標準助力商用密碼應用發展
全國信息安全標準化技術委員會秘書長 楊建軍
為貫徹落實密碼法,結合商用密碼應用和管理工作的新形勢、新需要,《商用密碼管理條例》進行了修訂(以下簡稱《條例》),由國務院公布實施,為全面提升商用密碼管理工作的科學化、法治化水平奠定了堅實基礎。鼓勵使用商用密碼保護網絡與信息安全是《條例》的重要立法導向,標準對于促進商用密碼應用發揮著重要的規范引領作用。《條例》專章規定了商用密碼科技創新與標準化工作要求,為新時期商用密碼標準化工作賦予了更高使命。在此,我從以標準助力商用密碼應用發展的角度談幾點認識。
一、深刻領會《條例》對加強商用密碼應用的重要意義
當今世界,網絡空間正加速演變為各國爭相搶奪的新疆域、戰略威懾與控制的新領域和國家安全博弈的新戰場。密碼是維護網絡空間安全最有效、最可靠、最經濟的關鍵核心技術,加快推動商用密碼應用刻不容緩。
(一)安全形勢嚴峻,商用密碼應用亟待向縱深推進
近年來,國內外大規模網絡安全事件頻發,調查數據顯示,2021年全球網絡攻擊造成的經濟損失高達6萬億美元。密碼是網絡安全可信的基石,是國家的重要戰略資源,新一輪科技革命和產業革命加速演變,新一代信息技術和實體經濟深度融合,網絡安全與物理安全、生產安全相互交織的新形勢,對使用密碼保護網絡安全提出了更高要求。但與此同時,國內商用密碼應用仍存在不廣泛、不規范和不充分等實際問題,迫切需要進一步強化商用密碼應用的深度和廣度,為國家網絡安全保障體系建設注入密碼“基因”。
(二)《條例》修訂出臺為商用密碼應用提供了有力制度保障
2020年,密碼法正式施行,為提升我國密碼法治化管理水平,促進密碼事業發展,保障網絡與信息安全,維護國家安全和社會公共利益奠定了堅實法律基礎。《條例》是細化密碼法相關制度的重要體現,也是新時期加快推動各領域商用密碼應用工作的重要保障。《條例》的發布實施有利于進一步完善商用密碼管理制度體系,推動商用密碼科技創新,提升商用密碼服務能力;有利于促進商用密碼產業發展,深入推進商用密碼應用,完善商用密碼檢測認證體系;也有利于加強密碼人才培養,高質量推進商用密碼國際化發展。
二、構建支撐法律法規實施的商用密碼標準體系
密碼應用,標準先行。扎實推進商用密碼應用工作的基礎是推動各方貫徹落實密碼法和《條例》要求,關鍵在于構建與法律法規相匹配、相銜接的商用密碼標準體系。在國家密碼管理局指導下,密碼產業各方力量緊緊圍繞落實法律法規要求,針對商用密碼應用需求,以標準研制、試驗驗證和應用實施為主線,積極開展標準化工作。
(一)全力推進商用密碼標準體系建設,固化商用密碼發展成果
緊扣密碼標準體系建設這一主線,我國現已制定發布了一大批密碼標準。目前已有商用密碼國家標準40余項,商用密碼行業標準140余項,覆蓋了商用密碼技術、產品、服務、測評、應用、管理等方面,基本構建起了先進適用、結構合理、層次豐富、類別齊備的密碼標準布局,為商用密碼高質量發展提供了堅實標準支撐,對切實維護國家網絡與信息安全發揮了重要作用。
(二)深入開展商用密碼標準試點應用,提升技術產品供給能力
加強商用密碼標準試點應用,對提升商用密碼技術和產品供給能力具有重要意義。筆者所在的中國電子技術標準化研究院在商用密碼標準試點應用方面做了一些積極探索:一是組織建立了工業和信息化部商用密碼應用產業促進聯盟,完善了商用密碼應用產業供需對接渠道;二是依據商用密碼相關標準,組織協調聯盟內優勢資源深入開展商用密碼技術研究和產品攻關,并在重點領域實現規模化部署;三是針對航油輸油、視頻安防、水利信息等系統開展測評分析和應用改造,推動相關行業密碼應用規范化水平不斷提升。
(三)加快推動商用密碼標準走出去,鼓勵企業參與國際標準化活動
我國高度重視商用密碼國際標準化工作,積極引導并鼓勵相關企業、科研機構、高等學校深入參與商用密碼國際標準化活動。我國自主的SM2數字簽名算法、SM3密碼雜湊算法、祖沖之(ZUC)序列密碼算法、SM4分組密碼算法、SM9標識密碼算法均已正式發布為ISO/IEC國際標準,充分體現了我國商用密碼算法的先進性與安全性,有力推動了商用密碼中國標準與國際標準之間的轉化運用,為網絡安全領域國際標準貢獻了中國智慧、提供了中國方案。
三、標準助力商用密碼應用步入高質量發展“快車道”
商用密碼應用涉及行業多、覆蓋范圍廣,是一項復雜的長期性工作。在《條例》實施過程中,應進一步發揮標準的規范性和引領性作用,做好標準研制、試驗驗證、應用示范等工作,為重要行業和領域的商用密碼應用提供技術服務和保障支撐。
(一)抓緊重點標準研制
加強商用密碼標準化工作總體研究和規劃布局,重點圍繞《條例》實施,不斷完善商用密碼標準體系。堅持急用先行,緊扣國家關于區塊鏈、量子科技、物聯網、工業互聯網、人工智能、大數據等新技術新業態新應用的重大戰略部署,開展配套商用密碼標準研制,提升商用密碼標準對國家重大戰略實施的服務保障能力。
(二)加強標準應用實施
加大商用密碼標準宣貫力度,組織開展應用培訓,引導企業知標準、懂標準、用標準。推動“產學研用測”優勢資源開展供需對接,鼓勵在商用密碼活動中采用商用密碼推薦性國家標準、行業標準,提升商用密碼產品和服務的安全防護能力。建立商用密碼標準實施信息反饋和評估機制,遴選優秀試點企業和示范項目,提升標準應用價值與實施效果,形成一批可復制、可推廣的行業應用解決方案。
(三)加強標準服務能力建設
建強商用密碼標準服務能力,強化商用密碼應用信息收集、風險評估和監測預警,以標準服務支撐形成商用密碼應用與標準一致性的快速檢驗能力,促進商用密碼應用供需對接,幫助企業有效落實標準的各項要求,切實提升商用密碼應用的合規性、正確性和有效性。
京公網安備11040102700079號