專家解讀｜劉平：商用密碼迎來發(fā)展新機遇

發(fā)布時間： 2023-06-06 13:59

近日，國務院發(fā)布了修訂后的《商用密碼管理條例》（以下簡稱《條例》）。新修訂的《商用密碼管理條例》清晰界定了商用密碼管理范圍，合理設置了管理環(huán)節(jié)，明確了管理條件和程序，寬嚴有度，規(guī)范到位，對促進商用密碼技術進步和商用密碼產(chǎn)業(yè)發(fā)展具有重要意義。

鼓勵密碼科技創(chuàng)新，促進密碼科技進步

《條例》第七條、第八條對促進商用密碼科學技術創(chuàng)新，開展商用密碼科技成果轉(zhuǎn)化及成果信息管理進行了規(guī)定；第九條對商用密碼技術審查鑒定進行了規(guī)定；第十條、第十一條對商用密碼標準的制定、實施、監(jiān)督、國際化以及法律效力進行了規(guī)定。

應用需求是商用密碼科技創(chuàng)新的動力，不斷創(chuàng)新才能不斷進步。商用密碼用于保護不屬于國家秘密的信息，其應用場景往往與國家關鍵信息基礎設施和人民群眾日常生活密切相關，涵蓋金融、通信、公安、稅務、社保、交通、衛(wèi)生健康、能源、電子政務等重要領域，在維護國家安全，促進經(jīng)濟社會發(fā)展，保護公民、法人和其他組織合法權益等方面發(fā)揮著重要作用。國內(nèi)外日益嚴峻的網(wǎng)絡安全態(tài)勢，信息領域新技術、新業(yè)態(tài)、新模式的快速發(fā)展，引發(fā)了對商用密碼科技創(chuàng)新的迫切需求，為商用密碼科技創(chuàng)新提供了廣闊舞臺。

商用密碼標準是合規(guī)正確有效使用密碼的遵循依據(jù)，創(chuàng)新成果成為標準才能廣泛推廣。商用密碼標準的作用是規(guī)范密碼技術的有效使用和密碼產(chǎn)品市場準入的檢測認證。所以，為合規(guī)正確有效使用商用密碼技術，研發(fā)有市場競爭力的商用密碼產(chǎn)品，應當遵循相關標準；為使商用密碼科技創(chuàng)新的成果廣泛推廣使用，應當使其成為標準。

創(chuàng)新成果的應用需求和創(chuàng)新成果沒有現(xiàn)成標準的矛盾，是商用密碼科技進步和產(chǎn)業(yè)化進程中始終存在的矛盾，解決矛盾的方法是促進矛盾雙方主次地位的相互轉(zhuǎn)化，而轉(zhuǎn)化的關鍵環(huán)節(jié)是商用密碼技術審查鑒定，審查鑒定的主體是國家密碼管理部門，審查鑒定的對象和內(nèi)容是“法律、行政法規(guī)和國家有關規(guī)定要求使用商用密碼進行保護的網(wǎng)絡與信息系統(tǒng)所使用的密碼算法、密碼協(xié)議、密鑰管理機制等商用密碼技術”。

建立商用密碼檢測認證體系，自愿檢測認證與強制檢測認證相結(jié)合

《條例》第十二條落實《密碼法》規(guī)定的推進商用密碼檢測認證體系建設，鼓勵商用密碼從業(yè)單位自愿接受商用密碼檢測認證；第十三條至第十九條依法明確檢測、認證機構資質(zhì)審批條件、程序及其從業(yè)規(guī)范；第十七條規(guī)定實行商用密碼產(chǎn)品、服務、管理體系的國家統(tǒng)一推行的自愿性認證制度；第二十條、第二十一條規(guī)定對涉及國家安全、國計民生、社會公共利益的商用密碼產(chǎn)品和服務，實行強制性檢測認證。

密碼是保障信息安全的關鍵技術，密碼發(fā)揮作用需各方參與。密碼供給方把密碼技術落到實處，為需求方實現(xiàn)密碼應用提供密碼支撐；密碼需求方把密碼技術用到實處，解決信息系統(tǒng)的安全問題；密碼技術、密碼支撐和密碼應用共同作用，保障信息系統(tǒng)安全。密碼產(chǎn)品和服務是指承載密碼技術、實現(xiàn)密碼功能、支撐信息系統(tǒng)使用密碼技術的實體，密碼需求方使用密碼產(chǎn)品和服務，把密碼技術落實到應用中，解決安全問題。

密碼產(chǎn)品和服務是保障安全的實體，保障安全的實體自身應當安全。信息系統(tǒng)使用不安全的密碼產(chǎn)品和服務，會比不使用帶來更大的安全問題。需求方如何確定采購的密碼產(chǎn)品和服務正確地實現(xiàn)了密碼技術，正確地提供了密碼功能，自身安全達到了預期的安全等級？商用密碼從業(yè)單位不能自說自話，應當出具商用密碼認證機構頒發(fā)的認證合格的證書予以證明。

放寬準入與保障安全相結(jié)合，促進商用密碼產(chǎn)業(yè)有序健康發(fā)展。通常密碼從業(yè)單位可以自主決定是否接受商用密碼檢測認證。當商用密碼產(chǎn)品涉及國家安全、國計民生、社會公共利益，被列入網(wǎng)絡關鍵設備和網(wǎng)絡安全專用產(chǎn)品目錄，或商用密碼服務使用網(wǎng)絡關鍵設備和網(wǎng)絡安全專用產(chǎn)品，需要按照國家有關法律法規(guī)要求，由具備資格的檢測認證機構檢測認證合格后方可銷售或者提供。

建立統(tǒng)一的電子認證信任機制，依法管理電子認證服務密碼使用

《條例》依據(jù)《密碼法》和《電子簽名法》，在第二十二條、第二十三條中明確電子認證服務機構采用商用密碼技術提供電子認證服務應具備相關條件和遵循相關法律和規(guī)范；在第二十四條至第二十八條中明確電子政務電子認證服務機構的資質(zhì)申請、條件認定和從業(yè)規(guī)范等內(nèi)容；在第三十條中明確了政務活動中的電子簽名、電子印章、電子證照等的電子認證服務要求。

電子認證的基礎是信任，信任機制的實現(xiàn)靠密碼技術。《電子簽名法》明確“可靠的電子簽名與手寫簽名或者蓋章具有同等的法律效力”。公鑰密碼技術的實施需要一個大家都信任的權威機構，來為大家提供“證明公鑰屬于誰”的服務，這個權威機構稱為電子認證服務機構，不同的電子認證服務機構之間需要互信互認，上下級的電子認證服務機構需要有效管理，這個互信互認、有效管理的機制稱為電子認證信任機制?！稐l例》明確“國家建立統(tǒng)一的電子認證信任機制”，并且由“國家密碼管理部門負責電子認證信任源的規(guī)劃和管理”。

對電子認證服務使用密碼的行為依法實施管理，是《電子簽名法》賦予國家密碼管理部門的職能，電子認證服務機構應當按照法律、行政法規(guī)和電子認證服務密碼使用技術規(guī)范、規(guī)則，使用商用密碼提供電子認證服務。

從事電子政務電子認證服務的機構，應當經(jīng)國家密碼管理部門認定。對電子政務電子認證服務使用密碼和提供服務的行為依法實施管理，是《密碼法》賦予國家密碼管理部門的職能，電子政務電子認證服務機構應當依法取得電子政務電子認證服務機構資質(zhì)，并應當按照法律、行政法規(guī)和電子政務電子認證服務技術規(guī)范、規(guī)則，在批準范圍內(nèi)提供電子政務電子認證服務。

采用非證書機制的電子認證服務，也應依法納入管理。當前，電子認證服務使用的密碼技術規(guī)范，均是采用基于數(shù)字證書機制的技術規(guī)范，而隨著物聯(lián)網(wǎng)、車聯(lián)網(wǎng)、工業(yè)互聯(lián)網(wǎng)等新業(yè)態(tài)的密碼應用需求，采用SM9標識密碼算法或基于SM2密碼算法的非證書機制的電子認證服務應用也會不斷發(fā)展。隨著技術的不斷完善、相關標準的研制和發(fā)布，采用這類技術規(guī)范的電子認證服務的規(guī)范管理也應提上日程。

促進密碼技術應用，保障網(wǎng)絡與信息安全

《條例》突出促進應用、保障安全的導向，第三十五條、第三十六條鼓勵公民、法人和其他組織依法使用商用密碼；第三十八條、第三十九條明確關鍵信息基礎設施商用密碼使用和安全性評估要求，同時第四十條明確關鍵信息基礎設施的商用密碼國家安全審查要求。

密碼應用，是密碼需求方用密碼技術解決安全問題的過程。密碼無處不在，任何網(wǎng)絡與信息系統(tǒng)都可以使用密碼技術滿足機密性、真實性、完整性、不可否認性的安全需求。網(wǎng)絡與信息系統(tǒng)的運營者可以使用經(jīng)檢測認證合格的密碼產(chǎn)品和服務，遵循密碼國家標準和行業(yè)標準，針對網(wǎng)絡與信息系統(tǒng)的安全需求，制定密碼應用方案，按照“三同步一評估”原則，同步規(guī)劃、同步建設、同步運行密碼保障系統(tǒng)，定期開展商用密碼應用安全性評估。

密碼應用方式，包括對業(yè)務應用透明和非透明兩種。對業(yè)務應用透明的密碼應用方式，一般用于保護網(wǎng)絡與信息系統(tǒng)的物理環(huán)境、網(wǎng)絡環(huán)境、計算環(huán)境和存儲環(huán)境的安全，密碼應用的重點是根據(jù)實際環(huán)境及安全需求，部署和管理密碼產(chǎn)品，使其發(fā)揮作用；對業(yè)務應用非透明的密碼應用方式，主要用于保障承載在計算環(huán)境上的業(yè)務應用的安全，包括用戶和管理人員的身份真實性及行為的不可否認性、重要數(shù)據(jù)的機密性和完整性、重要業(yè)務流程和重要業(yè)務對象的安全性等，密碼應用的特點是調(diào)用密碼功能，使用密碼技術，解決業(yè)務應用安全問題。

密碼內(nèi)生方式，包括密碼資源內(nèi)生和密碼應用內(nèi)生兩種。內(nèi)生安全、密碼內(nèi)生，近來呼聲比較多，個人認為主要有兩種內(nèi)生方式：一是密碼資源內(nèi)生的方式，主要是在CPU、操作系統(tǒng)、數(shù)據(jù)庫、瀏覽器等信息化產(chǎn)品中，內(nèi)置密碼算法及相關密鑰管理等密碼資源，用于產(chǎn)品自身安全或?qū)崿F(xiàn)特定安全功能，該密碼資源是產(chǎn)品自己用的，一般不會透出為其他應用服務。二是密碼應用內(nèi)生的方式，主要是在業(yè)務系統(tǒng)研發(fā)期間就把密碼應用集成在內(nèi)，通過接口調(diào)用外部密碼資源提供的密碼功能，成為安全的業(yè)務系統(tǒng)。

密碼應用安全性評估，是對商用密碼使用環(huán)節(jié)的監(jiān)管。密碼應用安全性評估的對象是網(wǎng)絡與信息系統(tǒng)采用商用密碼技術、產(chǎn)品和服務；評估的內(nèi)容是按照商用密碼管理政策和相關密碼標準，對其密碼應用的合規(guī)性、正確性、有效性進行評估；對于關鍵信息基礎設施等重要網(wǎng)絡與信息系統(tǒng)，評估通過后方可投入運行，運行后每年至少進行一次評估，評估情況報送國家密碼管理部門或者關鍵信息基礎設施所在地省、自治區(qū)、直轄市密碼管理部門備案；開展商用密碼應用安全性評估的檢測機構應當經(jīng)國家密碼管理部門認定，依法取得商用密碼檢測機構資質(zhì)。

結(jié)束語

《條例》的修訂發(fā)布和實施，是商用密碼發(fā)展史上的一件大事，對商用密碼的發(fā)展有深遠的意義。商用密碼從業(yè)單位應認真研讀，仔細領會，嚴格遵守。