专题 | 商密产业迎来历史发展机遇
《中华人民共和国密码法》的正式施行是我国密码事业发展的重要里程碑。作为商用密码产业的从业人员,我们备受鼓舞,额手相庆,摩拳擦掌,准备迎接商密产业的历史性发展机遇。我们相信,《密码法》的颁布,将大力推动我国的密码事业,商用密码产业将进入一个全面推进、加速发展的新时代。
一、商用密码从业感悟
在核心密码、普通密码和商用密码三类密码之中,商用密码的应用领域最广泛,和各行业、百姓生活的关系最密切,也是从业企业最多、发展空间最大的领域。作者从业商密产业近二十年,对商密事业充满了感情,也有很多从业的感悟。
1.商用密码应用越来越广泛
密码是充满魅力的,它即有严谨的理论基础,又和应用贴得很近,是网络安全的核心技术和基础支撑。过去二十年,随着信息技术、网络应用的发展,密码技术越来越重要。我国的商密事业开始于20世纪90年代后期,在商用密码产业的起步阶段,信息技术和互联网应用还不发达,商用密码的应用领域比较窄,主要应用于银行、证券、海关等金融相关的领域;2000年以后,随着互联网应用的兴起,基于数字证书的PKI(公共密钥基础设施)技术获得大力发展,我国建立起了许多区域CA、行业CA,商用密码产品和技术为网络上的身份认证、数据传输加密、电子签名等提供技术支撑,推动了电子商务、电子政务、行业信息化的发展;近年来,云计算、大数据、物联网、人工智能、区块链等新型技术蓬勃发展,人类进入了DT时代,数据已成为很重要的资产,密码技术是保证数据安全的最有效手段,可以为各种形态的数据提供安全保护,密码将无处不在。同时,新技术、新应用环境又对密码技术提出了更多的需求,密码技术需要不断创新以适应新的需求。商用密码正是在社会需求的推动下应用越来越广泛,我国的商用密码行业在不断壮大。
2.社会上对商用密码重要性的认识还不够
虽然密码是如此重要的网络安全支撑技术,是保护国家安全的战略性资源,但社会上对商用密码重要性的认识还很不够,还远没有把它运用到应该达到的广泛程度。这主要是因为对密码的宣传普及工作不够,公众没有渠道接触密码知识,不了解它的重要作用。另一个原因是密码技术的应用特点导致的,密码技术的功能不像面向业务的信息技术那么直观,它是“幕后英雄”,在幕后保证数据信息的机密性、可认证性、不可抵赖性、完整性和有效性,发挥了作用也不易被察觉,因而不易被非专业人士认识和重视。当前社会上网络安全事件频发,恶性数据泄露事件不断出现,如果商用密码产品和技术被充分重视并应用情况会改善很多。因此,虽然商用密码行业这些年取得了一定的发展,但整个规模还比较小,大型的企业比较少,这导致商用密码行业科研投入不足、创新能力不够。
3.政策法规对商用密码产业发展影响很大
纵观我国商用密码产业的发展历史,除了技术与应用需求的推动以外,政策、法规的影响力很大。例如:1996年7月,中共中央做出了在我国大力发展商用密码和加强商用密码管理的重要决策,1999年10月,国务院颁布实施《商用密码管理条例》,商用密码产业开始起步;起步初期,随着金融电子化的发展,金融行业的监管要求推动了金融数据密码机等商密产品的研制及应用;2000年后,国家在电子认证领域的政策法规促进了商密产业在基于数字证书的PKI(公开密钥基础设施)应用领域的发展,2005年实施的《电子签名法》,为商用密码在电子认证、电子商务等领域的推广具有重要意义;2010年,国家密码管理机构认为1024位的RSA算法不再安全,推动国产SM2算法对RSA算法的替代,推动了商密产业的技术升级;密码行业标准化技术委员会成立后,制定了我国的密码算法标准和一系列协议、产品等行业标准,建立了我国的商用密码标准体系,进一步推动了商密产业的发展;近几年,国家在金融及重要领域全面推动国产密码算法的应用,更是大力促进了商密产业的发展。
国家制定的政策法规高瞻远瞩,对社会使用商用密码起到了引导、普及和推动作用。
二、《密码法》颁布的影响
《密码法》颁布标志着我国对密码的应用和管理上升到了国家立法的层面,是对密码重要性的充分肯定。《密码法》颁布是对全国人民的密码知识普及教育,以法律的形式告诉全国人员“什么是密码、怎么用密码、谁来管密码、怎么管密码”,必将引起全社会对密码的重视,推动密码的普及应用。《密码法》对商用密码技术创新和产业发展都提出了明确的支持,商用密码产业的发展有了专门性的法律保障,商用密码产业将迎来历史性的发展机遇。
1.《密码法》“第八条 商用密码用于保护不属于国家秘密的信息。公民、法人和其他组织可以依法使用商用密码保护网络与信息安全。”
本条目明确了商用密码的作用,可以用于保护网络与信息安全,这对于商用密码在各个领域的宣传推广和应用普及具有重要的意义。
2.《密码法》“第九条 国家鼓励和支持密码科学技术研究和应用,依法保护密码领域的知识产权,促进密码科学技术进步和创新。”
本条目鼓励密码科学技术的研发和应用,对于我国密码核心技术的自主创新具有积极的推动作用,同时依法保护知识产权对于商用密码企业之间的良性竞争和共同进步提供法律支持。
3.《密码法》“第二十一条 国家鼓励商用密码技术的研究开发、学术交流、成果转化和推广应用,健全统一、开放、竞争、有序的商用密码市场体系,鼓励和促进商用密码产业发展。”
本条目明确鼓励和促进商用密码产业发展,对于在各个重要行业和领域推进国产密码技术,加快我国商用密码产业的繁荣、壮大具有积极的影响。
4.《密码法》“第二十六条 涉及国家安全、国计民生、社会公共利益的商用密码产品,应当依法列入网络关键设备和网络安全专用产品目录,由具备资格的机构检测认证合格后,方可销售或者提供。⋯”
本条目明确了商用密码产品的重要性,应由专业机构进行产品检测和认证,并列入专用产品目录,防止非法使用不符合要求的密码产品。
5.《密码法》“第二十七条 法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码进行保护,自行或者委托商用密码检测机构开展商用密码应用安全性评估。商用密码应用安全性评估应当与关键信息基础设施安全检测评估、网络安全等级测评制度相衔接,避免重复评估、测评。”
本条目明确了商用密码应用安全性评估的要求,并与关键信息基础设施安全检测评估、网络安全等级测评制度一起成为我国关键信息基础设施保护的基本制度,这对于商用密码在关键基础设施和重要领域的推广具有非常重要的意义。
三、新时代的创新竞争和突破
历史机遇带来发展动力,但发展动力也会使市场竞争更加激烈。当前,在云计算、大数据、人工智能、物联网、区块链、量子计算等新型技术的应用领域,传统密码技术和产品已经不能满足新环境的应用需求,密码技术面临前所未有的技术挑战,商密企业未来的竞争能力将体现在新型密码技术和关键产品的创新和突破:
1.面向云计算和大数据的高性能密码技术
云计算和大数据对密码运算能力、并发处理能力、资源虚拟化等具有很高的性能要求,因此具有高性能、高并发处理能力的密码芯片、云密码设备、云密码服务平台等产品具有广阔的市场需求。
2.面向大数据和人工智能的密文计算和隐私保护
当前,数据安全和隐私问题是影响大数据和人工智能应用的重要因素,因此支持数据密态计算和处理的全同态加密算法、可搜索加密技术、保序加密技术等新型密码技术,具有很好的发展前景。
3.支持复杂应用场景的安全多方计算协议
在很多实际应用场景中,需要两方或更多方用户之间的联合保密计算,互相不泄露各自的数据,同时达到进行数据统计、关联计算、大数据分析等目的,安全多方计算协议等密码技术是解决这类问题的关键技术。
4.轻量级密码认证和加密协议
在物联网、工业控制系统等弱计算能力、低存储空间的终端设备环境下,传统密码算法不能适应这些低端设备的要求,因此设计轻量级的设备认证协议和加解密算法是重要的解决途径。
5.抗量子攻击的密码体系
量子计算机的超强计算能力,对传统密码算法具有很大的威胁。因此,设计和研发抵抗量子计算攻击的新型密码算法和产品是网络信息安全和密码领域的最重要的问题之一,目前各个国家都在积极地制定抗量子攻击的密码算法标准。
四、对商密产业发展的建议
密码是国家重要战略资源,是保障网络与信息安全的核心技术和基础支撑。《密码法》的实施对我国的密码事业既是一个重大机遇,也带来了很多挑战,因此提出以下三个建议:
1.加快国产商用密码应用,保障关键基础设施和重要信息系统安全
当前我国的商用密码应用还有很大发展空间,特别是一些关键基础设施和重要信息系统缺少我国自主可控的密码技术的保障,因此应以《密码法》实施为契机、以密码应用安全性评估为重要手段,加快我国关键基础设施和重要信息系统的国产商用密码推广和应用,达到密码技术、产品和应用的自主可控。
2.加快密码核心技术自主创新和产品研发
密码是国之重器,是保障网络信息安全的核心技术。习近平主席指出:“核心技术受制于人是我们最大的隐患”。在密码技术领域,我们必须坚持自主创新、重点突破,在密码核心技术攻关、人才队伍建设、关键产品研制等方面加大投入、加快发展,实现我国密码技术的自主可控和安全可靠。
3.加大商用密码产业投入和支持
商用密码产业是我国经济社会发展安全保障的内在需求,是我国密码技术自主创新的必经之路。当前,我国商用密码产业的发展规模在整个IT产业中的比重还比较小,一些行业和领域对密码的重要性认识不足,因此必须以《密码法》的宣传贯彻为引领,加大密码政策宣传、加大密码产业投入和支持,实现商用密码产业的飞跃式发展。
文│ 北京三未信安科技发展有限公司创始人兼CEO 张岳公
(本文刊登于《中国信息安全》杂志2019年第11期)