数字经济时代密码应用思考

以下文章来源于信息安全与通信保密杂志社,作者Cismag

数字经济作为当前中国经济发展的动力引擎,带动经济高速增长,数字社会和数字政府的建设,极大地提升了公共服务和社会治理水平,以及政府治理效能。数字中国全面发展,对网络安全能力提出更高的标准和要求。数字化时代,构建以数据为中心的网络安全保障体系至关重要,密码作为保障网络安全最有效、最可靠、最经济的关键核心技术和基础支撑,将加速向数字经济社会的各领域渗透融合,在数字化转型与发展过程中发挥重要作用,密码事业也将借此迈上新的发展时期

内容目录:

0引言

1密码从“神秘”走向普及

2蓄势待发,密码应用站在新起点

2.1顶层规划统筹全局,开启密码事业新蓝图

2.2数字经济时代拓展空间,构筑密码应用新业态

2.3技术融合突破边界,奠立密码产业新格局

3数据驱动,密码应用创新焕发新机

3.1运营服务,打造密码应用新模式

3.2由“芯”开始,构建基础软硬件创新的新体系

3.3软件定义,密码模块拓展新应用场景

4多管齐下,数字经济时代密码创新发展亟待新举措

4.1强化政策法规执行力度,全面推动各项部署落地实施

4.2区域管理、行业规范助推密码应用在网络空间纵深发展

4.3建设国家级密码基础设施,全面护航“新基建”发展

4.4推进软件密码模块发展,助力新型密码服务模式向各领域融合

5结语

0、引言

2020年,我国数字经济核心产业增加值占GDP比重达到7.8%,电子政务发展指数上升至全球第45位,省级行政许可事项实现网上受理和“最多跑一次”的比例达到82%。数据访问、共享和重复使用不断增强。“数字经济”带动了经济的快速增长,成为当前中国经济发展的动力引擎,“数字社会”和“数字政府”极大地提升了公共服务、社会治理等数字化智能化水平,提升了政府治理效能。

数字中国全面发展,信息基础设施优化升级不断加快,数据要素活力充分激活,数字产业化和产业数字化转型大力推动,将带动网络能力不断提升,涵盖人工智能、大数据、区块链、云计算等数字技术将更快地创新发展。而随之产生的安全层面的威胁和难题逐步凸显。通过破坏数据、信息系统和网络,将给政府、企业和个人带来极大的危害;连接在线和离线世界的消费者和工业物联网的快速发展,让安全风险延伸到物理空间;数据跨境移动日益成为各国各地区管控的重要问题。数据失真或被篡改、个人隐私信息泄露、关键信息基础设施遭攻击等数字时代的安全问题,对网络安全能力提出了更高的标准和要求。

1、密码从“神秘”走向普及

提到“密码”,在大众眼中是手机开机、金融支付等生活中的口令验证,其实这只是一种简单、初级的身份认证手段。

2020年1月,《中华人民共和国密码法》正式实施,定义“密码”是指:“采用特定变换的方法对信息等进行加密保护、安全认证的技术、产品和服务。”其主要功能是“加密保护、安全认证”,加密保护是指将原来可读的信息变成不能识别的符号序列;安全认证是指确认主体和信息的真实可靠性。这样的“密码”在我国革命、建设、改革的各个历史时期,都发挥了不可替代的重要作用,是我们党和国家的“命门”“命脉”。

纵观技术和产业发展,密码已从“专属”走向“全民”,从保障传统的通信密码拓展到保障信息化密码和网络空间密码;从最初的战争工具,拓展为生产和生活工具;从维护国家安全延伸到推动经济社会发展、保护人民群众利益。数字经济时代,密码在各行业领域的需求不断增强,作为国家网络安全“基石”的地位日益凸显。

2、蓄势待发 密码应用站在新起点

新一轮的发展规划更加注重新一代信息技术的融合应用和网络安全的创新实践。密码作为保障网络与信息安全最有效、最可靠、最经济的关键核心技术,加速向数字经济社会的各个领域渗透融合,在网络空间纵深发展,壮大产业规模。

2.1顶层规划统筹全局,开启密码事业新蓝图

密码法深化国家“放管服”发展要求,主管部门相继发布了“商用密码”的检测认证工作实施意见、产品认证规则以及进出口管理措施等系列管理创新政策。取消了50%的行政审批事项,不断提升密码管理的法治化水平,增强市场活力。各部委、行业以及地方政府陆续出台相关文件 , 加快推进密码产品和服务的创新应用,加强密码人才队伍的建设。

管理方面,注重密码产业顶层设计的规范化引领。2020年,国家密码管理局发布《商用密码管理条例(修订草案征求意见稿)》,进一步明确商用密码在新技术、新业态、新模式中的应用。2021年,“信息系统密码应用基本要求”从行业标准上升为推荐性国家标准,适用于指导和规范各行业领域的信息系统密码应用,是商用密码应用与安全性评估工作的里程碑事件。教育部发文,将“密码科学与技术”等37个新专业列入2020年度普通高等学校本科专业目录;人力资源和社会保障部、国家统计局等联合发布“密码技术应用员”等18个新职业,从国家层面大力推进密码人才队伍的培养和建设。

行业应用上,全面夯实密码应用向重要领域和网络空间的纵深推进。公安部印发《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》,要求落实密码安全防护的要求。国务院办公厅印发《国家政务信息化项目建设管理办法》,“密码应用”贯穿于政务信息系统各个环节。科技部发布2021年国家重点研发计划、教育部印发“加强新时代教育管理信息化工作的通知”,对行业密码基础设施和支撑平台建设提出了更为明确的需求。央行发布新版《网上银行系统信息安全通用规范》行业标准,增加国密SM系列算法相关要求。工信部揭牌密码应用推进标准工作组、商用密码应用产业促进联盟,聚焦工信领域的商用密码和应用标准化工作、密码创新应用和供需对接。

区域上,地方政府积极推动密码产业孵化,驱动科技创新。2020年10月,广州发布全国首个行政区的《促进商用密码科技创新和产业发展办法》。2021年3月,广州市黄埔区密码管理局牵头起草《促进商用密码科技创新和产业发展办法实施细则(征求意见稿)》,以进一步做好政策兑现,推动区域产业发展。

此外,我国商用密码产业的国际竞争力也在不断增强。SM9标识加密算法《信息技术安全技术加密算法第5部分:基于标识的密码补篇1:SM9》《商密算法在TLS1.3中的应用标准》相继由国际标准化组织ISO、互联网工程任务组IETF发布。

相关数据显示,密码已在公共安全、金融交通等国计民生领域发挥了重要作用。在金融领域,应用国密算法的银行卡累计发卡量超10亿张;在能源领域,基于密码技术的电力调度安全防护体系在国家电网等企业全覆盖,使用密码模块生产的智能电表超5亿只;在政务领域,国家电子政务外网二期工程启动密码基础设施建设,10个省(区、市)完成基于密码技术的政务云试点建设。

2.2数字经济时代拓展空间,构筑密码应用新业态

2019年,我国网络安全产业规模达1563.59亿元,商用密码产业规模接近300亿元,市场规模较小。密码技术主要应用于政务、金融等行业,且实际应用的范围不是很宽。

数字时代,网络空间的规模、速度和互联性发生重大变化,数字化基础设施安全边界外延,重要数据和个人隐私敏感数据泄露严重。随着“数据”上升为新生产要素,政府数据开放共享加快,数据权属界定和交易流通等社会数据资源价值提升,数据资源整合和安全保护需求不断增强,加快数据要素市场的培育发展,构建以“数据”为中心的网络安全保障体系至关重要。

密码作为保护数据安全的核心技术,可实现数据的受控使用、全过程追溯,有效解决数据采集安全、数据传输安全、数据存储安全、数据处理安全、数据交换安全、数据销毁安全六个阶段的数据生存周期的安全问题。而基于密码的区块链技术、抗量子密码算法、同态加密等密码与信息技术的融合,可促进数字经济创新,为电子商务、数字金融等带来新机遇。此外,在数字经济融通方面,密码可为数据资源确权、开放、流通和交易提供信任基础;在数字经济监管方面,密码在确保数据安全有序流动的同时,可为数据溯源、行为追踪、隐私保护等提供有效支撑,为监管提供司法证据。

“新基建”作为当前中国经济的重大部署,为“万物互联、泛在智能”提供基础设施服务。密码为“物联、数联、智联”的新一代信息基础设施建设构建坚实的安全基础。商用密码不断向云大物移智等新技术场景渗透,向工业互联网、车联网、智慧城市等新兴领域融合。亟待完善的新兴市场将促使密码产品和服务的应用更加多元化。

2.3技术融合突破边界,奠立密码产业新格局

在国际上,FIPS认证的密码模块构成在一定程度上代表了密码产品形态的发展趋势,目前通过认证的软硬件产品占比分别为44%和56%。思科、亚马逊、泰雷兹等大型ICT公司,构建了强大的密码供应链和服务体系,产品通用性很强,与其网络安全产品进行技术协同,将密码技术广泛应用于金融、能源、交通、政府等行业,形成密码技术与行业应用发展的良性互动和循环。

近年来,我国密码产业的发展已取得长足进步,密码产品形态种类齐全,拥有从芯片、板卡、整机到系统和服务的完整产业链,但与网络强国建设对密码的要求相比,还存在密码应用的广度和深度不够、供给侧能力与需求侧发展不匹配、密码技术与信息系统不融合的情况,以及密码软硬件基础技术能力薄弱、产业链自主可控体系不健全等“卡脖子”的问题。当前,我国商用密码从业企业超2000余家,但通过商用密码认证业务的有效期内产品尚不足2000款,其中,硬件产品占比高达90%以上,软件产品仅占2%左右,产品多为特定领域的专用产品,通用性较差。产业未形成集群发展之势。

相较国际市场,从企业分布上看,我国以密码企业为主,国外特别是美国则以大型ICT公司和网络安全厂商为主;从产品形态上看,我国密码软件产品占比不到2%,国外密码软件产品占比超40%;从产品类别来看,我国密码产品同质化严重,且特定领域专用产品较多,国外则更加均衡和通用。

密码硬件产品在应用场景上具有较大的限制性,无法满足于云端、移动端、物联网等新场景需求。随着《中华人民共和国网络安全法》《中华人民共和国保守国家秘密法》《中华人民共和国密码法》组成的新时期国家安全法律体系的建立,将促使密码产业在网络强国、数字中国建设中实现跨越式发展。未来,我国密码软硬件产品发展将日趋均衡,软件产品将迎来快速增长。

3、数据驱动 密码应用创新焕发新机

在国家政策的引导下,主管部门、科研机构、高等院校、业界企业等进行多方研究部署,开拓密码应用在国产化、服务化和泛在化的创新实践。

3.1运营服务,打造密码应用新模式

基于“安全即服务”的发展,“密码服务”理念被创新性提出。以密码技术为核心打造的安全服务体系,可构建“快速反应、追踪溯源、攻防突破、高级分析、组织指挥”的综合在线安全服务能力,形成“前端—云端—后端”联动的服务模式,密码服务业务框架如图 1 所示。主要特点如下。

图1密码服务业务框架

(1)打造平台,提供接口。打造成熟稳定的密码服务平台,提供标准化、便捷化的应用接口,形成高并发、快速响应、高可靠性的密码服务能力。

(2)深度集成,适配应用。在电子签章、数据安全、统一身份认证等方面形成SaaS化的密码服务产品,灵活适配各业务应用软件,打造独立的密码服务业务。

(3)开放合作,服务增值。合作主流SaaS化的2B、2G应用(邮件、即时通信、CRM、HR、供应链、在线签约等)服务商,提供专业合规的密码解决方案。

(4)聚焦云上,发掘场景。拓展与联合运营平台、公有云服务商合作,发掘新密码技术方向和应用场景,孵化新密码服务项目。

3.2由“芯”开始,构建基础软硬件创新的新体系

随着信创产品的广泛应用,安全问题愈发不可忽视,然而缺乏自主可控的核心技术支撑一直是制约我国信息安全防御能力提高的主要因素之一。

密码与基础软硬件的融合将大力助推信息技术应用的创新发展。密码运算、可信计算等安全能力以IP核的方式深度融合到新一代处理器中,形成了“国产CPU+安全协议处理器”的新型处理器架构“安全SE架构(Secusity Element,SE)”,如图2所示。架构突破了通用处理器和密码计算融合架构技术,实现了密码应用的创新发展。

图2安全SE架构

基于安全SE架构的由芯片、主板(BIOS)、操作系统、应用软件构建的商用密码应用体系,增强了终端安全防护能力,同时具有高安全、易使用、低成本、轻改造的特点,可广泛应用于安全性要求高的军工、政务等专用安全领域以及安全可靠要求高的金融、能源等基础设施领域。

3.3软件定义,密码模块拓展新应用场景

数据驱动的“软件定义”是软件和信息技术服务业发展的突出特征,随着网络威胁的多样化和复杂化,传统单一的安全硬件产品已无法满足客户需求,网络安全市场持续向服务化转型。

软件密码模块具有安全性高、经济性好、易用性和兼容性强的特点,可满足各领域应用系统的数据传输、存储和访问控制等安全需求,为新型金融服务、基础信息网络等领域的互联网应用提供安全的身份认证、数据加解密等服务。目前,软件密码模块已推出多款成熟产品,广泛应用于移动智能终端等新场景,如图3所示。

图3移动终端密码软卡应用

4、多管齐下 数字经济时代密码创新发展亟待新举措

数字时代,“数据”成为重要生产要素,驱动“安全”焦点由网络向数据转变,保护数据比保护网络更加直接有效,构建以“数据”为中心的网络安全保障体系,是赋能数字化发展的关键着力点。密码作为网络安全的核心技术,是保护数据资产安全的重要手段。建议主管部门多管齐下,强化政策法规执行力度,从国家层面打造统一的密码基础设施,推进数字经济时代密码创新应用,护航数字中国发展。

4.1强化政策法规执行力度,全面推动各项部署落地实施

《中华人民共和国密码法》实施后,国家密码管理局先后发布《商用密码管理条例(修订草案征求意见稿)》《商用密码产品认证规则》等多项政策,行业标准《信息系统密码应用基本要求》上升为推荐性国家标准,极大提升了密码工作的科学化、规范化、法治化水平。建议相关主管部门加强行政执法、监督和检查工作,强化执法力度,确保各项法规制度真正落到实处。

4.2区域管理、行业规范助推密码应用在网络空间纵深发展

2020年,国务院办公厅印发的《国家政务信息化项目建设管理办法》、公安部发布的《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》,以及广州发布的全国首个行政区商用密码产业促进办法,都显示出密码正在全面融入网络安全顶层规划工作中,同时也对密码技术的产品和服务提出了更高的差异化要求。建议各行业领域的主管部门从顶层规划层面,引导密码应用深入贯穿于行业信息化建设的各个环节,拓宽“密码+”创新生态的新模式,以满足日趋增强的区域创新需求和行业规范化发展需求。

4.3建设国家级密码基础设施,全面护航“新基建”发展

互联网、移动互联网、工业互联网、物联网加速融合,万物互联和超级网络时代已经到来,以数据中心为代表的“新基建”正在形成,人工智能、大数据、区块链、云计算等数字技术也在以更快的速度创新发展,网络空间变得更加复杂,网络边界也更加模糊。而密码作为构建网络信任体系的基石,可为“物联、数联、智联”的新一代信息基础设施建设构建坚实的安全基础。从国家层面打造统一的密码基础设施将成为“新基建”的重要组成部分。建议相关主管部门引领业界龙头企业共同建设“国家级密码基础设施”,面向各行业领域提供专业、规范、便捷的密码技术、产品和服务。

4.4推进软件密码模块发展,助力新型密码服务模式向各领域融合

随着各行业数字化转型步伐的加快,网络空间边界不断的模糊化、移动化,信息系统全面云化发展,传统的网络安全防护体系不断创新转变。密码作为关键核心技术,保障方式同样需要做出改变和适应。软件密码模块产品因其成本低、可复制性强的天然优势,可为用户提供更加专业、便利和经济的密码服务。建议主管部门着力推进软件密码模块的标准制定,深入完善检测和认证工作,加大对软件密码模块的扶持力度。

5、结语

2021年,“十四五”规划和2035年远景目标纲要正式发布,我国进入高质量发展阶段。在现代化国家基础设施建设、数字化政府和社会转型建设、高水平的平安中国建设中,网络安全将发挥重要的保障、协同和促进作用,密码创新应用也将再上新台阶。

引用本文:魏洪宽.数字经济时代密码应用思考[J].信息安全与通信保密,2021(6):60-67.

作者简介 >>>

魏洪宽(1974—),男,学士,工程师,主要研究方向为商用密码应用创新和管理。

来源:选自《信息安全与通信保密》2021年第6期

标签: