许一骏 汤庆平 阳湘懿
2019年10月26日,《中华人民共和国密码法》(以下简称“《密码法》”)的正式颁布标志着我国进入密码立法时代。《密码法》的颁布实施,将在规范密码应用和管理、促进密码事业发展、保障网络与信息安全方面发挥重要推动作用,也将为信息技术与商用密码的融合发展奠定基础。
早在1999年,为了适应社会经济活动信息化发展的需要,使用密码技术对不涉及国家秘密的信息进行保护,我国制定了《商用密码管理条例》,初步开始了对于商用密码应用与发展的管理。此后,针对商用密码的科研、生产、销售、使用等各环节,国家制定了一系列规定(包括但不限于《商用密码产品生产管理规定》、《商用密码产品销售管理规定》、《商用密码产品使用管理规定》等),建立了一套对商业密码进行专控管理的法律制度。
目前,商用密码已经广泛应用于金融、通信、交通、卫生健康、能源、公安、税务、社保、电子政务等社会生产生活的众多领域。近年来,随着密码技术在多领域的广泛应用,也给国家、社会和个人信息安全带来了一些新的问题和挑战,在密码领域制定一部综合性、基础性法律的必要性愈发凸显。
从2017年首次公开征求意见以来,历经2年多时间,在2019年10月26日,全国人大常委全体会议表决通过《中华人民共和国密码法》,把对密码的应用管理上升到国家法律的高度,也充分说明了我国在网络空间建设以及信息安全建设方面的决心。
《密码法》的颁布实施,将在规范密码应用和管理、促进密码事业发展、保障网络与信息安全、提升密码管理科学化、规范化、法治化水平方面發挥积极作用,是密码工作进程中具有里程碑意义的大事,必将对我国的密码事业发展产生重大而深远的影响。
《密码法》的出台明确了密码的定义以及两个重要作用,即加密保护与安全认证,指出了密码相关领域涵盖技术、产品和服务等多种形式。《密码法》还明确提出“国家鼓励商用密码技术的研究开发、学术交流、成果转化和推广应用,鼓励和促进商用密码产业发展”。
《密码法》的出台,也为信息技术与商用密码的融合发展奠定了基础。未来信息技术将在各个方面与密码技术深度融合,通过强化信息技术产品研发应用过程中的密码技术应用,在数据信息存储、传输、共享等多个环节采用加密技术,共同保障信息网络和信息系统的安全。
5G、IPv6、车联网等基础信息网络中承载大量重要且敏感的数据信息,因此需结合实际安全需求和国家政策要求建立健全密码服务体系,通过密码技术手段提升基础信息网络的应用和数据安全。在5G领域,祖冲之(ZUC)128算法被写入5G安全第一版本规范(TS 33.501)是一个重大的突破,目前相关单位已完成祖冲之(ZUC)256算法研发,后续将开展国际标准制定、设备研发与网络应用等工作。在IPv6领域,随着技术的逐步成熟以及规模部署,海量的网络设备、终端设备将接入到网络中来,而传统的国际DES、MD5以及RSA等算法只能针对数据加密,无法在协议层面以及设备认证方面提供安全保障,这在下一代互联网时代显然无法满足电信运营商对网络安全的需求。在车联网领域,不同形式服务的快速扩展加大了隐私泄露的风险,此外,车联网网络通信和远程通信存在的安全隐患以及车载终端软硬件存在的安全漏洞都是不可忽视的问题,急需以商用密码技术为支撑的安全保障体系来进行解决。
在基础信息产品软硬件方面,芯片、操作系统、数据库、中间件、办公软件、浏览器等为用户带来便捷体验的同时,潜在的安全问题也不容忽视,也成为了制约基础信息产品发展的瓶颈。操作系统作为信息架构环境中的最基础部分,目前普遍采用的是开源的OpenSSL库,具有一定的潜在风险,此外在用户认证、密钥管理、程序认证等环节尚未建立完整基于商用密码的安全机制,迫切需要依托商用密码建立操作系统整体的数据安全保障措施。数据库作为应用系统的基础支撑,存储着所有业务数据,并提供访问,然后在大部分产品中还存在对程序文件、配置文件、资源文件等还并未进行密码保护的情况,数据库产品的安全性还有待利用商用密码技术进一步完善。
在可预见到未来,大量基础信息产品将与商用密码深度融合,在不断提升产品性能,扩展产品功能的同时,兼顾好产品本身的安全性,从底层为信息系统整体安全防护体系的形成奠定重要基础。
当前,以云计算、大数据、人工智能、区块链为代表的新一代信息技术蓬勃发展,同时为实现信息资产安全与隐私保护带来了极大的冲击和挑战,安全成为新一代信息技术应用中亟待突破的重要问题。以云计算与区块链为例。云计算由于虚拟化、资源共享、分布式等核心技术特点,决定了它在安全性上面临很多威胁。区块链最核心、最底层的技术就是密码学,目前我国区块链领域几乎都是采用国外制定的加密算法,一旦加密算法被攻破,产生的损失不可估量。
商用密码在新一代信息技术中的融合能够更好地防御在其应用推广中出现的安全问题,防范因新技术引入带来的新风险。通过商用密码的应用,云计算的数据安全将得到更有效的保障,在高效处理数据的同时,实现数据的保密性,同时区块链与商用密码的融合将提高应用服务的安全性,减少潜在的算法风险,推动区块链在多领域的应用和普及。
在一些地区和部门,商用密码并未得到有效实施,一些单位重信息化建设、轻安全保护,信息系统密码使用不规范、不正确,密码使用存在不安全情况,在密钥管理、密码系统运维等方面存在风险。
我国网络信息系统应用的核心软硬件、操作系统、高性能芯片等短板瓶颈问题突出,对国外厂商依赖性很强,这些领域中商用密码技术的应用也存在关键技术还未突破的严重问题。
当前我国存在商用密码产业链支撑能力不足的现实困难,许多行业的主要设备和系统均使用设备生产商自带的密码体系,尚未使用基于商用密码算法的密码设备和模块。
密码技术是保障网络空间安全的核心技术,我国商用密码算法只有赢得国际认可,纳入国际标准密码算法体系,才能有效强化基于自主密码算法支撑的国家网络信息安全。目前,密码算法纳入国际标准的规则严格,我国密码算法在ISO等国际密码算法标准体系里面仍缺乏足够的话语权,AES、RSA、SHA-3等国际主流密码算法均是西方国家主导。
完善标准规范体系。建议在现有标准基础之上进一步完善商用密码使用规范和应用标准,特别对于广泛含有商用密码技术的产品和系统建议明确相关规定和应用指导,包括在相关基础信息软硬件,新一代信息技术、基础信息网络中建议明确相关商用密码技术的使用标准、指南,明确相关检测、测评规范和市场准入机制。
强化技术自主创新。鼓励企业参与并开展商用密码技术的基础研究,以行业协会或产业联盟的形式,组织企业开展信息技术与商用密码的融合创新联合攻关,在信息技术和信息产品研究的初期就考虑商用密码的应用,发挥商用密码在信息加密、身份认证等方面天然的优势,从根本保障信息技术和信息产品的安全性。
优化产业生态。建议加大商用密码产业的扶持力度,鼓励和支持更多产业主体更深程度参与商用密码的应用与创新发展,克服商用密码产业链支撑能力不足的现实困难,打通政产学研用协同创新发展通道,促进商用密码产品和服务供需对接,促进商用密码技术的成果转化,提升产品性能和服务质量,夯实商用密码基础支撑能力。
推广自主网络信任体系。建议在互联网络安全协议的层面上,加强与国际组织合作,推动使用我国商用密码算法的互联网安全协议成为国际协议,推动落实我国自主的网络信任体系。针对数字证书信任根、数字证书格式、数字证书管理策略等网络信任体系基础设施和技术标准,编写统一的技术指南和政策,对数字证书运营机构、使用数字证书的相关基础信息产品开发商提出明确要求。