隨著信息技術日新月異的發(fā)展，網絡環(huán)境日益復雜、安全形勢瞬息萬變,，網絡安全威脅的范圍和內涵不斷擴大和演化,，我國面臨的網絡安全挑戰(zhàn)日趨嚴峻?！皼]有網絡安全就沒有國家安全”,，商用密碼技術作為實現(xiàn)網絡安全的核心技術,，在網絡安全防護工作中發(fā)揮著重要的基礎支撐作用,。聚焦我國商用密碼管理現(xiàn)狀,，圍繞政策法規(guī)、標準規(guī)范,、技術實力,、產業(yè)發(fā)展等內容進行研究，分析我國商用密碼管理工作中的挑戰(zhàn),，并提出相應的建議與舉措,，為商用密碼管理工作提供了有益參考。

　　0　引　言

　　近年來,，網絡空間作為國家發(fā)展的重要戰(zhàn)略資源,，已成為影響國家間競合關系的重要領域以及大國博弈的重要戰(zhàn)場。部分國家將網絡安全作為謀求國家戰(zhàn)略優(yōu)勢的重要抓手,，對內不斷加強頂層設計和能力手段建設,，對外搶抓網絡空間制空權、規(guī)則制定話語權,，國家間網絡空間博弈日益激烈,，網絡安全問題已經成為影響國家間戰(zhàn)略合作關系走向的焦點之一。

　　而密碼技術作為黨和國家的“命門”是實現(xiàn)網絡安全的“基因”,，是實現(xiàn)可信互聯(lián),、安全互通的必要前提，是保障網絡空間安全的核心技術和基礎支撐,。作為實現(xiàn)網絡安全最有效,、最經濟的手段，互聯(lián)網的安全發(fā)展需要充分發(fā)揮密碼的核心保障能力,。商用密碼管理工作作為我國密碼工作的重要組成部分,，是構建國家安全法律制度體系、維護國家網絡空間主權安全,、推動密碼事業(yè)高質量發(fā)展的重要舉措,。

　　1　商用密碼管理現(xiàn)狀

　　國家高度重視商用密碼工作。1999 年國務院頒布施行《商用密碼管理條例》,，明確對商用密碼的科研,、生產、銷售和使用等實施管理,。2002 年國家商用密碼辦公室成立,，統(tǒng)籌負責全國商用密碼管理工作，主要包括商用密碼法規(guī)體系建設,、商用密碼標準化體系建設,、商用密碼科技創(chuàng)新,、商用密碼產業(yè)發(fā)展和商用密碼應用推進等內容。近年來,，在習近平總書記網絡強國戰(zhàn)略思想的指引下,，商用密碼實現(xiàn)了跨越式發(fā)展，管理體制逐漸建立健全,、標準體系逐步完善,、科技創(chuàng)新成果不斷涌現(xiàn)、商用密碼產業(yè)蓬勃發(fā)展,。

　　1.1　政策法規(guī)體系不斷完善，密碼管理體制建立健全

　　我國自1996年確立商用密碼發(fā)展戰(zhàn)略以來,，堅持以黨管密碼為根本原則,，不斷強化商用密碼管理工作規(guī)范化，持續(xù)完善商用密碼管理政策法規(guī)體系,，加快構建與商用密碼應用發(fā)展相適應的密碼管理體系,。目前已初步確立了以《商用密碼管理條例》為核心，《商用密碼科研管理規(guī)定》《商用密碼產品生產管理規(guī)定》《商用密碼產品使用管理規(guī)定》等多部專項管理規(guī)定為主要內容的“1+N”商用密碼管理體制,，有效保障了商用密碼的健康有序發(fā)展,。作為我國首部密碼領域的行政法規(guī)，《商用密碼管理條例》的頒布施行,，極大地推動了我國商用密碼在網絡安全領域從無到有,、從初創(chuàng)到規(guī)范管理的發(fā)展，在黨和國家密碼工作史上具有重大里程碑意義,。

　　2019年10月26日,，十三屆全國人大常委會第十四次會議通過《中華人民共和國密碼法》（以下簡稱《密碼法》），習近平主席簽署主席令予以公布,，并將于2020年1月1日起正式施行,。《密碼法》作為我國密碼領域首部國家層面的綜合性,、基礎性法律,，把密碼工作各領域、各環(huán)節(jié),、各要素納入法治軌道,，大大提升了商用密碼管理科學化、規(guī)范化,、法制化水平,，積極促進了商用密碼事業(yè)發(fā)展，有力保障了國家網絡和信息安全,?！睹艽a法》的頒布實施,， 不僅是完善國家安全法律制度體系、維護國家網絡空間主權的重要舉措,，更是黨對密碼工作集中領導的主張上升為國家意志,、全面提升密碼工作法治化和現(xiàn)代化建設水平的重要體現(xiàn)。制定和實施密碼法,，就是要把密碼應用和管理的基本制度及時上升為法律規(guī)范,，推動構建以密碼技術為核心、多種技術交叉融合的網絡空間新安全體制,。

　　為落實《密碼法》確立的商用密碼工作新舉措,，國家密碼管理局正在組織制修訂包含《商用密碼管理條例》在內的配套法律法規(guī)，持續(xù)完善商用密碼管理法規(guī)體系,，以應對商用密碼發(fā)展過程中面臨的新挑戰(zhàn),。

　　1.2　標準體系逐步建立，推動商用密碼規(guī)范化管理

　　經過多方面的努力,，我國已形成較為完善的商用密碼標準體系,，包括國家標準、行業(yè)標準,、地方標準,、企業(yè)標準和團體標準等。其中,，商用密碼行業(yè)標準體系由基礎類標準,、應用類標準、檢測類標準和管理類標準四類標準組成,，支撐我國的商用密碼產品研制,、應用和管理各個環(huán)節(jié)。

　　當前,，我國已發(fā)布商用密碼相關國家標準29項,，行業(yè)標準90余項，其中11項已上升為國家標準,，覆蓋密碼算法,、協(xié)議、產品,、檢測,、應用、管理等各方面,，為規(guī)范商用密碼管理發(fā)揮了重要作用,。在密碼應用與安全性評估方面，國家密碼管理局發(fā)布了GM/T 0054-2018《信息安全技術 信息系統(tǒng)密碼應用基本要求》,，該標準對各級信息系統(tǒng)中密碼的應用提出了具體的要求,，是我國當前指導,、規(guī)范和評估各級信息系統(tǒng)商用密碼應用的標準依據(jù)，確保商用密碼合規(guī),、正確和有效應用,。

　　此外，為進一步擴大我國密碼技術,、產品的影響力,，增強我國密碼技術國際競爭力，提升國際話語權,，在全國信息安全標準化技術委員會和密碼行業(yè)標準技術委員會等相關單位的大力推動下,，我國在密碼算法標準國際化進程中也取得重要進展，ZUC算法已經成為3GPP LTE 國際標準,，ZUC-256 有望成為5G標準,，含有我國SM2、SM9 數(shù)字簽名算法的ISO/IEC14888-3/AMD1正式成為ISO/IEC國際標準,，SM4算法以補篇形式納入 ISO/IEC18033-3 標準中。

　　1.3　商用密碼技術實力不斷提升,，科技創(chuàng)新成果豐碩

　　自主創(chuàng)新是我國一貫的基本策略,，是商用密碼事業(yè)發(fā)展的源動力。密碼技術作為保障網絡與信息安全的核心技術,，必須實現(xiàn)自主可靠,、安全可控。在國家密碼發(fā)展基金等國家級科技項目的引導和支持下,，我國在序列密碼設計,、分組密碼算法設計與分析、密碼雜湊算法分析,、密碼協(xié)議基礎理論與分析,、量子密鑰分配等密碼基礎理論研究方面取得了一系列的創(chuàng)新科研成果。

　　同時,，由我國自主設計的橢圓曲線公鑰密碼算法 SM2,、雜湊算法 SM3、分組密碼算法SM4,、序列密碼算法ZUC,、標識密碼算法 SM9 等已經成為國家標準或密碼行業(yè)標準，標志著我國商用密碼算法體系已經基本形成,。

　　1.4　商用密碼產業(yè)蓬勃發(fā)展,，密碼應用初見成效

　　為滿足網絡空間密碼多樣化應用的實際需求，我國商用密碼產業(yè)已取得長足的發(fā)展,。截至2019年5月,，已有1395項商用密碼產品取得了國家密碼管理局審批型號,，密碼產品不斷豐富，已形成涵蓋密碼芯片,、密碼板卡,、密碼系統(tǒng)等較為完整的商用密碼產品供給體系，商用密碼供給質量和服務水平不斷提升,，產業(yè)支撐能力不斷增強,。

　　隨著我國在金融和重要領域商用密碼應用工作的推進，商用密碼產品應用程度不斷加深,，商用密碼產品已廣泛應用到金融和通信,、公安、稅務,、交通,、能源、電子政務等重要領域,， 在維護國家網絡與信息安全,、保護公民權益等方面發(fā)揮了不可替代的作用。如我國商用密碼技術發(fā)放的數(shù)字證書超過20億張,，累計發(fā)行支持商用密碼算法的標準金融 IC卡1.2億張,，成功換發(fā)融合商用密碼技術的二代身份證15億張，部署支持商用密碼算法的智能電表4.47億只,，有效發(fā)揮了商用密碼的安全保障作用,。

　　1.5　商用密碼檢測認證制度逐步建立，有效支撐商用密碼應用推進工作

　　為充分落實《密碼法》立法精神,，不斷深化商用密碼行政審批制度改革,，我國正在積極構建“1+M+N”的商用密碼檢測認證體系，即1家商用密碼認證機構,、M 家商用密碼產品檢測機構和 N 家商用密碼應用安全性測評機構,。以商用密碼檢測認證體系為抓手，堅持商用密碼應用支撐側雙軌發(fā)展,，一手抓產品測的質量檢測,，一手抓應用測的安全評估，為商用密碼的應用提供科學有效支撐,。

　　在商用密碼檢測認證方面,，為充分激發(fā)市場活力，有序推進密碼產業(yè)的健康發(fā)展,，《密碼法》通過建設實施商用密碼檢測認證體系重塑密碼產品管理體系,，鼓勵商用密碼產品和服務自愿檢測認證，同時對特定范圍的密碼產品進行強制檢測認證，注重“放管服”與保障國家安全的平衡,。2020年2月20日,，市場監(jiān)管總局、國家密碼管理局聯(lián)合起草了《關于開展商用密碼檢測認證工作的實施意見（征求意見稿）》（以下簡稱《實施意見》）,?！秾嵤┮庖姟窂墓ぷ髟瓌t與機制、認證實施和監(jiān)督管理三方面對商用密碼檢測認證工作提出了具體的實施意見,。

　　在商用密碼應用安全性評估方面,，為充分發(fā)揮商用密碼在網絡安全中的核心支撐作用，規(guī)范重要領域網絡和信息系統(tǒng)商用密碼的應用,，《密碼法》規(guī)定“法律,、行政法規(guī)和國家有關規(guī)定要求使用商用密碼進行保護的關鍵信息基礎設施，其運營者應當使用商用密碼進行保護,，自行或者委托商用密碼檢測機構開展商用密碼應用安全性評估,。”

　　此外,，相關部門正在制定《網絡安全等級保護條例》和《關鍵信息基礎設施保護條例》等政策法規(guī)都對商用面應用安全性評估提出了明確的要求,，依法合規(guī)對網絡和信息系統(tǒng)密碼應用的合規(guī)性、正確性和有效性開展安全評估工作,，不僅是網絡運營者和主管部門必須履行的責任,，還是維護網絡和信息系統(tǒng)面應用安全的客觀要求。目前,，國家密碼管理部門已經制定了商用密碼應用安全性評估管理辦法、商用密碼應用安全性測評機構管理辦法等相關規(guī)定,，對安全評估程序,、評估方法、監(jiān)督管理等進行了明確,。

　　2　商用密碼管理工作所面臨的挑戰(zhàn)

　　雖然我國商用密碼發(fā)展已取得很大成績,，但整體仍處于初期發(fā)展階段，仍然存在商用密碼管理體制尚不健全,、標準體系不完善,、安全可控基礎薄弱、產業(yè)鏈支撐不足,、密碼人才匱乏等突出問題,。

　　在商用密碼管理體制方面，雖然我國已經在《網絡安全法》《密碼法》《網絡安全等級保護條例（征求意見稿）》多部政策法規(guī)中明確了商用密碼應用的要求,，但是在政策法規(guī)的落地實施上仍有待完善,，仍然缺乏面向不同行業(yè)的商用密碼應用工作開展的指導性文件。根據(jù) 2018 年商用密碼應用安全性評估聯(lián)合委員會對1萬余個等保三級及以上的信息系統(tǒng)進行普查結果顯示，未使用密碼進行安全防護的信息系統(tǒng)占比高達 75.23%,。多數(shù)企業(yè)不知道密碼技術需要在哪里用,、用什么、怎么用,。

　　同時,，由于不同行業(yè)信息系統(tǒng)的差異化，商用密碼技術的應用場景,、應用范圍和管理手段等都不盡相同,，對于具體行業(yè)來說，缺乏可操作性強的指導性文件,，一定程度上制約了商用密碼應用的推廣,。在標準規(guī)范體系方面，我國在標準領域已取得積極進展,，但與國際先進水平相比,，標準體系仍不完善。根據(jù)2018年商用密碼應用安全性評估聯(lián)合委員會對118個大部分已使用密碼技術的重要系統(tǒng)進行抽查,，發(fā)現(xiàn)85%的系統(tǒng)不符合密碼應用要求,，MD5、RSA1024,、SHA1 等具有重大安全隱患的算法也仍在大量使用,。

　　我國雖已發(fā)布系列密碼算法，但仍然缺少密碼應用方面的相關標準,，跨行業(yè)制定密碼應用標準難度較大,，適用于具體行業(yè)的密碼應用標準缺失，較難對商用密碼的應用發(fā)展起到積極的促進作用,。此外,，已發(fā)布的相關密標缺少與不斷更新的國際規(guī)范對接兼容。例如在 TLS1.2,、TLS1.3等常用的主流安全協(xié)議中,，對于如何使用商用密碼的問題仍不明確，密碼應用不廣泛,、不規(guī)范等問題突出,。

　　在商用密碼技術自主可控方面，從多邊組織框架下的《瓦森納協(xié)議》（The Wassenaar Arrangement,WA ）將密碼技術和產品作為軍民兩用物項對待,，對其出口進行嚴格限制,，美國《出口管理條例》（Export Administration Regulations, EAR）中規(guī)定對高強度密碼出口進行嚴格限制，以及美國《出口管制改革法案》（Export Control Reform Act,ECRA）將量子加密技術和產品納入出口管制目錄等政策法規(guī)中可見,，先進的密碼技術不僅是出口管制立法的重要支撐因素,，還是支撐國家網絡安全自主可控的核心和關鍵,。

　　在密碼算法基礎研究方面，我國密碼技術的研究起步晚,、密碼算法基礎薄弱,，仍處于“跟跑” 發(fā)達國家的階段。在密碼算法實現(xiàn)方面,，仍存在密碼芯片等硬件產品被國外廠商壟斷的情況,，對國外密碼技術和產品的過度依賴現(xiàn)象嚴重， 商用密碼技術的實現(xiàn)仍存在高性能需求與低效的算法實現(xiàn)之間的矛盾,、應用軟件密碼集成門檻高等挑戰(zhàn),，國家網絡安全建設的迫切需求正倒逼密碼技術的發(fā)展。

　　在產業(yè)鏈支撐方面,，雖然我國已初步建成較為完整的商用密碼產品供給體系,，但多數(shù)以較為獨立的模塊或產品銷售，存在與具體應用的主流設備和系統(tǒng)融合度不足的問題,。當前,，密碼算法多以內嵌的形式固化于主流的設備和系統(tǒng)中，算法的選擇和產品實現(xiàn)方式完全依賴于設備生產商,，密碼算法與設備和系統(tǒng)的深度耦合不僅制約了密碼算法的選擇,，同時增加系統(tǒng)維護難度和成本。

　　此外,，在產業(yè)環(huán)境角度,，我國產業(yè)生態(tài)環(huán)境雖呈現(xiàn)優(yōu)化趨勢，但仍然缺少具有影響力的權威行業(yè)協(xié)會或產業(yè)聯(lián)盟等組織對商用密碼產業(yè)發(fā)展進行引領,，形成企業(yè)參與聯(lián)盟和協(xié)會的熱情雖高,，但缺乏一致性目標的“兩張皮”怪圈，導致產業(yè)鏈上下游資源凝聚力不足,，產業(yè)缺乏協(xié)同,。

　　在密碼人才方面，密碼人才匱乏已成為制約密碼合規(guī),、正確、有效應用的瓶頸,。根據(jù)數(shù)據(jù)統(tǒng)計顯示,，未來十年我國信息安全人才總需求量為140萬人，而當前僅僅有3萬畢業(yè)生,，人才缺口高達 98%,，而每年培養(yǎng)的密碼學專業(yè)人才僅上千人，人才數(shù)量與質量,、結構比例與市場需求不匹配,。通過梳理相關政策法規(guī)可見，商用密碼應用指標雖不多，但是與實際業(yè)務系統(tǒng)或平臺緊密耦合,，不僅涵蓋數(shù)據(jù)流轉的各個環(huán)節(jié),，還覆蓋密碼對設備和網絡資產的安全防護，涵蓋密碼算法,、密鑰管理,、密碼產品、密碼標準等內容,，牽涉背景知識較多,，對密碼相關網絡安全從業(yè)人員的背景知識要求較高。

　　3　對我國商用密碼管理的建議

　　為充分發(fā)揮商用密碼技術的核心支撐作用,，貫徹落實網絡安全保護工作,，有力保障我國關鍵信息基礎設施安全，仍需加強以下幾方面的工作,。

　　3.1　建立健全密碼管理體制

　　在國家網絡安全法制建設的總體框架下,，建議國家相關密碼管理部門以《密碼法》的出臺為契機，加快密碼領域法律制度的整體規(guī)劃和頂層設計,，持續(xù)推進《商用密碼管理條例》等配套政策法規(guī)的制修訂工作,，做好《密碼法》與《網絡安全法》《關鍵信息基礎設施安全保護條例（征求意見稿）》《網絡安全等級保護條例（征求意見稿）》的相互銜接，加快構建以《密碼法》為核心的密碼管理法律制度體系,，理順體制機制,，明確職責任務，狠抓落實,，確保各行業(yè)密碼管理工作有法可依,，有規(guī)可循。此外,， 為確?！睹艽a法》的落地實施，有效推進商用密碼的廣泛應用,，重要行業(yè)應加快行業(yè)內商用密碼應用規(guī)范及商用密碼應用測評等相關管理要求的制修訂工作,。

　　3.2　持續(xù)完善標準化體系建設

　　在標準化體系建設方面，首先應加快編制并發(fā)布面向等保2.0的等級保護對象的商用密碼應用標準,，發(fā)揮標準化對技術引領,、產業(yè)發(fā)展的重要支撐作用。加快推進行標 GM/T 0054- 2018《信息系統(tǒng)密碼應用基本要求》升國標《信息安全技術信息系統(tǒng)密碼應用基本要求》的進程,，做好與網絡安全等級保護,、關鍵信息基礎設施安全保護的銜接，為網絡運營者,、系統(tǒng)承建者開展系統(tǒng)規(guī)劃,、系統(tǒng)建設,、系統(tǒng)運營中的密碼應用提供重要工作依據(jù)。

　　其次,，為更好地適應各行業(yè)差異化的安全需求,，應聚焦重要行業(yè)，明確行業(yè)內密碼應用的安全需求,，完善密碼應用標準化工作,，有效指導各行業(yè)開展商用密碼應用工作，充分發(fā)揮標準化的基礎性和引領性作用,。

　　最后,，持續(xù)推進我國自主研發(fā)的商用密碼算法標準的國際化進程，擴大我國商用密碼產品和服務的影響力,，有效解決商用密碼算法與國際密碼算法的互聯(lián)互通問題,，增強我國密碼產業(yè)國際競爭力，提升我國在密碼標準方面的國際話語權,。

　　3.3　強化密碼技術自主創(chuàng)新

　　“有備則制人,，無備則制于人?！焙诵募夹g是國之重器,，而在我國部分關鍵領域核心技術受制于人的局面仍未得到根本改變。為盡快扭轉核心技術受制于人的被動局面,，需牢牢牽住核心技術自主創(chuàng)新這個“牛鼻子”,，加強密碼技術基礎研究，積極開展商用密碼技術創(chuàng)新,、加強關鍵核心技術攻關,，提升產品性能，促進密碼技術的成果轉化,，縮小商用密碼技術與國際主流密碼技術之間的技術差距,，切實提升密碼產品服務質量，夯實密碼基礎支撐能力,，為貫徹落實等級保護制度提供重要保障和基礎支撐,。可重點布局加強面向政務云,、面向工業(yè)互聯(lián)網 / 物聯(lián)網等領域的平臺化,、開放化密碼管理服務能力建設，以不斷適應網絡信息技術萬物互聯(lián),、智能化的趨勢。

　　3.4　優(yōu)化商用密碼產業(yè)生態(tài)環(huán)境

　　商用密碼產業(yè)發(fā)展是商用密碼服務國家安全戰(zhàn)略的內在需求,，是實現(xiàn)商用密碼自主創(chuàng)新成果轉化運用的必由之路,。建議以重大工程,、重大專項等為牽引，搭建商用密碼協(xié)同創(chuàng)新大平臺,，統(tǒng)籌利用政,、產、學,、研,、用等各類資源，促進政府,、企業(yè),、高校、科研院所,、商用密碼產品生產商等不同社會分工部門圍繞密碼學術研究,、商用密碼產品研發(fā)、商用密碼應用推進等內容突破原有的界限壁壘,，實現(xiàn)人才,、知識、技術,、資本等各類創(chuàng)新要素的優(yōu)勢互補和深度耦合,，統(tǒng)籌推動商用密碼基礎理論研究、標準化推進,、產業(yè)鏈融合,、檢測認證同步實施，促進商用密碼產業(yè)多樣化,、全覆蓋發(fā)展,，打造商用密碼發(fā)展新業(yè)態(tài)。

　　此外,，可選擇密碼應用基礎牢固,、產業(yè)鏈條成熟、聚集效應明顯的地區(qū)建設商用密碼應用示范基地和平臺,，圍繞密碼應用技術研發(fā),、應用示范、產融合作,、人才培養(yǎng)等關鍵環(huán)節(jié),，探索產業(yè)發(fā)展創(chuàng)新路徑，促進產業(yè)聚集發(fā)展,，發(fā)揮先行先試和示范帶動作用,。

　　3.5　著力完善人才培養(yǎng)機制

　　學科是知識體系的載體，專業(yè)是人才培養(yǎng)的平臺,。為解決密碼人才的巨大缺口,，需盡快完善密碼人才培養(yǎng)的頂層設計和戰(zhàn)略規(guī)劃,，確立以實現(xiàn)國家安全戰(zhàn)略為密碼人才培養(yǎng)目標，建立政治素養(yǎng)過硬,、專業(yè)基礎扎實,、實踐能力強的密碼人才隊伍。同時,，強化密碼專業(yè)學科和師資隊伍建設,，強化密碼學科建設。

　　此外,，積極探索產學研協(xié)作創(chuàng)新培養(yǎng)模式,，鼓勵通過校企合作構建創(chuàng)新基地合作提升網絡安全教育培養(yǎng)質量，夯實網絡安全工作的基礎,。加快網絡安全人才與創(chuàng)新基地建設,，盡快形成校企合作的持續(xù)培養(yǎng)機制，推動網絡安全高層次人才隊伍不斷壯大,。

　　4　結　語

　　當前,，我們正處在百年不遇之大變局中，隨著新一輪科技革命和產業(yè)革命全球化進程加速演進過程中,，密碼必將以前所未有的廣泛影響力,，深度融入大國博弈的各個主戰(zhàn)場，商用密碼管理工作任重道遠,。作為黨的密碼事業(yè)90年發(fā)展的成果積淀,，《密碼法》的出臺，實現(xiàn)了密碼工作管理的改革重塑,。我們應以《密碼法》的實施為契機,，不斷進取、開拓創(chuàng)新,，推動實現(xiàn)商用密碼管理工作新作為,，創(chuàng)建網絡安全新環(huán)境，構建以密碼為核心技術和基礎支撐的網絡安全保障體系,。