国产欧美日韩精品a在线观看-国产欧美日韩精品一区二区三区-国产欧美日韩精品综合-国产欧美中文字幕-一区二区三区精品国产-一区二区三区精品国产欧美

近年來，網絡空間作為國家發展的重要戰略資源，已成為影響國家間競合關系的重要領域以及大國博弈的重要戰場。部分國家將網絡安全作為謀求國家戰略優勢的重要抓手，對內不斷加強頂層設計和能力手段建設，對外搶抓網絡空間制空權、規則制定話語權，國家間網絡空間博弈日益激烈，網絡安全問題已經成為影響國家間戰略合作關系走向的焦點之一。

而密碼技術作為黨和國家的“命門”是實現網絡安全的“基因”，是實現可信互聯、安全互通的必要前提，是保障網絡空間安全的核心技術和基礎支撐。作為實現網絡安全最有效、最經濟的手段，互聯網的安全發展需要充分發揮密碼的核心保障能力。商用密碼管理工作作為我國密碼工作的重要組成部分，是構建國家安全法律制度體系、維護國家網絡空間主權安全、推動密碼事業高質量發展的重要舉措。

國家高度重視商用密碼工作。1999 年國務院頒布施行《商用密碼管理條例》，明確對商用密碼的科研、生產、銷售和使用等實施管理。2002 年國家商用密碼辦公室成立，統籌負責全國商用密碼管理工作，主要包括商用密碼法規體系建設、商用密碼標準化體系建設、商用密碼科技創新、商用密碼產業發展和商用密碼應用推進等內容。近年來，在習近平總書記網絡強國戰略思想的指引下，商用密碼實現了跨越式發展，管理體制逐漸建立健全、標準體系逐步完善、科技創新成果不斷涌現、商用密碼產業蓬勃發展。

1.1 政策法規體系不斷完善，密碼管理體制建立健全

我國自1996年確立商用密碼發展戰略以來，堅持以黨管密碼為根本原則，不斷強化商用密碼管理工作規范化，持續完善商用密碼管理政策法規體系，加快構建與商用密碼應用發展相適應的密碼管理體系。目前已初步確立了以《商用密碼管理條例》為核心，《商用密碼科研管理規定》《商用密碼產品生產管理規定》《商用密碼產品使用管理規定》等多部專項管理規定為主要內容的“1+N”商用密碼管理體制，有效保障了商用密碼的健康有序發展。作為我國首部密碼領域的行政法規，《商用密碼管理條例》的頒布施行，極大地推動了我國商用密碼在網絡安全領域從無到有、從初創到規范管理的發展，在黨和國家密碼工作史上具有重大里程碑意義。

2019年10月26日，十三屆全國人大常委會第十四次會議通過《中華人民共和國密碼法》（以下簡稱《密碼法》），習近平主席簽署主席令予以公布，并將于2020年1月1日起正式施行?！睹艽a法》作為我國密碼領域首部國家層面的綜合性、基礎性法律，把密碼工作各領域、各環節、各要素納入法治軌道，大大提升了商用密碼管理科學化、規范化、法制化水平，積極促進了商用密碼事業發展，有力保障了國家網絡和信息安全。《密碼法》的頒布實施， 不僅是完善國家安全法律制度體系、維護國家網絡空間主權的重要舉措，更是黨對密碼工作集中領導的主張上升為國家意志、全面提升密碼工作法治化和現代化建設水平的重要體現。制定和實施密碼法，就是要把密碼應用和管理的基本制度及時上升為法律規范，推動構建以密碼技術為核心、多種技術交叉融合的網絡空間新安全體制。

為落實《密碼法》確立的商用密碼工作新舉措，國家密碼管理局正在組織制修訂包含《商用密碼管理條例》在內的配套法律法規，持續完善商用密碼管理法規體系，以應對商用密碼發展過程中面臨的新挑戰。

1.2 標準體系逐步建立，推動商用密碼規范化管理

經過多方面的努力，我國已形成較為完善的商用密碼標準體系，包括國家標準、行業標準、地方標準、企業標準和團體標準等。其中，商用密碼行業標準體系由基礎類標準、應用類標準、檢測類標準和管理類標準四類標準組成，支撐我國的商用密碼產品研制、應用和管理各個環節。

當前，我國已發布商用密碼相關國家標準29項，行業標準90余項，其中11項已上升為國家標準，覆蓋密碼算法、協議、產品、檢測、應用、管理等各方面，為規范商用密碼管理發揮了重要作用。在密碼應用與安全性評估方面，國家密碼管理局發布了GM/T 0054-2018《信息安全技術 信息系統密碼應用基本要求》，該標準對各級信息系統中密碼的應用提出了具體的要求，是我國當前指導、規范和評估各級信息系統商用密碼應用的標準依據，確保商用密碼合規、正確和有效應用。

此外，為進一步擴大我國密碼技術、產品的影響力，增強我國密碼技術國際競爭力，提升國際話語權，在全國信息安全標準化技術委員會和密碼行業標準技術委員會等相關單位的大力推動下，我國在密碼算法標準國際化進程中也取得重要進展，ZUC算法已經成為3GPP LTE 國際標準，ZUC-256 有望成為5G標準，含有我國SM2、SM9 數字簽名算法的ISO/IEC14888-3/AMD1正式成為ISO/IEC國際標準，SM4算法以補篇形式納入 ISO/IEC18033-3 標準中。

1.3 商用密碼技術實力不斷提升，科技創新成果豐碩

自主創新是我國一貫的基本策略，是商用密碼事業發展的源動力。密碼技術作為保障網絡與信息安全的核心技術，必須實現自主可靠、安全可控。在國家密碼發展基金等國家級科技項目的引導和支持下，我國在序列密碼設計、分組密碼算法設計與分析、密碼雜湊算法分析、密碼協議基礎理論與分析、量子密鑰分配等密碼基礎理論研究方面取得了一系列的創新科研成果。

同時，由我國自主設計的橢圓曲線公鑰密碼算法 SM2、雜湊算法 SM3、分組密碼算法SM4、序列密碼算法ZUC、標識密碼算法 SM9 等已經成為國家標準或密碼行業標準，標志著我國商用密碼算法體系已經基本形成。

1.4 商用密碼產業蓬勃發展，密碼應用初見成效

為滿足網絡空間密碼多樣化應用的實際需求，我國商用密碼產業已取得長足的發展。截至2019年5月，已有1395項商用密碼產品取得了國家密碼管理局審批型號，密碼產品不斷豐富，已形成涵蓋密碼芯片、密碼板卡、密碼系統等較為完整的商用密碼產品供給體系，商用密碼供給質量和服務水平不斷提升，產業支撐能力不斷增強。

隨著我國在金融和重要領域商用密碼應用工作的推進，商用密碼產品應用程度不斷加深，商用密碼產品已廣泛應用到金融和通信、公安、稅務、交通、能源、電子政務等重要領域， 在維護國家網絡與信息安全、保護公民權益等方面發揮了不可替代的作用。如我國商用密碼技術發放的數字證書超過20億張，累計發行支持商用密碼算法的標準金融 IC卡1.2億張，成功換發融合商用密碼技術的二代身份證15億張，部署支持商用密碼算法的智能電表4.47億只，有效發揮了商用密碼的安全保障作用。

1.5 商用密碼檢測認證制度逐步建立，有效支撐商用密碼應用推進工作

為充分落實《密碼法》立法精神，不斷深化商用密碼行政審批制度改革，我國正在積極構建“1+M+N”的商用密碼檢測認證體系，即1家商用密碼認證機構、M 家商用密碼產品檢測機構和 N 家商用密碼應用安全性測評機構。以商用密碼檢測認證體系為抓手，堅持商用密碼應用支撐側雙軌發展，一手抓產品測的質量檢測，一手抓應用測的安全評估，為商用密碼的應用提供科學有效支撐。

在商用密碼檢測認證方面，為充分激發市場活力，有序推進密碼產業的健康發展，《密碼法》通過建設實施商用密碼檢測認證體系重塑密碼產品管理體系，鼓勵商用密碼產品和服務自愿檢測認證，同時對特定范圍的密碼產品進行強制檢測認證，注重“放管服”與保障國家安全的平衡。2020年2月20日，市場監管總局、國家密碼管理局聯合起草了《關于開展商用密碼檢測認證工作的實施意見（征求意見稿）》（以下簡稱《實施意見》）?！秾嵤┮庖姟窂墓ぷ髟瓌t與機制、認證實施和監督管理三方面對商用密碼檢測認證工作提出了具體的實施意見。

在商用密碼應用安全性評估方面，為充分發揮商用密碼在網絡安全中的核心支撐作用，規范重要領域網絡和信息系統商用密碼的應用，《密碼法》規定“法律、行政法規和國家有關規定要求使用商用密碼進行保護的關鍵信息基礎設施，其運營者應當使用商用密碼進行保護，自行或者委托商用密碼檢測機構開展商用密碼應用安全性評估?！?/p>

此外，相關部門正在制定《網絡安全等級保護條例》和《關鍵信息基礎設施保護條例》等政策法規都對商用面應用安全性評估提出了明確的要求，依法合規對網絡和信息系統密碼應用的合規性、正確性和有效性開展安全評估工作，不僅是網絡運營者和主管部門必須履行的責任，還是維護網絡和信息系統面應用安全的客觀要求。目前，國家密碼管理部門已經制定了商用密碼應用安全性評估管理辦法、商用密碼應用安全性測評機構管理辦法等相關規定，對安全評估程序、評估方法、監督管理等進行了明確。

雖然我國商用密碼發展已取得很大成績，但整體仍處于初期發展階段，仍然存在商用密碼管理體制尚不健全、標準體系不完善、安全可控基礎薄弱、產業鏈支撐不足、密碼人才匱乏等突出問題。

在商用密碼管理體制方面，雖然我國已經在《網絡安全法》《密碼法》《網絡安全等級保護條例（征求意見稿）》多部政策法規中明確了商用密碼應用的要求，但是在政策法規的落地實施上仍有待完善，仍然缺乏面向不同行業的商用密碼應用工作開展的指導性文件。根據 2018 年商用密碼應用安全性評估聯合委員會對1萬余個等保三級及以上的信息系統進行普查結果顯示，未使用密碼進行安全防護的信息系統占比高達 75.23%。多數企業不知道密碼技術需要在哪里用、用什么、怎么用。

同時，由于不同行業信息系統的差異化，商用密碼技術的應用場景、應用范圍和管理手段等都不盡相同，對于具體行業來說，缺乏可操作性強的指導性文件，一定程度上制約了商用密碼應用的推廣。在標準規范體系方面，我國在標準領域已取得積極進展，但與國際先進水平相比，標準體系仍不完善。根據2018年商用密碼應用安全性評估聯合委員會對118個大部分已使用密碼技術的重要系統進行抽查，發現85%的系統不符合密碼應用要求，MD5、RSA1024、SHA1 等具有重大安全隱患的算法也仍在大量使用。

我國雖已發布系列密碼算法，但仍然缺少密碼應用方面的相關標準，跨行業制定密碼應用標準難度較大，適用于具體行業的密碼應用標準缺失，較難對商用密碼的應用發展起到積極的促進作用。此外，已發布的相關密標缺少與不斷更新的國際規范對接兼容。例如在 TLS1.2、TLS1.3等常用的主流安全協議中，對于如何使用商用密碼的問題仍不明確，密碼應用不廣泛、不規范等問題突出。

在商用密碼技術自主可控方面，從多邊組織框架下的《瓦森納協議》（The Wassenaar Arrangement,WA ）將密碼技術和產品作為軍民兩用物項對待，對其出口進行嚴格限制，美國《出口管理條例》（Export Administration Regulations, EAR）中規定對高強度密碼出口進行嚴格限制，以及美國《出口管制改革法案》（Export Control Reform Act,ECRA）將量子加密技術和產品納入出口管制目錄等政策法規中可見，先進的密碼技術不僅是出口管制立法的重要支撐因素，還是支撐國家網絡安全自主可控的核心和關鍵。

在密碼算法基礎研究方面，我國密碼技術的研究起步晚、密碼算法基礎薄弱，仍處于“跟跑” 發達國家的階段。在密碼算法實現方面，仍存在密碼芯片等硬件產品被國外廠商壟斷的情況，對國外密碼技術和產品的過度依賴現象嚴重， 商用密碼技術的實現仍存在高性能需求與低效的算法實現之間的矛盾、應用軟件密碼集成門檻高等挑戰，國家網絡安全建設的迫切需求正倒逼密碼技術的發展。

在產業鏈支撐方面，雖然我國已初步建成較為完整的商用密碼產品供給體系，但多數以較為獨立的模塊或產品銷售，存在與具體應用的主流設備和系統融合度不足的問題。當前，密碼算法多以內嵌的形式固化于主流的設備和系統中，算法的選擇和產品實現方式完全依賴于設備生產商，密碼算法與設備和系統的深度耦合不僅制約了密碼算法的選擇，同時增加系統維護難度和成本。

此外，在產業環境角度，我國產業生態環境雖呈現優化趨勢，但仍然缺少具有影響力的權威行業協會或產業聯盟等組織對商用密碼產業發展進行引領，形成企業參與聯盟和協會的熱情雖高，但缺乏一致性目標的“兩張皮”怪圈，導致產業鏈上下游資源凝聚力不足，產業缺乏協同。

在密碼人才方面，密碼人才匱乏已成為制約密碼合規、正確、有效應用的瓶頸。根據數據統計顯示，未來十年我國信息安全人才總需求量為140萬人，而當前僅僅有3萬畢業生，人才缺口高達 98%，而每年培養的密碼學專業人才僅上千人，人才數量與質量、結構比例與市場需求不匹配。通過梳理相關政策法規可見，商用密碼應用指標雖不多，但是與實際業務系統或平臺緊密耦合，不僅涵蓋數據流轉的各個環節，還覆蓋密碼對設備和網絡資產的安全防護，涵蓋密碼算法、密鑰管理、密碼產品、密碼標準等內容，牽涉背景知識較多，對密碼相關網絡安全從業人員的背景知識要求較高。

為充分發揮商用密碼技術的核心支撐作用，貫徹落實網絡安全保護工作，有力保障我國關鍵信息基礎設施安全，仍需加強以下幾方面的工作。

3.1 建立健全密碼管理體制

在國家網絡安全法制建設的總體框架下，建議國家相關密碼管理部門以《密碼法》的出臺為契機，加快密碼領域法律制度的整體規劃和頂層設計，持續推進《商用密碼管理條例》等配套政策法規的制修訂工作，做好《密碼法》與《網絡安全法》《關鍵信息基礎設施安全保護條例（征求意見稿）》《網絡安全等級保護條例（征求意見稿）》的相互銜接，加快構建以《密碼法》為核心的密碼管理法律制度體系，理順體制機制，明確職責任務，狠抓落實，確保各行業密碼管理工作有法可依，有規可循。此外， 為確保《密碼法》的落地實施，有效推進商用密碼的廣泛應用，重要行業應加快行業內商用密碼應用規范及商用密碼應用測評等相關管理要求的制修訂工作。

3.2 持續完善標準化體系建設

在標準化體系建設方面，首先應加快編制并發布面向等保2.0的等級保護對象的商用密碼應用標準，發揮標準化對技術引領、產業發展的重要支撐作用。加快推進行標 GM/T 0054- 2018《信息系統密碼應用基本要求》升國標《信息安全技術信息系統密碼應用基本要求》的進程，做好與網絡安全等級保護、關鍵信息基礎設施安全保護的銜接，為網絡運營者、系統承建者開展系統規劃、系統建設、系統運營中的密碼應用提供重要工作依據。

其次，為更好地適應各行業差異化的安全需求，應聚焦重要行業，明確行業內密碼應用的安全需求，完善密碼應用標準化工作，有效指導各行業開展商用密碼應用工作，充分發揮標準化的基礎性和引領性作用。

最后，持續推進我國自主研發的商用密碼算法標準的國際化進程，擴大我國商用密碼產品和服務的影響力，有效解決商用密碼算法與國際密碼算法的互聯互通問題，增強我國密碼產業國際競爭力，提升我國在密碼標準方面的國際話語權。

3.3 強化密碼技術自主創新

“有備則制人，無備則制于人。”核心技術是國之重器，而在我國部分關鍵領域核心技術受制于人的局面仍未得到根本改變。為盡快扭轉核心技術受制于人的被動局面，需牢牢牽住核心技術自主創新這個“牛鼻子”，加強密碼技術基礎研究，積極開展商用密碼技術創新、加強關鍵核心技術攻關，提升產品性能，促進密碼技術的成果轉化，縮小商用密碼技術與國際主流密碼技術之間的技術差距，切實提升密碼產品服務質量，夯實密碼基礎支撐能力，為貫徹落實等級保護制度提供重要保障和基礎支撐?？芍攸c布局加強面向政務云、面向工業互聯網 / 物聯網等領域的平臺化、開放化密碼管理服務能力建設，以不斷適應網絡信息技術萬物互聯、智能化的趨勢。

3.4 優化商用密碼產業生態環境

商用密碼產業發展是商用密碼服務國家安全戰略的內在需求，是實現商用密碼自主創新成果轉化運用的必由之路。建議以重大工程、重大專項等為牽引，搭建商用密碼協同創新大平臺，統籌利用政、產、學、研、用等各類資源，促進政府、企業、高校、科研院所、商用密碼產品生產商等不同社會分工部門圍繞密碼學術研究、商用密碼產品研發、商用密碼應用推進等內容突破原有的界限壁壘，實現人才、知識、技術、資本等各類創新要素的優勢互補和深度耦合，統籌推動商用密碼基礎理論研究、標準化推進、產業鏈融合、檢測認證同步實施，促進商用密碼產業多樣化、全覆蓋發展，打造商用密碼發展新業態。

此外，可選擇密碼應用基礎牢固、產業鏈條成熟、聚集效應明顯的地區建設商用密碼應用示范基地和平臺，圍繞密碼應用技術研發、應用示范、產融合作、人才培養等關鍵環節，探索產業發展創新路徑，促進產業聚集發展，發揮先行先試和示范帶動作用。

3.5 著力完善人才培養機制

學科是知識體系的載體，專業是人才培養的平臺。為解決密碼人才的巨大缺口，需盡快完善密碼人才培養的頂層設計和戰略規劃，確立以實現國家安全戰略為密碼人才培養目標，建立政治素養過硬、專業基礎扎實、實踐能力強的密碼人才隊伍。同時，強化密碼專業學科和師資隊伍建設，強化密碼學科建設。

此外，積極探索產學研協作創新培養模式，鼓勵通過校企合作構建創新基地合作提升網絡安全教育培養質量，夯實網絡安全工作的基礎。加快網絡安全人才與創新基地建設，盡快形成校企合作的持續培養機制，推動網絡安全高層次人才隊伍不斷壯大。

當前，我們正處在百年不遇之大變局中，隨著新一輪科技革命和產業革命全球化進程加速演進過程中，密碼必將以前所未有的廣泛影響力，深度融入大國博弈的各個主戰場，商用密碼管理工作任重道遠。作為黨的密碼事業90年發展的成果積淀，《密碼法》的出臺，實現了密碼工作管理的改革重塑。我們應以《密碼法》的實施為契機，不斷進取、開拓創新，推動實現商用密碼管理工作新作為，創建網絡安全新環境，構建以密碼為核心技術和基礎支撐的網絡安全保障體系。

來源：信息安全與通信保密雜志社