近日，Juniper曝出重大后門漏洞，引起業界一片嘩然。全球頂級廠商的設備在出廠前就被植入了高危后門代碼，聽起來讓人覺得匪夷所思，其實回顧 2013年的棱鏡門事件，國外廠商生產的設備在不知情的情況下存在『漏洞』就不足為奇了。

注：棱鏡計劃，由美國國家安全局(NSA)自2007年起開始實施的絕密電子監聽計劃，9家國際網絡巨頭皆參與其中。

中國在信息行業里起步較晚，由于“先入為主”的觀念，目前仍有許多用戶在使用國外的網絡安全設備。這些設備長期以來都是沿用3DES、SHA-1、RSA等國際通用的加密算法體系及相關標準，可以說用戶的信息安全是掌握在國外科技公司的手中。而近幾個月國際著名廠商設備頻頻曝光各類漏洞及威脅事件，這給中國的用戶敲響了警鐘——自主可控、安全可信的國產化改造勢在必行!

為從根本上擺脫對國外加密技術和設備的過度依賴，國密辦發布了 SM2、SM3、SM4等一系列國密算法，從加密算法層面推動信息科技的“安全可控”。那么國密算法和國際通用的算法究竟孰強孰弱呢?

“洋密碼”VS“國產密碼”

1.算法安全性

隨著密碼技術的發展，越來越多的國際通用密碼算法屢屢傳出被破解、存在后門等傳聞，讓人對其安全性產生懷疑。以國際上最為位著名的RSA密碼算法為例，中國的三大運營商及不少銀行、制造業企業都是它的客戶。但就是這樣一家世界知名的密碼技術企業，卻被曝出與美國國家安全局達成協議，被要求在部分加密技術中放置后門。

國密算法是由國密辦推出的具有自主知識產權的商用密碼算法，其由國密辦制定規范，并授權給網絡安全廠商，生產符合國家『自主可控、安全可信』要求的加密設備。

2.加密強度

以SSL VPN的接入認證為例，國際上廣泛應用RSA采用非對稱加密算法，算法加密強度比較小，通過高性能的計算機可以運算破解。

而國密算法SM2采用基于橢圓曲線加密(ECC)算法的非對稱算法，密碼復雜度高，160位ECC就可以達到與1024位RSA、DSA相同的安全強度。不僅如此，在實現同樣的計算復雜度時，SM2在私鑰的處理速度上遠快于RSA、DSA算法，所以加密效率更高。

國密資質：進一步的安全，國家為你把關

在此次juniper事件當中，Juniper在公告中稱，其VPN 和 防火墻設備的ScreenOS系統中發現未授權代碼，因此可以讓資深的攻擊者獲得對NetScreen設備的管理權限和解密虛擬專用網絡連接。這意味著其產品在出廠前就在Juniper未知的情況下被『黑』，植入了“后門”程序，惡意攻擊者通過“后門”可以繞過安全策略，隨意獲取設備的信息。

未授權代碼在設備出廠前未被發現的主要原因是沒有權威第三方機構對代碼進行審核，設備中是否存在未授權代碼只能靠廠商自查。一旦廠商未發現該類威脅代碼，或者不對外公布，甚至默許這類漏洞存在，用戶的信息安全就會受到威脅。

而國內安全設備想要獲取國密資質不僅要有具備支持國密算法的軟件研發能力，還需要向國密辦做“代碼備案”。備案后的代碼需要經過國密辦審核，符合國家安全要求的產品才能獲得《商用密碼產品型號證書》。經過國密資質認證的網絡安全設備具備“自主可控”的要求，可以避免設備中出現『未授權代碼』等問題

溫馨提醒：

安全性是核心系統建設的重中之重，如果不重視網絡設備的安全性，就是將企業、單位的“大門”上了鎖，卻向黑客打開了窗戶。諸如SSL VPN、IPSECVPN這一類重要的加密設備，在各行業中被廣泛應用于核心業務系統安全接入、系統安全加固及移動辦公等場景，其與業務數據的安全性和業務系統的穩定性息息相關，任何潛在的安全威脅都不可忽視。因此，深信服建議用戶更多考慮選擇自主可控、安全可信、具備國密資質的國產加密設備。