2020年,网络安全成为各行各业刚需,我国无线局域网安全技术 WAPI发挥产业积累和长板优势,在服务市场中悦动发展,硕果累累。12月17日,WAPI产业联盟在北京召开年度标准产业市场工作大会。政产学研用各单位代表和行业专家,一起研讨了无线网络和网络安全的生态环境和市场趋势,总结了2020年WAPI最新进展和成果,并以能源电力行业WAPI建设为 ,剖析了WAPI在重要行业中的共性需求和差异化问题,分享了市场驱动下技术标准演进和产业化升级情况和心得。联盟秘书处结合各方关注,介绍了公共平台情况和配套服务。
来自国家密码管理局商用密码检测中心、国家无线电监测中心检测中心、国家信息技术安全研究中心、公安部第一研究所、无线网络安全技术国家工程实验室、中国电信研究院、中国电力科学研究院、南方电网科学研究院、广东电力通信科技有限公司、西电捷通无线网络通信股份有限公司、北京数字认证股份有限公司、华为技术有限公司、新华三技术有限公司、广州杰赛科技股份有限公司、北京华信傲天网络技术有限公司、深圳市信锐网科技术有限公司、中科开创(广州)智能科技发展有限公司、深圳市智开科技有限公司、高通无线通信技术(中国)有限公司、上海麓慧科技有限公司、南京博洛米通信技术有限公司、迈创企业管理服务股份有限公司、巷子科技(北京)有限公司、紫光展锐科技有限公司、新思国际科技公司、四川惟邦新创科技有限公司、广州广电计量检测股份有限公司、江苏省电子信息产品质量监督检验研究院(江苏省信息安全测评中心)、北京邮电大学、金陵科技学院、中关村新兴科技服务业产业联盟、中关村智联软件服 务业质量创新联盟、工业和信息化部宽带无线IP标准工作组、ISO/IEC JTC 1/SC 6国内技术对口单位等单位代表和业界专家出席大会。
图1:会议现场.jpg
会议现场
各行业依法采用WAPI正当时
当下,无线局域网已成为海关、金融、能源、政务、公安、交通、医疗、教育等重要行业的信息网络基础设施,应用场景涉及工业互联网、物联网、车联网等。由于这些行业事关千家万户、社会稳定和国家安全,其网络安全的重要性和紧迫性不言而喻。
全球无线局域网技术(英文简称WLAN)目前已形成相对统一的技术体系,但在安全方面有两条路线:一个是美国主导的Wi-Fi安全技术802.11i,一个是采用国产密码技术的国家标准WAPI(无线局域网鉴别与保密基础架构)。因Wi-Fi安全技术自身在技术架构上的重大安全 缺陷,不法分子可以轻易地破解Wi-Fi密码,继而盗取行业重要敏感数据、非法侵入网络、实施恶意攻击、植入木马等网络攻击活动,对行 业网络基础设施和数据资产直接构成重大威胁,直接影响到行业生产、办公的正常运行秩序。其潜在风险被业内视为安全的“灰犀牛”。
从全球无线局域网安全技术和应用来看,加强源头安全技术标准治理,通过采用安全可控技术标准和产品保障重要行业生产、办公网络安全是切实可行的路径。
WAPI是我国自主可控的无线局域网安全技术标准。 自2016年国家连续出台了《网络安全法》、《密码法》、等保2.0等法律法规之后,各重要行业对于安全可控的无线网络需求愈发明确。WAPI因其产业成熟度高、不增加采购成本、建设配套条件丰富、能对行业的信息通道安全和数据资产安全形成有效保护,受到用户青睐,已在全国海关的信息化系统、重要仓储物流管理信息系统、公安重要部位和重大活动智能监控管理系统、电网变电站等智能化电力设施,城市地下综合管廊等市政工程,北京大兴国际机场、新疆地铁等国家地方重点项目中 发挥可管可控可追溯的作用。
伴随《网络安全法》、《密码法》、《关键信息基础设施安全保护条例(征求意见稿)》、《网络安全等级保护条例(征求意见稿)》等法律法规及相关配套制度的发布实施,更加明确地对网络运营者必须履行网络安全保护义务提出要求,“网络产品、服务应当符合相关国家标准的强制性要求”、“发现其网络产品、服务存在安全缺陷…应当立即采取补救措施”、“关基运营者应当使用商用密码进行保护” 等规定,让各行业更坚定、更有依据地采用WAPI实现业务无线接入。
据悉目前很多行业正依据《网络安全法》、《密码法》、等保2.0等法律法规,开展安全专项摸底排查,对存在安全和自主可控隐患的设备 督促限期整改,相关厂商的激活(升级)WAPI功能工作正在进行中。由于全球所有WLAN芯片均已支持WAPI,激活功能无需更换现有设备,这对保护现有投资、保障业务正常运行十分有利。
密码领域专家邓开勇从商用密码条例修订思路、商用密码检测认证体系、商用密码检测认证实施情况三个方面介绍了我国商用密码管理体系,分析了《密码法》实施对商用密码管理制度带来的结构性重塑。他强调:无线网络系统部署合规性是基础,密码算法、安全协议和密钥管理机制应符合相应的国家和行业标准要求,进行正确的设计和实现。并表示,后续相关部门将开展新技术新产品密码标准研究制定,推进开展密码服务、管理体系认证,推进开展密码应用安全性评估,构建完备的商用密码检测认证体系。
密码领域专家邓开勇
国家信息技术安全专家张芝军分享了工控系统等级保护和测评的几点思考,他认为:随着《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019)、《信息安全技术 网络安全等级保护测评要求》(GB/T 28448-2019)等相关等级保护系列标准的正式发布,标志着我国等级保护已进入2.0时代。在关键信息基础设施领域,采用符合WAPI国家标准的产品开展无线局域网建设,是等级保护合规性的基本要求。
发挥长板优势,WAPI逆风破浪
在即将过去的2020年,全球经济政治产业各个方面都面对很多不确定性,大家都感受到前所未有的压力。而这一年,WAPI标准产业共同体紧紧抓住科技自立自强和国家安全机遇,坚持需求引领,充分发挥十余年来WAPI的创新积累和长板优势,帮助各行各业把信息化建设和发展建立在更加安全、更为可靠的基础之上。在服务市场中,WAPI产业链上下游很多厂商也获得了实实在在的收益。
WAPI产业联盟秘书长张璐璐在《2020年WAPI标准产业市场脉动 》中介绍:多年来WAPI标准产业共同体目标清晰,围绕“一个安全的创新世界,共建网络信任基础”的愿景和目标,把提升原始创新能力放在突出位置,扎扎实实开展技术创新、标准化、产业化、市场化、国际化工作,实现了很多“从0到1”的突破。当下,WAPI正逐渐成为各行各业开展信息基础设施建设的“标配”。
结合WAPI建设进程中的经验,张璐璐介绍:各行各业的新基建信息化建设通常会选择主流的、安全的技术。在安全技术路线选择的依据方面,大家关注如下要点:第一,政策合规性——是否符合国家法律、行政法规、行业部门规章,依据包括但不限于网络安全法、密码法、标准化法、等保2.0标准等。政策合规性不仅满足了网络安全的需要,也是行业资金投入安全的保障。第二,严格防范已有的安全漏洞,避开Wi-Fi等已经发现有安全漏洞的技术路线。第三,选择技术好产业成熟度高的,产品要可用好用、有大规模建设和应用经验的。第四、选择技术潜力大、扩展性强的,要能和行业潜在应用的其他通信技术安全架构保持一致。第五、建成的基建项目,要满足国家战略需求,实现安全、自主、可控。在无线局域网(WLAN)领域能满足上述条件的,WAPI是不二之选。
众所周知,技术研发周期长、投入大、产出慢,从技术开发到产业应用通常需要十年以上的时间,再到网络提供服务往往需要更加漫长的时间。2006年至今,WAPI在产业优势领域精耕细作,已跑完全程,产业成熟度高,产业链供应链自主可控能力强,产品丰富应用广泛。目前全球有百余家企业参与WAPI的创新与竞争,截至2020年12月,支持WAPI芯片共计500余款,出货量160亿颗,具备WAPI功能的网络设备和终端超过17000款。在市场应用方面,WAPI已服务政务、市政、能源、公安、交通、金融、医疗、教育等行业,很多重大示范项目的可复制程度非常高。
从联盟收到的反馈看,各行业市场用户对WAPI产业化和供应链比较满意:在技术供给方面,WAPI已形成从上游芯片到模组到最终产品的技术供给链条,设备厂商无须自己从0到1进行开发。在网络设备方面,所有主流厂商全部支持WAPI,成本与Wi-Fi等同。在智能移动终端(Andriod、iOS系统)方面,全部支持WAPI,不仅限于手机和平板电脑,也包括所有使用了类似芯片/操作系统方案的产品,如执法记录仪、智能安全帽等。在非智能终端(有WLAN功能的行业机具)方面,绝大多数可通过软件升级支持WAPI,且不增加成本。在非智能终端(没有WLAN功能的行业机具)方面,通过中间件、CPE可快速支持WAPI,成本与Wi-Fi等同。在产业配套方面,标准、测试规范、测试工具、符合性评价体系、检测机构能力均十分完备。
会上,张璐璐从第三方产业平台的视角,分享了WAPI应用建设中的感受和体会。她表示:第一、技术产品只要在市场应用中打磨,就会快速升级演进,会越来越好用。第二、有要求的用户,才是好用户,不要让好技术变为符合政策要求的摆设。第三、用户和厂商在建设和使用中(包括初期、中期、后期)的协同非常重要。值得关注的是,WAPI产业链已涌现出一大批深耕行业的集成商、整体解决方案提供商,他们在市场建设中发挥了积极有效的作用。伴随市场需求的进一步扩大,多厂商之间的合作空间将越来越广阔、合作形式也越来越多样化。第四、结合市场对WAPI产品升级、技术演进、配套检测等方面的需求和变化,建议产业链相关单位密切关注自身产品和服务的基建建设与升级。
谈及WAPI的前景,WAPI产业联盟市场总监简练表示:网络连接是信息化、数字化的根本需求。各行业大数据、移动互联等业务发展的特征决定了必须使用宽带无线通信技术。5G与WLAN之间的关系,客观上是互补互促而非替代——这类似于轨道交通和道路交通之间的关系。随着国内外环境的变化,各行各业在开展自身关键信息基础设施建设时,会坚持总体国家安全观,体现在治理实践上,会从维护行业的信息通道安全和数据资产安全等方面,采用WAPI等安全自主可控的技术产品。
WAPI产业联盟市场总监简练
在市场的洗礼中,WAPI产业化升级和质量提升更加迅猛。据简练介绍,2020年涌现出很多新技术新产品,如:云架构WLAN、自组织网络、机器人之类的新型物联网终端、大型WLAN网络综合网管等等。与之相配套,WAPI技术演进和相关标准创新也硕果累累:今年联盟组织开展的WAPI与802.11ax团体标准,让WAPI在用户数据通信速率集等WLAN数据层面与全球先进保持同步;关键信息基础设施无线局域网系列团体标准,从技术要求和测试方法两个维度,填补了关基行业应用WLAN的标准空白;此外,联盟正和产学研用各单位一起,持续推进电力、公安、铁路、家电等行业标准化工作,服务市场需求。