密码工作直接关系国家政治安全、经济安全、国防安全和网络安全,直接关系社会组织和公民个人的合法权益。商用密码工作是我国密码工作的重要组成部分。商用密码是用于保护不属于国家秘密信息的一类密码。大力发展和严格管理商用密码,既是维护国家网络空间安全的需要,也是保护各类经济组织的利益和安全、保护公民个人合法权益和安全的需要。
一、商用密码伴随信息化发展应运而生
随着我国改革开放的不断深入和社会主义市场经济体制的逐步建立,国家信息化进程不断加快,国家经济、管理、社会事务以及公民个人信息在存储和传输过程中的安全问题日益突出,使用商用密码保护非国家秘密信息的需求越来越强烈。
1996年7月,中共中央政治局常委会议研究决定在我国大力发展商用密码并加强对商用密码的管理,中央办公厅印发《关于发展商用密码和加强对商用密码管理工作的通知》,确定了“统一领导、集中管理、定点研制、专控经营、满足使用”的商用密码发展和管理方针。经过数年的探索和准备,1999年10月7日,《商用密码管理条例》正式由国务院颁布施行,将党中央、国务院关于商用密码工作的一系列方针、政策和原则以国家行政法规的形式确定下来。这是我国密码领域第一个行政法规,标志着我国商用密码的发展和管理从此走上了法治化的轨道。2003年9月,中办国办联合印发《关于加强信息安全保障工作的意见》,第一次明确了密码在信息安全保障工作中的基础性地位和关键作用。
经过20多年的发展,我国商用密码在信息安全领域的应用从无到有,从初创到规范管理乃至成为国家安全保障体系中的关键部分,商用密码已经应用到社会生产生活的各个方面,在网络和信息安全中发挥着越来越重要的基础支撑作用。
二、十八大以来,商用密码实现跨越式发展
党的十八大以来,在习近平总书记网络强国战略思想指引下,商用密码实现了跨越式发展,管理体制不断完善,科技创新能力不断增强,形成了较完整的产业链条和产品体系,在金融和教育、社保、交通、通信、能源、税收、公共安全、国防工业等重要领域得到广泛应用。
一是法规和标准体系逐步建立,规范化管理水平显著提高。依据《商用密码管理条例》,先后制定发布了商用密码科研、生产、销售、使用、进出口等管理规定,初步确立了以《商用密码管理条例》为基础的法规体系,建立了与国家治理体系和治理能力现代化相适应的商用密码管理体制机制,有效保障了商用密码的健康有序发展。2017年,《密码法》面向社会公开征求意见,密码工作法治化进程走上了快车道。《密码法》已列入国务院和全国人大2018年立法工作计划,作为统领全国密码工作的国家层面综合性法律,《密码法》的出台将填补密码领域的法律空白,推动密码在网络安全与信息化发展中发挥更大作用。
经国标委批准,2011年成立了密码行业标准化技术委员会。目前,已发布商用密码行业标准76项,基本涵盖了基础和急需的标准,覆盖了密码算法、产品、技术、检测、应用指南等方面,标准体系、标准结构不断完善,标准影响力不断增强,在推动金融和重要领域密码应用、规范商用密码管理等方面发挥了重要作用。我国自主设计的椭圆曲线公钥密码算法SM2、密码杂凑算法SM3、分组密码算法SM4、序列密码算法祖冲之(ZUC)、标识密码算法SM9等已成为国家标准,ZUC算法已成为4G通信LTE国际标准算法,并且正在推进新一代ZUC算法成为5G通信国际候选标准;SM2和SM9数字签名算法已成为ISO/IEC国际标准。
二是科技创新成果丰硕,网络安全基础支撑能力大幅提升。近年来,商用密码科技创新成果丰硕,技术实力不断提升。在国家密码发展基金等资助的国家级科技项目引导和支持下,商用密码基础理论研究取得了一系列原创性科研成果。在序列密码设计、分组密码算法设计与分析、密码杂凑算法分析、密码协议基础理论与分析、量子密钥分配等密码基础理论研究方面取得了许多原创性高水平成果,标志着我国密码学术研究在某些细分方向上已跻身于世界领先行列。特别是王小云院士提出的密码哈希函数碰撞攻击理论,破解了包括MD5、SHA-1在内的5个国际通用哈希函数算法,引起国际密码界震动。密码芯片设计、侧信道分析等一批密码核心关键技术取得重要突破。商用密码对信息安全的支撑能力显著增强。126项商用密码科技成果获得了国家及省部级科技进步奖励,其中国家级一等奖1项,二等奖4项;省部级一等奖14项,二等奖45项,十余项成果达到国际先进水平。
在商用密码检测方面,通过创新发展,检测基础理论和应用技术取得了多项具有国际先进水平的研究成果,申报发明专利近50项,其中10项已获授权;取得软件著作权17项;获得国家技术发明二等奖1项、国家科技进步奖二等奖2项、省部级科技进步奖10余项,具备了对全系列商用密码产品密码功能及安全性实施检测的能力。
三是产业发展日益繁荣,应用领域进一步拓宽。已有2200多款商用密码产品取得了国家密码管理局审批型号,密码芯片达110款,一些产品填补了国内空白,部分产品在性能指标、安全防护能力等方面达到国际先进水平或处于国际领先水平,实现了从少到多、从多到优的跨越,已基本形成种类丰富、链条完整、安全适用的商用密码产品体系和产业体系。截止到2017年9月22日商用密码从业单位行政许可取消前,商用密码产品生产单位达到736家,销售许可单位975家,形成了分布合理、竞争有序、创新力强的商用密码产业队伍。2017年,商用密码产品销售13.2亿台套,销售额239.3亿元。基于SM2算法构建了以国家电子认证根CA为认证源点、辐射全国各地区各行业、连接上亿用户的电子认证服务体系,为全国电子认证可信互认、互联互通提供了基础支撑。
深入贯彻落实中央领导同志关于密码应用推进工作重要指示批示要求,着力推进建立健全网络和信息系统密码保障体系,在多领域、多行业有序组织开展密码应用试点,协调加强试点政策资金扶持,促进政府、行业、产业和科研机构间的广泛合作,加强关键技术指导和政策把握,逐步积累密码应用推进经验。目前,商用密码在一大批涉及国计民生和基础信息资源的重要信息系统得到全面深入应用,在金融领域,累计发行支持商用密码算法的金融IC卡已超2.93亿张,使用商用密码的第二代居民身份证已成功换发15亿张,国家电力信息系统、社会保障信息系统、全国中小学学籍管理系统等,都应用商用密码技术构建了密码保障体系,有效保障了国家网络与信息安全。商用密码还走出国门,出口到数十个国家和地区,积极服务“一带一路”建设,为更多国家和地区提供密码安全服务。
四是行政体制改革持续深化,服务能力不断增强。按照国务院工作部署和要求,深入推进密码管理“放管服”和行政审批制度改革,取消了50%的行政审批事项,取消了全部中介服务事项,真正做到审批更简、服务更优。通过简政放权、降低准入门槛,促进了公平竞争,减轻了企业负担,营造了高效便利的环境。加强事中事后监管,自2013年起联合有关部门对重点用户开展网络安全检查;自2016年起按照“双随机、一公开”要求,对商用密码行政许可事项进行随机抽查,逐步构建起了信用监管体系。2016、2017两年共组织抽查了57家商用密码产品生产定点单位、67家销售许可单位和100款商用密码产品,合格率分别为89.47%、97.01%和92%。事中事后监管的加强,增强了市场主体遵守密码管理法律法规的自觉性,对违法违规企业形成了有效震慑。
为更好地服务社会公众,国家密码管理局门户网站于2017年6月1日正式上线运行。网站提供及时全面的信息服务,是宣传密码政策法规、普及密码知识、促进广泛应用的重要渠道,也是社会公众了解商用密码的重要途径,在促进政务公开、推进依法行政、接受公众监督等方面将发挥更好作用。2017年10月,党的十九大胜利召开前夕,国家密码管理局组织编写了《商用密码知识与政策干部读本》,由人民出版社出版发行,该书全面介绍了商用密码发展形势与任务、基础知识、管理政策和应用案例等内容,为广大干部群众学习商用密码知识与政策法规提供了重要辅助材料,有效提升了商用密码的社会影响力。
三、新时代对商用密码发展提出了新要求
随着科技进步的日新月异和国际竞争的日趋激烈,网络安全和信息化整体水平已成为一个国家综合国力和竞争力的重要标志,密码技术作为国家自主可控的核心技术,在维护国家安全、促进经济发展、保护人民群众利益中发挥着越来越重要的作用。党的十九大部署的社会主义现代化建设的各项任务,对商用密码的发展提出了更高的要求。为适应国家安全环境的深刻变化,落实党的十九大作出的战略部署,贯彻落实总体国家安全观和网络强国战略,满足人民群众对美好生活的需要,发挥密码在构建网络信任体系、提升国家治理能力现代化中的重要作用,商用密码工作必须始终坚持以习近平新时代中国特色社会主义思想指导,进一步强化法治化、科学化、规范化管理,进一步强化自主创新,进一步健全市场体系。我国商用密码在新的历史起点上,必将迎来更加广阔的发展空间。
一是商用密码应用将无处不在。随着云计算、物联网、大数据、人工智能等新技术的发展,尤其是“互联网+”的出现,保障安全成为信息产品和信息服务的基本需求,密码技术作为不可或缺的重要手段,密码应用将不断深入和拓展。
二是商用密码产业将强势发展。随着应用需求的日益旺盛,商用密码产业将形成自主可控的完整产业链以及良性生态环境,产业整体实力将显著增强,将出现一批具有较大产业规模和市场竞争力的商用密码领军企业,影响并引领商用密码产业强势发展。
三是商用密码科技创新能力将显著提升。突破一批商用密码重大基础理论和关键核心技术,在新型密码算法、量子密码、生物密码、可信计算、区块链等领域以及云计算和大数据环境下的密钥管理技术、与生物特征相融合的密钥管理技术、数据安全管理和使用技术、网络身份管理技术等关键技术方面达到国际先进水平。
四是密码标准体系将更加健全。加速编制一批基础共性、重点应用、关键技术标准,有力支持国内重要领域密码应用。全面建成科学先进的密码标准体系和检测体系,建成完备的密码标准评估与验证环境。
五是商用密码管理将更加科学规范。《密码法》的颁布实施以及《商用密码管理条例》的修订出台,必将使商用密码法律法规体系更加系统、完善、合理,为商用密码管理的规范化和科学化注入新鲜动力。商用密码管理体制将更加科学合理,依法管理能力将进一步提高。
六是商用密码应用安全性评估将更加有力。培育一批素质高、能力强、人才精的测评队伍,形成标准完善、工具齐备、方法科学的测评体系。随着密码法、网络安全等级保护条例的出台实施,商用密码应用安全性评估作为重要信息系统、关键信息基础设施、政务信息系统立项、建设、运行的重要基础,将发挥越来越强有力的保障作用,确保密码使用的合规性、正确性、有效性,助力构建坚实可靠的密码安全防线。
七是商用密码支撑体系将更加完善。在金融等重要领域,通信、能源、资源、交通等基础设施网络,新兴产业和数字经济,政务系统和信息惠民工程中,将构建起以密码为核心技术、底层支撑和信任基础的新网络安全体系、新网络安全环境、新网络安全文明。
随着密码技术的飞速发展,随着金融和重要领域密码应用的深入推进和国际化拓展,以及新技术新应用新业态的不断涌现,商用密码迎来了大有可为的发展机遇期。在习近平新时代中国特色社会主义思想指引下,我国商用密码必将迎来更加璀璨的明天。
(本文刊登于《中国信息安全》杂志2018年第8期)
展开全文
- 移动支付网 | 2022/8/18 17:18:49
- 移动支付网 | 2021/10/25 15:14:33
- 移动支付网 | 2020/8/24 9:26:03
- 移动支付网 | 2020/7/31 9:36:07
- 国家密码管理局网站 | 2020/4/26 14:37:14
- 移动支付网 | 2020/4/9 10:48:10
- 移动支付网 | 2019/12/31 12:56:28
- 新华社 | 2019/10/28 19:57:24
- 炼石网络 | 2019/1/21 14:35:56
- 移动支付网 | 2018/11/2 20:23:54
- 移动支付网 | 2018/5/8 11:59:20
- 国家密码局 | 2017/10/20 10:54:59
- 移动支付网 | 2017/10/12 21:13:50
- 移动支付网 | 2021/10/26 16:05:07
- 移动支付网 | 2021/10/26 11:01:59