商用密碼應用政策、現狀與展望

在2017年互聯網安全大會密碼應用技術論壇上的發言

 

商用密碼應用政策、現狀與展望
（國家密碼管理局商用密碼管理辦公室副主任霍煒）

 

各位嘉賓，女士們、先生們：

非常榮幸參加第五屆互聯網安全大會，與來自海內外的朋友們相聚在北京金秋，圍繞互聯網安全這一時代命題，交流成果，分享思想，共謀未來。在此，我代表國家密碼管理局商用密碼管理辦公室，對大會和論壇的舉辦表示熱烈的祝賀！對各位嘉賓的到來表示熱烈的歡迎！

互聯網是把雙刃劍，用得好，它是阿里巴巴的寶庫；用不好，它就是潘多拉的魔盒，小可殺人于無形，大可顛覆國家政權。網絡空間是全世界人民的公共空間，網絡安全是人類社會面臨的共同挑戰，有效應對網絡安全是世界各國的共同責任。2015年12月16日，習近平主席在第二屆世界互聯網大會上，提出互聯網發展治理的“四項原則”、“五點主張”，并特別指出：“要維護網絡安全，共同構建和平、安全、開放、合作的網絡空間”。2016年11月16日，習近平主席在第三屆世界互聯網大會上發表講話指出：“要攜手構建網絡空間命運共同體”。

下面，我就落實習近平主席重要講話要求，圍繞構建和平、安全、開放、合作的網絡空間，進一步發揮密碼的核心支撐作用，與各位嘉賓分享一些觀點和看法，請大家批評指正。

一、密碼是互聯網安全的核心支撐

推動互聯網安全互聯需要發揮密碼的基礎支撐作用。目前，全球網民數量突破35億，約占世界總人口的1/2，全球范圍內網絡互聯、信息互通，互聯網讓世界變成了“雞犬之聲相聞”的地球村，相隔萬里的人們不再“老死不相往來”。密碼是互聯網的基礎設施,是安全互聯互通的前提，人、機、物的可信互認、安全互通均依賴于密碼。可以說，互聯網安全發展，客觀需要密碼技術，來實現可用、且可控的互聯互通。

維護互聯網空間安全需要發揮密碼的核心保障作用。網絡攻擊、網絡犯罪、網絡恐怖主義已成當今各國公害。習近平主席指出，“安全是發展的前提，發展是安全的保障，安全和發展要同步推進。”互聯網發展不能成為沙漠之上的“海市蜃樓”。傳統信息安全中用密碼實現的真實性、機密性、完整性、可用性、抗抵賴等需求，仍然是互聯網應用的安全需求。安全實現的密碼技術，是經過理論證明的、保障互聯網安全的關鍵技術。現在和未來相當長的時間內，密碼將在數據加密、身份鑒別、訪問控制、取證溯源等方面發揮著難以替代的重要作用。要充分發揮密碼的核心保障作用，共同維護網絡數據安全、技術安全和應用安全。

服務互聯網創新發展需要發揮密碼的協同促進作用。今天的互聯網已經處于新的階段，移動互聯、萬物互聯、人工智能的時代已經到來。我們所處的每一個行業、每一個國家，都因此發生了重大改變。不管你是什么人，不管你身處哪里，不管你在干什么，我們每個人都是這場大變革的一部分。在這場變革中，密碼因其解決網絡安全問題的經濟性、便捷性、有效性，以及在處理海量數據機密性保護、復雜網絡實體認證等方面具有的獨特優勢，將成為網絡空間的“內在”基因。而且，密碼技術將不斷與互聯網安全深度融合，隨著互聯網安全發展的新趨勢，不斷創新、不斷變革。

綜上所述，構建和平、安全、開放、合作的網絡空間，密碼大有可為。我的理解，關鍵是要倡導“三個新”：

第一個是新安全文明：即通過密碼實現可信互聯、安全互通，倡導網絡空間開放、共享、安全的發展理念；

第二個是新安全體制：即樹立以總體國家安全觀為統領，以密碼為核心技術和基礎支撐的網絡信息安全觀；

第三個是新安全環境：即構建以密碼基礎設施為底層支撐的，系統的、完善的網絡安全保障體系。

二、提升密碼保障能力的挑戰與機遇

我們在密碼的重要性上取得共識，但如何推進密碼深入廣泛應用，提升網絡空間安全保障能力，我們面臨著嚴峻的挑戰，但也迎來了難得的機遇，這是問題的兩個方面。

一方面，密碼應用安全挑戰日益嚴峻。當前，網絡威脅形式復雜多樣，未知威脅漸成主流，網絡安全威脅被許多國家列為第一層級的安全威脅，上升為國家戰略并付諸行動。谷歌公司使用高性能計算機找到SHA-1算法的碰撞，揭示了高性能計算對密碼和網絡安全的新挑戰，OpenSSL“心臟出血”漏洞證明了密碼安全對網絡空間的致命威脅，勒索軟件攻擊事件體現了密碼攻防角色互換的新趨勢，密碼安全已成為網絡安全的焦點。眼下，我們的網絡安全防護能力還比較薄弱，防護方式也比較單一。特別是在密碼使用方面，還存在使用密碼意識不強，密碼應用缺乏規劃，密碼使用不夠規范，以及服務保障、風險控制和應急處置能力不足等問題。可以說，問題突出，隱患很大，必須構建科學完善的密碼安全保障體系。

另一方面，密碼產業發展機遇前所未有。全球的網絡安全產業剛剛起步，投資與創業機會將聚焦網絡安全領域，未來可能催生萬億級別的大市場（資料顯示：2016年全球網絡安全市場已超過6000億人民幣，Gartner的數據是906億美元）。目前，我國網絡安全投入還很不夠，僅占整個IT產業比重的1%至2%，低于世界5%至10%的平均水平，更低于歐美國家8%至12%的水平，相比于西方發達國家，我國尚有8倍的增長空間，這既是短板也是市場。按照國家有關部署，金融和重要領域正在強化密碼應用，大量網絡和信息系統涉及密碼保障系統的新建或改造，市場空間很大。可以說，密碼應用將會帶動更多安全投入，拓展更大安全市場空間。誰投入早，創新多，誰成為網絡安全行業龍頭的可能就更大。對此，產業單位要有更加積極的認識。

三、密碼發展取得了顯著成效

國家高度重視商用密碼工作。1999年國務院頒布《商用密碼管理條例》，對商用密碼產品的科研、生產、銷售和使用實施管理。2002年國家商用密碼辦公室成立，專門負責全國商用密碼管理工作，包括商用密碼技術與標準化、產品服務和進出口審批、密碼應用、監督管理、檢測認證等。

經過多年的發展，我國在密碼基礎理論研究方面取得了大批國際矚目的原創成果，設計了具有中國特色的基礎密碼算法體制，制定了涵蓋應用各層面的密碼標準體系，擁有了具有國際影響力的密碼學家團體，具備了完備的高校和科研院所專業密碼人才培養體系，具備了從密碼芯片到密碼應用系統全產業鏈的密碼產業隊伍，具備了以金融等重點行業應用為代表的,深入國民經濟信息應用各環節的,統一可控的密碼應用市場。目前，有1900多款商用密碼通用產品，900多家從業單位，密碼產品不斷豐富，產業支撐能力不斷增強。

從密碼應用實踐來看，我國商用密碼算法在設計、實現方面均有優勢，以SM算法為例，密鑰替換攻擊是目前多個數字簽名算法不能抵御的攻擊方法，SM2數字簽名算法抵御密鑰替換攻擊方面存在可證明安全，SM2算法的性能與EC-SDSA等國際算法相當，但簽名長度更短。SM3算法能夠抵御差分分析且具有較強的擴散性，在硬件實現面積和性能上占優。SM4算法在設計上實現了資源重用，即密鑰擴展過程和加密過程類似，實現時硬件資源占用較少，目前針對SM4的研究最多能分析32輪中的23輪，具有良好的安全強度。

四、促進密碼創新與依法依規使用

為更好地發揮密碼在互聯網安全中的重要作用，切實維護國家安全、促進經濟發展、保護人民群眾利益，國家密碼管理局將加強密碼規范管理、促進密碼廣泛應用、著力密碼科技創新、指導密碼應用安全性評估、構建密碼安全通報機制。

一是加強密碼規范管理。《密碼法》初稿今年5月面向社會公開征求意見，國家有關部門正在積極推進立法進程。國家密碼管理局正在制定配套法規，完善商用密碼管理法規體系，確保商用密碼管理有法可依、有章可循。

二是促進密碼廣泛應用。不斷強化密碼應用與國家戰略的融合。《“十三五”國家信息化規劃》提出，構建關鍵信息基礎設施安全保障體系，要加強密碼應用，國家互聯網大數據平臺建設，要推進數據加解密、完整性驗證等安全技術的應用。銀行業清算辦法、網絡安全等級保護管理要求、政務信息化規劃，也都提出密碼應用要求。通過密碼廣泛應用，不斷促進密碼技術、產品和服務創新，形成典型應用案例和標準規范，實現密碼事業創新發展的生動局面。

三是著力密碼科技創新。加強密碼基礎研究和原始創新，推進國家密碼重大科技項目、重大工程和重大基礎設施建設。組建產學研用聯盟，建設密碼創新產業基地和重點實驗室，實施創新驅動和協同攻關，努力形成一批“拳頭”產品，有效應對網絡空間威脅，不斷滿足物聯網、工業控制、移動智能終端等新興領域對密碼應用新的需求，不斷提高密碼供給質量，讓產品更好用，讓用戶更愛用。

四是指導密碼應用安全性評估。根據國家法律法規要求，今年，國家密碼管理局在7省5行業開展了密碼應用安全性評估試點。關鍵信息基礎設施（試點期間主要針對等級保護三級及以上信息系統）要進行密碼應用安全性評估，包括規劃、上線、運行三個階段。評估結果作為項目規劃立項、申報財政性資金、建設驗收的必備材料。目的就是，督促網絡建設和運營者落實密碼應用和安全保障責任。

五是構建密碼安全通報機制。在總體國家安全觀的統領下，國家密碼管理局將會同國家網信、公安、保密等網絡安全主管部門，以及各行業主管部門，建立密碼安全通報機制，加強密碼基礎數據、應用情況、安全動態等信息的共享，實現密碼數據的動態跟蹤和密碼安全的態勢感知。

各位嘉賓，女士們、先生們，縱觀密碼的發展歷史，新型計算的威脅和新型應用的需求，一直是推動密碼技術進步的兩大主要動力。第二次世界大戰的軍事通信需求，催生了機械密碼的巔峰時代；圖靈炸彈的攻擊威脅和全球網絡的安全通信需求，推動了現代密碼學的出現。當前，量子計算的威脅和互聯網安全的需求，催生著密碼技術的革命性突破與發展。

各位嘉賓都是互聯網安全和密碼技術的設計者、維護者、使用者和受益者，讓我們一道，積極倡導網絡安全新文明、推動網絡安全新體制、創建網絡安全新環境，構建以密碼為核心技術和基礎支撐的網絡安全保障體系，讓互聯網成為安全之網、放心之網；讓互聯網安全，從密碼開始，從密碼應用開始。

謝謝大家！