專(zhuān)家解讀｜劉平：商用密碼迎來(lái)發(fā)展新機遇 
國家信息安全工程技術(shù)研究中心 劉平

近日，國務(wù)院發(fā)布了修訂后的《商用密碼管理條例》（以下簡(jiǎn)稱(chēng)《條例》）。新修訂的《商用密碼管理條例》清晰界定了商用密碼管理范圍，合理設置了管理環(huán)節，明確了管理條件和程序，寬嚴有度，規范到位，對促進(jìn)商用密碼技術(shù)進(jìn)步和商用密碼產(chǎn)業(yè)發(fā)展具有重要意義。

一、鼓勵密碼科技創(chuàng )新，促進(jìn)密碼科技進(jìn)步

《條例》第七條、第八條對促進(jìn)商用密碼科學(xué)技術(shù)創(chuàng )新，開(kāi)展商用密碼科技成果轉化及成果信息管理進(jìn)行了規定；第九條對商用密碼技術(shù)審查鑒定進(jìn)行了規定；第十條、第十一條對商用密碼標準的制定、實(shí)施、監督、國際化以及法律效力進(jìn)行了規定。

應用需求是商用密碼科技創(chuàng )新的動(dòng)力，不斷創(chuàng )新才能不斷進(jìn)步。商用密碼用于保護不屬于國家秘密的信息，其應用場(chǎng)景往往與國家關(guān)鍵信息基礎設施和人民群眾日常生活密切相關(guān)，涵蓋金融、通信、公安、稅務(wù)、社保、交通、衛生健康、能源、電子政務(wù)等重要領(lǐng)域，在維護國家安全，促進(jìn)經(jīng)濟社會(huì )發(fā)展，保護公民、法人和其他組織合法權益等方面發(fā)揮著(zhù)重要作用。國內外日益嚴峻的網(wǎng)絡(luò )安全態(tài)勢，信息領(lǐng)域新技術(shù)、新業(yè)態(tài)、新模式的快速發(fā)展，引發(fā)了對商用密碼科技創(chuàng )新的迫切需求，為商用密碼科技創(chuàng )新提供了廣闊舞臺。

商用密碼標準是合規正確有效使用密碼的遵循依據，創(chuàng )新成果成為標準才能廣泛推廣。商用密碼標準的作用是規范密碼技術(shù)的有效使用和密碼產(chǎn)品市場(chǎng)準入的檢測認證。所以，為合規正確有效使用商用密碼技術(shù)，研發(fā)有市場(chǎng)競爭力的商用密碼產(chǎn)品，應當遵循相關(guān)標準；為使商用密碼科技創(chuàng )新的成果廣泛推廣使用，應當使其成為標準。

創(chuàng )新成果的應用需求和創(chuàng )新成果沒(méi)有現成標準的矛盾，是商用密碼科技進(jìn)步和產(chǎn)業(yè)化進(jìn)程中始終存在的矛盾，解決矛盾的方法是促進(jìn)矛盾雙方主次地位的相互轉化，而轉化的關(guān)鍵環(huán)節是商用密碼技術(shù)審查鑒定，審查鑒定的主體是國家密碼管理部門(mén)，審查鑒定的對象和內容是“法律、行政法規和國家有關(guān)規定要求使用商用密碼進(jìn)行保護的網(wǎng)絡(luò )與信息系統所使用的密碼算法、密碼協(xié)議、密鑰管理機制等商用密碼技術(shù)”。

二、建立商用密碼檢測認證體系，自愿檢測認證與強制檢測認證相結合

《條例》第十二條落實(shí)《密碼法》規定的推進(jìn)商用密碼檢測認證體系建設，鼓勵商用密碼從業(yè)單位自愿接受商用密碼檢測認證；第十三條至第十九條依法明確檢測、認證機構資質(zhì)審批條件、程序及其從業(yè)規范；第十七條規定實(shí)行商用密碼產(chǎn)品、服務(wù)、管理體系的國家統一推行的自愿性認證制度；第二十條、第二十一條規定對涉及國家安全、國計民生、社會(huì )公共利益的商用密碼產(chǎn)品和服務(wù)，實(shí)行強制性檢測認證。

密碼是保障信息安全的關(guān)鍵技術(shù)，密碼發(fā)揮作用需各方參與。密碼供給方把密碼技術(shù)落到實(shí)處，為需求方實(shí)現密碼應用提供密碼支撐；密碼需求方把密碼技術(shù)用到實(shí)處，解決信息系統的安全問(wèn)題；密碼技術(shù)、密碼支撐和密碼應用共同作用，保障信息系統安全。密碼產(chǎn)品和服務(wù)是指承載密碼技術(shù)、實(shí)現密碼功能、支撐信息系統使用密碼技術(shù)的實(shí)體，密碼需求方使用密碼產(chǎn)品和服務(wù)，把密碼技術(shù)落實(shí)到應用中，解決安全問(wèn)題。

密碼產(chǎn)品和服務(wù)是保障安全的實(shí)體，保障安全的實(shí)體自身應當安全。信息系統使用不安全的密碼產(chǎn)品和服務(wù)，會(huì )比不使用帶來(lái)更大的安全問(wèn)題。需求方如何確定采購的密碼產(chǎn)品和服務(wù)正確地實(shí)現了密碼技術(shù)，正確地提供了密碼功能，自身安全達到了預期的安全等級？商用密碼從業(yè)單位不能自說(shuō)自話(huà)，應當出具商用密碼認證機構頒發(fā)的認證合格的證書(shū)予以證明。

放寬準入與保障安全相結合，促進(jìn)商用密碼產(chǎn)業(yè)有序健康發(fā)展。通常密碼從業(yè)單位可以自主決定是否接受商用密碼檢測認證。當商用密碼產(chǎn)品涉及國家安全、國計民生、社會(huì )公共利益，被列入網(wǎng)絡(luò )關(guān)鍵設備和網(wǎng)絡(luò )安全專(zhuān)用產(chǎn)品目錄，或商用密碼服務(wù)使用網(wǎng)絡(luò )關(guān)鍵設備和網(wǎng)絡(luò )安全專(zhuān)用產(chǎn)品，需要按照國家有關(guān)法律法規要求，由具備資格的檢測認證機構檢測認證合格后方可銷(xiāo)售或者提供。

三、建立統一的電子認證信任機制，依法管理電子認證服務(wù)密碼使用

《條例》依據《密碼法》和《電子簽名法》，在第二十二條、第二十三條中明確電子認證服務(wù)機構采用商用密碼技術(shù)提供電子認證服務(wù)應具備相關(guān)條件和遵循相關(guān)法律和規范；在第二十四條至第二十八條中明確電子政務(wù)電子認證服務(wù)機構的資質(zhì)申請、條件認定和從業(yè)規范等內容；在第三十條中明確了政務(wù)活動(dòng)中的電子簽名、電子印章、電子證照等的電子認證服務(wù)要求。

電子認證的基礎是信任，信任機制的實(shí)現靠密碼技術(shù)?！峨娮雍灻ā访鞔_“可靠的電子簽名與手寫(xiě)簽名或者蓋章具有同等的法律效力”。公鑰密碼技術(shù)的實(shí)施需要一個(gè)大家都信任的權威機構，來(lái)為大家提供“證明公鑰屬于誰(shuí)”的服務(wù)，這個(gè)權威機構稱(chēng)為電子認證服務(wù)機構，不同的電子認證服務(wù)機構之間需要互信互認，上下級的電子認證服務(wù)機構需要有效管理，這個(gè)互信互認、有效管理的機制稱(chēng)為電子認證信任機制?！稐l例》明確“國家建立統一的電子認證信任機制”，并且由“國家密碼管理部門(mén)負責電子認證信任源的規劃和管理”。

對電子認證服務(wù)使用密碼的行為依法實(shí)施管理，是《電子簽名法》賦予國家密碼管理部門(mén)的職能，電子認證服務(wù)機構應當按照法律、行政法規和電子認證服務(wù)密碼使用技術(shù)規范、規則，使用商用密碼提供電子認證服務(wù)。

從事電子政務(wù)電子認證服務(wù)的機構，應當經(jīng)國家密碼管理部門(mén)認定。對電子政務(wù)電子認證服務(wù)使用密碼和提供服務(wù)的行為依法實(shí)施管理，是《密碼法》賦予國家密碼管理部門(mén)的職能，電子政務(wù)電子認證服務(wù)機構應當依法取得電子政務(wù)電子認證服務(wù)機構資質(zhì)，并應當按照法律、行政法規和電子政務(wù)電子認證服務(wù)技術(shù)規范、規則，在批準范圍內提供電子政務(wù)電子認證服務(wù)。

采用非證書(shū)機制的電子認證服務(wù)，也應依法納入管理。當前，電子認證服務(wù)使用的密碼技術(shù)規范，均是采用基于數字證書(shū)機制的技術(shù)規范，而隨著(zhù)物聯(lián)網(wǎng)、車(chē)聯(lián)網(wǎng)、工業(yè)互聯(lián)網(wǎng)等新業(yè)態(tài)的密碼應用需求，采用SM9標識密碼算法或基于SM2密碼算法的非證書(shū)機制的電子認證服務(wù)應用也會(huì )不斷發(fā)展。隨著(zhù)技術(shù)的不斷完善、相關(guān)標準的研制和發(fā)布，采用這類(lèi)技術(shù)規范的電子認證服務(wù)的規范管理也應提上日程。

四、促進(jìn)密碼技術(shù)應用，保障網(wǎng)絡(luò )與信息安全

《條例》突出促進(jìn)應用、保障安全的導向，第三十五條、第三十六條鼓勵公民、法人和其他組織依法使用商用密碼；第三十八條、第三十九條明確關(guān)鍵信息基礎設施商用密碼使用和安全性評估要求，同時(shí)第四十條明確關(guān)鍵信息基礎設施的商用密碼國家安全審查要求。

密碼應用，是密碼需求方用密碼技術(shù)解決安全問(wèn)題的過(guò)程。密碼無(wú)處不在，任何網(wǎng)絡(luò )與信息系統都可以使用密碼技術(shù)滿(mǎn)足機密性、真實(shí)性、完整性、不可否認性的安全需求。網(wǎng)絡(luò )與信息系統的運營(yíng)者可以使用經(jīng)檢測認證合格的密碼產(chǎn)品和服務(wù)，遵循密碼國家標準和行業(yè)標準，針對網(wǎng)絡(luò )與信息系統的安全需求，制定密碼應用方案，按照“三同步一評估”原則，同步規劃、同步建設、同步運行密碼保障系統，定期開(kāi)展商用密碼應用安全性評估。

密碼應用方式，包括對業(yè)務(wù)應用透明和非透明兩種。對業(yè)務(wù)應用透明的密碼應用方式，一般用于保護網(wǎng)絡(luò )與信息系統的物理環(huán)境、網(wǎng)絡(luò )環(huán)境、計算環(huán)境和存儲環(huán)境的安全，密碼應用的重點(diǎn)是根據實(shí)際環(huán)境及安全需求，部署和管理密碼產(chǎn)品，使其發(fā)揮作用；對業(yè)務(wù)應用非透明的密碼應用方式，主要用于保障承載在計算環(huán)境上的業(yè)務(wù)應用的安全，包括用戶(hù)和管理人員的身份真實(shí)性及行為的不可否認性、重要數據的機密性和完整性、重要業(yè)務(wù)流程和重要業(yè)務(wù)對象的安全性等，密碼應用的特點(diǎn)是調用密碼功能，使用密碼技術(shù)，解決業(yè)務(wù)應用安全問(wèn)題。

密碼內生方式，包括密碼資源內生和密碼應用內生兩種。內生安全、密碼內生，近來(lái)呼聲比較多，個(gè)人認為主要有兩種內生方式：一是密碼資源內生的方式，主要是在CPU、操作系統、數據庫、瀏覽器等信息化產(chǎn)品中，內置密碼算法及相關(guān)密鑰管理等密碼資源，用于產(chǎn)品自身安全或實(shí)現特定安全功能，該密碼資源是產(chǎn)品自己用的，一般不會(huì )透出為其他應用服務(wù)。二是密碼應用內生的方式，主要是在業(yè)務(wù)系統研發(fā)期間就把密碼應用集成在內，通過(guò)接口調用外部密碼資源提供的密碼功能，成為安全的業(yè)務(wù)系統。

密碼應用安全性評估，是對商用密碼使用環(huán)節的監管。密碼應用安全性評估的對象是網(wǎng)絡(luò )與信息系統采用商用密碼技術(shù)、產(chǎn)品和服務(wù)；評估的內容是按照商用密碼管理政策和相關(guān)密碼標準，對其密碼應用的合規性、正確性、有效性進(jìn)行評估；對于關(guān)鍵信息基礎設施等重要網(wǎng)絡(luò )與信息系統，評估通過(guò)后方可投入運行，運行后每年至少進(jìn)行一次評估，評估情況報送國家密碼管理部門(mén)或者關(guān)鍵信息基礎設施所在地省、自治區、直轄市密碼管理部門(mén)備案；開(kāi)展商用密碼應用安全性評估的檢測機構應當經(jīng)國家密碼管理部門(mén)認定，依法取得商用密碼檢測機構資質(zhì)。

五、結束語(yǔ)

《條例》的修訂發(fā)布和實(shí)施，是商用密碼發(fā)展史上的一件大事，對商用密碼的發(fā)展有深遠的意義。商用密碼從業(yè)單位應認真研讀，仔細領(lǐng)會(huì )，嚴格遵守。