本文来自密码头条微信公众号,作者/全国信息安全标准化技术委员会秘书长杨建军。
为贯彻落实密码法,结合商用密码应用和管理工作的新形势、新需要,《商用密码管理条例》进行了修订(以下简称《条例》),由国务院公布实施,为全面提升商用密码管理工作的科学化、法治化水平奠定了坚实基础。鼓励使用商用密码保护网络与信息安全是《条例》的重要立法导向,标准对于促进商用密码应用发挥着重要的规范引领作用。《条例》专章规定了商用密码科技创新与标准化工作要求,为新时期商用密码标准化工作赋予了更高使命。在此,我从以标准助力商用密码应用发展的角度谈几点认识。
一、深刻领会《条例》对加强商用密码应用的重要意义
当今世界,网络空间正加速演变为各国争相抢夺的新疆域、战略威慑与控制的新领域和国家安全博弈的新战场。密码是维护网络空间安全最有效、最可靠、最经济的关键核心技术,加快推动商用密码应用刻不容缓。
(一)安全形势严峻,商用密码应用亟待向纵深推进
近年来,国内外大规模网络安全事件频发,调查数据显示,2021年全球网络攻击造成的经济损失高达6万亿美元。密码是网络安全可信的基石,是国家的重要战略资源,新一轮科技革命和产业革命加速演变,新一代信息技术和实体经济深度融合,网络安全与物理安全、生产安全相互交织的新形势,对使用密码保护网络安全提出了更高要求。但与此同时,国内商用密码应用仍存在不广泛、不规范和不充分等实际问题,迫切需要进一步强化商用密码应用的深度和广度,为国家网络安全保障体系建设注入密码“基因”。
(二)《条例》修订出台为商用密码应用提供了有力制度保障
2020年,密码法正式施行,为提升我国密码法治化管理水平,促进密码事业发展,保障网络与信息安全,维护国家安全和社会公共利益奠定了坚实法律基础。《条例》是细化密码法相关制度的重要体现,也是新时期加快推动各领域商用密码应用工作的重要保障。《条例》的发布实施有利于进一步完善商用密码管理制度体系,推动商用密码科技创新,提升商用密码服务能力;有利于促进商用密码产业发展,深入推进商用密码应用,完善商用密码检测认证体系;也有利于加强密码人才培养,高质量推进商用密码国际化发展。
二、构建支撑法律法规实施的商用密码标准体系
密码应用,标准先行。扎实推进商用密码应用工作的基础是推动各方贯彻落实密码法和《条例》要求,关键在于构建与法律法规相匹配、相衔接的商用密码标准体系。在国家密码管理局指导下,密码产业各方力量紧紧围绕落实法律法规要求,针对商用密码应用需求,以标准研制、试验验证和应用实施为主线,积极开展标准化工作。
(一)全力推进商用密码标准体系建设,固化商用密码发展成果
紧扣密码标准体系建设这一主线,我国现已制定发布了一大批密码标准。目前已有商用密码国家标准40余项,商用密码行业标准140余项,覆盖了商用密码技术、产品、服务、测评、应用、管理等方面,基本构建起了先进适用、结构合理、层次丰富、类别齐备的密码标准布局,为商用密码高质量发展提供了坚实标准支撑,对切实维护国家网络与信息安全发挥了重要作用。
(二)深入开展商用密码标准试点应用,提升技术产品供给能力
加强商用密码标准试点应用,对提升商用密码技术和产品供给能力具有重要意义。笔者所在的中国电子技术标准化研究院在商用密码标准试点应用方面做了一些积极探索:一是组织建立了工业和信息化部商用密码应用产业促进联盟,完善了商用密码应用产业供需对接渠道;二是依据商用密码相关标准,组织协调联盟内优势资源深入开展商用密码技术研究和产品攻关,并在重点领域实现规模化部署;三是针对航油输油、视频安防、水利信息等系统开展测评分析和应用改造,推动相关行业密码应用规范化水平不断提升。
(三)加快推动商用密码标准走出去,鼓励企业参与国际标准化活动
我国高度重视商用密码国际标准化工作,积极引导并鼓励相关企业、科研机构、高等学校深入参与商用密码国际标准化活动。我国自主的SM2数字签名算法、SM3密码杂凑算法、祖冲之(ZUC)序列密码算法、SM4分组密码算法、SM9标识密码算法均已正式发布为ISO/IEC国际标准,充分体现了我国商用密码算法的先进性与安全性,有力推动了商用密码中国标准与国际标准之间的转化运用,为网络安全领域国际标准贡献了中国智慧、提供了中国方案。
三、标准助力商用密码应用步入高质量发展“快车道”
商用密码应用涉及行业多、覆盖范围广,是一项复杂的长期性工作。在《条例》实施过程中,应进一步发挥标准的规范性和引领性作用,做好标准研制、试验验证、应用示范等工作,为重要行业和领域的商用密码应用提供技术服务和保障支撑。
(一)抓紧重点标准研制
加强商用密码标准化工作总体研究和规划布局,重点围绕《条例》实施,不断完善商用密码标准体系。坚持急用先行,紧扣国家关于区块链、量子科技、物联网、工业互联网、人工智能、大数据等新技术新业态新应用的重大战略部署,开展配套商用密码标准研制,提升商用密码标准对国家重大战略实施的服务保障能力。
(二)加强标准应用实施
加大商用密码标准宣贯力度,组织开展应用培训,引导企业知标准、懂标准、用标准。推动“产学研用测”优势资源开展供需对接,鼓励在商用密码活动中采用商用密码推荐性国家标准、行业标准,提升商用密码产品和服务的安全防护能力。建立商用密码标准实施信息反馈和评估机制,遴选优秀试点企业和示范项目,提升标准应用价值与实施效果,形成一批可复制、可推广的行业应用解决方案。
(三)加强标准服务能力建设
建强商用密码标准服务能力,强化商用密码应用信息收集、风险评估和监测预警,以标准服务支撑形成商用密码应用与标准一致性的快速检验能力,促进商用密码应用供需对接,帮助企业有效落实标准的各项要求,切实提升商用密码应用的合规性、正确性和有效性。