我國的商用密碼在網(wǎng)絡(luò)安全領(lǐng)域應(yīng)用從無到有，逐步發(fā)展到為密碼保障體系的構(gòu)建提供了“中國方案”。在未來的發(fā)展中，應(yīng)通過創(chuàng)新驅(qū)動、以查促改、培訓(xùn)宣貫的等多種方式，推動其高質(zhì)量發(fā)展

密碼是保障網(wǎng)絡(luò)空間安全的核心技術(shù)，在網(wǎng)絡(luò)空間安全防護中發(fā)揮著重要的基礎(chǔ)支撐作用。密碼技術(shù)如果沒有得到合規(guī)、正確、有效的應(yīng)用，那么其安全功能就無法發(fā)揮作用，并隨之帶來一系列安全問題和隱患。自1999年《商用密碼管理條例》頒布，歷經(jīng)20余年的發(fā)展，我國的商用密碼在網(wǎng)絡(luò)安全領(lǐng)域應(yīng)用從無到有，逐步發(fā)展到現(xiàn)階段，ZUC、SM2、SM3、SM4、SM9等一系列商用密碼算法在重要信息系統(tǒng)中得以應(yīng)用，并且部分算法已在國際上被認可和采納，為密碼保障體系的構(gòu)建提供了“中國方案”。

商用密碼的標準、產(chǎn)品、檢測體系發(fā)展現(xiàn)狀

標準規(guī)范體系逐步構(gòu)建。自2006年國家密碼管理局組織研究商用密碼算法和技術(shù)標準化等相關(guān)工作開始，經(jīng)歷5年，于2011年10月成立密碼行業(yè)標準化技術(shù)委員會，專門負責(zé)密碼產(chǎn)品和技術(shù)的標準化工作。截至目前，已發(fā)布密碼行業(yè)標準100余項、密碼國家標準30余項，全面指導(dǎo)著各行業(yè)、各領(lǐng)域密碼算法、協(xié)議以及產(chǎn)品的正確使用，同時也標志著我國商用密碼標準體系日益完善。

商密產(chǎn)品體系日趨成熟。商用密碼建設(shè)過程中最核心的一環(huán)就是商密產(chǎn)品和技術(shù)，在國家對商用密碼的政策引導(dǎo)和大力扶持下，大量的網(wǎng)絡(luò)安全龍頭企業(yè)逐漸涉獵商用密碼領(lǐng)域，并且在研發(fā)資金、技術(shù)創(chuàng)新、人才隊伍等方面的投入日益加大，越來越多諸如智能密碼鑰匙、IPSEC VPN、安全電子簽章、服務(wù)器密碼機等合規(guī)商用密碼產(chǎn)品推陳出新，為重要信息系統(tǒng)進行商用密碼改造奠定了基礎(chǔ)。

檢測評估體系逐漸形成。2021年3月，《信息安全技術(shù) 信息系統(tǒng)密碼應(yīng)用基本要求》（GB/T 39786—2021）這一商用密碼應(yīng)用安全性評估的上位標準正式發(fā)布；2021年6月，國家密碼管理局公告（第42號），全國48家商用密碼應(yīng)用安全性評估機構(gòu)名錄正式公示，商用密碼檢測評估體系初步構(gòu)建。近年來，北京、上海、浙江、江蘇等省市的商用密碼應(yīng)用安全性評估（以下簡稱“密評”）工作如火如荼，部分省市的年均密評數(shù)突破600個，通過檢測評估推動建設(shè)改造的模式逐漸形成。

技術(shù)、場景和人才成為制約商用密碼應(yīng)用的痛點和難點

新興領(lǐng)域商用密碼技術(shù)創(chuàng)新有待提升。商用密碼的應(yīng)用正在向工業(yè)互聯(lián)網(wǎng)、車聯(lián)網(wǎng)、智慧城市等新興領(lǐng)域融入，但新興領(lǐng)域?qū)γ艽a功能和性能的要求更高，如面向云計算和大數(shù)據(jù)場景的同態(tài)加密技術(shù)、高性能密碼技術(shù)，面向物聯(lián)網(wǎng)、智慧城市等場景的邊緣安全網(wǎng)關(guān)和輕量級加密技術(shù)等。商用密碼的技術(shù)創(chuàng)新仍存在著密碼算法與系統(tǒng)的耦合度不夠、專用軟件密碼集成門檻高等挑戰(zhàn)。

密碼改造和應(yīng)用場景融合度有待提升。不少建設(shè)單位在密碼應(yīng)用安全建設(shè)初期，對系統(tǒng)實際情況未進行充分考察評估，缺乏對業(yè)務(wù)需求、數(shù)據(jù)加解密、密鑰交換等場景的充分調(diào)研，簡單地認為僅通過堆疊一些安全產(chǎn)品就能實現(xiàn)商用密碼改造，生硬套用模板化的密碼應(yīng)用安全建設(shè)方案，與實際系統(tǒng)的業(yè)務(wù)邏輯脫節(jié)，導(dǎo)致密碼應(yīng)用安全建設(shè)工作難以達到預(yù)期效果。

信息化人員專業(yè)能力有待提升。由于密碼技術(shù)專業(yè)性強，協(xié)議算法復(fù)雜，應(yīng)用實踐多樣化，技術(shù)壁壘較高。雖然各地區(qū)密碼主管部門、信息化部門通過組織各類型的培訓(xùn)、會議等活動，借此推進商用密碼體系建設(shè)；但目前仍有部分承擔(dān)信息化建設(shè)的工作人員對密碼的認知度不足、重視程度不夠，存在商用密碼建設(shè)不敢也不會推進的情況。

三大舉措切實加快商用密碼的應(yīng)用發(fā)展

創(chuàng)新驅(qū)動，助力商用密碼產(chǎn)業(yè)鏈發(fā)展。應(yīng)進一步優(yōu)化商用密碼應(yīng)用安全產(chǎn)業(yè)生態(tài)，出臺促進商用密碼產(chǎn)業(yè)高質(zhì)量發(fā)展的一系列指導(dǎo)性文件；加速密碼領(lǐng)域產(chǎn)學(xué)研用相融合，促進商用密碼應(yīng)用安全技術(shù)成果轉(zhuǎn)化，聚焦密碼與區(qū)塊鏈、大數(shù)據(jù)、云計算、人工智能等新業(yè)態(tài)的融合需求，增強密碼創(chuàng)新與支撐能力；打造高等院校、科研院所和龍頭企業(yè)“政產(chǎn)學(xué)研用”一體化的商用密碼應(yīng)用安全產(chǎn)業(yè)生態(tài)鏈。

以查促改，加速推進商業(yè)密碼應(yīng)用改造和評估。商用密碼主管部門應(yīng)加大監(jiān)管力度。一是督促各單位對關(guān)鍵信息基礎(chǔ)設(shè)施、重要信息系統(tǒng)開展商用密碼建設(shè)和改造，達到密碼建設(shè)方案與業(yè)務(wù)應(yīng)用深度耦合，密碼使用滿足業(yè)務(wù)應(yīng)用的實際要求。二是督促云服務(wù)商進行商用密碼改造并通過密評，提升云平臺的密碼應(yīng)用安全防護能力，保障云上各應(yīng)用系統(tǒng)的安全。三是督促密評機構(gòu)規(guī)范開展密評工作，嚴把質(zhì)量關(guān)和技術(shù)關(guān)，核實各重要信息系統(tǒng)商用密碼改造的正確性和有效性。

培訓(xùn)宣貫，提升商用密碼應(yīng)用水平。一是把握“4·15”全民國家安全教育日、國家網(wǎng)絡(luò)安全宣傳周等重要安全觀念宣傳“窗口期”，組織開展《密碼法》《信息安全技術(shù) 信息系統(tǒng)密碼應(yīng)用基本要求》等相關(guān)政策法規(guī)、國家標準的宣貫活動，提高各單位對商用密碼應(yīng)用安全的重視程度。二是依托商用密碼權(quán)威機構(gòu)，面向密碼從業(yè)人員，定期組織開展密碼咨詢、密碼建設(shè)、密碼測評等領(lǐng)域的專業(yè)性培訓(xùn)，提升各類商用密碼技術(shù)和管理人員的能力和水平。三是密碼技術(shù)應(yīng)用員和密碼工程技術(shù)人員均已納入中華人民共和國職業(yè)分類，通過不斷完善密碼職業(yè)人才評價體系，擴大密碼職業(yè)人才隊伍，推動密碼技術(shù)創(chuàng)新和產(chǎn)業(yè)高質(zhì)量發(fā)展。

（作者單位：浙江省電子信息產(chǎn)品檢驗研究院）