作者/中国信息通信研究院云计算与大数据研究所 马聪 徐秀 何阳
万物智联的数字时代,物联网、云计算、大数据、人工智能等多种信息技术融合应用,以上技术在已有网络产品和系统内的应用部署条件日益成熟,随着诸多新业态的持续涌现,网络空间安全隐患日益加剧。密码是安全的基因,是保障网络空间安全的根本性技术,也是赋能数字经济发展的核心技术和基础支撑。
立法时代商用密码发展呈现新变化
自2020年1月1日《密码法》正式实施以来,业界对商用密码的关注度日益提升,也呈现出诸多新的变化。
一方面,商用密码制度管理进一步细化规范。为适应《密码法》的要求,国家密码管理部门对1999年颁布的《商用密码管理条例》进行了全面修订,于2020年8月20日发布《商用密码管理条例(修订草案征求意见稿)》,条例强调对国家安全和社会公共利益的保护,明确我国商用密码的四级管理与专项管理机制,细化了检测认证制度,设专章规定科技创新与标准化、应用促进等内容。同时,为了持续强化商用密码检测认证体系,今年管理部门先后发布了《商用密码产品认证目录(第一批)》《商用密码产品认证规则》《商用密码应用安全性评估试点机构目录》《政务信息系统密码应用与安全性评估工作指南》等。
另一方面,各界对商用密码的关注度不断攀升。2020年,业内对商用密码的交流探讨更加频繁,对其认识深度、使用广度不断提升,各地结合当前行业重点、热点,陆续举办了“护航新基建密码技术论坛”、国家网络安全宣传周“密码攻防与网络空间安全主题论坛”、湖北网络安全宣传周“密码创新与应用论坛”、中国金融科技产业峰会“密码与区块链技术应用论坛”等,从政策详解、技术前瞻、应用进展与方向等方面展开深入沟通。中国人民银行数字货币研究所与清华大学密码理论与技术研究中心联合密码相关单位、专家共同举办“金融密码杯”2020全国密码应用和技术创新大赛,这是金融行业首次举办全国密码应用与创新大赛,旨在促进密码在金融领域的实际应用并挖掘储备密码专业人才与优秀算法。
密码行业整体发展水平仍需提高
我国商用密码行业管理日益规范,然而市场整体发展依然面临诸多问题,发展水平还需进一步提升。
一是我国商用密码产业规模依然不高。我国商用密码产业收入规模仅为数百亿元,与网络安全产业(规模为1563.59亿元)与规上互联网和相关服务企业(业务收入达12061亿元)相比,仍有较大的发展潜力。尽管密码在政务、金融等领域应用较早较成熟,但实际应用范围依然有待拓展。同时,尚未形成密码企业集群发展之势,产值过亿元的企业数量偏少。
二是国内密码市场产品结构有待均衡。当前,我国密码产品种类齐全,具备商用密码产品型号证书的产品近两千件,形成了从芯片、板卡、整机到系统和服务的完整产业链。然而,我国密码市场硬件产品占比超九成,多数为特定领域专用产品,软件产品占比偏低,与国外软硬产品各半、产品通用性较强等特征形成鲜明对比。
三是多样的应用诉求急需密码科技创新。商用密码的应用正在向5G、云、物联网、大数据、区块链等新技术场景渗透,向工业互联网、车联网、智慧城市等新兴领域融入,不同领域的应用诉求对密码技术和相关适配设备提出差异化要求,如面向云和大数据场景的同态加密技术、高性能密码技术,面向智慧城市等场景的轻量级加密技术。
四是商用密码检测评估体系仍需完善。商用密码产品检测和应用安全性评估是密码检测评估体系的重要组成部分,随着多年实践与一系列密码产品技术和检测标准规范的出台,产品检测工作科学化、规范化水平不断提升。然而,商用密码应用安全性评估仍处于试点阶段,也是测评机构培育阶段,机构制度建设、实战经验等整体能力有待提升。同时,各应用领域信息化发展水平不一,如何形成适应不同垂直领域的密码应用评估体系也是当下较为紧迫的需求。
五是密码人才供需失衡且整体性规划不足。各界对密码技术、产品与服务的需求日益增长,对密码人才的需求也随之增长。而部分密码从业人员专业性不足、知识深度不够且系统性不强,高端技术人才和管理人才极为紧缺。当前,我国密码人才培养缺少整体性顶层规划和设计,密码人才培养与用人单位实际需求存在差距。
新时期商用密码应用发展机遇展望
上述密码行业发展面临的问题长期普遍存在,未来需要政产学研用各界共同努力,有望从如下几方面予以突破。
规范密码制度宣贯与执行管理。年内商用密码政策红利频出,对未来推动密码产业做强做优意义重大,也体现出密码立法时期我国从根本上保障国家安全和社会、公民利益的决心。未来在更广范围内开展政策制度的解读与宣贯,将让更多组织与个人认识并使用密码,同时也有利于落实好密码在科研、产业、应用、检测等环节的执行工作。
提升商用密码基础支撑能力。密码基础支撑能力包括密码理论研究、密码算法研究、密码技术研究、密码产品研究等,多措并举可切实推动密码多层级的创新发展,如持续推动SM系列算法的研究突破,加大对同态密码、量子密码、云密码等关键技术的投入,研究新型密码对抗相关的理论、算法、技术产品和工具。
强化对密码应用的统筹协调。根据最新商用密码管理条例,我国将建立商用密码应用促进协调机制,加强对商用密码应用的统筹指导,有望系统性地建立面向各垂直领域、各行业的密码应用服务体系,以应用需求为牵引,推动金融等重要领域持续加强密码应用。
推动集群发展与生态建设。密码行业亟须依托基地、园区建设,通过技术研发、标准验证、成果转化等手段推动密码从业单位集群发展,搭建产业发展与科技创新间的桥梁纽带,驱动产业良性发展。同时要以密码供给能力提升为目标,建立共建、共享、开放的密码产业生态体系,推动产业各环节优势互补、融通发展。
关注人才队伍的培养与建设。行业亟须通过深化产教融合、产学合作、协同育人等方式,培养一批实践能力强的密码工程人才。可通过强化高校密码学科建设、建立密码人才评价体系,培养密码人才队伍,为建设世界一流密码强国提供坚实的学科和人才支撑。