您当前的位置:主页 > 动态要闻 > 商密动态 >
国家商密办赵丹:构建网络与信息安全商用密码保障体系
日期:2016-09-08 15:45   点击次数:
    商用密码是指对不涉及国家秘密的信息与网络进行加密保护或者安全认证所使用的密码。1999年10月7日,国务院颁布施行《商用密码管理条例》(国务院令第273号),标志着我国商用密码正式迈上了依法管理的轨道。十多年来,商用密码从无到有,从弱到强,取得了丰硕成果。尤其是十八大以来,商用密码进入快速发展期,为保障我国网络与信息安全作出了重要贡献,也走出了一条具有中国特色的商用密码发展路子。

厚积薄发,商用密码发展成绩斐然

    商用密码的发展历程,可以说是中国信息技术产业蓬勃发展的历史缩影。通过筚路蓝缕的创业、栉风沐雨的开拓、薪火相传的积累,商用密码在依法管理、技术创新、产业发展等方面成绩斐然,基本满足了国民经济和社会发展对商用密码的应用需求。

   第一,贯彻依法治国基本方略,逐步规范商用密码管理政策。

    逐步规范商用密码管理政策,既是全面贯彻落实依法治国基本方略的客观需要,也是保障商用密码事业持续健康快速发展的必然要求。
    一是初步建成商用密码管理法规体系。《商用密码管理条例》是商用密码管理的基本遵循,共分总则,科研、生产管理,销售管理,使用管理,安全、保密管理,罚则,附则等7章,计27条。依据《商用密码管理条例》确立的国家对商用密码科研、生产、销售和使用实行专控管理的基本原则,国家密码管理局又先后制定出台《商用密码科研管理规定》《商用密码产品生产管理规定》《商用密码产品销售管理规定》《商用密码产品使用管理规定》《境外组织和个人在华使用商用密码产品管理办法》《电子认证服务密码管理办法》等专项管理规定,共同形成商用密码管理法规体系。
    二是清理规范行政审批事项成效显著。根据国务院推进政府职能转变和深化行政审批制度改革的部署要求,取消了“商用密码科研单位审批”行政许可,以及“电子政务电子认证基础设施安全性审查”非行政许可审批事项;取消了商用密码产品生产单位财务审计、商用密码产品质量检测机构实验室认可、商用密码产品例行试验和环境适应性报告编制等3项行政审批中介服务事项;将商用密码产品检测、商用密码出口型产品检测、电子认证服务系统互联互通测试、机房屏蔽效能检测等4项中介服务事项调整为审批部门委托有关机构开展的技术性服务。近期,上网公布了《国家密码管理局行政审批事项公开目录》,以及商用密码科研成果审查鉴定、商用密码产品生产单位审批、商用密码产品品种和型号审批、商用密码产品质量检测机构审批、商用密码产品销售单位许可、密码产品和含有密码技术的设备进口许可、商用密码产品出口许可、外商投资企业使用境外密码产品审批、境外组织和个人在华使用密码产品或者含有密码技术的设备审批、电子认证服务使用密码许可等10项行政许可事项的服务指南,明确了统一的行政审批文书和办理时限。“信息安全等级保护商用密码测评机构审批”和“电子政务电子认证服务机构认定”两项非行政许可审批事项正在履行新设行政许可程序。
   三是推动《密码法》列入国务院2016年立法工作计划。贯彻落实党中央、国务院全面深化改革和全面依法治国战略部署,推动《密码法》列入国务院2016年立法工作计划。《密码法》是密码领域的综合性法律,而《商用密码管理条例》是专门规范商用密码管理的行政法规,两者在立法主体、立法程序、效力等级、适用范围、主要内容等方面都存在不同。《密码法》的颁布实施,将为商用密码科学化、规范化管理提供更为坚实的法律依据。

   第二,秉承自主创新理念,不断推进商用密码技术进步。

    自主创新是商用密码事业发展的灵魂,也是商用密码实现持续健康快速发展的动力源泉。牢牢把握商用密码技术核心环节的主动权,始终掌握自主核心技术的所有权,是商用密码发展一直秉承的理念。
    一是密码基础理论研究取得重点突破。借助国家密码发展基金等国家级科技项目的引导,商用密码基础理论研究取得了一系列原创性科研成果。以“十二五”为例,一些研究成果在Nature、IEEE S&P、ACM CCS等国际顶级期刊或会议得以发表,不仅标志着我国密码学术研究在某些细分方向已跻身世界领先行列,也为密码标准制订、密码产品研发和密码应用推进提供了坚实的理论基础。借助中国密码学会的平台作用,我国密码学术交流活动更为丰富。全国商用密码展览会、中国密码学会年会、《密码学报》、密码技术竞赛等已成为我国密码学术研究和产业对接的高端平台,在国际上也有了一定的影响力。在此过程中,一批密码学术研究领军人才、青年密码学家开始在国际舞台上崭露头角,为商用密码的可持续发展提供了可靠的人才保障。
    二是自主商用密码算法已成体系。组织编制具有完全知识产权、自主创新的SM系列密码算法,并推进成为国家标准或密码行业标准。以3月28日发布的GM/T 0044-2016《SM9标识密码算法》为例,在算法设计和标准编制过程中,国家密码管理局组织顶尖专家和科研单位,开展了多轮安全性分析评估,对算法结构、关键组件、曲线参数深入分析和严格论证。标识密码算法的核心是如何从用户唯一标识派生出用户私钥。SM9标识密码算法采取了一种特有的新型方法,既有很高的安全性,也有良好的实现效率。该算法具有密钥管理成本低、建设部署难度小、用户需要公开信息少等优点,可作为PKI/CA体系的有益补充,用于海量用户随机端到端认证与加密等场景。特别需要指出的,由于SM9标识密码算法签名私钥由中心端统一生成,与《电子签名法》第十三条“签署时电子签名制作数据仅由电子签名人控制”的要求不相一致,因此不适用于电子签名需要法律效力的场合。
    三是商用密码标准体系建设初见成效。2011年成立密码行业标准化技术委员会,负责组织密码行业标准(代号GM)的起草及审查等工作。截至目前,共有工作组成员246家,制定行业标准44项。同时,积极推进自主商用密码技术成为信息通信领域国际标准。2012年9月,由我国密码学家自主设计的祖冲之密码算法纳入国际3GPP组织的4G移动通信标准,用于移动通信系统空中传输信道的信息加密和身份认证。2015年5月,又向ISO信息安全分技术委员会(SC27)提出了将我国SM2、SM3和SM9算法纳入国际标准的提案。目前,SM3算法已纳入杂凑算法标准,进入国家成员体投票(DIS)阶段;SM2和SM9算法作为数字签名标准的补篇,也进入了工作组草案(WD)阶段。
    四是商用密码检测能力得到大幅提升。2005年,商用密码检测中心获得国家认可委的实验室认可。近年来,在商用密码检测基础理论和技术方面取得了多项具有国际先进水平的研究成果,申报发明专利近50项,申报软件著作权15项,获省部级以上奖励5项,具备了对全系列商用密码产品密码功能及安全性实施检测的能力。通过新建检测实验室、检测流程电子化等措施,大幅提高检测效率,在检测任务数年均增长30%的情况下,单件检测任务完成时间年均下降20%。同时,通过加强与金融、电力、通信、社保、交通等重点领域、行业的检测与认证技术交流,逐步推进形成跨领域、跨行业的灵活的信息安全产品和密码应用系统密码检测协作机制。

   第三,坚持协同发展思路,壮大繁荣商用密码产业队伍。

    商用密码管理水平提升和科技进步,最终目标是满足网络空间条件下差异化、多样化的应用需求,根本保障是拥有一支深入把握需求、研发力量雄厚、市场开拓能力强的产业队伍,推动形成“产学研用”有机结合、协同发展的良好局面。
    一是商用密码产业队伍持续壮大。截至目前,商用密码产品生产定点单位已有658家,销售许可单位817家,包括中国移动、中国电信、中国联通在内的国内三大电信运营商,华为、中兴、联想等一批具有国际影响力的旗舰企业,以及捷德、日立、惠尔丰等一批外资企业陆续成为生产定点单位,按照密码管理要求和密码标准规范研制商用密码产品。这些单位,活跃在商用密码产业链条的各个细分领域,形成了一支分布基本合理、市场竞争有序、充满创新活力的商用密码产业队伍。
    二是商用密码产品技术水平得到提升。组织研制近2000款取得商用密码产品型号证书的产品,基本建成种类丰富、链条完整、安全适用的商用密码产品体系。尤其是近年来,商用密码产品技术含金量和创新性逐步增强,整体核心技术水平与国外同类产品相当,具有自主知识产权的民族商用密码品牌不断涌现,绝大部分关键密码产品和密码部件已具备全面国产化能力,部分产品在性能指标、安全防护能力等方面已达到国际先进水平。据统计,仅2012年至2015年,4年内就有38个项目获得省部级以上奖励。
    三是建成基于SM2的国家电子认证信任体系。作为国家电子认证信任体系的信任源点,国家电子认证根CA是国家电子认证的重要基础设施和密码基础设施,也是国家网络任信体系的重要组成部分。目前已有41家第三方CA、2家政府性行业CA接入,构建了一个以国家电子认证根CA为认证源点、辐射全国各地区各行业、连接上亿用户的电子认证信任体系,为全国电子认证可信互认、互联互通提供了基础支撑。

举足轻重,有效保障国家网络与信息安全

    密码是解决网络与信息安全最可靠、最经济、最有效的手段,在身份认证、安全隔离、信息加密、完整性保护和抗抵赖性等方面发挥着其他手段不可替代的重要作用。依托多年积淀,面向国家战略需求,充分发挥商用密码的基础支撑作用,既是商用密码事业发展的不竭动力,更是支撑网络空间治理体系建设、保障重要领域网络与信息系统安全、维护公民合法权益的客观需要。

   第一,支撑国家网络空间治理体系建设。

    当今世界,以互联网为代表的信息技术日新月异,对人类社会的发展进程产生深刻影响。海量数据、异构网络、复杂应用共同组成的“网络空间”,已成为与陆地、海洋、天空、太空同等重要的人类活动新领域。网络空间治理日渐成为关乎全局的重大问题。现实社会治理首先需要解决公民组织的身份管理问题,映射到网络空间,建立终端用户、多类设备、异构网络、复杂应用的身份管理体系则成为网络空间治理的基石。
 相对而言,网络空间条件下的身份管理问题,较之现实社会更为困难,需要突破用户、设备、网络、应用等各类实体的身份标识、身份认证、统一管理、信任传递,以及由此产生的各类行为的建模分析、证据采集等关键技术。通过采取基于商用密码技术的身份识别、安全接入、信息保护、安全审计等安全防护措施,构建动态、立体的安全防护体系和网络空间可信身份管理体系,将有力支撑国家网络空间治理。

   第二,保障重要领域网络与信息系统安全。

    近年来,金融IC卡、网上银行、第二代居民身份证、移动警务、电子护照、电力调度、智能电表、用电管理、增值税发票防伪税控、工商电子营业执照、城市公交一卡通、海关电子口岸、社保卡、医保卡、教育卡等重要网络与信息系统,均大量采用了商用密码进行加密保护或者安全认证,产生了不可估量的社会效益和经济效益。同时金融领域商用密码应用也逐步走上向纵深推进的快行道。
 这些应用,集中展现了商用密码保障重要领域网络与信息系统安全的特殊价值和独特魅力。在各地区各部门的大力支持和配合下,商用密码将在一大批涉及国计民生和基础信息资源的重要信息系统得到更为深入全面的应用。如移动支付、高速公路不停车收费、居民健康卡等与人民群众生产生活息息相关的重要信息系统正在建设基于商用密码的安全防护体系,以支撑跨领域、跨区域应用。

   第三,保护个人隐私,维护公民合法权益。

    网络空间的海量数据在不断集聚的过程中,量变产生质变,对原本碎片化的信息进行整合挖掘,可以得到很多更有价值的信息。这些信息,既包括大量个人隐私,也是一个国家经济、政治和社会发展的重要情报。同时,社交网络账号、网络游戏装备、虚拟房产、艺术作品等数字资产,在网络空间中同样价值不菲。保护个人隐私和网络财富,是让互联网更好造福人民的重要体现。
    有效解决这些发展过程中带来的安全问题,加强数据中心、电子交易、社交网络等信息服务和平台的安全防护措施,需要采取更为可靠的身份认证、更细粒度的访问控制、更加精准的行为溯源、更为严格的隐私保护。大力发展以商用密码为核心的身份认证、加密保护、信任管理、责任认定和追究技术,保护个人隐私,维护公民合法权益,是我国商用密码乃至网络安全技术实现弯道超车、引领发展的一个突破口。

秉要执本,科学谋划商用密码发展大计

    当前,我国商用密码科技创新性不够、体系性不强,密码应用缺乏总体规划,密码使用不够规范的问题还比较突出。面向当前和未来一段时期的商用密码应用需求,构建网络与信息安全商用密码保障体系,前提是完善的商用密码管理体系,基础是科技创新和产业发展,目的是促进和规范商用密码应用。

   第一,进一步完善商用密码管理体系。

    “法律是治国之重器,良法是善治之前提”。完善的法律法规体系是密码管理部门全面落实依法行政的前提和保障。一是积极推进《密码法》立法。认真梳理亟待解决的突出问题,严格落实国家推进依法行政和行政审批改革要求,广泛征求方方面面意见,以提高商用密码管理科学化、规范化、精细化水平为目标,推进《密码法》立法。二是进一步规范行政审批行为。推进建立法律顾问制度和重大决策合法性审查机制,继续取消和下放一批行政审批事项,进一步优化行政审批流程,建设行政审批事项网上办理平台,全力提高服务水平。三是建立常态化宣传交流机制。加大与各类媒体的沟通和科普工作力度,增强商用密码社会认知度和应用密码保护信息安全的意识,完善商用密码监督管理机制和信息公开机制,进一步发挥中国密码学会等社会团体凝聚社会力量、繁荣密码学术交流的平台作用。 

   第二,进一步推进商用密码科技创新和产业发展。

    坚持走中国特色自主创新道路,面向世界科技前沿、面向经济主战场、面向国家重大需求,推进商用密码科技创新和产业发展。一是进一步激发商用密码产业单位活力。研究出台配套扶持措施,建立完善商用密码产学研用一体化发展的体制机制,促进优秀科研成果尽快落地,推动商用密码产业单位真正成为创新决策、研发投入、科研组织、成果转化的主体。二是加大核心技术研究资源配置力度。鼓励开展基础理论与技术、算法设计、新技术密码应用融合、系统检测评估等方面的研究,创新激励方式、倾斜支持力度、加大资源投入,吸引高水平科研团队加入到商用密码科技创新队伍。三是积极探索商用密码产品及应用管理新模式。加快商用密码检测能力建设,提高检测水平和效率,研究商用密码产品分级管理和商用密码应用评估审查方法,加快商用密码事中事后监管和行政执法机制建设等。

   第三,进一步推动商用密码规范应用。

    加强统筹协调和顶层设计,做好商用密码应用体系规划和检查指导,提高应用程度和使用规范化水平。一是完善协同推进机制。争取各地区各部门资源,加强协调配合,强化组织领导,明确职责分工,健全信息共享、进度跟踪、协调联动工作机制,并引导产业单位和应用部门开展经常性需求对接。二是开展重大应用试点示范。以推动商用密码在涉及国计民生和基础信息资源的重要领域深入广泛应用为目标,加大对重点用户、重要系统商用密码应用的指导力度,并精选事关国家安全、民生福祉的重大应用组织开展商用密码应用试点示范。三是做好密码应用监督检查。协同相关部门,深入开展商用密码使用情况检查,排查安全风险和隐患,督促问题及时整改,不断规范商用密码使用,引导重点用户和重要系统科学、合理使用商用密码。
    党的十八大以来,以习近平同志为总书记的党中央高度重视国家网络安全和信息化工作,作出了一系列重大战略部署,为我们做好商用密码工作指明了前进方向,提供了根本遵循。新的历史时期,我们将抓住机遇,以苦干实干的拼搏奉献精神,推动商用密码事业持续健康快速发展,为维护国家网络与信息安全,作出新的更大贡献!(本文刊登于《中国信息安全》2016年第6期)