以密码为基石的网络空间新安全,就是要推动密码与网络空间持续深度融合,构建新网络安全体系,建设新网络安全环境,形成新网络安全文明。
第一,以创新发展强融合,构建以密码技术为核心、多种技术相互融合的新网络安全体系。要紧盯前沿技术,通过密码技术与前沿技术的深度融合和协同创新,引领信息领域关键核心技术的创新与突破,包括:布局与量子技术、云计算、大数据、物联网、人工智能、区块链等新兴技术的融合,布局与电子交易、电子支付、数字货币、互联网金融等新兴金融服务业态的融合,布局与数字农业、工业互联网、智能制造、服务业智能化、电子商务、智慧物流、分享经济、平台经济、网络化协同创新等产业数字化重点方向的融合,布局与教育、卫生健康、社会保障、就业服务等信息惠民新方式的融合。
要打造密码产业生态,强化安全体系特别是密码融合应用与保障方案设计,立足在网络和信息产品研制之初,就要把密码设计进去,在提供计算和信息服务的同时,就能同步提供基于密码的安全能力,让密码成为产业生态的内生因素和必选环节。在网络生态上,包括移动通信网、物联网、广播电视网等基础通信网络;在云管端生态上,包括云平台底层设备和架构、网络管道设备、移动智能终端和浏览器;在工业产品生态上,包括通用处理器、操作系统、数据库、中间件等基础软硬件,以及工业互联网和智能制造相关的装备和控制系统等,都要内生支持国家认可的密码技术。
要夯实创新支撑,加强面向新兴技术发展需要和安全需求的密码基础理论、关键技术、交叉技术和应用技术研究,完善通用基础和行业领域相结合的密码标准体系,推动建立国家密码科技创新基地、行业密码应用研究中心、密码开源库和共享平台,建设密码产业联盟和产业园区,加快培育密码领军企业,夯实密码产业供给支撑。
第二,以全面应用促融合,建设以密码基础设施为底层支撑的新网络安全环境。应用是从技术创新到价值创造的必经之路,也是密码的发展之基、生存之要,必须坚持以应用为先导、以应用促创新、以应用促融合、以应用促迭代,在应用中改进和提升,实现密码全面应用与创新发展。
要控制源头,涉及网络安全相关的法规政策、规划标准,要落实国家密码应用政策要求;新建网络信息系统,要同步规划、同步建设、同步运行密码保障体系。要立足基础,加强关键信息基础设施密码保障体系建设,包括金融业信息基础设施、交通运输网络、能源基础设施、资源信息化网络、大数据中心和国家基础信息资源库等。要加强测评,注重密码防护的系统性、整体性、动态性,注重密码应用的合规性、正确性、有效性,依法开展密码应用安全性评估。要压实责任,重点是落实网络安全法规和密码法规要求,明确网络运营者和信息技术产品提供者密码应用的主体责任。
第三,以科学普及助融合,实现安全互信、开放共享的新网络安全文明。要积极开展密码政策和知识培训,持续提高对密码应用工作的认识。要拓展密码宣传普及渠道,增强人们使用密码保护网络安全的意识,加强对青少年普及教育,在科技馆、博物馆及科研院校建立密码主题科普基地、体验馆或体验区。要加强学校密码教育,选取有条件的高校建设示范性密码学院系,将密码技术等基础知识纳入相关专业或课程。要建设密码人才培训和实训基地,开展网络安全攻防竞赛,发现和培养懂密码、懂网络、懂产业、懂应用、懂实战,具有网络安全体系性思维的实战型、研究型、管理型人才。
新修订的《商用密码管理条例》正在公开征求意见。《条例》支持网络产品、服务使用商用密码提升安全性,支持并规范商用密码在信息领域新技术、新业态、新模式中的应用。这突出体现密码融合应用要求和发展趋势,本质是密码与数字化生态的深度融合。
一方面,要推动密码与信息化产品的融合。信息化产品,特别是基础软硬件产品,是网络空间的“细胞”。密码作为“安全基因”,融入信息化产品这个“细胞”,才能实现内生安全。要实现密码与信息化产品研发工具的融合,使用基于这些开发工具开发的软件产品能够集成使用相关密码功能。要实现密码与信息化产品的功能融合,将密码功能变“外挂”为“内嵌”,既为产品本身提供安全保护,也直接对外提供密码支持。
另一方面,要推动密码与信息化系统和网络的融合。重要的是推动密码与信息系统和信息网络的架构融合,将密码融入系统组件以及通信协议、存储协议、数据处理协议、业务交互协议中,使基于密码的安全机制成为其内生要素和必选环节。
推动密码与网络信息产品和系统的深度融合,要特别注重体系化、同步化、标准化,尤其是标准化,要加强标准间的协调性,促进其他行业标准、国家标准乃至国际标准充分引用和遵循密码标准,推动密码标准与信息化相关标准的融合,这是密码融合落地的技术保障。
