加强网络安全审查力度,将量子技术相关对象和应用场景的评定纳入到“等保2.0”体系。
  推进量子技术在关键信息基础设施网络安全保护中的应用
保障关键信息基础设施安全作为我国“十四五”规划中重要任务之一,应借助量子技术优势加强相关安全保护水平。一是要利用量子技术的强加密性和防窃听优势,逐步完善关键信息基础设施的安全风险监测和预警机制。二是要支持量子技术逐步在“信创”产业中的落地应用,加速关键信息基础设施保护核心技术的国产化进程,逐渐建立起一套自主创新的量子计算体系并推进其在关键信息基础设施安全保护中的应用,避免技术“卡脖子”问题。
  通过国际合作和人才培养提升量子技术国际话语权
我国在量子技术国际合作上已有重要技术研究成果,应继续从技术研发、标准制定和人才培养三方面推进工作。一是要加强技术研发上的国际合作,保障我国在量子技术发展上处于世界领先地位,增强我国网络安全体系发展的“硬实力”。二是要主动参与到国际准则的制定中,随着后量子加密技术(PQC)等加密技术的逐步落地,当前计算安全级别或将改写,我国应积极推动相关密码标准协议的制定,以保证我国相关技术和应用的高速稳定发展。三是加大对量子技术专业人才的培养,尤其是从专业知识和沟通语言上与国际接轨的国际型人才,有助于保证我国在国际准则制定中的话语权。
结束语
量子技术的发展赛道逐渐扩大,世界各主要经济体为了抢占以新技术为推动力的“技术革命” 主导权而各自发力。从国家层面的战略指示到行业层面的技术支持和产业层面的应用落地,量子技术受到了广泛的关注并成为焦点。基于该技术的发展现状,其为各国带来的机遇和挑战均不容忽视。我国在传统信息科技上的追随者角色逐渐转变为新兴科学技术上的领跑者角色,与我国抓住时代发展机遇和国家的政策支持密不可分。在量子技术这个新赛道上,我国应切实将网络安全保障发展和技术创新相结合,逐步实现“弯道超车”,实现我国科技自立自强的重要使命。

本文转载自: 关键信息基础设施安全保护联盟筹

如若转载,请注明出处: https://mp.weixin.qq.com/s/Pl0eg6yZSECtyeGqJM5rvA

安全客 - 有思想的安全新媒体

分享到:微信
+10赞
收藏
安全客
分享到:微信

发表评论

内容需知
  • 投稿须知
  • 转载须知
  • 官网QQ群8:819797106
  • 官网QQ群3:830462644(已满)
  • 官网QQ群2:814450983(已满)
  • 官网QQ群1:702511263(已满)
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 360网络攻防实验室 安全客 All Rights Reserved 京ICP备08010314号-66