查看原文
其他

国家密码管理局刘平•新时代密码工作

密码头条 2022-09-24

The following article is from 中国信息安全 Author 刘平

文│ 国家密码管理局副局长、一级巡视员 刘平

商用密码用于保护不涉及国家秘密的信息。在党中央、国务院的高度重视和正确领导下,我国商用密码持续健康快速发展,特别是《中华人民共和国密码法》的颁布施行,推动商用密码依法管理水平大幅提升、科技创新取得丰硕成果、产业生态持续壮大繁荣、应用保障领域全面拓宽,在维护国家安全、促进经济社会发展、保护人民群众利益中发挥了重要作用。


一、砥砺前行,商用密码发展取得新成就

党的十九大以来,商用密码进入创新发展、协同发展、高质量发展的快车道,在依法管理、自主创新、协同发展等方面取得一系列重要成果。
第一,坚持依法依规管理,构建商用密码法规制度体系。
密码法律法规体系进一步健全完善。2019 年 10月 26 日,十三届全国人大常委会第十四次会议通过《密码法》,习近平主席签署第三十五号主席令予以公布,于 2020 年 1 月 1 日起正式施行。《密码法》的出台,对于深入贯彻落实党中央决策部署和习近平总书记重要指示批示精神,全面提升我国商用密码工作的规范化、科学化、法治化水平,维护我国网络空间安全、促进信息化发展具有里程碑意义。在《密码法》的法律框架和立法原则下,开展《商用密码管理条例》及配套规章的制修订工作,健全和完善包括商用密码科研、标准、产品、使用、监督检查和检测认证等全流程各节点在内的法规制度体系,明确各级密码管理部门在商用密码管理工作中的职责任务,确保制度无“盲点”、要素无“缺项”,努力构建新时代商用密码现代化治理体系,建设职能科学、权责法定、管理明晰的“责任政府”。
“放管服”改革成果持续巩固深化。党的十九大报告指出,要转变政府职能,深化简政放权,创新监管方式,增强政府公信力和执行力,建设人民满意的服务型政府。《密码法》落实“放管服”改革精神,将原有的 8 项行政审批事项,精简为 4 项,做到“应管尽管”“该放则放”。取消了商用密码产品品种和型号审批,市场监管总局会同国家密码管理局建立和推行商用密码认证制度,对涉及国家安全、国计民生、社会公共利益的商用密码产品实施强制性认证,确保维护国家安全与满足社会需求有效统一。优化调整了商用密码进出口管理方式,将涉及国家安全、社会公共利益的商用密码产品和技术纳入两用物项统一管理。依法实施电子认证服务使用密码许可和电子政务电子认证服务机构资质行政许可,进一步严格许可条件和程序,推动电子认证科学规范应用,确保国家电子政务安全。
市场监管和行政执法得到强化。逐步建立起以“双随机、一公开”监管和“互联网 + 监管”为基本手段、以重点监管为补充、以信用监管为基础的新型监管机制,同时积极加强监管能力建设,坚持严格、规范、公正、文明执法,有效维护商用密码管理秩序,营造良好市场环境,形成行业自律、社会监督、事中事后监管、社会信用体系相衔接、相统一的市场运行和监管体系,既“放得开”,又“管得住”,最终实现“服务好”,建成守法尽责、执法严明的“诚信政府”。
第二,秉承自主创新理念,不断推进商用密码技术进步。
密码基础理论研究取得重点突破。近年来,我国学者在序列密码理论设计、分组密码算法设计与分析、密码杂凑算法分析、密码协议基础理论与分析、抗量子密码等方面取得一批具有国际先进水平的研究成果;在公钥密码研究方面,我国学者紧跟国际热点研究方向,在公钥密码的可证明安全理论、格公钥密码、全同态加密、密码协议、电子认证、侧信道攻击与防护技术、密钥管理等方面成果丰硕。
关键技术攻关取得重要进展。基础和通用密码技术以及新兴技术密码应用不断突破。密码芯片在制造工艺、综合性能、存储容量、接口类型、安全性等方面取得长足进步;密码模块与整机产品种类不断丰富,性能不断提升;密码分析及安全防护技术不断增强;可信计算技术体系建立完善,已在关键信息基础设施和重要信息系统得到规模化成功应用。在新兴领域中,基于高性能云密码产品的多种密码服务研究,轻量级算法、物联网安全、冷链物流、工业控制等领域的密码应用研究,数字货币、区块链密码技术研究等取得重要进展。
标准体系和自主算法建设初见成效。密标委自成立以来,经过十年的不断探索,已发布密码行业标准 115 项,密码国家标准 39 项,覆盖商用密码技术、产品、服务、应用、检测和管理等多个领域,构建了较为齐全完备的商用密码标准体系。自 2011 年我国自主设计的祖冲之(ZUC)序列算法成功纳入第四代移动通信(4G LTE)国际标准以来,SM3 杂凑密码算法、SM2 和 SM9 数字签名算法、SM9 标识加密算法、SM4 分组密码算法相继成为 ISO/IEC 国际标准。紧盯国际密码算法研究和应用动态,2018 年2 月开展密码算法竞赛,集中国内外优势力量,从42 个团队提交的 79 个算法中,遴选出 10 个分组密码算法和 14 个公钥密码算法,体现了当今我国密码算法编制最高水平。
中国密码学会成为密码学术研究探索“大平台”。经民政部批准,中国密码学会于 2007 年 3 月成立,是中国科协主管的国家一级学会,现有 15 个分支机构,个人会员近 5000 人,单位会员近 300 家。以学术年会为核心,每年组织国内外密码学术交流活动20 余次,主办《密码学报》《中国密码学发展报告》等学术性刊物,资助密码青年科学家参加国际交流项目,设有“密码创新奖”“中国密码学会奖”等奖项,开展优秀博士论文评选。自 2015 年起,学会每年举办“全国密码技术竞赛”。经过十余年发展,学会已经成为我国密码领域最具影响力的社会组织。
第三,坚持协同发展思路,壮大繁荣商用密码产业队伍。
商用密码产业队伍规模持续壮大。截至目前,商用密码从业单位超 2000 家,活跃在商用密码产业链条的各个细分领域,形成了一支分布基本合理、市场竞争有序、充满创新活力的产业队伍,并呈现快速发展趋势。在国家密码产业政策的规范引导和各地区各部门的积极推动下,密码应用与创新发展基地、行业密码应用研究中心和产业园区建设蓬勃开展,商用密码产业生态持续优化,多个产业技术创新高地已初具雏形。
商用密码产品技术水平得到提升。商用密码产品涵盖密码芯片、板卡、整机、系统、模块等全产业链,成功研制嵌入商用密码的通用处理器、操作系统、浏览器、汽车安全芯片、区块链开源库等基础软硬件,基本形成种类丰富、链条完整、安全适用的商用密码产品体系。尤其是近年来,商用密码产品技术含金量和创新性逐步增强,整体核心技术水平与国外同类产品相当,具有自主知识产权的民族商用密码品牌不断涌现,绝大部分关键密码产品和密码部件已具备全面本地化生产能力,部分产品在性能指标、安全防护能力等方面已达到国际先进水平。
商用密码产品检测认证体系基本建立。2019 年12 月,国家密码管理局和市场监管总局联合印发《关于调整商用密码产品管理方式的公告》(第 39 号),商用密码产品管理由行政许可制度调整为国推自愿性检测认证制度。2020 年 5 月,市场监管总局和国家密码管理局发布《商用密码产品认证目录(第一批)》《商用密码产品认证规则》。国家密码管理局商用密码检测中心获批国家认监委认证机构资质,商用密码检测中心、深圳鼎铉、上海智巡、成都豪符获批国家密码管理局商用密码产品检测机构资质,形成“1+4”商用密码产品检测认证机构体系,建成覆盖芯片、板卡、整机、系统等全系列密码产品的检测能力,具备商用密码产品认证目录(第一批)22 类产品的认证能力。截至目前,累计 2500 余款产品获得商用密码产品认证证书。
商用密码应用安全性评估体系初步建立。开展商用密码应用安全性评估是落实《密码法》以及《计算机信息系统安全保护条例》、《信息安全等级保护管理办法》等有关法律法规和标准规范、履行法定责任的必然要求,是维护网络和信息系统安全的应有之义,也是应对网络安全严峻形势的迫切需要。2017 年 4 月,国家密码管理局启动密评试点,经持续培育、实战测评和综合考察,现已公布两批 48 家密评机构试点目录,发布 GB/T 39786-2021《信息系统密码应用基本要求》国家标准及若干指导性文件,初步建成一套行之有效的运行管理机制。
建成基于 SM2 算法的国家电子认证信任体系。作为国家电子认证信任体系的信任源点,国家电子认证根 CA 是国家电子认证的重要基础设施和密码基础设施,也是国家网络信任体系的重要组成部分。截至 2021 年 6 月,全国共有电子认证服务使用密码许可单位 60 家,电子政务电子认证服务机构 53 家。目前,电子认证服务机构签发的数字证书超过 16 亿张,广泛应用于金融、税务、工商、质检、教育、电信以及电子政务等领域,产生了巨大的经济效益和社会效益,有力促进我国以电子认证为基础的网络信任体系不断完善。
学科建设和人才培养工作取得积极进展。2021年 3 月,教育部正式将“密码科学与技术”列入新增普通高等学校本科专业目录,南开大学等 7 所高校开始招收密码本科生,8 月,又有 6 所高校申请设立密码科学与技术本科专业;“密码技术应用”专业已纳入职业教育专业目录。人力资源社会保障部会同市场监管总局、国家统计局发布新职业信息,将“密码技术应用员”确定为新职业。

二、奋发有为,商用密码切实维护国家网络空间安全

网络空间是全世界人民共享的公共空间,网络安全是全世界人民面临的共同挑战,保障网络安全是世界各国的共同责任。密码作为维护网络安全最有效、最可靠、最经济的技术手段,在身份认证、安全隔离、信息加密、完整性保护和抗抵赖性等方面发挥着不可替代的重要作用,是网络空间安全的“基因”和“信使”,更是支撑网络空间治理体系建设、保障重要领域网络与信息系统安全、维护公民合法权益的客观需要。
第一,持续深化金融领域密码应用。
近年来,金融 IC 卡、网上银行等重要网络与信息系统,均大量采用了商用密码进行加密保护或者安全认证,产生了显著社会效益和经济效益,集中展现了商用密码保障金融领域网络与信息系统安全的特殊价值和独特魅力,特别是 2020 年 10 月 1 日起,金融领域实现新增银行卡芯片 100% 使用商用密码。在相关部门的大力支持和配合下,金融领域商用密码应用已走上纵深推进的快车道。同时,持续推进金融 IC 卡、网上银行、移动支付系统密码升级改造,积极构建银行业中心节点、核心系统,电子票据服务和监管系统,以及清算机构、支付机构、支付清算平台等金融基础设施的密码支撑体系,加强网上证券、电子保单、外汇管理等信息系统的密码应用,推进网上银行、移动支付、条码支付及非银行支付等各类电子支付中的密码应用。
第二,加强基础设施网络密码应用。
建设完成三峡水电站和南水北调等水利设施、防汛抗旱指挥、水资源管理、电网电力调度等多个领域国家重大基础设施密码保障系统,电网用电系统覆盖用户超 5 亿,在有效应对攻击、遏制网络安全风险方面发挥了重要作用;建立完善基础信息网络密码基础设施,规范移动通信网络中的密码应用;支撑交通强国战略实施,强化铁路公共服务平台、客运联网售票、高速公路不停车收费、交通一卡通、石油石化生产系统、油气管网等信息系统密码应用;积极推进城市基础网络、地理空间信息、海洋信息化密码应用。
第三,促进密码与数字经济融合应用。
促进密码技术与数字技术深度融合,加快数字经济、数字社会、数字政府建设,以数字化转型整体驱动生产方式、生活方式和治理方式变革。充分发挥海量数据和丰富应用场景优势,不断加强对先进制造业、现代服务业和新兴产业的密码应用支持。支撑“中国制造 2025”实施,推动构建工业互联网和智能制造网络系统平台密码支撑体系,推进智能装备和产品,以及供应链、生产控制、管理与服务智能化中的密码应用;支撑服务业网络化发展和智能化升级,加强电子商务、智慧物流、科研服务信息化中的密码应用;推进密码在数字版权和数字内容保护中的应用;鼓励和支持密码在分享经济、平台经济、网络化协同创新体系等新业态,以及大数据、人工智能等战略性新兴产业发展中的应用。
第四,推进信息惠民密码应用。
基于商用密码的第二代居民身份证和港澳台居民居住证累计发放超过 19 亿张,第三代社保卡8000 万张,机动车检验标志电子凭证超 3.6 亿张。积极推进公安、海关、税务、市场监督管理等领域政务密码应用;规范电子印章、电子文件、电子证照和移动政务办公中的密码应用,推进电子凭证网上报销中的密码应用;加强政务网络、政务云、政务大数据中心、国家基础信息资源库及政务信息资源共享中的密码保护。支撑健康中国战略实施,在医疗服务、保障、管理等卫生健康应用中构建密码支撑体系,加强全民健康信息化平台、医疗卫生电子证照、居民健康卡等信息化系统中的密码应用。特别是疫情防控期间,采用商用密码的可靠电子签名及电子病历在火神山等医院大量应用,基于密码技术的身份核验机具在社区和交通站点发放 60 余万套,为政府、社区、单位联防联控、复工复产提供了有力支撑。

三、科学谋划,持续推动商用密码高质量发展

习近平总书记在庆祝中国共产党成立 100 周年大会上向世界庄严宣告:“经过全党全国各族人民持续奋斗,我们实现了第一个百年奋斗目标,在中华大地上全面建成了小康社会,历史性地解决了绝对贫困问题,正在意气风发向着全面建成社会主义现代化强国的第二个百年奋斗目标迈进。”站在新的历史起点,商用密码将始终坚持党管密码不动摇、创新发展不动摇、服务大局不动摇,不断推进高质量发展,为维护国家网络与信息安全作出新的更大贡献。
一是以法治保障发展。
深入贯彻落实《密码法》,建立健全商用密码管理体制机制,全面压实各级密码行政管理部门主体责任,积极探索强化金融和重要领域密码应用和安全保障管理的职责任务;加快推进《商用密码管理条例》修订出台,推进重点配套规章的立改废释,加快建立科学规范、系统完备、运行高效的商用密码法规制度体系,进一步强化商用密码依法履行行政管理的职能;重点开展技术、标准化、产品检测、电子认证服务密码使用、电子政务电子认证服务、密码应用与安全性评估和行政执法等有关制度的制修订。
二是以需求牵引发展。
统筹推进商用密码应用试点示范工作,发挥好密码在推进传统产业数字化转型、促进数据要素安全有序高效流通、保护公民个人隐私等方面的重要作用,促进密码融入信息技术领域,强化商用密码需求侧与供给侧互动对接,推出一批具有基础性、引领性、创新性、示范性、特色鲜明的优秀商用密码应用方案;大力推进商用密码国际化,加强境外数据资产与跨境流动数据密码保护,各类市场主体积极参与国际竞争与合作,支持商用密码服务“一带一路”建设,推进形成商用密码新发展格局。
三是以创新驱动发展。
强化密码技术在信息安全领域的顶层设计,鼓励和支持企业统筹整合内部密码技术优势资源,提升整体密码安全意识,促进密码与技术、产品、服务和解决方案的深度融合;进一步强化商用密码前沿基础技术突破和创新性共性技术攻关,促进商用密码与新一代信息网络、量子信息、人工智能、先进制造、工业控制、区块链、智能网联汽车、数字货币等融合创新;发挥大企业引领支撑作用,支持创新型中小微企业成长为重要创新发源地。通过推动产业链上中下游、大中小企业融通创新,支持商用密码产业单位持续向创新链价值链高端迈进,精准发力练就“独门绝技”;积极培育建设商用密码技术、产品、服务协同创新平台和联合实验室,研发基础共性技术并推广应用。
四是以生态促进发展。
集聚商用密码产业链供应链优质资源,按照创新链衔接、供应链自足、价值链共享的模式,打造特色鲜明的区域性商用密码创新策源地和高水平产业生态;增强商用密码社会认知度和应用密码保护信息安全的意识,推动建立全国性的密码行业组织,进一步发挥中国密码学会等社会团体凝聚社会力量、繁荣密码学术交流的平台作用;建立密码职业人才分类分级评价体系,逐步形成科学化、社会化、多元化的商用密码人才职业技能等级评价机制,扩大密码职业人才规模、提升专业能力水平、促进职业技能培训、激励引导人才成长。
(本文刊登于《中国信息安全》杂志2021年第8期)


*【原创】解读《数据安全法》背后的关键技术!

* 重磅!《个人信息保护法》获通过,2021年11月1日起施行

* 重磅!国务院发布《关键信息基础设施安全保护条例》 (附全文)

* 《数据安全法》促企业等保合规

* 工信部商用密码应用产业促进联盟在京成立

* 等保和密评之间的关系

*【重磅】商用密码应用安全性评估 推荐国标 正式发布

*【国家密码管理局】“密评、商密测评机构审批”等行政审批事项公开目录

信创专家技术委员会在北京正式成立


您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存