【專家解讀】劉平：商用密碼迎來發展新機遇

近日，國務院釋出了修訂後的《商用密碼管理條例》（以下簡稱《條例》）。新修訂的《商用密碼管理條例》清晰寬嚴有度，規範到位，對促進商用密碼技術進步和商用密碼産業發展具有重要意義。

01

鼓勵密碼科技創新

促進密碼科技進步

《條例》第七條、第八條對促進商用密碼科學技術創新，開展商用密碼科技成果轉化及成果資訊管理進行了規定；第九條對商用密碼技術審查鑒定進行了規定；第十條、第十一條對商用密碼标準的制定、實施、監督、國際化以及法律效力進行了規定。

應用需求是商用密碼科技創新的動力，不斷創新才能不斷進步。商用密碼用于保護不屬于國家秘密的資訊，其應用場景往往與國家關鍵資訊基礎設施和人民群衆日常生活密切相關，涵蓋金融、通信、公安、稅務、社保、交通、衛生健康、能源、電子政務等重要領域，在維護國家安全，促進經濟社會發展，保護公民、法人和其他組織合法權益等方面發揮着重要作用。國内外日益嚴峻的網絡安全态勢，資訊領域新技術、新業态、新模式的快速發展，引發了對商用密碼科技創新的迫切需求，為商用密碼科技創新提供了廣闊舞台。

商用密碼标準是合規正确有效使用密碼的遵循依據，創新成果成為标準才能廣泛推廣。商用密碼标準的作用是規範密碼技術的有效使用和密碼産品市場準入的檢測認證。是以，為合規正确有效使用商用密碼技術，研發有市場競争力的商用密碼産品，應當遵循相關标準；為使商用密碼科技創新的成果廣泛推廣使用，應當使其成為标準。

創新成果的應用需求和創新成果沒有現成标準的沖突，是商用密碼科技進步和産業化程序中始終存在的沖突，解決沖突的方法是促進沖突雙方主次地位的互相轉化，而轉化的關鍵環節是商用密碼技術審查鑒定，審查鑒定的主體是國家密碼管理部門，審查鑒定的對象和内容是。

02

建立商用密碼檢測認證體系

自願檢測認證與強制檢測認證相結合

《條例》第十二條落實《密碼法》規定的推進商用密碼檢測認證體系建設，鼓勵商用密碼從業機關自願接受商用密碼檢測認證；第十三條至第十九條依法明确檢測、認證機構資質審批條件、程式及其從業規範；第十七條規定實行商用密碼産品、服務、管理體系的國家統一推行的自願性認證制度；第二十條、第二十一條規定對涉及國家安全、國計民生、社會公共利益的商用密碼産品和服務，實行強制性檢測認證。

密碼是保障資訊安全的關鍵技術，密碼發揮作用需各方參與。密碼供給方把密碼技術落到實處，為需求方實作密碼應用提供密碼支撐；密碼需求方把密碼技術用到實處，解決資訊系統的安全問題；密碼技術、密碼支撐和密碼應用共同作用，保障資訊系統安全。密碼産品和服務是指承載密碼技術、實作密碼功能、支撐資訊系統使用密碼技術的實體，密碼需求方使用密碼産品和服務，把密碼技術落實到應用中，解決安全問題。

密碼産品和服務是保障安全的實體，保障安全的實體自身應當安全。資訊系統使用不安全的密碼産品和服務，會比不使用帶來更大的安全問題。需求方如何确定采購的密碼産品和服務正确地實作了密碼技術，正确地提供了密碼功能，自身安全達到了預期的安全等級？商用密碼從業機關不能自說自話，應當出具商用密碼認證機構頒發的認證合格的證書予以證明。

放寬準入與保障安全相結合，促進商用密碼産業有序健康發展。通常密碼從業機關可以自主決定是否接受商用密碼檢測認證。當商用密碼産品涉及國家安全、國計民生、社會公共利益，被列入網絡關鍵裝置和網絡安全專用産品目錄，或商用密碼服務使用網絡關鍵裝置和網絡安全專用産品，需要按照國家有關法律法規要求，由具備資格的檢測認證機構檢測認證合格後方可銷售或者提供。

03

建立統一的電子認證信任機制

依法管理電子認證服務密碼使用

《條例》依據《密碼法》和《電子簽名法》，在第二十二條、第二十三條中明确電子認證服務機構采用商用密碼技術提供電子認證服務應具備相關條件和遵循相關法律和規範；在第二十四條至第二十八條中明确電子政務電子認證服務機構的資質申請、條件認定和從業規範等内容；在第三十條中明确了政務活動中的電子簽名、電子印章、電子證照等的電子認證服務要求。

電子認證的基礎是信任，信任機制的實作靠密碼技術。《電子簽名法》明确“可靠的電子簽名與手寫簽名或者蓋章具有同等的法律效力”。公鑰密碼技術的實施需要一個大家都信任的權威機構，來為大家提供“證明公鑰屬于誰”的服務，這個權威機構稱為電子認證服務機構，不同的電子認證服務機構之間需要互信互認，上下級的電子認證服務機構需要有效管理，這個互信互認、有效管理的機制稱為電子認證信任機制。《條例》明确“國家建立統一的電子認證信任機制”，并且由“國家密碼管理部門負責電子認證信任源的規劃和管理”。對電子認證服務使用密碼的行為依法實施管理，是《電子簽名法》賦予國家密碼管理部門的職能，電子認證服務機構應當按照法律、行政法規和電子認證服務密碼使用技術規範、規則，使用商用密碼提供電子認證服務。

從事電子政務電子認證服務的機構，應當經國家密碼管理部門認定。對電子政務電子認證服務使用密碼和提供服務的行為依法實施管理，是《密碼法》賦予國家密碼管理部門的職能，電子政務電子認證服務機構應當依法取得電子政務電子認證服務機構資質，并應當按照法律、行政法規和電子政務電子認證服務技術規範、規則，在準許範圍内提供電子政務電子認證服務。

采用非證書機制的電子認證服務，也應依法納入管理。目前，電子認證服務使用的密碼技術規範，均是采用基于數字證書機制的技術規範，而随着物聯網、車聯網、工業網際網路等新業态的密碼應用需求，采用SM9辨別密碼算法或基于SM2密碼算法的非證書機制的電子認證服務應用也會不斷發展。随着技術的不斷完善、相關标準的研制和釋出，采用這類技術規範的電子認證服務的規範管理也應提上日程。

04

促進密碼技術應用

保障網絡與資訊安全

《條例》突出促進應用、保障安全的導向，第三十五條、第三十六條鼓勵公民、法人和其他組織依法使用商用密碼；第三十八條、第三十九條明确關鍵資訊基礎設施商用密碼使用和安全性評估要求，同時第四十條明确關鍵資訊基礎設施的商用密碼國家安全審查要求。

密碼應用，是密碼需求方用密碼技術解決安全問題的過程。密碼無處不在，任何網絡與資訊系統都可以使用密碼技術滿足機密性、真實性、完整性、不可否認性的安全需求。網絡與資訊系統的營運者可以使用經檢測認證合格的密碼産品和服務，遵循密碼國家标準和行業标準，針對網絡與資訊系統的安全需求，制定密碼應用方案，按照“三同步一評估”原則，同步規劃、同步建設、同步運作密碼保障系統，定期開展商用密碼應用安全性評估。

密碼應用方式，包括對業務應用透明和非透明兩種。對業務應用透明的密碼應用方式，一般用于保護網絡與資訊系統的實體環境、網絡環境、計算環境和存儲環境的安全，密碼應用的重點是根據實際環境及安全需求，部署和管理密碼産品，使其發揮作用；對業務應用非透明的密碼應用方式，主要用于保障承載在計算環境上的業務應用的安全，包括使用者和管理人員的身份真實性及行為的不可否認性、重要資料的機密性和完整性、重要業務流程和重要業務對象的安全性等，密碼應用的特點是調用密碼功能，使用密碼技術，解決業務應用安全問題。

密碼内生方式，包括密碼資源内生和密碼應用内生兩種。内生安全、密碼内生，近來呼聲比較多，個人認為主要有兩種内生方式：

一是密碼資源内生的方式，主要是在CPU、作業系統、資料庫、浏覽器等資訊化産品中，内置密碼算法及相關密鑰管理等密碼資源，用于産品自身安全或實作特定安全功能，該密碼資源是産品自己用的，一般不會透出為其他應用服務。

二是密碼應用内生的方式，主要是在業務系統研發期間就把密碼應用內建在内，通過接口調用外部密碼資源提供的密碼功能，成為安全的業務系統。

密碼應用安全性評估，是對商用密碼使用環節的監管。密碼應用安全性評估的對象是網絡與資訊系統采用商用密碼技術、産品和服務；評估的内容是按照商用密碼管理政策和相關密碼标準，對其密碼應用的合規性、正确性、有效性進行評估；對于關鍵資訊基礎設施等重要網絡與資訊系統，評估通過後方可投入運作，運作後每年至少進行一次評估，評估情況報送國家密碼管理部門或者關鍵資訊基礎設施所在地省、自治區、直轄市密碼管理部門備案；開展商用密碼應用安全性評估的檢測機構應當經國家密碼管理部門認定，依法取得商用密碼檢測機構資質。

結束語

《條例》的修訂釋出和實施，是商用密碼發展史上的一件大事，對商用密碼的發展有深遠的意義。商用密碼從業機關應認真研讀，仔細領會，嚴格遵守。

來源：國家密碼局、密碼頭條

作者：國家資訊安全工程技術研究中心 劉平