今日頭條
官方微信
官方抖音
資訊頻道隨著信息技術(shù)日新月異的發(fā)展,網(wǎng)絡(luò)環(huán)境日益復(fù)雜、安全形勢(shì)瞬息萬(wàn)變,網(wǎng)絡(luò)安全威脅的范圍和內(nèi)涵不斷擴(kuò)大和演化,我國(guó)面臨的網(wǎng)絡(luò)安全挑戰(zhàn)日趨嚴(yán)峻。“沒(méi)有網(wǎng)絡(luò)安全就沒(méi)有國(guó)家安全”,商用密碼技術(shù)作為實(shí)現(xiàn)網(wǎng)絡(luò)安全的核心技術(shù),在網(wǎng)絡(luò)安全防護(hù)工作中發(fā)揮著重要的基礎(chǔ)支撐作用。聚焦我國(guó)商用密碼管理現(xiàn)狀,圍繞政策法規(guī)、標(biāo)準(zhǔn)規(guī)范、技術(shù)實(shí)力、產(chǎn)業(yè)發(fā)展等內(nèi)容進(jìn)行研究,分析我國(guó)商用密碼管理工作中的挑戰(zhàn),并提出相應(yīng)的建議與舉措,為商用密碼管理工作提供了有益參考。
0 引言
近年來(lái),網(wǎng)絡(luò)空間作為國(guó)家發(fā)展的重要戰(zhàn)略資源,已成為影響國(guó)家間競(jìng)合關(guān)系的重要領(lǐng)域以及大國(guó)博弈的重要戰(zhàn)場(chǎng)。部分國(guó)家將網(wǎng)絡(luò)安全作為謀求國(guó)家戰(zhàn)略優(yōu)勢(shì)的重要抓手,對(duì)內(nèi)不斷加強(qiáng)頂層設(shè)計(jì)和能力手段建設(shè),對(duì)外搶抓網(wǎng)絡(luò)空間制空權(quán)、規(guī)則制定話語(yǔ)權(quán),國(guó)家間網(wǎng)絡(luò)空間博弈日益激烈,網(wǎng)絡(luò)安全問(wèn)題已經(jīng)成為影響國(guó)家間戰(zhàn)略合作關(guān)系走向的焦點(diǎn)之一。
而密碼技術(shù)作為黨和國(guó)家的“命門(mén)”是實(shí)現(xiàn)網(wǎng)絡(luò)安全的“基因”,是實(shí)現(xiàn)可信互聯(lián)、安全互通的必要前提,是保障網(wǎng)絡(luò)空間安全的核心技術(shù)和基礎(chǔ)支撐。作為實(shí)現(xiàn)網(wǎng)絡(luò)安全最有效、最經(jīng)濟(jì)的手段,互聯(lián)網(wǎng)的安全發(fā)展需要充分發(fā)揮密碼的核心保障能力。商用密碼管理工作作為我國(guó)密碼工作的重要組成部分,是構(gòu)建國(guó)家安全法律制度體系、維護(hù)國(guó)家網(wǎng)絡(luò)空間主權(quán)安全、推動(dòng)密碼事業(yè)高質(zhì)量發(fā)展的重要舉措。
1 商用密碼管理現(xiàn)狀
國(guó)家高度重視商用密碼工作。1999 年國(guó)務(wù)院頒布施行《商用密碼管理?xiàng)l例》,明確對(duì)商用密碼的科研、生產(chǎn)、銷(xiāo)售和使用等實(shí)施管理。2002 年國(guó)家商用密碼辦公室成立,統(tǒng)籌負(fù)責(zé)全國(guó)商用密碼管理工作,主要包括商用密碼法規(guī)體系建設(shè)、商用密碼標(biāo)準(zhǔn)化體系建設(shè)、商用密碼科技創(chuàng)新、商用密碼產(chǎn)業(yè)發(fā)展和商用密碼應(yīng)用推進(jìn)等內(nèi)容。近年來(lái),在習(xí)近平總書(shū)記網(wǎng)絡(luò)強(qiáng)國(guó)戰(zhàn)略思想的指引下,商用密碼實(shí)現(xiàn)了跨越式發(fā)展,管理體制逐漸建立健全、標(biāo)準(zhǔn)體系逐步完善、科技創(chuàng)新成果不斷涌現(xiàn)、商用密碼產(chǎn)業(yè)蓬勃發(fā)展。
1.1 政策法規(guī)體系不斷完善,密碼管理體制建立健全
我國(guó)自1996年確立商用密碼發(fā)展戰(zhàn)略以來(lái),堅(jiān)持以黨管密碼為根本原則,不斷強(qiáng)化商用密碼管理工作規(guī)范化,持續(xù)完善商用密碼管理政策法規(guī)體系,加快構(gòu)建與商用密碼應(yīng)用發(fā)展相適應(yīng)的密碼管理體系。目前已初步確立了以《商用密碼管理?xiàng)l例》為核心,《商用密碼科研管理規(guī)定》《商用密碼產(chǎn)品生產(chǎn)管理規(guī)定》《商用密碼產(chǎn)品使用管理規(guī)定》等多部專(zhuān)項(xiàng)管理規(guī)定為主要內(nèi)容的“1+N”商用密碼管理體制,有效保障了商用密碼的健康有序發(fā)展。作為我國(guó)首部密碼領(lǐng)域的行政法規(guī),《商用密碼管理?xiàng)l例》的頒布施行,極大地推動(dòng)了我國(guó)商用密碼在網(wǎng)絡(luò)安全領(lǐng)域從無(wú)到有、從初創(chuàng)到規(guī)范管理的發(fā)展,在黨和國(guó)家密碼工作史上具有重大里程碑意義。
2019年10月26日,十三屆全國(guó)人大常委會(huì)第十四次會(huì)議通過(guò)《中華人民共和國(guó)密碼法》(以下簡(jiǎn)稱(chēng)《密碼法》),習(xí)近平主席簽署主席令予以公布,并將于2020年1月1日起正式施行。《密碼法》作為我國(guó)密碼領(lǐng)域首部國(guó)家層面的綜合性、基礎(chǔ)性法律,把密碼工作各領(lǐng)域、各環(huán)節(jié)、各要素納入法治軌道,大大提升了商用密碼管理科學(xué)化、規(guī)范化、法制化水平,積極促進(jìn)了商用密碼事業(yè)發(fā)展,有力保障了國(guó)家網(wǎng)絡(luò)和信息安全。《密碼法》的頒布實(shí)施, 不僅是完善國(guó)家安全法律制度體系、維護(hù)國(guó)家網(wǎng)絡(luò)空間主權(quán)的重要舉措,更是黨對(duì)密碼工作集中領(lǐng)導(dǎo)的主張上升為國(guó)家意志、全面提升密碼工作法治化和現(xiàn)代化建設(shè)水平的重要體現(xiàn)。制定和實(shí)施密碼法,就是要把密碼應(yīng)用和管理的基本制度及時(shí)上升為法律規(guī)范,推動(dòng)構(gòu)建以密碼技術(shù)為核心、多種技術(shù)交叉融合的網(wǎng)絡(luò)空間新安全體制。
為落實(shí)《密碼法》確立的商用密碼工作新舉措,國(guó)家密碼管理局正在組織制修訂包含《商用密碼管理?xiàng)l例》在內(nèi)的配套法律法規(guī),持續(xù)完善商用密碼管理法規(guī)體系,以應(yīng)對(duì)商用密碼發(fā)展過(guò)程中面臨的新挑戰(zhàn)。
1.2 標(biāo)準(zhǔn)體系逐步建立,推動(dòng)商用密碼規(guī)范化管理
經(jīng)過(guò)多方面的努力,我國(guó)已形成較為完善的商用密碼標(biāo)準(zhǔn)體系,包括國(guó)家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)、地方標(biāo)準(zhǔn)、企業(yè)標(biāo)準(zhǔn)和團(tuán)體標(biāo)準(zhǔn)等。其中,商用密碼行業(yè)標(biāo)準(zhǔn)體系由基礎(chǔ)類(lèi)標(biāo)準(zhǔn)、應(yīng)用類(lèi)標(biāo)準(zhǔn)、檢測(cè)類(lèi)標(biāo)準(zhǔn)和管理類(lèi)標(biāo)準(zhǔn)四類(lèi)標(biāo)準(zhǔn)組成,支撐我國(guó)的商用密碼產(chǎn)品研制、應(yīng)用和管理各個(gè)環(huán)節(jié)。
當(dāng)前,我國(guó)已發(fā)布商用密碼相關(guān)國(guó)家標(biāo)準(zhǔn)29項(xiàng),行業(yè)標(biāo)準(zhǔn)90余項(xiàng),其中11項(xiàng)已上升為國(guó)家標(biāo)準(zhǔn),覆蓋密碼算法、協(xié)議、產(chǎn)品、檢測(cè)、應(yīng)用、管理等各方面,為規(guī)范商用密碼管理發(fā)揮了重要作用。在密碼應(yīng)用與安全性評(píng)估方面,國(guó)家密碼管理局發(fā)布了GM/T 0054-2018《信息安全技術(shù) 信息系統(tǒng)密碼應(yīng)用基本要求》,該標(biāo)準(zhǔn)對(duì)各級(jí)信息系統(tǒng)中密碼的應(yīng)用提出了具體的要求,是我國(guó)當(dāng)前指導(dǎo)、規(guī)范和評(píng)估各級(jí)信息系統(tǒng)商用密碼應(yīng)用的標(biāo)準(zhǔn)依據(jù),確保商用密碼合規(guī)、正確和有效應(yīng)用。
此外,為進(jìn)一步擴(kuò)大我國(guó)密碼技術(shù)、產(chǎn)品的影響力,增強(qiáng)我國(guó)密碼技術(shù)國(guó)際競(jìng)爭(zhēng)力,提升國(guó)際話語(yǔ)權(quán),在全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)和密碼行業(yè)標(biāo)準(zhǔn)技術(shù)委員會(huì)等相關(guān)單位的大力推動(dòng)下,我國(guó)在密碼算法標(biāo)準(zhǔn)國(guó)際化進(jìn)程中也取得重要進(jìn)展,ZUC算法已經(jīng)成為3GPP LTE 國(guó)際標(biāo)準(zhǔn),ZUC-256 有望成為5G標(biāo)準(zhǔn),含有我國(guó)SM2、SM9 數(shù)字簽名算法的ISO/IEC14888-3/AMD1正式成為ISO/IEC國(guó)際標(biāo)準(zhǔn),SM4算法以補(bǔ)篇形式納入 ISO/IEC18033-3 標(biāo)準(zhǔn)中。
1.3 商用密碼技術(shù)實(shí)力不斷提升,科技創(chuàng)新成果豐碩
自主創(chuàng)新是我國(guó)一貫的基本策略,是商用密碼事業(yè)發(fā)展的源動(dòng)力。密碼技術(shù)作為保障網(wǎng)絡(luò)與信息安全的核心技術(shù),必須實(shí)現(xiàn)自主可靠、安全可控。在國(guó)家密碼發(fā)展基金等國(guó)家級(jí)科技項(xiàng)目的引導(dǎo)和支持下,我國(guó)在序列密碼設(shè)計(jì)、分組密碼算法設(shè)計(jì)與分析、密碼雜湊算法分析、密碼協(xié)議基礎(chǔ)理論與分析、量子密鑰分配等密碼基礎(chǔ)理論研究方面取得了一系列的創(chuàng)新科研成果。
同時(shí),由我國(guó)自主設(shè)計(jì)的橢圓曲線公鑰密碼算法 SM2、雜湊算法 SM3、分組密碼算法SM4、序列密碼算法ZUC、標(biāo)識(shí)密碼算法 SM9 等已經(jīng)成為國(guó)家標(biāo)準(zhǔn)或密碼行業(yè)標(biāo)準(zhǔn),標(biāo)志著我國(guó)商用密碼算法體系已經(jīng)基本形成。
1.4 商用密碼產(chǎn)業(yè)蓬勃發(fā)展,密碼應(yīng)用初見(jiàn)成效
為滿足網(wǎng)絡(luò)空間密碼多樣化應(yīng)用的實(shí)際需求,我國(guó)商用密碼產(chǎn)業(yè)已取得長(zhǎng)足的發(fā)展。截至2019年5月,已有1395項(xiàng)商用密碼產(chǎn)品取得了國(guó)家密碼管理局審批型號(hào),密碼產(chǎn)品不斷豐富,已形成涵蓋密碼芯片、密碼板卡、密碼系統(tǒng)等較為完整的商用密碼產(chǎn)品供給體系,商用密碼供給質(zhì)量和服務(wù)水平不斷提升,產(chǎn)業(yè)支撐能力不斷增強(qiáng)。
隨著我國(guó)在金融和重要領(lǐng)域商用密碼應(yīng)用工作的推進(jìn),商用密碼產(chǎn)品應(yīng)用程度不斷加深,商用密碼產(chǎn)品已廣泛應(yīng)用到金融和通信、公安、稅務(wù)、交通、能源、電子政務(wù)等重要領(lǐng)域, 在維護(hù)國(guó)家網(wǎng)絡(luò)與信息安全、保護(hù)公民權(quán)益等方面發(fā)揮了不可替代的作用。如我國(guó)商用密碼技術(shù)發(fā)放的數(shù)字證書(shū)超過(guò)20億張,累計(jì)發(fā)行支持商用密碼算法的標(biāo)準(zhǔn)金融 IC卡1.2億張,成功換發(fā)融合商用密碼技術(shù)的二代身份證15億張,部署支持商用密碼算法的智能電表4.47億只,有效發(fā)揮了商用密碼的安全保障作用。
1.5 商用密碼檢測(cè)認(rèn)證制度逐步建立,有效支撐商用密碼應(yīng)用推進(jìn)工作
為充分落實(shí)《密碼法》立法精神,不斷深化商用密碼行政審批制度改革,我國(guó)正在積極構(gòu)建“1+M+N”的商用密碼檢測(cè)認(rèn)證體系,即1家商用密碼認(rèn)證機(jī)構(gòu)、M 家商用密碼產(chǎn)品檢測(cè)機(jī)構(gòu)和 N 家商用密碼應(yīng)用安全性測(cè)評(píng)機(jī)構(gòu)。以商用密碼檢測(cè)認(rèn)證體系為抓手,堅(jiān)持商用密碼應(yīng)用支撐側(cè)雙軌發(fā)展,一手抓產(chǎn)品測(cè)的質(zhì)量檢測(cè),一手抓應(yīng)用測(cè)的安全評(píng)估,為商用密碼的應(yīng)用提供科學(xué)有效支撐。
在商用密碼檢測(cè)認(rèn)證方面,為充分激發(fā)市場(chǎng)活力,有序推進(jìn)密碼產(chǎn)業(yè)的健康發(fā)展,《密碼法》通過(guò)建設(shè)實(shí)施商用密碼檢測(cè)認(rèn)證體系重塑密碼產(chǎn)品管理體系,鼓勵(lì)商用密碼產(chǎn)品和服務(wù)自愿檢測(cè)認(rèn)證,同時(shí)對(duì)特定范圍的密碼產(chǎn)品進(jìn)行強(qiáng)制檢測(cè)認(rèn)證,注重“放管服”與保障國(guó)家安全的平衡。2020年2月20日,市場(chǎng)監(jiān)管總局、國(guó)家密碼管理局聯(lián)合起草了《關(guān)于開(kāi)展商用密碼檢測(cè)認(rèn)證工作的實(shí)施意見(jiàn)(征求意見(jiàn)稿)》(以下簡(jiǎn)稱(chēng)《實(shí)施意見(jiàn)》)。《實(shí)施意見(jiàn)》從工作原則與機(jī)制、認(rèn)證實(shí)施和監(jiān)督管理三方面對(duì)商用密碼檢測(cè)認(rèn)證工作提出了具體的實(shí)施意見(jiàn)。
在商用密碼應(yīng)用安全性評(píng)估方面,為充分發(fā)揮商用密碼在網(wǎng)絡(luò)安全中的核心支撐作用,規(guī)范重要領(lǐng)域網(wǎng)絡(luò)和信息系統(tǒng)商用密碼的應(yīng)用,《密碼法》規(guī)定“法律、行政法規(guī)和國(guó)家有關(guān)規(guī)定要求使用商用密碼進(jìn)行保護(hù)的關(guān)鍵信息基礎(chǔ)設(shè)施,其運(yùn)營(yíng)者應(yīng)當(dāng)使用商用密碼進(jìn)行保護(hù),自行或者委托商用密碼檢測(cè)機(jī)構(gòu)開(kāi)展商用密碼應(yīng)用安全性評(píng)估。”
此外,相關(guān)部門(mén)正在制定《網(wǎng)絡(luò)安全等級(jí)保護(hù)條例》和《關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)條例》等政策法規(guī)都對(duì)商用面應(yīng)用安全性評(píng)估提出了明確的要求,依法合規(guī)對(duì)網(wǎng)絡(luò)和信息系統(tǒng)密碼應(yīng)用的合規(guī)性、正確性和有效性開(kāi)展安全評(píng)估工作,不僅是網(wǎng)絡(luò)運(yùn)營(yíng)者和主管部門(mén)必須履行的責(zé)任,還是維護(hù)網(wǎng)絡(luò)和信息系統(tǒng)面應(yīng)用安全的客觀要求。目前,國(guó)家密碼管理部門(mén)已經(jīng)制定了商用密碼應(yīng)用安全性評(píng)估管理辦法、商用密碼應(yīng)用安全性測(cè)評(píng)機(jī)構(gòu)管理辦法等相關(guān)規(guī)定,對(duì)安全評(píng)估程序、評(píng)估方法、監(jiān)督管理等進(jìn)行了明確。
2 商用密碼管理工作所面臨的挑戰(zhàn)
雖然我國(guó)商用密碼發(fā)展已取得很大成績(jī),但整體仍處于初期發(fā)展階段,仍然存在商用密碼管理體制尚不健全、標(biāo)準(zhǔn)體系不完善、安全可控基礎(chǔ)薄弱、產(chǎn)業(yè)鏈支撐不足、密碼人才匱乏等突出問(wèn)題。
在商用密碼管理體制方面,雖然我國(guó)已經(jīng)在《網(wǎng)絡(luò)安全法》《密碼法》《網(wǎng)絡(luò)安全等級(jí)保護(hù)條例(征求意見(jiàn)稿)》多部政策法規(guī)中明確了商用密碼應(yīng)用的要求,但是在政策法規(guī)的落地實(shí)施上仍有待完善,仍然缺乏面向不同行業(yè)的商用密碼應(yīng)用工作開(kāi)展的指導(dǎo)性文件。根據(jù) 2018 年商用密碼應(yīng)用安全性評(píng)估聯(lián)合委員會(huì)對(duì)1萬(wàn)余個(gè)等保三級(jí)及以上的信息系統(tǒng)進(jìn)行普查結(jié)果顯示,未使用密碼進(jìn)行安全防護(hù)的信息系統(tǒng)占比高達(dá) 75.23%。多數(shù)企業(yè)不知道密碼技術(shù)需要在哪里用、用什么、怎么用。
同時(shí),由于不同行業(yè)信息系統(tǒng)的差異化,商用密碼技術(shù)的應(yīng)用場(chǎng)景、應(yīng)用范圍和管理手段等都不盡相同,對(duì)于具體行業(yè)來(lái)說(shuō),缺乏可操作性強(qiáng)的指導(dǎo)性文件,一定程度上制約了商用密碼應(yīng)用的推廣。在標(biāo)準(zhǔn)規(guī)范體系方面,我國(guó)在標(biāo)準(zhǔn)領(lǐng)域已取得積極進(jìn)展,但與國(guó)際先進(jìn)水平相比,標(biāo)準(zhǔn)體系仍不完善。根據(jù)2018年商用密碼應(yīng)用安全性評(píng)估聯(lián)合委員會(huì)對(duì)118個(gè)大部分已使用密碼技術(shù)的重要系統(tǒng)進(jìn)行抽查,發(fā)現(xiàn)85%的系統(tǒng)不符合密碼應(yīng)用要求,MD5、RSA1024、SHA1 等具有重大安全隱患的算法也仍在大量使用。
我國(guó)雖已發(fā)布系列密碼算法,但仍然缺少密碼應(yīng)用方面的相關(guān)標(biāo)準(zhǔn),跨行業(yè)制定密碼應(yīng)用標(biāo)準(zhǔn)難度較大,適用于具體行業(yè)的密碼應(yīng)用標(biāo)準(zhǔn)缺失,較難對(duì)商用密碼的應(yīng)用發(fā)展起到積極的促進(jìn)作用。此外,已發(fā)布的相關(guān)密標(biāo)缺少與不斷更新的國(guó)際規(guī)范對(duì)接兼容。例如在 TLS1.2、TLS1.3等常用的主流安全協(xié)議中,對(duì)于如何使用商用密碼的問(wèn)題仍不明確,密碼應(yīng)用不廣泛、不規(guī)范等問(wèn)題突出。
在商用密碼技術(shù)自主可控方面,從多邊組織框架下的《瓦森納協(xié)議》(The Wassenaar Arrangement,WA )將密碼技術(shù)和產(chǎn)品作為軍民兩用物項(xiàng)對(duì)待,對(duì)其出口進(jìn)行嚴(yán)格限制,美國(guó)《出口管理?xiàng)l例》(Export Administration Regulations, EAR)中規(guī)定對(duì)高強(qiáng)度密碼出口進(jìn)行嚴(yán)格限制,以及美國(guó)《出口管制改革法案》(Export Control Reform Act,ECRA)將量子加密技術(shù)和產(chǎn)品納入出口管制目錄等政策法規(guī)中可見(jiàn),先進(jìn)的密碼技術(shù)不僅是出口管制立法的重要支撐因素,還是支撐國(guó)家網(wǎng)絡(luò)安全自主可控的核心和關(guān)鍵。
在密碼算法基礎(chǔ)研究方面,我國(guó)密碼技術(shù)的研究起步晚、密碼算法基礎(chǔ)薄弱,仍處于“跟跑” 發(fā)達(dá)國(guó)家的階段。在密碼算法實(shí)現(xiàn)方面,仍存在密碼芯片等硬件產(chǎn)品被國(guó)外廠商壟斷的情況,對(duì)國(guó)外密碼技術(shù)和產(chǎn)品的過(guò)度依賴(lài)現(xiàn)象嚴(yán)重, 商用密碼技術(shù)的實(shí)現(xiàn)仍存在高性能需求與低效的算法實(shí)現(xiàn)之間的矛盾、應(yīng)用軟件密碼集成門(mén)檻高等挑戰(zhàn),國(guó)家網(wǎng)絡(luò)安全建設(shè)的迫切需求正倒逼密碼技術(shù)的發(fā)展。
在產(chǎn)業(yè)鏈支撐方面,雖然我國(guó)已初步建成較為完整的商用密碼產(chǎn)品供給體系,但多數(shù)以較為獨(dú)立的模塊或產(chǎn)品銷(xiāo)售,存在與具體應(yīng)用的主流設(shè)備和系統(tǒng)融合度不足的問(wèn)題。當(dāng)前,密碼算法多以內(nèi)嵌的形式固化于主流的設(shè)備和系統(tǒng)中,算法的選擇和產(chǎn)品實(shí)現(xiàn)方式完全依賴(lài)于設(shè)備生產(chǎn)商,密碼算法與設(shè)備和系統(tǒng)的深度耦合不僅制約了密碼算法的選擇,同時(shí)增加系統(tǒng)維護(hù)難度和成本。
此外,在產(chǎn)業(yè)環(huán)境角度,我國(guó)產(chǎn)業(yè)生態(tài)環(huán)境雖呈現(xiàn)優(yōu)化趨勢(shì),但仍然缺少具有影響力的權(quán)威行業(yè)協(xié)會(huì)或產(chǎn)業(yè)聯(lián)盟等組織對(duì)商用密碼產(chǎn)業(yè)發(fā)展進(jìn)行引領(lǐng),形成企業(yè)參與聯(lián)盟和協(xié)會(huì)的熱情雖高,但缺乏一致性目標(biāo)的“兩張皮”怪圈,導(dǎo)致產(chǎn)業(yè)鏈上下游資源凝聚力不足,產(chǎn)業(yè)缺乏協(xié)同。
在密碼人才方面,密碼人才匱乏已成為制約密碼合規(guī)、正確、有效應(yīng)用的瓶頸。根據(jù)數(shù)據(jù)統(tǒng)計(jì)顯示,未來(lái)十年我國(guó)信息安全人才總需求量為140萬(wàn)人,而當(dāng)前僅僅有3萬(wàn)畢業(yè)生,人才缺口高達(dá) 98%,而每年培養(yǎng)的密碼學(xué)專(zhuān)業(yè)人才僅上千人,人才數(shù)量與質(zhì)量、結(jié)構(gòu)比例與市場(chǎng)需求不匹配。通過(guò)梳理相關(guān)政策法規(guī)可見(jiàn),商用密碼應(yīng)用指標(biāo)雖不多,但是與實(shí)際業(yè)務(wù)系統(tǒng)或平臺(tái)緊密耦合,不僅涵蓋數(shù)據(jù)流轉(zhuǎn)的各個(gè)環(huán)節(jié),還覆蓋密碼對(duì)設(shè)備和網(wǎng)絡(luò)資產(chǎn)的安全防護(hù),涵蓋密碼算法、密鑰管理、密碼產(chǎn)品、密碼標(biāo)準(zhǔn)等內(nèi)容,牽涉背景知識(shí)較多,對(duì)密碼相關(guān)網(wǎng)絡(luò)安全從業(yè)人員的背景知識(shí)要求較高。
3 對(duì)我國(guó)商用密碼管理的建議
為充分發(fā)揮商用密碼技術(shù)的核心支撐作用,貫徹落實(shí)網(wǎng)絡(luò)安全保護(hù)工作,有力保障我國(guó)關(guān)鍵信息基礎(chǔ)設(shè)施安全,仍需加強(qiáng)以下幾方面的工作。
3.1 建立健全密碼管理體制
在國(guó)家網(wǎng)絡(luò)安全法制建設(shè)的總體框架下,建議國(guó)家相關(guān)密碼管理部門(mén)以《密碼法》的出臺(tái)為契機(jī),加快密碼領(lǐng)域法律制度的整體規(guī)劃和頂層設(shè)計(jì),持續(xù)推進(jìn)《商用密碼管理?xiàng)l例》等配套政策法規(guī)的制修訂工作,做好《密碼法》與《網(wǎng)絡(luò)安全法》《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例(征求意見(jiàn)稿)》《網(wǎng)絡(luò)安全等級(jí)保護(hù)條例(征求意見(jiàn)稿)》的相互銜接,加快構(gòu)建以《密碼法》為核心的密碼管理法律制度體系,理順體制機(jī)制,明確職責(zé)任務(wù),狠抓落實(shí),確保各行業(yè)密碼管理工作有法可依,有規(guī)可循。此外, 為確保《密碼法》的落地實(shí)施,有效推進(jìn)商用密碼的廣泛應(yīng)用,重要行業(yè)應(yīng)加快行業(yè)內(nèi)商用密碼應(yīng)用規(guī)范及商用密碼應(yīng)用測(cè)評(píng)等相關(guān)管理要求的制修訂工作。
3.2 持續(xù)完善標(biāo)準(zhǔn)化體系建設(shè)
在標(biāo)準(zhǔn)化體系建設(shè)方面,首先應(yīng)加快編制并發(fā)布面向等保2.0的等級(jí)保護(hù)對(duì)象的商用密碼應(yīng)用標(biāo)準(zhǔn),發(fā)揮標(biāo)準(zhǔn)化對(duì)技術(shù)引領(lǐng)、產(chǎn)業(yè)發(fā)展的重要支撐作用。加快推進(jìn)行標(biāo) GM/T 0054- 2018《信息系統(tǒng)密碼應(yīng)用基本要求》升國(guó)標(biāo)《信息安全技術(shù)信息系統(tǒng)密碼應(yīng)用基本要求》的進(jìn)程,做好與網(wǎng)絡(luò)安全等級(jí)保護(hù)、關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)的銜接,為網(wǎng)絡(luò)運(yùn)營(yíng)者、系統(tǒng)承建者開(kāi)展系統(tǒng)規(guī)劃、系統(tǒng)建設(shè)、系統(tǒng)運(yùn)營(yíng)中的密碼應(yīng)用提供重要工作依據(jù)。
其次,為更好地適應(yīng)各行業(yè)差異化的安全需求,應(yīng)聚焦重要行業(yè),明確行業(yè)內(nèi)密碼應(yīng)用的安全需求,完善密碼應(yīng)用標(biāo)準(zhǔn)化工作,有效指導(dǎo)各行業(yè)開(kāi)展商用密碼應(yīng)用工作,充分發(fā)揮標(biāo)準(zhǔn)化的基礎(chǔ)性和引領(lǐng)性作用。
最后,持續(xù)推進(jìn)我國(guó)自主研發(fā)的商用密碼算法標(biāo)準(zhǔn)的國(guó)際化進(jìn)程,擴(kuò)大我國(guó)商用密碼產(chǎn)品和服務(wù)的影響力,有效解決商用密碼算法與國(guó)際密碼算法的互聯(lián)互通問(wèn)題,增強(qiáng)我國(guó)密碼產(chǎn)業(yè)國(guó)際競(jìng)爭(zhēng)力,提升我國(guó)在密碼標(biāo)準(zhǔn)方面的國(guó)際話語(yǔ)權(quán)。
3.3 強(qiáng)化密碼技術(shù)自主創(chuàng)新
“有備則制人,無(wú)備則制于人。”核心技術(shù)是國(guó)之重器,而在我國(guó)部分關(guān)鍵領(lǐng)域核心技術(shù)受制于人的局面仍未得到根本改變。為盡快扭轉(zhuǎn)核心技術(shù)受制于人的被動(dòng)局面,需牢牢牽住核心技術(shù)自主創(chuàng)新這個(gè)“牛鼻子”,加強(qiáng)密碼技術(shù)基礎(chǔ)研究,積極開(kāi)展商用密碼技術(shù)創(chuàng)新、加強(qiáng)關(guān)鍵核心技術(shù)攻關(guān),提升產(chǎn)品性能,促進(jìn)密碼技術(shù)的成果轉(zhuǎn)化,縮小商用密碼技術(shù)與國(guó)際主流密碼技術(shù)之間的技術(shù)差距,切實(shí)提升密碼產(chǎn)品服務(wù)質(zhì)量,夯實(shí)密碼基礎(chǔ)支撐能力,為貫徹落實(shí)等級(jí)保護(hù)制度提供重要保障和基礎(chǔ)支撐。可重點(diǎn)布局加強(qiáng)面向政務(wù)云、面向工業(yè)互聯(lián)網(wǎng) / 物聯(lián)網(wǎng)等領(lǐng)域的平臺(tái)化、開(kāi)放化密碼管理服務(wù)能力建設(shè),以不斷適應(yīng)網(wǎng)絡(luò)信息技術(shù)萬(wàn)物互聯(lián)、智能化的趨勢(shì)。
3.4 優(yōu)化商用密碼產(chǎn)業(yè)生態(tài)環(huán)境
商用密碼產(chǎn)業(yè)發(fā)展是商用密碼服務(wù)國(guó)家安全戰(zhàn)略的內(nèi)在需求,是實(shí)現(xiàn)商用密碼自主創(chuàng)新成果轉(zhuǎn)化運(yùn)用的必由之路。建議以重大工程、重大專(zhuān)項(xiàng)等為牽引,搭建商用密碼協(xié)同創(chuàng)新大平臺(tái),統(tǒng)籌利用政、產(chǎn)、學(xué)、研、用等各類(lèi)資源,促進(jìn)政府、企業(yè)、高校、科研院所、商用密碼產(chǎn)品生產(chǎn)商等不同社會(huì)分工部門(mén)圍繞密碼學(xué)術(shù)研究、商用密碼產(chǎn)品研發(fā)、商用密碼應(yīng)用推進(jìn)等內(nèi)容突破原有的界限壁壘,實(shí)現(xiàn)人才、知識(shí)、技術(shù)、資本等各類(lèi)創(chuàng)新要素的優(yōu)勢(shì)互補(bǔ)和深度耦合,統(tǒng)籌推動(dòng)商用密碼基礎(chǔ)理論研究、標(biāo)準(zhǔn)化推進(jìn)、產(chǎn)業(yè)鏈融合、檢測(cè)認(rèn)證同步實(shí)施,促進(jìn)商用密碼產(chǎn)業(yè)多樣化、全覆蓋發(fā)展,打造商用密碼發(fā)展新業(yè)態(tài)。
此外,可選擇密碼應(yīng)用基礎(chǔ)牢固、產(chǎn)業(yè)鏈條成熟、聚集效應(yīng)明顯的地區(qū)建設(shè)商用密碼應(yīng)用示范基地和平臺(tái),圍繞密碼應(yīng)用技術(shù)研發(fā)、應(yīng)用示范、產(chǎn)融合作、人才培養(yǎng)等關(guān)鍵環(huán)節(jié),探索產(chǎn)業(yè)發(fā)展創(chuàng)新路徑,促進(jìn)產(chǎn)業(yè)聚集發(fā)展,發(fā)揮先行先試和示范帶動(dòng)作用。
3.5 著力完善人才培養(yǎng)機(jī)制
學(xué)科是知識(shí)體系的載體,專(zhuān)業(yè)是人才培養(yǎng)的平臺(tái)。為解決密碼人才的巨大缺口,需盡快完善密碼人才培養(yǎng)的頂層設(shè)計(jì)和戰(zhàn)略規(guī)劃,確立以實(shí)現(xiàn)國(guó)家安全戰(zhàn)略為密碼人才培養(yǎng)目標(biāo),建立政治素養(yǎng)過(guò)硬、專(zhuān)業(yè)基礎(chǔ)扎實(shí)、實(shí)踐能力強(qiáng)的密碼人才隊(duì)伍。同時(shí),強(qiáng)化密碼專(zhuān)業(yè)學(xué)科和師資隊(duì)伍建設(shè),強(qiáng)化密碼學(xué)科建設(shè)。
此外,積極探索產(chǎn)學(xué)研協(xié)作創(chuàng)新培養(yǎng)模式,鼓勵(lì)通過(guò)校企合作構(gòu)建創(chuàng)新基地合作提升網(wǎng)絡(luò)安全教育培養(yǎng)質(zhì)量,夯實(shí)網(wǎng)絡(luò)安全工作的基礎(chǔ)。加快網(wǎng)絡(luò)安全人才與創(chuàng)新基地建設(shè),盡快形成校企合作的持續(xù)培養(yǎng)機(jī)制,推動(dòng)網(wǎng)絡(luò)安全高層次人才隊(duì)伍不斷壯大。
4 結(jié)語(yǔ)
當(dāng)前,我們正處在百年不遇之大變局中,隨著新一輪科技革命和產(chǎn)業(yè)革命全球化進(jìn)程加速演進(jìn)過(guò)程中,密碼必將以前所未有的廣泛影響力,深度融入大國(guó)博弈的各個(gè)主戰(zhàn)場(chǎng),商用密碼管理工作任重道遠(yuǎn)。作為黨的密碼事業(yè)90年發(fā)展的成果積淀,《密碼法》的出臺(tái),實(shí)現(xiàn)了密碼工作管理的改革重塑。我們應(yīng)以《密碼法》的實(shí)施為契機(jī),不斷進(jìn)取、開(kāi)拓創(chuàng)新,推動(dòng)實(shí)現(xiàn)商用密碼管理工作新作為,創(chuàng)建網(wǎng)絡(luò)安全新環(huán)境,構(gòu)建以密碼為核心技術(shù)和基礎(chǔ)支撐的網(wǎng)絡(luò)安全保障體系。
作者簡(jiǎn)介
王榕(1986—),女,博士,工程師,主要研究方向?yàn)榫W(wǎng)絡(luò)安全等級(jí)保護(hù)、關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)、商用密碼應(yīng)用推進(jìn)等;
謝瑋(1971—),女,學(xué)士,高級(jí)工程師,主要研究方向?yàn)榫W(wǎng)絡(luò)信息安全、工業(yè)互聯(lián)網(wǎng)安全、數(shù)據(jù)安全等;
曹珩(1976—),男,學(xué)士,工程師,主要研究方向?yàn)榫W(wǎng)絡(luò)安全國(guó)際合作,“一帶一路”國(guó)際合作,數(shù)字經(jīng)濟(jì)等;
路鵬(1982—),男,學(xué)士,工程師,主要研究方向?yàn)榫W(wǎng)絡(luò)安全等級(jí)保護(hù)、關(guān)鍵信息基礎(chǔ)設(shè)施安全等。
來(lái)源:信息安全與通信保密雜志社
北京市公安局海淀分局備案號(hào):11010802023656號(hào)