頒布實施密碼法,是為了進一步提升我國密碼法制化管理和保障水平,促進我國密碼事業的發展,保障網絡與信息安全,維護國家安全,維護公民、法人和其他組織的合法權益。
密碼法共五章四十四條,明確了密碼工作的領導和管理體制,即中央密碼工作領導機構對全國密碼工作實行統一領導,國家密碼管理部門負責管理全國的密碼工作,各級密碼管理部門負責管理本行政區域的密碼工作;明確密碼按核心密碼、普通密碼和商用密碼三類進行管理,核心密碼、普通密碼用于保護國家秘密信息,商用密碼用于保護不屬于國家秘密的信息。
密碼法是一部專業性、技術性很強的國家法律。作為一名長期從事密碼理論與密碼技術研究的科技工作者,筆者對密碼法的出臺表示由衷的高興和堅決的擁護。這里,筆者想談談對密碼法的學習體會,并對深入貫徹落實密碼法,推動商用密碼標準制定與產業發展談幾點認識。
其一,密碼法準確界定了密碼的定義與內涵。
密碼作為保障網絡與信息安全的核心技術與基礎支撐,密碼法給出了密碼的定義與內涵,明確規定“密碼是指采用特定變換的方法對信息等進行加密保護、安全認證的技術、產品和服務”。加密保護指的是使用加密技術(即加密算法)與相關技術保障敏感信息的機密性,實現的是保密功能,保證信息不被竊取與獲得。安全認證不僅包含信息本身的可認證性與不可抵賴性,也包含信息來源特別是信息發送方或者生成方身份的可認證性、不可抵賴性,還要強調的是,安全認證也包括信息的完整性檢測與認證,保障信息是沒有被篡改過的原始信息。安全認證主要涉及數字簽名與密碼雜湊函數兩種密碼技術(算法)。
值得說明的是,由于高安全的密碼技術的攻擊難度基于數學難題的破解難度,使用現有的計算資源通常需要億萬年以上的計算算力,破解難度很大。而基于簡單口令、指紋和人臉識別等生物特征密碼的網絡安全身份認證手段由于缺乏數學難題的支撐,不能完全滿足商用密碼對身份認證的應用需求。
其二,加快推進商用密碼產業發展、頂層設計并完善商用密碼檢測認證體系。
密碼法充分考慮了政府職能轉變和“放管服”改革的要求,規定國家鼓勵商用密碼技術的研究開發、學術交流、成果轉化和推廣應用,健全統一、開放、競爭、有序的商用密碼市場體系,鼓勵和促進商用密碼產業發展。規定依法平等對待包括外商投資企業在內的商用密碼科研、生產、銷售、服務、進出口等單位。
目前,我國加大力度發展在數字金融、公共通信和信息服務、交通、能源、水利、電力、信息惠民、工業制造、電子政務、智慧城市、基礎軟硬件保障等領域的密碼產業,亟須頂層梳理不同行業的業務系統和安全需求,加大密碼系統設計與創新力度,建設不同密碼行業的密碼應用技術研究和測評認證體系,發展密碼測評行業。
建議基于人工智能深度學習、自動化搜索技術以及高性能計算,提高密碼分析自主創新能力,加大密碼系統安全測評能力建設;發展密碼軟件與硬件基礎設施的安全測評技術,提高密碼系統分析與測評能力,為密碼產業提供技術支撐平臺;采取學歷教育和在職教育相結合的模式,加大商用密碼測評行業從業人才的培養力度;重點發展密碼軟件防護能力和密碼芯片測評能力建設,集中密碼高水平人才加大密碼軟件安全防護研究,解決密碼軟件安全防護的短板與技術難點;設計抗側信道攻擊的芯片架構,解決密碼芯片的“卡脖子”技術。
其三,加大密碼核心關鍵技術的自主創新能力與標準制定,貢獻中國密碼的智慧與方案。
近年來,在全國信息安全標準化技術委員會和密碼行業標準技術委員會的大力推動下,我國成功將密碼算法標準SM2/3/9推動成為國際ISO/IEC密碼標準,這是我國密碼領域在國際標準制定方面零的突破,貢獻了中國智慧。
隨著新一代信息技術產業的蓬勃發展,適用新產業新業態的新一代密碼通用標準和資源受限,云環境以及人工智能環境下的新型密碼算法的研究及其標準制定仍需要加強,通過密碼標準的制定,帶動提升我國密碼理論研究整體水平。
建議借鑒3G/4G/5G手機密碼通信標準的設計,以及計算機網絡密碼安全通信系統SSL、TLS、IPsec等密碼協議設計的成功經驗,及早部署針對物聯網、車聯網、工控系統、人工智能等環境密碼安全通信系統的設計并推動標準制定修訂,大力發展密碼產業,護航我國數字經濟高質量發展。
其四,加快雄安新區同步規劃與建設密碼防護體系。
國家發展改革委、工業和信息化部、人民銀行、交通運輸部、國家衛生健康委員會、公安部、科技部和國家密碼管理局等相關部門,分析雄安新區信息產業集群、關鍵信息基礎設施以及智慧城市建設的架構、頂層設計,在新區建設之初,就以系統思維同步規劃,切實保障以密碼安全防護技術為支撐的網絡與信息安全防護體系的建設。針對人工智能、物聯網、智能制造、大數據、云計算等領域特點,加大研制與之匹配并完美融合的密碼防護體系,并制定相關行業密碼標準和規范,加大密碼技術在不同行業領域中的推廣力度。以“全球領先的數字智能城市”建設為目標,將雄安新區打造成全球安全智慧城市建設的新標桿。建議盡快形成可在全國范圍內可復制、可推廣的密碼應用產業集群,搶先制定針對重點信息領域的密碼算法與密碼信息系統國際標準,形成一批引領世界的商用密碼行業標準,推動中國密碼技術的國際化進程,為擴大對外開放、中國特色大國外交、“一帶一路”建設等提供密碼服務保障。
其五,加快推進以密碼技術為支撐的區塊鏈技術研發以及試點工程,加快區塊鏈行業標準、國家標準以及國際標準制定進程。
密碼哈希函數是區塊鏈的起源性技術。區塊鏈的發展起始于比特幣,即區塊鏈1.0。比特幣作為密碼哈希函數的一個簡單應用,在一定時期內引起業界以及投資人的高度重視及青睞。目前區塊鏈技術的發展遠遠超出了比特幣的范疇,發展起多技術、多平臺的區塊鏈業務形態。各類技術各有特色,與密碼哈希函數交匯融合,結合了數字簽名、加密算法等其他密碼技術,形成了目前區塊鏈多樣化發展態勢。區塊鏈技術充分利用了密碼哈希函數防交易信息被篡改,可以解決眾多領域數據篡改的痛點問題,并根據鏈上信息進行快速認證,大大提高傳統產業的效率。筆者于2005年給出了國際兩大通用哈希函數標準MD5和SHA-1的碰撞攻擊,研究水平居于國際領先,具備利用研究優勢繼續加大區塊鏈自主創新能力的基礎。
目前區塊鏈技術的標準還未形成,行業發展受到一定制約。由于缺少高水平的密碼設計人員,區塊鏈的各種應用也存在不少安全隱患,有些具備貨幣與支付功能的區塊鏈應用更容易引發一定程度的金融風險。加大金融風險管控,確保數字貨幣安全可控,也是區塊鏈研究的重要內容。為規范區塊鏈產業發展,建議提高區塊鏈領域自主創新能力,部署標準制定,盡快支撐行業健康快速有序發展。
其六,推動密碼專業建設與學科發展,加大規模化密碼人才培養力度。
密碼法的頒布實施,將從密碼管理、密碼安全保障、科技創新、標準推動與制定、產業發展等各個層面推動我國密碼事業發展。密碼事業發展,歸根結底靠人才。2015年,教育部批準設置網絡空間安全一級學科,加大了包括密碼學、網絡安全、系統安全、網絡空間安全基礎理論以及應用安全在內的五個二級學科碩士生、博士生培養。2016年,中央網信辦、國家發改委、教育部、科技部、工業和信息化部聯合推動高校網絡空間安全學院建設,形成了本、碩、博一體化培養模式,對于推動我國密碼人才培養具有重要作用。密碼法的頒布實施,將進一步擴大密碼專業人才需求,呈現更加供不應求的態勢。建議盡快推動密碼一級學科或在網絡空間安全一級學科下設密碼方向,全力建設一流密碼專業,加強密碼專業人才培養規模和水平,同時加大社會培訓的力度,滿足不同層次、不同行業的密碼專業人才需求。
來源:經濟參考報