以商用密码应用为支撑
筑牢关键信息基础设施安全屏障
工业和信息化部密码应用研究中心
关键信息基础设施的安全保护,是国家网络和信息安全工作的重中之重,关系民生保障、社会稳定和国家发展大局。近年来,我国先后出台了《网络安全法》《密码法》《关键信息基础设施安全保护条例》等法律法规,明确了关键信息基础设施范围,并提出了包括商用密码在内的安全保障技术和管理要求。近期,新修订的《商用密码管理条例》(以下简称《条例》)正式施行。《条例》根据我国商用密码事业发展的新形势、新任务,进一步明确了关键信息基础设施商用密码应用“三同步一评估”要求。《条例》的施行,是贯彻落实《密码法》、健全完善商用密码法规制度体系的重要举措,为商用密码在关键信息基础设施中的深入应用提供了重要法规依据,对维护我国网络空间安全、促进信息化发展具有重要意义。
一、商用密码应用是构筑我国关键信息基础设施安全体系的必然选择
关键信息基础设施面临的安全威胁与日俱增。随着网络和信息技术迅猛发展,网络空间已深度融入到经济发展、人民生活和社会治理的各个方面,极大地影响和改变了全球的社会生产活动方式。网络和信息技术在促进经济发展、技术创新、文化繁荣和社会进步的同时,网络安全问题尤其是关键信息基础设施的安全问题日益严峻。2018年,印度唯一身份识别管理局遭受攻击者入侵,超11亿未进行加密保护的印度公民身份及生物特征信息被泄露。2021年,美国佛罗里达州一家水处理厂被黑客入侵,入侵者将未进行防篡改保护的氢氧化钠浓度增加到危险水平,严重威胁公民生命安全。我国关键信息基础设施发展迅速,同时也是全球遭受网络安全威胁最严重的国家之一。关键信息基础设施安全保护需求愈加紧迫,已成为业界各方关注焦点和研究重点。
商用密码是构建关键信息基础设施安全体系的关键技术。关键信息基础设施是国家的重要战略资源,其安全防护是国家网络与信息安全工作的重中之重。作为网络与信息安全的核心要件,密码是目前世界上公认的保障网络与信息安全最有效、最可靠、最经济的关键核心技术。商用密码技术通过保障网络空间实体身份的真实性,信息的保密性、完整性及行为的可信赖,实现网络空间安全、可信、可控的互联互通,切实保障信息系统和数据资产安全。构建以商用密码技术为核心的网络与信息安全防护体系,充分发挥商用密码技术在数据加密、身份鉴别、访问控制、取证溯源等方面难以替代的重要能力,是与我国基本国情最匹配的关键信息基础设施安全防护措施。
商用密码应用是我国有关法律法规制度体系的重要要求。国家相关法律法规制度体系对商用密码在关键信息基础设施中的应用提出了具体要求。《网络安全法》《密码法》《关键信息基础设施安全保护条例》等法律法规,将关键信息基础设施列为重点安全保护对象,明确了使用商用密码技术加强重要数据和个人信息保护,落实重点防护措施的总体要求。《条例》全面落实《密码法》立法精神,突出了对关键信息基础设施使用商用密码进行重点保护的具体要求,明确了关键信息基础设施运营者使用商用密码的主体责任,为关键信息基础设施商用密码应用提供了清晰完整的实施路径。
二、当前我国关键信息基础设施商用密码应用面临的形势
党中央对国家安全的高度重视为商用密码产业发展注入新动能。党的二十大报告强调,强化网络、数据等安全保障体系建设,推进国家安全体系和能力现代化,坚决维护国家安全和社会稳定。密码是保护网络、数据安全的核心技术和基础支撑,直接关系国家政治安全、经济安全、国防安全和网络安全。随着《密码法》《条例》等法律法规深入实施,商用密码已广泛应用于金融、电信、电子商务、税务等领域,商用密码应用与创新进入高速发展期。近年来,商用密码应用领域和市场规模连续扩大,商用密码核心技术不断取得突破,商用密码产品形态和服务模式持续演进,商用密码基础设施快速构建,商用密码产业进入蓬勃发展阶段。同时,商用密码产业结构日益优化,产品信创替代进程加速,国际竞争力持续提升,商用密码应用创新能力明显增强。
我国基础软硬件技术积累薄弱为商用密码融合应用带来挑战。近年来,我国信息产业发展迅速,5G、人工智能等领域重大创新成果竞相涌现,从跟跑阶段逐渐进入并跑、领跑阶段。但由于起步晚、起点低,我国在基础软硬件的技术积累上与主要发达国家相比仍存在差距,特别是芯片、操作系统、数据库、核心工业软件等基础信息技术长期存在短板。作为网络与信息安全的基础支撑,商用密码需要与包括网络、设备、软件在内的信息化系统的技术标准与底层架构深度融合,与信息化产品的研发工具深度融合,才能充分发挥其安全基石作用。当前,我国立足自力更生、自主创新的相关产业尚在生态培育阶段,对重要领域的信息化支撑还未形成规模效应,关键信息基础设施中使用的基础软硬件对外依赖程度仍然较高,相关设备对商用密码技术的兼容性较差,商用密码在相关产业链中的话语权也较低,行业关键信息基础设施商用密码应用标准体系尚不健全,这些因素在一定程度上制约了商用密码技术与关键信息基础设施的进一步融合。
技术创新与应用为关键信息基础设施安全技术迭代升级带来新机遇。随着云计算、大数据、人工智能、量子信息等新兴技术迅猛发展,新一轮科技革命和产业变革正在重构全球创新版图,呈现出万物互联、数据集中化、产品智能化等数字化新特征,涌现出工业互联网、物联网、车联网等新型信息化场景。新一代信息技术的应用和新型信息化场景的涌现使关键信息基础设施的安全防护需求愈加复杂多变,这为关键信息基础设施安全技术的迭代升级带来了新的发展机遇。同时,新一代信息技术的创新发展带动了商用密码应用技术的迭代升级,催生了隐私计算、同态密码、属性加密、可信计算、轻量级密码协议和算法等先进密码应用技术,拓展了商用密码应用的深度、广度和空间,也为关键信息基础设施商用密码应用的理念和形态创新带来了新的机遇。
三、关于深入推进关键信息基础设施商用密码应用的思考
深入落实商用密码应用法规制度要求。深入贯彻实施网络强国战略,护航数字中国建设,建议进一步加强关键信息基础设施商用密码应用相关法律法规在行业内的落地实施。一方面,根据关键信息基础设施安全防护需求,出台商用密码应用配套措施。《关键信息基础设施保护条例》《商用密码管理条例》等法规明确了关键信息基础设施商用密码应用的基本要求,建议行业管理部门在此基础上尽快出台相关配套文件,制定完善商用密码应用具体要求和落实举措,为关键信息基础设施运营者及市场参与者贯彻执行法律法规提供指导。另一方面,强化“三同步一评估”要求落实手段。充分运用商用密码应用安全性评估工作抓手,引导督促责任单位在规划阶段设计符合业务特点、满足实际安全需求的商用密码应用方案,在建设阶段落实密码产品、服务等技术措施以及制度、人员等管理要求,在运行阶段确保商用密码保障系统安全稳定运行,并具备及时有效的应急响应能力。
加快推进商用密码应用关键技术产品攻关。一是推动基础软硬件商用密码高质量供给。加大政策和资金支持力度,引导供给侧企业加强内生密码能力的高性能关键基础软硬件研发力度,推动商用密码内嵌于关键信息基础设施的设备、系统集成服务和底层基础协议,促进商用密码与基础软硬件的深度融合,根植关键信息基础设施网络空间的商用密码基因。二是完善覆盖各类应用场景的商用密码应用技术谱系。结合关键信息基础设施具体场景开展商用密码应用关键技术研究,适应个性化、差异化、定制化的关键信息基础设施商用密码应用需求,提升商用密码应用关键技术多元化水平。同时,促进商用密码应用与新技术、新业态的交替演变和融合创新发展。三是加强商用密码应用关键技术验证与推广。结合网络和数据安全分类分级管理、商用密码应用与创新发展示范区建设等工作,鼓励和加强开展商用密码应用技术试验验证,打造关键信息基础设施商用密码应用标杆,同时充分发挥示范企业、示范区域的专业特色和辐射带动作用,推动商用密码应用向更宽领域和更深层次拓展。
持续完善商用密码应用生态。围绕数字中国建设,建议凝聚商用密码应用“产、学、研、用、测”力量,构建商用密码应用良好生态,为关键信息基础设施商用密码应用提供坚强保障。一是打造密码应用技术创新与检测认证高地。以密码应用技术创新与测试验证工业和信息化部重点实验室等创新平台为载体,凝聚产业链上下游技术力量,促进跨领域合作,推进密码与新兴前沿技术融合创新研究;搭建高水平测试验证环境,建设密码评测认证第三方权威机构,引导行业正确合规应用商用密码技术。二是加快商用密码应用标准研制。充分发挥工业和信息化部商用密码应用推进标准工作组等行业标准化组织的牵引作用,建立健全关键信息基础设施商用密码应用标准体系,充分发挥标准引领作用,推动关键信息基础设施商用密码应用走深走实。三是发挥行业组织桥梁作用。依托中国网络安全产业创新发展联盟—商用密码工作组等行业组织开展关键信息基础设施商用密码应用供需对接、技术交流、宣传培训等活动,盘活用户侧、供给侧、研究机构等行业资源,推动关键信息基础设施商用密码应用迈上新高度。
来源:本文刊于《中国信息安全》2023年 第7期