商用密碼保障體系高質量發展觀

我國的商用密碼在網絡安全領域應用從無到有，逐步發展到為密碼保障體系的構建提供了“中國方案”。在未來的發展中，應通過創新驅動、以查促改、培訓宣貫的等多種方式，推動其高質量發展

密碼是保障網絡空間安全的核心技術，在網絡空間安全防護中發揮著重要的基礎支撐作用。密碼技術如果沒有得到合規、正確、有效的應用，那么其安全功能就無法發揮作用，并隨之帶來一系列安全問題和隱患。自1999年《商用密碼管理條例》頒布，歷經20余年的發展，我國的商用密碼在網絡安全領域應用從無到有，逐步發展到現階段，ZUC、SM2、SM3、SM4、SM9等一系列商用密碼算法在重要信息系統中得以應用，并且部分算法已在國際上被認可和采納，為密碼保障體系的構建提供了“中國方案”。

商用密碼的標準、產品、檢測體系發展現狀

標準規范體系逐步構建。自2006年國家密碼管理局組織研究商用密碼算法和技術標準化等相關工作開始，經歷5年，于2011年10月成立密碼行業標準化技術委員會，專門負責密碼產品和技術的標準化工作。截至目前，已發布密碼行業標準100余項、密碼國家標準30余項，全面指導著各行業、各領域密碼算法、協議以及產品的正確使用，同時也標志著我國商用密碼標準體系日益完善。

商密產品體系日趨成熟。商用密碼建設過程中最核心的一環就是商密產品和技術，在國家對商用密碼的政策引導和大力扶持下，大量的網絡安全龍頭企業逐漸涉獵商用密碼領域，并且在研發資金、技術創新、人才隊伍等方面的投入日益加大，越來越多諸如智能密碼鑰匙、IPSEC VPN、安全電子簽章、服務器密碼機等合規商用密碼產品推陳出新，為重要信息系統進行商用密碼改造奠定了基礎。

檢測評估體系逐漸形成。2021年3月，《信息安全技術 信息系統密碼應用基本要求》（GB/T 39786—2021）這一商用密碼應用安全性評估的上位標準正式發布；2021年6月，國家密碼管理局公告（第42號），全國48家商用密碼應用安全性評估機構名錄正式公示，商用密碼檢測評估體系初步構建。近年來，北京、上海、浙江、江蘇等省市的商用密碼應用安全性評估（以下簡稱“密評”）工作如火如荼，部分省市的年均密評數突破600個，通過檢測評估推動建設改造的模式逐漸形成。

技術、場景和人才成為制約商用密碼應用的痛點和難點

新興領域商用密碼技術創新有待提升。商用密碼的應用正在向工業互聯網、車聯網、智慧城市等新興領域融入，但新興領域對密碼功能和性能的要求更高，如面向云計算和大數據場景的同態加密技術、高性能密碼技術，面向物聯網、智慧城市等場景的邊緣安全網關和輕量級加密技術等。商用密碼的技術創新仍存在著密碼算法與系統的耦合度不夠、專用軟件密碼集成門檻高等挑戰。

密碼改造和應用場景融合度有待提升。不少建設單位在密碼應用安全建設初期，對系統實際情況未進行充分考察評估，缺乏對業務需求、數據加解密、密鑰交換等場景的充分調研，簡單地認為僅通過堆疊一些安全產品就能實現商用密碼改造，生硬套用模板化的密碼應用安全建設方案，與實際系統的業務邏輯脫節，導致密碼應用安全建設工作難以達到預期效果。

信息化人員專業能力有待提升。由于密碼技術專業性強，協議算法復雜，應用實踐多樣化，技術壁壘較高。雖然各地區密碼主管部門、信息化部門通過組織各類型的培訓、會議等活動，借此推進商用密碼體系建設；但目前仍有部分承擔信息化建設的工作人員對密碼的認知度不足、重視程度不夠，存在商用密碼建設不敢也不會推進的情況。

三大舉措切實加快商用密碼的應用發展

創新驅動，助力商用密碼產業鏈發展。應進一步優化商用密碼應用安全產業生態，出臺促進商用密碼產業高質量發展的一系列指導性文件；加速密碼領域產學研用相融合，促進商用密碼應用安全技術成果轉化，聚焦密碼與區塊鏈、大數據、云計算、人工智能等新業態的融合需求，增強密碼創新與支撐能力；打造高等院校、科研院所和龍頭企業“政產學研用”一體化的商用密碼應用安全產業生態鏈。

以查促改，加速推進商業密碼應用改造和評估。商用密碼主管部門應加大監管力度。一是督促各單位對關鍵信息基礎設施、重要信息系統開展商用密碼建設和改造，達到密碼建設方案與業務應用深度耦合，密碼使用滿足業務應用的實際要求。二是督促云服務商進行商用密碼改造并通過密評，提升云平臺的密碼應用安全防護能力，保障云上各應用系統的安全。三是督促密評機構規范開展密評工作，嚴把質量關和技術關，核實各重要信息系統商用密碼改造的正確性和有效性。

培訓宣貫，提升商用密碼應用水平。一是把握“4·15”全民國家安全教育日、國家網絡安全宣傳周等重要安全觀念宣傳“窗口期”，組織開展《密碼法》《信息安全技術 信息系統密碼應用基本要求》等相關政策法規、國家標準的宣貫活動，提高各單位對商用密碼應用安全的重視程度。二是依托商用密碼權威機構，面向密碼從業人員，定期組織開展密碼咨詢、密碼建設、密碼測評等領域的專業性培訓，提升各類商用密碼技術和管理人員的能力和水平。三是密碼技術應用員和密碼工程技術人員均已納入中華人民共和國職業分類，通過不斷完善密碼職業人才評價體系，擴大密碼職業人才隊伍，推動密碼技術創新和產業高質量發展。

（作者單位：浙江省電子信息產品檢驗研究院）