我国商用密码管理现状与发展对策建议
2021-10-30
来源:信息安全与通信保密杂志社
随着信息技术日新月异的发展,网络环境日益复杂、安全形势瞬息万变,网络安全威胁的范围和内涵不断扩大和演化,我国面临的网络安全挑战日趋严峻。“没有网络安全就没有国家安全”,商用密码技术作为实现网络安全的核心技术,在网络安全防护工作中发挥着重要的基础支撑作用。聚焦我国商用密码管理现状,围绕政策法规、标准规范、技术实力、产业发展等内容进行研究,分析我国商用密码管理工作中的挑战,并提出相应的建议与举措,为商用密码管理工作提供了有益参考。
0 引 言
近年来,网络空间作为国家发展的重要战略资源,已成为影响国家间竞合关系的重要领域以及大国博弈的重要战场。部分国家将网络安全作为谋求国家战略优势的重要抓手,对内不断加强顶层设计和能力手段建设,对外抢抓网络空间制空权、规则制定话语权,国家间网络空间博弈日益激烈,网络安全问题已经成为影响国家间战略合作关系走向的焦点之一。
而密码技术作为党和国家的“命门”是实现网络安全的“基因”,是实现可信互联、安全互通的必要前提,是保障网络空间安全的核心技术和基础支撑。作为实现网络安全最有效、最经济的手段,互联网的安全发展需要充分发挥密码的核心保障能力。商用密码管理工作作为我国密码工作的重要组成部分,是构建国家安全法律制度体系、维护国家网络空间主权安全、推动密码事业高质量发展的重要举措。
1 商用密码管理现状
国家高度重视商用密码工作。1999 年国务院颁布施行《商用密码管理条例》,明确对商用密码的科研、生产、销售和使用等实施管理。2002 年国家商用密码办公室成立,统筹负责全国商用密码管理工作,主要包括商用密码法规体系建设、商用密码标准化体系建设、商用密码科技创新、商用密码产业发展和商用密码应用推进等内容。近年来,在习近平总书记网络强国战略思想的指引下,商用密码实现了跨越式发展,管理体制逐渐建立健全、标准体系逐步完善、科技创新成果不断涌现、商用密码产业蓬勃发展。
1.1 政策法规体系不断完善,密码管理体制建立健全
我国自1996年确立商用密码发展战略以来,坚持以党管密码为根本原则,不断强化商用密码管理工作规范化,持续完善商用密码管理政策法规体系,加快构建与商用密码应用发展相适应的密码管理体系。目前已初步确立了以《商用密码管理条例》为核心,《商用密码科研管理规定》《商用密码产品生产管理规定》《商用密码产品使用管理规定》等多部专项管理规定为主要内容的“1+N”商用密码管理体制,有效保障了商用密码的健康有序发展。作为我国首部密码领域的行政法规,《商用密码管理条例》的颁布施行,极大地推动了我国商用密码在网络安全领域从无到有、从初创到规范管理的发展,在党和国家密码工作史上具有重大里程碑意义。
2019年10月26日,十三届全国人大常委会第十四次会议通过《中华人民共和国密码法》(以下简称《密码法》),习近平主席签署主席令予以公布,并将于2020年1月1日起正式施行。《密码法》作为我国密码领域首部国家层面的综合性、基础性法律,把密码工作各领域、各环节、各要素纳入法治轨道,大大提升了商用密码管理科学化、规范化、法制化水平,积极促进了商用密码事业发展,有力保障了国家网络和信息安全。《密码法》的颁布实施, 不仅是完善国家安全法律制度体系、维护国家网络空间主权的重要举措,更是党对密码工作集中领导的主张上升为国家意志、全面提升密码工作法治化和现代化建设水平的重要体现。制定和实施密码法,就是要把密码应用和管理的基本制度及时上升为法律规范,推动构建以密码技术为核心、多种技术交叉融合的网络空间新安全体制。
为落实《密码法》确立的商用密码工作新举措,国家密码管理局正在组织制修订包含《商用密码管理条例》在内的配套法律法规,持续完善商用密码管理法规体系,以应对商用密码发展过程中面临的新挑战。
1.2 标准体系逐步建立,推动商用密码规范化管理
经过多方面的努力,我国已形成较为完善的商用密码标准体系,包括国家标准、行业标准、地方标准、企业标准和团体标准等。其中,商用密码行业标准体系由基础类标准、应用类标准、检测类标准和管理类标准四类标准组成,支撑我国的商用密码产品研制、应用和管理各个环节。
当前,我国已发布商用密码相关国家标准29项,行业标准90余项,其中11项已上升为国家标准,覆盖密码算法、协议、产品、检测、应用、管理等各方面,为规范商用密码管理发挥了重要作用。在密码应用与安全性评估方面,国家密码管理局发布了GM/T 0054-2018《信息安全技术 信息系统密码应用基本要求》,该标准对各级信息系统中密码的应用提出了具体的要求,是我国当前指导、规范和评估各级信息系统商用密码应用的标准依据,确保商用密码合规、正确和有效应用。
此外,为进一步扩大我国密码技术、产品的影响力,增强我国密码技术国际竞争力,提升国际话语权,在全国信息安全标准化技术委员会和密码行业标准技术委员会等相关单位的大力推动下,我国在密码算法标准国际化进程中也取得重要进展,ZUC算法已经成为3GPP LTE 国际标准,ZUC-256 有望成为5G标准,含有我国SM2、SM9 数字签名算法的ISO/IEC14888-3/AMD1正式成为ISO/IEC国际标准,SM4算法以补篇形式纳入 ISO/IEC18033-3 标准中。
1.3 商用密码技术实力不断提升,科技创新成果丰硕
自主创新是我国一贯的基本策略,是商用密码事业发展的源动力。密码技术作为保障网络与信息安全的核心技术,必须实现自主可靠、安全可控。在国家密码发展基金等国家级科技项目的引导和支持下,我国在序列密码设计、分组密码算法设计与分析、密码杂凑算法分析、密码协议基础理论与分析、量子密钥分配等密码基础理论研究方面取得了一系列的创新科研成果。
同时,由我国自主设计的椭圆曲线公钥密码算法 SM2、杂凑算法 SM3、分组密码算法SM4、序列密码算法ZUC、标识密码算法 SM9 等已经成为国家标准或密码行业标准,标志着我国商用密码算法体系已经基本形成。
1.4 商用密码产业蓬勃发展,密码应用初见成效
为满足网络空间密码多样化应用的实际需求,我国商用密码产业已取得长足的发展。截至2019年5月,已有1395项商用密码产品取得了国家密码管理局审批型号,密码产品不断丰富,已形成涵盖密码芯片、密码板卡、密码系统等较为完整的商用密码产品供给体系,商用密码供给质量和服务水平不断提升,产业支撑能力不断增强。
随着我国在金融和重要领域商用密码应用工作的推进,商用密码产品应用程度不断加深,商用密码产品已广泛应用到金融和通信、公安、税务、交通、能源、电子政务等重要领域, 在维护国家网络与信息安全、保护公民权益等方面发挥了不可替代的作用。如我国商用密码技术发放的数字证书超过20亿张,累计发行支持商用密码算法的标准金融 IC卡1.2亿张,成功换发融合商用密码技术的二代身份证15亿张,部署支持商用密码算法的智能电表4.47亿只,有效发挥了商用密码的安全保障作用。
1.5 商用密码检测认证制度逐步建立,有效支撑商用密码应用推进工作
为充分落实《密码法》立法精神,不断深化商用密码行政审批制度改革,我国正在积极构建“1+M+N”的商用密码检测认证体系,即1家商用密码认证机构、M 家商用密码产品检测机构和 N 家商用密码应用安全性测评机构。以商用密码检测认证体系为抓手,坚持商用密码应用支撑侧双轨发展,一手抓产品测的质量检测,一手抓应用测的安全评估,为商用密码的应用提供科学有效支撑。
在商用密码检测认证方面,为充分激发市场活力,有序推进密码产业的健康发展,《密码法》通过建设实施商用密码检测认证体系重塑密码产品管理体系,鼓励商用密码产品和服务自愿检测认证,同时对特定范围的密码产品进行强制检测认证,注重“放管服”与保障国家安全的平衡。2020年2月20日,市场监管总局、国家密码管理局联合起草了《关于开展商用密码检测认证工作的实施意见(征求意见稿)》(以下简称《实施意见》)。《实施意见》从工作原则与机制、认证实施和监督管理三方面对商用密码检测认证工作提出了具体的实施意见。
在商用密码应用安全性评估方面,为充分发挥商用密码在网络安全中的核心支撑作用,规范重要领域网络和信息系统商用密码的应用,《密码法》规定“法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码进行保护,自行或者委托商用密码检测机构开展商用密码应用安全性评估。”
此外,相关部门正在制定《网络安全等级保护条例》和《关键信息基础设施保护条例》等政策法规都对商用面应用安全性评估提出了明确的要求,依法合规对网络和信息系统密码应用的合规性、正确性和有效性开展安全评估工作,不仅是网络运营者和主管部门必须履行的责任,还是维护网络和信息系统面应用安全的客观要求。目前,国家密码管理部门已经制定了商用密码应用安全性评估管理办法、商用密码应用安全性测评机构管理办法等相关规定,对安全评估程序、评估方法、监督管理等进行了明确。
2 商用密码管理工作所面临的挑战
虽然我国商用密码发展已取得很大成绩,但整体仍处于初期发展阶段,仍然存在商用密码管理体制尚不健全、标准体系不完善、安全可控基础薄弱、产业链支撑不足、密码人才匮乏等突出问题。
在商用密码管理体制方面,虽然我国已经在《网络安全法》《密码法》《网络安全等级保护条例(征求意见稿)》多部政策法规中明确了商用密码应用的要求,但是在政策法规的落地实施上仍有待完善,仍然缺乏面向不同行业的商用密码应用工作开展的指导性文件。根据 2018 年商用密码应用安全性评估联合委员会对1万余个等保三级及以上的信息系统进行普查结果显示,未使用密码进行安全防护的信息系统占比高达 75.23%。多数企业不知道密码技术需要在哪里用、用什么、怎么用。
同时,由于不同行业信息系统的差异化,商用密码技术的应用场景、应用范围和管理手段等都不尽相同,对于具体行业来说,缺乏可操作性强的指导性文件,一定程度上制约了商用密码应用的推广。在标准规范体系方面,我国在标准领域已取得积极进展,但与国际先进水平相比,标准体系仍不完善。根据2018年商用密码应用安全性评估联合委员会对118个大部分已使用密码技术的重要系统进行抽查,发现85%的系统不符合密码应用要求,MD5、RSA1024、SHA1 等具有重大安全隐患的算法也仍在大量使用。
我国虽已发布系列密码算法,但仍然缺少密码应用方面的相关标准,跨行业制定密码应用标准难度较大,适用于具体行业的密码应用标准缺失,较难对商用密码的应用发展起到积极的促进作用。此外,已发布的相关密标缺少与不断更新的国际规范对接兼容。例如在 TLS1.2、TLS1.3等常用的主流安全协议中,对于如何使用商用密码的问题仍不明确,密码应用不广泛、不规范等问题突出。
在商用密码技术自主可控方面,从多边组织框架下的《瓦森纳协议》(The Wassenaar Arrangement,WA )将密码技术和产品作为军民两用物项对待,对其出口进行严格限制,美国《出口管理条例》(Export Administration Regulations, EAR)中规定对高强度密码出口进行严格限制,以及美国《出口管制改革法案》(Export Control Reform Act,ECRA)将量子加密技术和产品纳入出口管制目录等政策法规中可见,先进的密码技术不仅是出口管制立法的重要支撑因素,还是支撑国家网络安全自主可控的核心和关键。
在密码算法基础研究方面,我国密码技术的研究起步晚、密码算法基础薄弱,仍处于“跟跑” 发达国家的阶段。在密码算法实现方面,仍存在密码芯片等硬件产品被国外厂商垄断的情况,对国外密码技术和产品的过度依赖现象严重, 商用密码技术的实现仍存在高性能需求与低效的算法实现之间的矛盾、应用软件密码集成门槛高等挑战,国家网络安全建设的迫切需求正倒逼密码技术的发展。
在产业链支撑方面,虽然我国已初步建成较为完整的商用密码产品供给体系,但多数以较为独立的模块或产品销售,存在与具体应用的主流设备和系统融合度不足的问题。当前,密码算法多以内嵌的形式固化于主流的设备和系统中,算法的选择和产品实现方式完全依赖于设备生产商,密码算法与设备和系统的深度耦合不仅制约了密码算法的选择,同时增加系统维护难度和成本。
此外,在产业环境角度,我国产业生态环境虽呈现优化趋势,但仍然缺少具有影响力的权威行业协会或产业联盟等组织对商用密码产业发展进行引领,形成企业参与联盟和协会的热情虽高,但缺乏一致性目标的“两张皮”怪圈,导致产业链上下游资源凝聚力不足,产业缺乏协同。
在密码人才方面,密码人才匮乏已成为制约密码合规、正确、有效应用的瓶颈。根据数据统计显示,未来十年我国信息安全人才总需求量为140万人,而当前仅仅有3万毕业生,人才缺口高达 98%,而每年培养的密码学专业人才仅上千人,人才数量与质量、结构比例与市场需求不匹配。通过梳理相关政策法规可见,商用密码应用指标虽不多,但是与实际业务系统或平台紧密耦合,不仅涵盖数据流转的各个环节,还覆盖密码对设备和网络资产的安全防护,涵盖密码算法、密钥管理、密码产品、密码标准等内容,牵涉背景知识较多,对密码相关网络安全从业人员的背景知识要求较高。
3 对我国商用密码管理的建议
为充分发挥商用密码技术的核心支撑作用,贯彻落实网络安全保护工作,有力保障我国关键信息基础设施安全,仍需加强以下几方面的工作。
3.1 建立健全密码管理体制
在国家网络安全法制建设的总体框架下,建议国家相关密码管理部门以《密码法》的出台为契机,加快密码领域法律制度的整体规划和顶层设计,持续推进《商用密码管理条例》等配套政策法规的制修订工作,做好《密码法》与《网络安全法》《关键信息基础设施安全保护条例(征求意见稿)》《网络安全等级保护条例(征求意见稿)》的相互衔接,加快构建以《密码法》为核心的密码管理法律制度体系,理顺体制机制,明确职责任务,狠抓落实,确保各行业密码管理工作有法可依,有规可循。此外, 为确保《密码法》的落地实施,有效推进商用密码的广泛应用,重要行业应加快行业内商用密码应用规范及商用密码应用测评等相关管理要求的制修订工作。
3.2 持续完善标准化体系建设
在标准化体系建设方面,首先应加快编制并发布面向等保2.0的等级保护对象的商用密码应用标准,发挥标准化对技术引领、产业发展的重要支撑作用。加快推进行标 GM/T 0054- 2018《信息系统密码应用基本要求》升国标《信息安全技术信息系统密码应用基本要求》的进程,做好与网络安全等级保护、关键信息基础设施安全保护的衔接,为网络运营者、系统承建者开展系统规划、系统建设、系统运营中的密码应用提供重要工作依据。
其次,为更好地适应各行业差异化的安全需求,应聚焦重要行业,明确行业内密码应用的安全需求,完善密码应用标准化工作,有效指导各行业开展商用密码应用工作,充分发挥标准化的基础性和引领性作用。
最后,持续推进我国自主研发的商用密码算法标准的国际化进程,扩大我国商用密码产品和服务的影响力,有效解决商用密码算法与国际密码算法的互联互通问题,增强我国密码产业国际竞争力,提升我国在密码标准方面的国际话语权。
3.3 强化密码技术自主创新
“有备则制人,无备则制于人。”核心技术是国之重器,而在我国部分关键领域核心技术受制于人的局面仍未得到根本改变。为尽快扭转核心技术受制于人的被动局面,需牢牢牵住核心技术自主创新这个“牛鼻子”,加强密码技术基础研究,积极开展商用密码技术创新、加强关键核心技术攻关,提升产品性能,促进密码技术的成果转化,缩小商用密码技术与国际主流密码技术之间的技术差距,切实提升密码产品服务质量,夯实密码基础支撑能力,为贯彻落实等级保护制度提供重要保障和基础支撑。可重点布局加强面向政务云、面向工业互联网 / 物联网等领域的平台化、开放化密码管理服务能力建设,以不断适应网络信息技术万物互联、智能化的趋势。
3.4 优化商用密码产业生态环境
商用密码产业发展是商用密码服务国家安全战略的内在需求,是实现商用密码自主创新成果转化运用的必由之路。建议以重大工程、重大专项等为牵引,搭建商用密码协同创新大平台,统筹利用政、产、学、研、用等各类资源,促进政府、企业、高校、科研院所、商用密码产品生产商等不同社会分工部门围绕密码学术研究、商用密码产品研发、商用密码应用推进等内容突破原有的界限壁垒,实现人才、知识、技术、资本等各类创新要素的优势互补和深度耦合,统筹推动商用密码基础理论研究、标准化推进、产业链融合、检测认证同步实施,促进商用密码产业多样化、全覆盖发展,打造商用密码发展新业态。
此外,可选择密码应用基础牢固、产业链条成熟、聚集效应明显的地区建设商用密码应用示范基地和平台,围绕密码应用技术研发、应用示范、产融合作、人才培养等关键环节,探索产业发展创新路径,促进产业聚集发展,发挥先行先试和示范带动作用。
3.5 着力完善人才培养机制
学科是知识体系的载体,专业是人才培养的平台。为解决密码人才的巨大缺口,需尽快完善密码人才培养的顶层设计和战略规划,确立以实现国家安全战略为密码人才培养目标,建立政治素养过硬、专业基础扎实、实践能力强的密码人才队伍。同时,强化密码专业学科和师资队伍建设,强化密码学科建设。
此外,积极探索产学研协作创新培养模式,鼓励通过校企合作构建创新基地合作提升网络安全教育培养质量,夯实网络安全工作的基础。加快网络安全人才与创新基地建设,尽快形成校企合作的持续培养机制,推动网络安全高层次人才队伍不断壮大。
4 结 语
当前,我们正处在百年不遇之大变局中,随着新一轮科技革命和产业革命全球化进程加速演进过程中,密码必将以前所未有的广泛影响力,深度融入大国博弈的各个主战场,商用密码管理工作任重道远。作为党的密码事业90年发展的成果积淀,《密码法》的出台,实现了密码工作管理的改革重塑。我们应以《密码法》的实施为契机,不断进取、开拓创新,推动实现商用密码管理工作新作为,创建网络安全新环境,构建以密码为核心技术和基础支撑的网络安全保障体系。