中国科学院软件研究所张振峰
近日,修订后的《商用密码管理条例》(以下简称《条例》)正式发布。《条例》是对密码法的进一步细化,也是对我国商用密码管理体系系统性、整体性、长期性思考的体现。《条例》的颁布实施是商用密码发展新的里程碑,进一步完善了商用密码科技创新的体制机制,为加强商用密码科技自主创新、促进商用密码与新兴技术融合、推动商用密码产业发展和人才培养等提供了有力制度保障,将极大促进商用密码科技蓬勃发展。
一、聚焦新形势,建立健全商用密码科技创新促进机制
近年来,网络空间中针对关键信息基础设施的持续性信息窃取、攻击破坏时有发生,数据泄露与数据滥用问题日趋严重,数据安全风险更加突出,商用密码作为保障网络与信息安全的核心技术和基础支撑,是解决数据泄露与信息安全问题最有效、最可靠、最经济的手段。另一方面,新兴信息技术的快速发展,对商用密码技术也提出了新的功能需求和安全需求。大力促进商用密码科技创新发展,对于维护我国网络空间安全、保障数字经济安全稳定发展,具有至关重要的作用。
为了加快商用密码科技创新,《条例》明确规定国家建立健全商用密码科学技术创新促进机制,从密码人才培养、密码学科和专业建设、密码学术研究与交流等多个方面完善商用密码科技创新机制,并且规定对作出突出贡献的组织和个人按照国家有关规定予以表彰和奖励。
商用密码人才是密码科技创新发展的重要基础,《条例》遵循密码法精神,进一步细化了商用密码人才培养工作,提出建立健全商用密码人才发展体制机制和人才评价制度。近年来,在国家密码管理局的推动下,商用密码人才培养体系逐渐成型,人才评价机制更加完善,持续培养壮大擅长理论懂算法设计的研究型人才、掌握标准熟悉技术开发的复合型人才、懂政策法规有密码知识背景的管理型人才、懂原理会操作的应用型人才等各类密码人才队伍。
商用密码学科和专业建设是商用密码科技创新的重要支撑,《条例》鼓励和支持商用密码学科和专业建设,规范商用密码社会化培训。2021年,“密码科学与技术”已经纳入《普通高校本科专业目录》,教育部批准全国首批7所院校开设该专业。《条例》的出台,将进一步加速密码学历教育体系建设,形成多渠道、多方式的人才培养模式,有力支撑我国商用密码科技创新持续发展。
密码学术研究与交流是推进密码科技创新的主要方式,《条例》支持商用密码领域的学会、行业协会等社会组织依照法律、行政法规及其章程的规定,开展学术交流、政策研究、公共服务等活动,加强学术和行业自律,推动诚信建设,促进行业健康发展。在国家密码管理局的指导下,中国密码学会自2007年成立以来,开展了各种形式的科学研究与学术交流活动,近年来各地成立的密码行业协会也在积极推动产学研结合,共同促进密码科技的普及和应用。
《条例》还设立了商用密码技术审查鉴定机制,将商用密码技术的合规应用明确固化下来。《条例》规定国家密码管理部门组织对法律、行政法规和国家有关规定要求使用商用密码进行保护的网络与信息系统所使用的密码算法、密码协议、密钥管理机制等商用密码技术,进行审查鉴定。
二、加强密码应用研究创新,全面提升商用密码支撑能力
目前,国家密码管理局发布了ZUC、SM2、SM3、SM4、SM9等商用密码算法和百余项密码标准及规范,构建了自主的商用密码技术体系。《条例》鼓励在商用密码活动中采用商用密码推荐性国家标准、行业标准,进一步加强商用密码应用创新,全面提升我国商用密码安全防护能力。
在商用密码学科和专业建设方面,高等院校应该加强商用密码宣讲,推动我国自主的商用密码理论、技术与标准写入教材、走进课堂,不仅在学历教育中加强商用密码教学实践,在社会化培训中也要重点培养熟练掌握商用密码技术的密码应用人才。
对于从事商用密码活动的科研机构,要加强商用密码应用研究与开发,全面支撑各种场景对商用密码的应用需求,不断创新用于保护网络与信息系统的密码算法、密码协议、密钥管理机制等商用密码技术。
对于从事商用密码活动的企业单位,一方面要在通用处理器、操作系统、数据库、工业控制系统等基础软硬件中提供商用密码综合应用解决方案,使商用密码能力内嵌为信息系统的自身能力;另一方面,要探索商用密码的新应用模式,全面扩大商用密码应用的深度与广度,实现无处不在的加密保护与安全认证,满足数据安全法对于数据分类分级的保护要求。
《条例》规定国家依法保护商用密码领域的知识产权,鼓励和支持商用密码科学技术成果转化和产业化应用,建立和完善商用密码科学技术成果信息汇交、发布和应用情况反馈机制,为商用密码技术的应用创新和产业化提供交流平台,通过商用密码技术的联合研发、沟通交流、成果转化、应用推广,逐步将传统商用密码产业从单一的产品供给向综合商用密码服务转变,实现商用密码产业与信息产业的深度融合。
三、鼓励自主创新,实现商用密码创新与新技术融合发展
计算能力的进步和应用模式的变革一直是密码发展的重要动力,量子计算、物联网、人工智能、大数据、下一代移动通信、区块链等新技术的飞速发展对商用密码技术提出了新的需求。《条例》规定国家支持商用密码科学技术自主创新,鼓励和支持商用密码科学技术成果转化和产业化应用,支持网络产品、服务使用商用密码提升安全性,支持并规范商用密码在信息领域新技术、新业态、新模式中的应用,从立法角度明确了国家对商用密码科技自主创新的大力支持。尤其是在数据安全法和个人信息保护法相继出台实施的背景下,持续加强商用密码基础研究和关键技术革新,实现商用密码与新技术的融合发展,成为从技术上筑牢密码安全屏障的重要途径。
量子计算的快速发展日益威胁现用密码安全,抗量子密码能够抵抗量子计算攻击,且可以大规模运行在经典计算机和网络上,因而得到国际上的高度关注。积极研发抗量子密码算法和敏捷部署技术,主动应对量子计算安全威胁,具有重要的现实意义。
随着物联网、嵌入式系统、大规模传感器网络等新型系统的应用和发展,资源受限环境下的应用系统安全问题也越来越突出,创新轻量级密码算法设计、制定轻量级密码标准、解决轻量化实现等关键技术问题有着重要的理论意义和应用价值。
区块链和数字货币的发展对密码技术提出了分布式网络环境下的应用需求,需要新的分布式密码协议、共识机制和隐私保护密码协议,在容忍部分节点遭受攻击或者破坏的情况下保障区块链系统的安全性,从而维护数字经济健康稳定发展。
人工智能和大数据的快速发展和应用,对于具有隐私保护功能的密码技术提出了迫切需求,大力发展隐私计算技术,加强密态计算、安全多方计算、零知识证明等密码理论创新,是为隐私信息保驾护航的必要基础。
四、加强商用密码标准制定,促进商用密码科技创新与标准化互动发展
商用密码科技创新成果一般以标准为载体来体现,《条例》涵盖了商用密码标准的制定、实施、监督、国际化及法律效力等内容,规定国务院标准化行政主管部门和国家密码管理部门依据各自职责,组织制定商用密码国家标准、行业标准,对商用密码团体标准的制定进行规范、引导和监督。商用密码科技创新成果可以通过制定为国家标准或者行业标准的方式进行应用和产业化,也可以通过团体标准、企业标准开展探索应用。
积极参与商用密码国际标准化活动是推动商用密码科技在更大范围内得到应用和部署的有效途径。《条例》也专门规定国家推动参与商用密码国际标准化活动,参与制定商用密码国际标准,推进商用密码中国标准与国外标准之间的转化运用,鼓励企业、社会团体和教育、科研机构等参与商用密码国际标准化活动。
我国商用密码在ISO/IEC的国际标准化推进工作取得了可喜成绩,基本建立了商用密码算法国际标准体系。在《条例》的指引下,进一步推动由我国主导的ISO/IEC密码国际标准制定,积极参与3GPP、IETF等国际性专业标准组织的标准化活动,提出中国密码方案,贡献中国密码智慧,具有深远影响和重要意义。
商用密码科技创新是商用密码高质量发展的动力源泉,也是商用密码实现高水平自立自强的必由之路。在《条例》的指引下,面向国家战略需求、立足网络空间安全、着眼商用密码科技前沿,坚持以技术突破引领创新、以产业生态催动创新、以广聚英才支撑创新、以标准赋能助推创新,必将走出一条中国特色商用密码科技自主创新道路。
来源:中华人民共和国司法部-政府信息公开