商用密碼亟須全面應用與創新發展

「互聯網是把雙刃劍，用得好，它是阿里巴巴的寶庫；用不好，它就是潘多拉的魔盒。」近日，國家密碼管理局商用密碼管理辦公室副主任霍煒在接受記者採訪時如此表示。

霍煒說，互聯網發展不能成為沙漠之上的「海市蜃樓」。在現在和未來相當長時間內，密碼技術是經過理論證明的保障互聯網安全的核心技術和基礎支撐。當前日益嚴峻的網路安全形勢對密碼提出了更多需求，在新時代亟需推動商用密碼全面應用和創新發展，讓互聯網成為安全之網、放心之網。

商用密碼實現跨越式發展

2014年、2015年，中央辦公廳、國務院辦公廳先後印發通知，分別就金融和重要領域密碼應用作出部署。《網路安全法》和正在制修訂的《商用密碼管理條例》《關鍵信息基礎設施安全保護條例》《網路安全等級保護條例》等都突出了密碼應用監管，《政務信息系統政府採購管理暫行辦法》等部門規章強化了同步規劃、同步建設、同步運行密碼保障系統和開展密碼應用安全性評估審查的要求。

霍煒表示，商用密碼是密碼的重要組成部分，主要用於保護不屬於國家秘密的信息和網路系統，提供加密保護和安全認證服務。維護國家安全、促進經濟發展、保護人民群眾利益是商用密碼的使命擔當。商用密碼姓黨、姓人民，黨和國家戰略推進到哪裡，商用密碼就保障到哪裡；人民群眾的利益在哪裡，商用密碼服務就在那裡。

黨中央高度重視商用密碼工作。黨的十八大以來，商用密碼實現了跨越式發展，管理體制不斷完善，科技創新能力不斷增強，形成了較完整的產業鏈條和產品體系，在金融和教育、社保、交通、通信、能源、稅收、公共安全、國防工業等重要領域得到廣泛應用。數據顯示，截至2017年年底，金融領域，已發放使用商用密碼的金融IC卡1.84億張，構建了以商用密碼為支撐的信息系統，而五年前這一數字幾乎為零；能源領域，使用商用密碼的智能電錶已達4億多隻；公共安全領域，使用商用密碼的第二代居民身份證已成功換髮15億張，沒有出現一張假證；稅收領域，使用商用密碼的防偽稅控系統用戶已達數千萬戶，有專家稱每年為國家防止偷漏稅款達千億元。

從系統角度看，商用密碼有力保障了各類應用系統的安全。比如，商用密碼與國家電網技術深度融合，從安全晶元、設備到系統已完全實現國產化，確保了電網持續安全穩定運行，支撐了我國能源安全、經濟安全、戰略安全。再比如，採用商用密碼的政務移動辦公系統，已在電子政務、城市管理、行政監管、應急安全等領域廣泛應用，保障了移動辦公系統的安全運行。全國32個省級公安機關100多萬民警配備終端密碼模塊，保障了1000多種移動警務應用安全。還比如，基於商用密碼建設的雲CA體系，將在服務網路用戶認證需求的基礎上，逐步實現物聯網環境下數十億網路實體的認證需求，建立起基於商用密碼、基於大數據的全球信任體系。又比如，我國商用密碼已出口數十個國家和地區，積極服務「一帶一路」建設，為更多國家和地區提供密碼安全服務，向世界提供中國方案，貢獻中國智慧。

商用密碼應用和發展面臨新任務

根據霍煒介紹，黨的十九大報告25次提到網路和信息化工作，安排部署了網路強國、數字中國、智慧社會等國家發展戰略，倡議構建人類命運共同體，建設普遍安全、開放包容、清潔美麗的世界。這些都需要發揮密碼的核心保障和基礎支撐作用。

當前，以網路安全為代表的非傳統安全威脅持續蔓延。從國際看，網路空間已成為國家地區間博弈的主戰場，網路空間安全成為國家戰略，更加突出戰略的攻擊性和實戰性；從國內看，我國信息領域核心技術設備受制於人的局面沒有從根本上改變，關鍵信息基礎設施安全防護能力仍然薄弱，網路信任體系不健全，對國家安全和公民合法權益構成嚴重威脅。日益嚴峻的安全形勢對密碼提出了更多需求，特別是總體國家安全觀提出的12個安全，都對密碼提出了迫切需求。

就商用密碼應用自身而言，目前情況也不容樂觀。一是一些重要信息系統使用密碼尚不廣泛，涉及國家、法人和社會公眾的大量數據還在裸奔；二是一些單位重信息化建設、輕安全保護，信息系統密碼使用不規範、不正確，密碼使用存在不安全情況，在密鑰管理、密碼系統運維等方面存在風險；三是不少信息系統還在大量使用已警示有風險的密碼，如MD5、RSA-1024、SHA-1等，以及基於此提供的不安全密碼服務。

面對嚴峻的網路安全形勢和密碼應用存在的突出問題，必須進一步提升密碼安全意識，紮實推進密碼全面應用，加快密碼創新發展，構建以密碼為底層支撐，系統、完善的網路安全保障體系，實現網路的普遍安全、真實可信和自主可控。

第一，密碼是網路安全的核心技術和基礎支撐。密碼，也只有密碼，可以完整實現網路和信息系統的真實性、機密性、完整性和不可否認性等信息安全需求，可以實現防假冒、防泄密、防篡改、抗抵賴，有效解決網路安全的「五種需求」，即不該進的進不來、不該看的看不懂、不該改的改不了、不是你的拿不走、只要干過就逃不掉。通過合規正確使用密碼技術、密碼模塊和產品、密碼基礎設施、密碼工程、密碼服務，能夠有效解決網路安全問題，滿足安全需求。密碼是網路免疫體系的基因，是DNA。沒有密碼的網路系統，就像是在沙地上建樓，絕對不安全。

第二，密碼是構建網路信任體系的重要基石。信任是世界上任何價值物轉移、交易、存儲和支付的基礎，是社會發展的潤滑劑和助推器。最初人類社會依靠血緣和宗族關係建立信任，後來主要依靠法律和組織建立信任。信息時代，萬物互聯、人機互認、天地一體，網路空間的信任建立主要依靠密碼演算法和安全協議，解決人、機、物的身份標識、身份認證、統一管理、信任傳遞、行為審計等問題，實現安全、可信、可控的互聯互通。因此說，密碼是構建網路信任體系的重要基石，是實現國家治理體系與治理能力現代化的重要支撐。

第三，密碼是國之重器，是國家的重要戰略性資源。密碼技術是國家的一項「撒手鐧」技術，我國密碼技術能力已達到國際先進水平，我國自主設計的商用密碼演算法ZUC、SM2和SM9已成為國際標準。這是與國外最領先的密碼演算法同台競爭、反覆論證的結果，我國的商密演算法被證明是足夠安全的。在我國信息領域核心技術受制於人的局面沒有從根本上改變的情況下，要實現自主可控，應當把密碼作為構建安全可控信息技術體系「彎道超車」的重要突破口，實施密碼優先發展，在一定程度上扭轉核心技術和產品受制於人的被動局面。

新時代實現融合發展和創新發展

黨的十九大明確了網路強國戰略和網路安全的大方向，特別是提出了推動互聯網、大數據、人工智慧和實體經濟深度融合以及發展數字經濟、共享經濟的新任務。在新的歷史起點上，商用密碼應用和發展必須跟上新形勢、新需求，實現融合發展、創新發展。

一是規劃引領。要以貫徹落實黨的十九大精神為主線，以總體國家安全觀和網路強國戰略為統領，建立健全商用密碼法律法規體系，提升商用密碼依法行政管理能力。要統籌密碼應用和創新發展，特別是在民生保障和改善、金融和現代服務業、基礎設施網路和新興產業、社會治理體系建設等方面，規劃一批密碼支撐任務和工程，著力推動密碼全面規範應用。

二是創新驅動。面向新應用需求、新計算方式、新技術新業態，通過密碼科技創新突破一批核心關鍵技術、基礎共性技術和前沿引領技術，做到在用一代、儲備一代、預研一代，始終保持戰略主動。培育積聚各類商用密碼優秀人才，滿足網路強國建設和密碼發展的人才需求。強化密碼標準規範引導，繼續提升密碼供給質量、優化產業生態，建立信息與情報共享通報機制，提升風險分析研判和密碼安全態勢感知能力。

三是堅守底線。對於新建重要網路系統，要同步規劃、建設、運行基於密碼的保障體系，這是密碼應用工作的底線。對於已建重要網路系統，要結合實際，積極穩妥地實施密碼應用升級改造，特別是要儘快完成改造那些仍在使用已警示有風險密碼演算法的系統。

四是戰略融合。商用密碼應用要與國家戰略相融合，支撐保障國家戰略落地實施。當前重點是做好密碼應用與「網路強國」、「互聯網+」行動計劃、「一帶一路」建設、「軍民融合」、「互聯網+先進位造」、「智慧城市」、「大數據」等戰略的統籌實施，發揮密碼的基礎支撐和安全保障作用。

五是源頭管理。從職能部門角度看，各主管部門要從政策規劃制定的源頭落實密碼應用要求；從產品技術提供商角度看，要在信息產品研發、網路系統集成和網路信息服務一開始就用好密碼；從網路系統運營者角度看，要明確密碼應用主體責任，合規、正確、有效使用密碼保護網路系統安全；從社會公眾角度看，要加大商用密碼知識和政策宣傳普及，切實提高社會公眾使用密碼保護網路安全和個人信息安全的意識。

六是分類施策。金融領域要加快實施密碼升級換裝工程，形成輻射帶動效應；重要信息系統和基礎信息網路要條塊配合，按領域按類型推進；重要工業控制系統要試點先行，穩妥推進，逐步拓展；政務信息系統要抓牢不放，尤其是使用財政性資金建設的政務信息系統，採購需求應落實國家密碼管理的法律法規、政策和標準規範要求，同步規劃、同步建設、同步運行密碼保障系統並定期進行評估，驗收方案應當包括密碼應用和安全審查情況等內容。已經開展試點的領域要做好驗收和經驗推廣，新的領域要做好試點示範。

七是依法測評。沒有網路安全就沒有國家安全，沒有密碼安全就談不上網路安全。要構建與國際體系接軌的、完全自主可控的密碼檢測認證和測評體系，對內提升密碼應用整體安全性，對外應對國際網路安全對抗挑戰。一方面，對密碼產品和服務，加強檢測認證，提升產品和服務供給質量；另一方面，對網路系統，加強商用密碼應用安全性評估，確保密碼應用的合規性、正確性、有效性，保證密碼的應用安全、體系安全和動態安全。

八是統籌落實。密碼應用涉及到方方面面，任務艱巨、責任重大、使命光榮。必須以釘釘子的精神，統籌落實密碼應用各項任務，包括落實商用密碼應用推進的主體責任，加強商用密碼應用與部門間相關法規政策、標準規範的銜接，加大專項資金投入和金融支持，以及落實稅收優惠和各項降費政策，落實督促檢查和績效考核制度，落實密碼應用責任審計各項部署等，從而形成密碼應用和創新發展的工作合力，共同落實好這一國家戰略。

網路安全離不開密碼，密碼創新促進網路發展。構建普遍安全的網路空間命運共同體，要樹立以總體國家安全觀為統領，以密碼為核心技術和基礎支撐的網路信息安全觀，構建以密碼基礎設施為底層支撐的網路安全保障體系，通過密碼實現網路的可信互聯、安全互通，推動建設網路新安全機制、新安全環境、新安全文明。

密碼強則網路強，網路強則國家強。站在新的歷史起點上，必須堅持「以人民為中心」，推動密碼與網路安全的協同與融合發展，讓網路空間更清朗、更安全、更美麗，讓人民群眾有更多獲得感、安全感、幸福感。

（記者　張漢青　北京報道）

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！