• 山西省国家密码管理局
  • www.sxgmj.gov.cn
行业新闻

在新的历史起点上推动商用密码创新发展

发布日期:2018-05-28  来源:国家密码管理局

党的十九大确立了习近平新时代中国特色社会主义思想的历史地位,开启了中国特色社会主义建设新征程,明确了网络强国战略和网络安全发展大方向。十九大作出的“加强国家安全能力设建”“建设科技强国、网络强国、数字中国、智慧社会”“推动互联网、大数据、人工智能和实体经济深度融合”“提高社会治理智能化水平”等重大决策部署,都与商用密码工作息息相关,都对商用密码发展提出了新的更高要求,在新的历史起点上,亟需推进商用密码全面应用和创新发展,有力维护党和国家根本利益。

 

密码是网络安全的核心技术和基础支撑

 

密码是指使用特定变换对数据等信息进行加密保护或者安全认证的物项和技术,商用密码用于保护不属于国家秘密的信息。当前,以网络安全为代表的非传统安全威胁持续蔓延。从国际看,世界各国加强网络空间布局,网络空间已成为国家地区间博弈的主战场,各主要国家网络空间安全战略,更加突出攻击性和实战性;从国内看,我国关键核心技术和设备受制于人的局面没有从根本上改变。与美国、俄罗斯等发达国家相比,我国信息化起步较晚,网络安全技术积累不足,关键技术瓶颈没有根本突破,网络安全保障能力仍然薄弱,网络信任体系不健全。日益严峻的安全形势对密码提出了迫切需求。

密码是网络安全的核心技术和基础支撑,直接关系国家政治安全、经济安全、国防安全,关系社会组织和公民个人的合法权益。在网络信息化高度发展的今天,密码应用已经渗透到社会生产生活的各个方面,从涉及国家安全的保密通信、军事指挥,到涉及国民经济的金融交易、防伪税控,再到涉及公民权益的电子支付、社会保障,密码都发挥着十分关键的基础性作用。

第一,密码是“信使”,是构建网络信任体系的重要基石。所谓“信使”,就是指密码是网络空间传递价值和信任的重要手段。信任是任何价值物转移、交易、存储和支付的基础,是社会发展的润滑剂和助推器。最初人类社会依靠血缘和宗族关系建立信任,后来主要依靠法律和组织建立信任。网络时代,主要依靠密码算法和安全协议,解决人、机、物的身份标识、身份认证、统一管理、信任传递、行为审计等问题,实现安全、可信、可控的互联互通。

第二,密码是“卫士”,是国之重器,密码强则网络强,网络强则国家强。所谓“卫士”,就是指密码是保护国家安全的重要战略资源。甲午海战期间,清军电报密码被日军破译,造成清军惨败,加速了清朝灭亡。第二次世界大战,盟军攻破了德军恩尼格玛密码,加速了德军的失败。可以说,密破则国破,国破家必亡。

第三,密码是“基因”。所谓“基因”,就是指密码是构建网络安全免疫体系的 DNA,是关键所在。在现在和未来相当长时间内,密码技术是经过理论证明的、保障网络安全的核心技术。密码,也只有密码,可以完整实现身份防假冒、信息防泄密、内容防篡改、行为抗抵赖等安全需求。密码就像空气一样,平时我们感觉不到,但离开密码,网络安全问题就会凸显,没有密码保护,网络就不安全。

 

党的十八大以来,网络空间密码保障能力整体跃升

 

党的十八大以来,在习近平总书记网络强国战略思想指引下,商用密码实现了跨越式发展,管理体制不断完善,科技创新能力不断增强,形成了较完整的产业链条和产品体系,在金融和教育、社保、交通、通信、能源、税收、公共安全、国防工业等重要领域得到广泛应用。回顾五年的工作,最重要的一条就是,党中央高度重视商用密码工作,确立了以密码应用为牵引的顶层制度架构。2014 年、2015 年,中央办公厅、国务院办公厅先后印发通知,分别就金融和重要领域密码应用作出部署。《网络安全法》和正在制修订的《密码法》《商用密码管理条例》《关键信息基础设施安全保护条例》《网络安全等级保护条例》等都突出了密码应用和监管,《政务信息系统政府采购管理暂行办法》等部门规章强化了同步规划、同步建设、同步运行密码保障系统和开展密码应用安全性评估审查的要求。

(一)商用密码管理逐步规范。商用密码法规制度体系经历了一个从无到有、从简单到复杂、从不完善到基本完善的过程。在法规体系框架下,商用密码管理更加科学有效,“放管服”改革深入推进,密码应用政策宣传和普及得到加强。

一是商用密码管理法规体系初步建成。已初步确立了以《商用密码管理条例》为基础的法规体系,建立了与国家治理体系和治理能力现代化相适应的商用密码管理体制机制,有效保障了商用密码的健康有序发展,有力促进了我国由密码大国向密码强国的迈进。2017 年,《密码法》面向社会公开征求意见,密码工作法治化进程走上了快车道。《密码法》已列入《国务院 2018 年立法工作计划》,作为统领全国密码工作的国家层面综合性法律规范,《密码法》的出台将填补密码领域的法律空白,将推动密码在网络安全与信息化发展中发挥更大作用。

二是清理规范行政审批事项成效显著。按照国务院推进政府职能转变和深化行政审批制度改革的要求,国家密码管理局认真清理规范行政许可和中介服务事项。取消了“商用密码产品生产单位审批”等行政许可事项,发布了《行政审批事项公开目录》,以及各项行政审批事项的服务指南,明确了统一的行政审批文书和办理时限。通过清理规范、简政放权、降低准入门槛、公正监管,促进了公平竞争,营造了高效便利的环境。

三是服务社会能力不断增强。为贯彻落实党中央、国务院关于加强政府网站建设工作的意见,更好地服务社会公众,国家密码管理局网站于 2017 年 6 月 1 日正式上线运行。网站提供及时全面的信息服务,是宣传密码政策法规、普及密码知识、促进广泛应用的重要渠道,也是社会公众了解商用密码的重要途径,在促进政务公开、推进依法行政、接受公众监督等方面将发挥更好作用。2017 年 10 月,党的十九大胜利召开前夕,国家密码管理局组织编写了《商用密码知识与政策干部读本》,由人民出版社出版发行,该书全面介绍了商用密码发展形势与任务、基础知识、管理政策和应用案例等内容,为广大干部群众学习商用密码知识与政策法规提供了重要辅助材料,有效提升了商用密码的社会影响力。

(二)商用密码科技不断进步。自主创新是商用密码事业发展的灵魂,紧紧牵住核心技术自主创新这个“牛鼻子”,牢牢把握商用密码科学技术核心环节的主动权,是商用密码实现持续健康快速发展的动力源泉,也是商用密码事业发展的必由之路。

一是商用密码科技创新成果丰硕。在国家密码发展基金等资助的国家级科技项目引导和支持下,商用密码基础理论研究取得了一系列原创性科研成果。其中一些研究成果发布在国际顶级期刊或会议上,标志着我国密码学术研究在某些细分方向上跻身于世界领先行列,为密码标准制修订、密码产品研发和密码应用推进提供了坚实的理论基础。

二是商用密码算法体系基本形成。我国自主设计了椭圆曲线公钥密码算法 SM2、密码杂凑算法 SM3、分组密码算法 SM4、序列密码算法祖冲之(ZUC)、标识密码算法 SM9 等等,这标志着我国商用密码算法体系已经基本形成。

三是商用密码标准体系基本建成。随着密码行业标准化技术委员会成立,密码标准化工作正式纳入国家标准管理体系,科学化、规范化水平不断提升,取得了系列丰富成果。先后颁布实施了 68 项密码行业标准,覆盖了密码算法和使用、密码产品和密码系统研发、密码检测等方面。密码算法国际标准推进取得重要进展,祖冲之(ZUC)算法已纳入国际 4G 移动通信标准,SM2 和 SM9 算法成功成为 ISO/IEC 国际标准,SM3 算法进入 ISO/IEC 最终国际标准草案阶段,SM4 算法进入 ISO/IEC 补篇草案阶段。

四是商用密码检测能力大幅提升。近年来,通过创新发展,我国商用密码在检测基础理论和应用技术方面取得了多项具有国际先进水平的研究成果,申报发明专利近 50 项,其中 10项已获授权;取得软件著作权 17 项;获得国家技术发明二等奖 1 项、国家科技进步奖二等奖 2 项、省部级科技进步奖 10 余项,具备了对全系列商用密码产品密码功能及安全性实施检测的能力。

(三)商用密码产业日益繁荣。我国商用密码产业取得长足进步,满足网络空间条件下差异化、多样化应用需求的能力不断提升。

一是商用密码产业队伍持续壮大。随着信息化发展对密码需求的不断增长,中国移动、中国电信、中国联通、华为、中兴、联想等一批具有国际影响力的旗舰企业,踊跃进入商用密码产业领域,按照密码管理政策法规和密码标准规范研制、生产商用密码产品。这些企业活跃在商用密码产业链条的各个细分领域,形成了分布合理、竞争有序、创新力强的商用密码产业队伍,创造了巨大的经济效益和社会效益。

二是商用密码产品不断丰富。截至目前,取得品种和型号证书的商用密码产品已达 2200余款,累计销售金额近千亿元,形成了以密码芯片、密码板卡、密码整机、密码系统等传统产品为主,多种产品形态和应用模式并现的产品体系,自主核心技术整体达到国外同类产品水平,部分产品在性能指标、安全防护能力等方面达到国际先进水平。

三是建成基于 SM2 算法的电子认证服务体系。截至目前,46 家运营机构获得国家密码管理局颁发的《电子认证服务使用密码许可证》和工业和信息化部颁发的《电子认证服务许可证》,基于 SM2 算法构建了以国家电子认证根CA 为认证源点、辐射全国各地区各行业、连接上亿用户的电子认证服务体系,为全国电子认证可信互认、互联互通提供了基础支撑。

(四)商用密码应用初见成效。商用密码应用领域不断扩大,应用程度不断加深,应用认可度不断提升,在维护国家网络与信息安全、保护公民权益等方面发挥了重要作用。

一是网络信任体系逐步建立健全。电子认证服务机构签发的数字证书广泛应用于金融、税务、工商、质检、教育、电信以及电子政务等领域,产生巨大的经济效益和社会效益,采用我国商用密码技术发放的数字证书超过 20 亿张,以电子认证为基础的网络信任体系不断完善,走在世界前列。

二是金融领域商用密码应用率先引领。金融信息安全是国家信息安全的重要组成部分,是金融业的生命线。密码技术作为保障金融信息安全的核心技术,发挥着不可替代的重要作用。在金融领域安全 IC 卡和密码应用示范项目中,共有 93 家金融机构参与了金融 IC 卡示范工程、跨行交易示范工程、网上银行示范工程和科技攻关示范工程,累计发行支持商用密码算法的金融 IC 卡已超 2.34 亿张,完成 POS 终端升级 353 万台,ATM 机升级 58 万台,发行网银设备 7977 万个。

三是重要领域商用密码应用全面推进。我国第二代居民身份证管理系统、国家电力信息系统、社会保障信息系统、全国中小学学籍管理系统中,都应用商用密码技术构建了密码保障体系。国家电力行业已实现电网技术与密码技术的深度融合,密码有力支撑电力系统发电、输电、变电、配电、用电等部分的安全运转,构筑了坚强的密码保护屏障;使用商用密码的第二代居民身份证已成功换发 15 亿张,没有出现一张假证;基于商用密码的云 CA 体系正在逐步实现物联网环境下数十亿网络实体的认证服务。

四是商用密码已走出国门。我国商用密码已出口数十个国家和地区,积极服务“一带一路”建设,为更多国家和地区提供密码安全服务。

 

党的十九大对商用密码创新发展提出新要求

 

党的十九大报告 25 次提到网络和信息化工作,提出加快科技创新,安排部署了科技强国、网络强国、数字中国、智慧社会等国家发展战略,倡议构建人类命运共同体,建设普遍安全、开放包容、清洁美丽的世界。这些都需要发挥密码的核心支撑作用。鼓励商用密码技术的研究开发和应用,健全商用密码市场体系,鼓励和促进商用密码产业发展,对于深入贯彻落实习近平新时代中国特色社会主义思想和党的十九大精神,更好地发挥商用密码在维护国家安全和促进经济社会发展中的作用,具有十分重要而深远的意义。

(一)进一步深化商用密码管理改革。强化商用密码管理改革是落实党管密码和依法管理密码的客观要求,要以推进《密码法》立法为牵引,不断完善法律法规体系,规范管理行为,加强政策普及,推动商用密码管理科学发展。

一是积极推进《密码法》立法工作。《密码法》是对坚持党管密码根本原则的法律规范,是适应我国国家安全新形势和密码广泛应用新挑战的时代需求,是构建与国家治理体系和治理能力现代化相适应的法律制度体系的重要举措,是确保密码使用优质高效、确保密码管理安全可靠的法治保障。

二是进一步规范行政审批行为。规范商用密码行政审批行为不仅是依法行政的要求,也是商用密码管理向商用密码服务转变的需求。按照深化行政审批制度改革的部署要求,加快建立法律顾问制度和重大决策合法性审查机制,继续取消和下放一批行政审批事项;进一步优化行政审批流程,建设行政审批事项网上办理平台,全力提高服务水平。

三是建立常态化宣传交流机制。要加强密码的国民教育和公务员教育,增强商用密码社会认知度和应用密码保护信息安全的意识,进一步繁荣密码学术交流,加大密码知识科普工作力度,加大对各级领导干部进行商用密码培训的力度,开展商用密码知识进党校和行政学院、进高校、进社会活动,丰富向全社会宣传商用密码的方式和方法。

(二)进一步强化商用密码自主创新。坚持走中国特色商用密码自主创新道路,着眼密码科技前沿、立足网络空间安全、面向国家战略需求,加快创新驱动发展,是推进商用密码科技创新和产业发展的基本思路。

一是增强商用密码自主创新主体活力。要加大政策和资金支持力度,鼓励开展基础理论与技术、密码新技术与应用融合、系统检测评估等方面的研究。创新激励方式、加大资源投入,推动商用密码科技创新与产品研发,不断满足商用密码社会应用需求。研究出台配套的扶持措施,建立完善商用密码科研成果转化机制,促进优秀科研成果尽快落地,推动商用密码产业单位真正成为决策创新、研发投入、科研组织、成果转化的主体。

二是开展商用密码自主创新活动。要加强商用密码基础研究和原始创新,为商用密码持续创新提供源源不断的动力。要紧盯网络空间密码科技最前沿,组建产学研用联盟,建设商用密码产业基地和重点实验室,形成协同创新攻关机制,积极开展商用密码应用技术创新。要以科技创新促进供给侧结构性改革,抓住新一轮科技革命和产业变革的新机遇,切实提升商用密码供给能力,不断满足工业控制、移动智能终端等新兴领域对商用密码应用的新需求。要促进传统产业转化升级,不断提高商用密码供给质量。还要实施商用密码技术与物联网、移动互联网、大数据和云计算等新技术新业态的融合试点等。

(三)进一步推进商用密码合规、正确、有效应用。以真用实用为目标,以改革创新为动力,以应用示范为抓手,在金融领域扩大和深化商用密码应用,在重要领域加快推进商用密码应用。金融和重要领域信息系统庞大,安全需求和产业情况复杂,要坚持试点先行、精准施策、稳步推进。推进商用密码应用要统筹好应用侧、供给侧和支撑侧三个方面。

应用侧是引领。一是与网络安全等级保护工作衔接好,凡是等级保护系统里要求用商用密码的地方都要用,加强对网络信息系统运营者的行为管理,让运营者依法依规主动使用商用密码。二是紧密结合云计算、大数据、军民融合、“互联网 + 政务服务”、智慧城市、信息惠民试点城市建设等国家重大专项,推动商用密码应用,做到新建系统同步规划、同步建设基于商用密码的安全保障体系。三是摸清网络信息系统的家底,深入研究商用密码应用需求,建立商用密码应用的台账制度。四是积极推进商用密码走出去,特别是为“一带一路”建设提供服务和支撑,让中国密码走向国际,为构建人类命运共同体贡献中国智慧,提供中国方案。

供给侧是基础。加快供给侧结构性改革和制度创新,通过应用试点,创新和熟化商用密码产品、技术和服务,确保产品在功能、性能、品质、产能等方面适应应用需求。同时,引导企业加大研发投入和研发力度,形成一批好用、管用、实用的商用密码技术、产品、服务和标准,培育一批商用密码行业龙头企业。

支撑侧是保障。以构建商用密码测评认证体系为抓手,一手抓产品侧的质量检测,做好产品的市场准入;一手抓系统侧的密码应用安全性评估,培育密码应用安全性评估机构,健全评估制度体系,为商用密码应用提供科学有效支撑,确保商用密码应用的合规、正确、有效。

总之,随着密码技术的飞速发展,随着金融和重要领域密码应用的深入推进和国际化拓展,以及新技术新应用新业态的不断涌现,商用密码迎来了大有可为的发展机遇期。在习近平新时代中国特色社会主义思想指引下,我国商用密码在新的历史起点上,必将迎来更加广阔的发展空间,为我国屹立于世界密码强国之林作出应有的贡献。