信息技術(shù)與商用密碼深度融合工作建議

許一駿 湯慶平 陽(yáng)湘懿

2019年10月26日，《中華人民共和國(guó)密碼法》（以下簡(jiǎn)稱(chēng)“《密碼法》”）的正式頒布標(biāo)志著我國(guó)進(jìn)入密碼立法時(shí)代?！睹艽a法》的頒布實(shí)施，將在規(guī)范密碼應(yīng)用和管理、促進(jìn)密碼事業(yè)發(fā)展、保障網(wǎng)絡(luò)與信息安全方面發(fā)揮重要推動(dòng)作用，也將為信息技術(shù)與商用密碼的融合發(fā)展奠定基礎(chǔ)。

《密碼法》出臺(tái)帶來(lái)商用密碼發(fā)展的重大機(jī)遇

早在1999年，為了適應(yīng)社會(huì)經(jīng)濟(jì)活動(dòng)信息化發(fā)展的需要，使用密碼技術(shù)對(duì)不涉及國(guó)家秘密的信息進(jìn)行保護(hù)，我國(guó)制定了《商用密碼管理?xiàng)l例》，初步開(kāi)始了對(duì)于商用密碼應(yīng)用與發(fā)展的管理。此后，針對(duì)商用密碼的科研、生產(chǎn)、銷(xiāo)售、使用等各環(huán)節(jié)，國(guó)家制定了一系列規(guī)定（包括但不限于《商用密碼產(chǎn)品生產(chǎn)管理規(guī)定》、《商用密碼產(chǎn)品銷(xiāo)售管理規(guī)定》、《商用密碼產(chǎn)品使用管理規(guī)定》等），建立了一套對(duì)商業(yè)密碼進(jìn)行專(zhuān)控管理的法律制度。

目前，商用密碼已經(jīng)廣泛應(yīng)用于金融、通信、交通、衛(wèi)生健康、能源、公安、稅務(wù)、社保、電子政務(wù)等社會(huì)生產(chǎn)生活的眾多領(lǐng)域。近年來(lái)，隨著密碼技術(shù)在多領(lǐng)域的廣泛應(yīng)用，也給國(guó)家、社會(huì)和個(gè)人信息安全帶來(lái)了一些新的問(wèn)題和挑戰(zhàn)，在密碼領(lǐng)域制定一部綜合性、基礎(chǔ)性法律的必要性愈發(fā)凸顯。

從2017年首次公開(kāi)征求意見(jiàn)以來(lái)，歷經(jīng)2年多時(shí)間，在2019年10月26日，全國(guó)人大常委全體會(huì)議表決通過(guò)《中華人民共和國(guó)密碼法》，把對(duì)密碼的應(yīng)用管理上升到國(guó)家法律的高度，也充分說(shuō)明了我國(guó)在網(wǎng)絡(luò)空間建設(shè)以及信息安全建設(shè)方面的決心。

《密碼法》的頒布實(shí)施，將在規(guī)范密碼應(yīng)用和管理、促進(jìn)密碼事業(yè)發(fā)展、保障網(wǎng)絡(luò)與信息安全、提升密碼管理科學(xué)化、規(guī)范化、法治化水平方面發(fā)揮積極作用，是密碼工作進(jìn)程中具有里程碑意義的大事，必將對(duì)我國(guó)的密碼事業(yè)發(fā)展產(chǎn)生重大而深遠(yuǎn)的影響。

《密碼法》的出臺(tái)明確了密碼的定義以及兩個(gè)重要作用，即加密保護(hù)與安全認(rèn)證，指出了密碼相關(guān)領(lǐng)域涵蓋技術(shù)、產(chǎn)品和服務(wù)等多種形式?！睹艽a法》還明確提出“國(guó)家鼓勵(lì)商用密碼技術(shù)的研究開(kāi)發(fā)、學(xué)術(shù)交流、成果轉(zhuǎn)化和推廣應(yīng)用，鼓勵(lì)和促進(jìn)商用密碼產(chǎn)業(yè)發(fā)展”。

《密碼法》的出臺(tái)，也為信息技術(shù)與商用密碼的融合發(fā)展奠定了基礎(chǔ)。未來(lái)信息技術(shù)將在各個(gè)方面與密碼技術(shù)深度融合，通過(guò)強(qiáng)化信息技術(shù)產(chǎn)品研發(fā)應(yīng)用過(guò)程中的密碼技術(shù)應(yīng)用，在數(shù)據(jù)信息存儲(chǔ)、傳輸、共享等多個(gè)環(huán)節(jié)采用加密技術(shù)，共同保障信息網(wǎng)絡(luò)和信息系統(tǒng)的安全。

商用密碼在信息技術(shù)領(lǐng)域的作用逐漸凸顯

5G、IPv6、車(chē)聯(lián)網(wǎng)等基礎(chǔ)信息網(wǎng)絡(luò)中承載大量重要且敏感的數(shù)據(jù)信息，因此需結(jié)合實(shí)際安全需求和國(guó)家政策要求建立健全密碼服務(wù)體系，通過(guò)密碼技術(shù)手段提升基礎(chǔ)信息網(wǎng)絡(luò)的應(yīng)用和數(shù)據(jù)安全。在5G領(lǐng)域，祖沖之（ZUC）128算法被寫(xiě)入5G安全第一版本規(guī)范（TS 33.501）是一個(gè)重大的突破，目前相關(guān)單位已完成祖沖之（ZUC）256算法研發(fā)，后續(xù)將開(kāi)展國(guó)際標(biāo)準(zhǔn)制定、設(shè)備研發(fā)與網(wǎng)絡(luò)應(yīng)用等工作。在IPv6領(lǐng)域，隨著技術(shù)的逐步成熟以及規(guī)模部署，海量的網(wǎng)絡(luò)設(shè)備、終端設(shè)備將接入到網(wǎng)絡(luò)中來(lái)，而傳統(tǒng)的國(guó)際DES、MD5以及RSA等算法只能針對(duì)數(shù)據(jù)加密，無(wú)法在協(xié)議層面以及設(shè)備認(rèn)證方面提供安全保障，這在下一代互聯(lián)網(wǎng)時(shí)代顯然無(wú)法滿(mǎn)足電信運(yùn)營(yíng)商對(duì)網(wǎng)絡(luò)安全的需求。在車(chē)聯(lián)網(wǎng)領(lǐng)域，不同形式服務(wù)的快速擴(kuò)展加大了隱私泄露的風(fēng)險(xiǎn)，此外，車(chē)聯(lián)網(wǎng)網(wǎng)絡(luò)通信和遠(yuǎn)程通信存在的安全隱患以及車(chē)載終端軟硬件存在的安全漏洞都是不可忽視的問(wèn)題，急需以商用密碼技術(shù)為支撐的安全保障體系來(lái)進(jìn)行解決。

在基礎(chǔ)信息產(chǎn)品軟硬件方面，芯片、操作系統(tǒng)、數(shù)據(jù)庫(kù)、中間件、辦公軟件、瀏覽器等為用戶(hù)帶來(lái)便捷體驗(yàn)的同時(shí)，潛在的安全問(wèn)題也不容忽視，也成為了制約基礎(chǔ)信息產(chǎn)品發(fā)展的瓶頸。操作系統(tǒng)作為信息架構(gòu)環(huán)境中的最基礎(chǔ)部分，目前普遍采用的是開(kāi)源的OpenSSL庫(kù)，具有一定的潛在風(fēng)險(xiǎn)，此外在用戶(hù)認(rèn)證、密鑰管理、程序認(rèn)證等環(huán)節(jié)尚未建立完整基于商用密碼的安全機(jī)制，迫切需要依托商用密碼建立操作系統(tǒng)整體的數(shù)據(jù)安全保障措施。數(shù)據(jù)庫(kù)作為應(yīng)用系統(tǒng)的基礎(chǔ)支撐，存儲(chǔ)著所有業(yè)務(wù)數(shù)據(jù)，并提供訪(fǎng)問(wèn)，然后在大部分產(chǎn)品中還存在對(duì)程序文件、配置文件、資源文件等還并未進(jìn)行密碼保護(hù)的情況，數(shù)據(jù)庫(kù)產(chǎn)品的安全性還有待利用商用密碼技術(shù)進(jìn)一步完善。

在可預(yù)見(jiàn)到未來(lái)，大量基礎(chǔ)信息產(chǎn)品將與商用密碼深度融合，在不斷提升產(chǎn)品性能，擴(kuò)展產(chǎn)品功能的同時(shí)，兼顧好產(chǎn)品本身的安全性，從底層為信息系統(tǒng)整體安全防護(hù)體系的形成奠定重要基礎(chǔ)。

當(dāng)前，以云計(jì)算、大數(shù)據(jù)、人工智能、區(qū)塊鏈為代表的新一代信息技術(shù)蓬勃發(fā)展，同時(shí)為實(shí)現(xiàn)信息資產(chǎn)安全與隱私保護(hù)帶來(lái)了極大的沖擊和挑戰(zhàn)，安全成為新一代信息技術(shù)應(yīng)用中亟待突破的重要問(wèn)題。以云計(jì)算與區(qū)塊鏈為例。云計(jì)算由于虛擬化、資源共享、分布式等核心技術(shù)特點(diǎn)，決定了它在安全性上面臨很多威脅。區(qū)塊鏈最核心、最底層的技術(shù)就是密碼學(xué)，目前我國(guó)區(qū)塊鏈領(lǐng)域幾乎都是采用國(guó)外制定的加密算法，一旦加密算法被攻破，產(chǎn)生的損失不可估量。

商用密碼在新一代信息技術(shù)中的融合能夠更好地防御在其應(yīng)用推廣中出現(xiàn)的安全問(wèn)題，防范因新技術(shù)引入帶來(lái)的新風(fēng)險(xiǎn)。通過(guò)商用密碼的應(yīng)用，云計(jì)算的數(shù)據(jù)安全將得到更有效的保障，在高效處理數(shù)據(jù)的同時(shí)，實(shí)現(xiàn)數(shù)據(jù)的保密性，同時(shí)區(qū)塊鏈與商用密碼的融合將提高應(yīng)用服務(wù)的安全性，減少潛在的算法風(fēng)險(xiǎn)，推動(dòng)區(qū)塊鏈在多領(lǐng)域的應(yīng)用和普及。

商用密碼在信息技術(shù)領(lǐng)域應(yīng)用面臨的挑戰(zhàn)

在一些地區(qū)和部門(mén)，商用密碼并未得到有效實(shí)施，一些單位重信息化建設(shè)、輕安全保護(hù)，信息系統(tǒng)密碼使用不規(guī)范、不正確，密碼使用存在不安全情況，在密鑰管理、密碼系統(tǒng)運(yùn)維等方面存在風(fēng)險(xiǎn)。

我國(guó)網(wǎng)絡(luò)信息系統(tǒng)應(yīng)用的核心軟硬件、操作系統(tǒng)、高性能芯片等短板瓶頸問(wèn)題突出，對(duì)國(guó)外廠(chǎng)商依賴(lài)性很強(qiáng)，這些領(lǐng)域中商用密碼技術(shù)的應(yīng)用也存在關(guān)鍵技術(shù)還未突破的嚴(yán)重問(wèn)題。

當(dāng)前我國(guó)存在商用密碼產(chǎn)業(yè)鏈支撐能力不足的現(xiàn)實(shí)困難，許多行業(yè)的主要設(shè)備和系統(tǒng)均使用設(shè)備生產(chǎn)商自帶的密碼體系，尚未使用基于商用密碼算法的密碼設(shè)備和模塊。

密碼技術(shù)是保障網(wǎng)絡(luò)空間安全的核心技術(shù)，我國(guó)商用密碼算法只有贏(yíng)得國(guó)際認(rèn)可，納入國(guó)際標(biāo)準(zhǔn)密碼算法體系，才能有效強(qiáng)化基于自主密碼算法支撐的國(guó)家網(wǎng)絡(luò)信息安全。目前，密碼算法納入國(guó)際標(biāo)準(zhǔn)的規(guī)則嚴(yán)格，我國(guó)密碼算法在ISO等國(guó)際密碼算法標(biāo)準(zhǔn)體系里面仍缺乏足夠的話(huà)語(yǔ)權(quán)，AES、RSA、SHA-3等國(guó)際主流密碼算法均是西方國(guó)家主導(dǎo)。

推進(jìn)商用密碼與信息技術(shù)融合發(fā)展

完善標(biāo)準(zhǔn)規(guī)范體系。建議在現(xiàn)有標(biāo)準(zhǔn)基礎(chǔ)之上進(jìn)一步完善商用密碼使用規(guī)范和應(yīng)用標(biāo)準(zhǔn)，特別對(duì)于廣泛含有商用密碼技術(shù)的產(chǎn)品和系統(tǒng)建議明確相關(guān)規(guī)定和應(yīng)用指導(dǎo)，包括在相關(guān)基礎(chǔ)信息軟硬件，新一代信息技術(shù)、基礎(chǔ)信息網(wǎng)絡(luò)中建議明確相關(guān)商用密碼技術(shù)的使用標(biāo)準(zhǔn)、指南，明確相關(guān)檢測(cè)、測(cè)評(píng)規(guī)范和市場(chǎng)準(zhǔn)入機(jī)制。

強(qiáng)化技術(shù)自主創(chuàng)新。鼓勵(lì)企業(yè)參與并開(kāi)展商用密碼技術(shù)的基礎(chǔ)研究，以行業(yè)協(xié)會(huì)或產(chǎn)業(yè)聯(lián)盟的形式，組織企業(yè)開(kāi)展信息技術(shù)與商用密碼的融合創(chuàng)新聯(lián)合攻關(guān)，在信息技術(shù)和信息產(chǎn)品研究的初期就考慮商用密碼的應(yīng)用，發(fā)揮商用密碼在信息加密、身份認(rèn)證等方面天然的優(yōu)勢(shì)，從根本保障信息技術(shù)和信息產(chǎn)品的安全性。

優(yōu)化產(chǎn)業(yè)生態(tài)。建議加大商用密碼產(chǎn)業(yè)的扶持力度，鼓勵(lì)和支持更多產(chǎn)業(yè)主體更深程度參與商用密碼的應(yīng)用與創(chuàng)新發(fā)展，克服商用密碼產(chǎn)業(yè)鏈支撐能力不足的現(xiàn)實(shí)困難，打通政產(chǎn)學(xué)研用協(xié)同創(chuàng)新發(fā)展通道，促進(jìn)商用密碼產(chǎn)品和服務(wù)供需對(duì)接，促進(jìn)商用密碼技術(shù)的成果轉(zhuǎn)化，提升產(chǎn)品性能和服務(wù)質(zhì)量，夯實(shí)商用密碼基礎(chǔ)支撐能力。

推廣自主網(wǎng)絡(luò)信任體系。建議在互聯(lián)網(wǎng)絡(luò)安全協(xié)議的層面上，加強(qiáng)與國(guó)際組織合作，推動(dòng)使用我國(guó)商用密碼算法的互聯(lián)網(wǎng)安全協(xié)議成為國(guó)際協(xié)議，推動(dòng)落實(shí)我國(guó)自主的網(wǎng)絡(luò)信任體系。針對(duì)數(shù)字證書(shū)信任根、數(shù)字證書(shū)格式、數(shù)字證書(shū)管理策略等網(wǎng)絡(luò)信任體系基礎(chǔ)設(shè)施和技術(shù)標(biāo)準(zhǔn)，編寫(xiě)統(tǒng)一的技術(shù)指南和政策，對(duì)數(shù)字證書(shū)運(yùn)營(yíng)機(jī)構(gòu)、使用數(shù)字證書(shū)的相關(guān)基礎(chǔ)信息產(chǎn)品開(kāi)發(fā)商提出明確要求。