筑牢网络安全基石:对我国密码产业发展的思考

 二维码 9

《密码法》颁布之后,密码逐步走进大众视野,并持续夯实了其在网络信息安全产业中流砥柱的作用。


            密码作为网络安全的核心技术和基础支撑,在很长一段时间受限于管制要    求    和    技    术特质,难以被人所知。因此国内密码产业,尤其是商密产业的发展,在 2018 年之前发展速度和趋势并不快,整体概况就是:门槛高、规模小、生存难、认知低。但从 2019 年至今,内外部环境的变化、政策的引导、产业成熟度的提升,为密码产业的发展注入了新的活力,受到了政府、社会、资本和公众的关注,尤其是《密码法》颁布之后,密码逐步走进大众视野,并持续夯实了其在网络信息安全产业中流砥柱的作用。


一、国内密码产业发展的四个阶段

    国内密码产业相较于欧美发达国家起步较晚,经历了从技术跟随,局部自主,完整自主到能力创新四个阶段。

(一)1999 年之前:技术跟随

    国内密码产业的发展没有明显标志性的起点,但在 20 世纪 90 年代初期,其产品在国内金融等核心信息领域已开始应用。早期的应用模式多采用国际通用算法 RSA、DES/TDES、AES、SHA-1,以数字信号处理(DSP)内部软实现为主。应对特殊场景应用,则采用部分非标的算法实现。1999年《商密管理条例》正式发布,明确了商用密码的使用要求,商密产业在国内开始逐步形成。

(二)2000 年-2010 年:局部自主

    进入 2000 年后,国内密码应用的需求日渐广泛,为进一步保障密码使用安全,2005 年国家密码管理局成立,牵头推出了 SSF33、SM1(SCB2)、SM2、SM3、SM4、SM7、祖冲之等密码算法,在应用中逐步替代国外算法,尤其 AES 256 位加密标准被破解后,国密算法已成为国家主要推动的国标算法。这一时期,国内密码产品也逐步出现,为之后的全面自主替代打下了产品基础。

(三)2011 年-2017 年:全面自主

    2010 之后,密码技术作为保护信息安全的重要手段和主动性的防御技术,得到了越来越广泛的认可和应用,基于国密算法的国产化产品也相继问世。2011 年密标委成立,随之而来的系列密码行业标准为密码产品的设计、研制、检测等提供了强力支撑,有效推动我国密码产业健康发展。以国密算法+国产化软硬件的加密产品相继问世并加快应用,在技术和产品侧实现了基本的安全可控。

(四)2018 年-至今:主动创新

    近年来,随着国内外网安环境的剧烈变化,信创自主成为信息产业最重要的课题,密码产业的发展也随之迎来了新的机遇期。密码产品应用从单点应用,向系统化改造贴近,产品逐步应用于高性能网络加密处理、数据存储加密和云服务等场景。同时,为解决密码应用中的突出问题,国家颁布实施了《网络安全法》《密码法》《网络安全审查办法》《国家政务信息化项目建设管理办法》等一系列法律法规,规范相关密码应用。密码产业建设和应用进入了新的历史时期,并在物联网、工业互联网、大数据的交互下,产生了新的创新。


二、密码在网络信息安全中的重要作用

    密码被公认为是网络信息安全的核心技术和基础支撑,国家寄予厚望,视为国之重器。虽然密码技术因为本身的基础性、技术性、显现性、弱体验的特质,难以被大众所直观认知,但随着信息技术的发展,当今网络安全和信息安全交融互补,密码技术的应用也从传统信息领域向更广阔的网络信息安全领域扩展延伸,发挥着越来越重要的作用。

(一)密码在网络信息领域广泛应用

    伴随信息技术和互联网的高速发展,密码早已经进入千家万户,与人们的生活息息相关,事关每个人的切身利益。例如,在信息网络领域,有线局域网安全的三元对等架构的局域网媒体访问控制安全(TLSec)技术、无线局域网安全的无线局域网鉴别和保密基础结构(WAPI)技术、IP安全可信(TISec)技术;在电子政务领域,基于公钥基础设施(PKI)技术的电子认证、数据加解密;在电力领域,发电环节确保调控指令可靠执行;在金融领域,基于金融 IC 卡、智能密码钥匙的身份认证等。同时,伴随“互联网+”、智能制造、云计算、区块链和物联网等新兴业态的快速发展,人们对信息和网络的依赖更甚,密码技术在推进其核心技术进步和创新中也起到重要作用。

(二)密码是网络信息安全中数据保护的核心手段

    基于密码的保密性、完整性、认证性、不可否认性和可用性的基本功能,密码成为网络信息安全中数据保护经济、可靠、有效的手段,对消除数据孤岛、发挥数据价值有着不可替代的重要作用。密码能够实现数据所有权、使用权、管理权的有效分离和保护,可以让数据安全可靠地跑起来、用起来、活起来。

(三)密码可承担网络信任体系的构建基础

    密码算法和密码协议可有效解决人、机、物的身份标识、身份鉴别、统一管理、信任传递和行为审计问题,是实现安全、可信、可控的互联互通的核心技术手段,是网络空间传递价值和信任的重要媒介及手段。包括美、俄、中、欧等国家和地区的政策和标准,都已要求在关键信息系统建设中须采用密码技术来进行安全保障。美国防部主导的“密码现代化计划”中要求,要在 10-15 年内升级全部国防密码库,应用于现有加密设备中;2019 我国网络安全等级保护 2.0 标准,对三级及以上信息系统建设明确要求通过密码测评。

(四)密码技术是重要的战略性资源

    近年来,我国密码算法设计分析能力达到国际先进水平,我国自主设计的 SM 系列算法、ZUC序列密码已申请成为国际标准,实现了与世界一流密码的同台竞技。但作为保障国家安全的核心技术之一,密码早已成为各大国的重要战略资源,高性能密码设备、密码算法长期被纳入出口管制名单中,美国 2018 年通过的《出口管制改革法案》更是将前沿的量子加密列入了限制出口的名单。2020 年,我国商务部、国家密码管理局、海关总署联合发布的出口管制清单中也包括安全芯片、密码机/卡、加密 VPN 设备、密钥管理产品、专用密码设备、量子密码设备以及相关软件和技术等。密码由于在网络信息安全中的核心作用,已成为各个国家的重要战略资源。


三、密码产业的发展现状和趋势

(一)从政策驱动向政策+市场多层驱动转变

    在 2019 年之前密码产业主要以政策驱动为主,随着《密码法》《数据安全法》《个人隐私保护法》在陆续发布,我国安全法律制度体系已基本形成;同时基于近年产业对用户的持续普及,用密码技术保障信息系统安全逐步成为共识。2019年等保 2.0 政策的发布,增大了等保的保护范围,提高了测评及格线,引领等级保护市场高速增长,存量信息系统的改造,叠加新建信息系统的建设,均逐步接受密码应用安全性评估,产业发展从政策驱动走向需求释放,逐步形成了“应用-反馈-迭代调优一再应用”正向循环。产业的快速发展,也使得诸多网安企业进入,对原中小型企业为主体的密码产业形成了一定冲击,但真正具备上下游全产业链开发能力的商密企业仍较为稀缺,多数密码企业仅有 2-3 款产品,不具备系统服务能力和全栈解决能力。

(二)信创成为牵引产业发展的重要引擎

    密码算法和产品的自主可控一直都是我国信息安全的重中之重。在信创战略的持续牵引下,我国密码算法、技术应用已逐步摆脱对外部的依赖,实现了自主可控。目前信创产业顶层规划及产业环境已经趋于成熟,正在进入高速发展期,密码作为网络信息安全的核心技术和基础支撑,在信创体系中的地位也是举足轻重的。在算法方面,我国自主设计的 SM 系列算法,已经覆盖了从对称密码算法、公钥密码算法、杂凑算法、标识密码算法等密码技术体系,在有关部门的推动下,密码标准、协议规范已逐步成熟和完善。在技术应用方面,我国在密码芯片、密码模块以及密码板卡等产业链上游,已基本实现自主可控,完成了从基本可用到基本好用的跨越,但在应用技术领域的投入仍显不足,还需加强牵引作用。

(三)商用密码产业应用领域和市场规模不断扩大

    在工业互联网、云计算、大数据、区块链、人工智能等新技术、新业态的融合下,密码的存在形式、产品形态、服务方式发生着快速变化,同时伴随着数据安全需求的泛在化,密码应用泛在化趋势明显。与此对应,商用密码行业规模也在持续增长,产业规模整体呈上升趋势。近两年在新冠疫情的客观环境下,我国商用密码产业仍取得了高速发展,产业在政策环境与市场需求的共同作用下,保持了高速增长,2021 年更是达到了 585 亿元,预计 2025 年商用密码行业规模有望达到 937.5 亿元,从行业分布来看,党政、金融、电信仍是三大市场,并且保持 25% 左右的增速。

(四)密码产品快速升级,服务内生性要求提升

    随着产业支撑要求的不断提升,我们商用密码产品自主创新能力持续加强部分产品性能已达到国际先进水平,截至目前,我国商密产品已有 3000 余款,其中 2200 余款产品取得了产品认证,覆盖了芯片、板卡、模块、软件、系统、整机全产业链。此外随着 5G、物联网等新技术为代表的新兴技术基础设施建设,重新定义了数字化的生产、生活场景。新基建呈现出的设备多样化、通信 IP 化、数据开放化、算力平台化、运行智能化、生产要素数字化、生产主体泛在化、生产关系透明化、对抗复杂化等一系列特点,都要求密码服务实现模块化、层次化、差异化、动态化、多元化的发展,进而要求密码产品由“外挂式”密码服务向“内生性”密码服务转型。

(五)商密产业逐步受到资本市场的关注

    国内商用密码产业在经历漫长蛰伏期后,已然迎来发展的机遇期。随着科创板、京交所的落地,密码企业或将迎来一波上市潮。资本的涌入使行业投融资活动逐步活跃,据不完全统计,在 2019-2022 年间,先后有十余家商密企业进行了 IPO。此外国资也在近年纷纷入场,其在促进产业下游客户资源的获取的同时,也使得市场竞争格局进一步向头部厂商集中。


四、密码产业的发展建议

(一)理论和应用并举

    密码产业的应用技术是渐变型技术,而密码的理论技术是突变性技术。突变性技术具备时代的随机性,比如我国算法方向的突破,可以不需要太多技术积累短期实现赶超,而渐变型技术则需要建立在原有技术积累上才能实现创新突破,如密码硬件产品的发展,需要上下游供需两侧的长期积淀。借用华为任正非的观点:应用理论的研究也是研究。因此,在保证对密码产业基础研究、基础教育上高强度投入的同时,在应用领域高风险、高成本的实验性项目中,国家也可以作为主导,匹配相应政策、技术、环境、资金,而非单纯依靠市场和高校主导。

(二)加强密码人才的培养

    我国密码人才需求旺盛,呈现快速增长的态势。2020 年 3 月 1 日,“密码科学与技术”专业被列入普通高等学校本科专业目录;2021 年,人社部发布“密码技术应用员”新职业,这些举措为培养密码专业人才起到了重要促进作用。但根据媒体公开报道显示,现阶段我国密码人才需求人数约为 30 万,实际缺口达20万,随着 5G、新基建、东数西算等数据工程的建设提速,到 2025 年我国密码人需求将达 110 万左右。密码管理部门和商用密码企业对密码从业人员状况的调研结果表明:未来 3-5 年内商用密码人才需求平均增长率为 30%-60%。因此,在做好密码人才培养的顶层设计的同时,应加强推进校企合作培育,加强多层次、多场景的密码应用人才培养,推动产业的建设发展,这也是中国密码事业的百年大计。

(三)重视应用的体系性合规

    目前,很多密码应用方案是基于单点合规设计的,最常见的是在应用层加密认证,对网络层、链路层等基本没有关注。即使在应用层,通常也只关注传输加密,少数对数据存储过程提供加密,但离实际密评要求的全库加密相去甚远,对应用的体系性合规关注不足,注重单点合规,忽视体系合规。在实际应用中,要真正实现密码应用合规,不仅是单点产品的增设,更需结合应用场景及应用的特殊性,进行系统化方案的构建,让密码不仅能用,更要真用和好用。

(四)行业标准缺乏应用层面的标准

    在目前颁布的国家密码相关标准中,绝大部分都是关于单个产品的实现标准,对应用有关的方案类标准比较缺乏,密评中很多判断都是基于单点的产品标准,即便有 GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》作为指导、规范信息系统密码应用,但对应用的体系化合规规范性仍显不足。

    建议出台行业应用类标准以规范密码应用过程中的整体架构和应用方向,对相关部门和密评机构形成指导意见,构建更完整的密码应用方案和测评方案,降低在商密应用过程中的漏洞和短板。


五、结束语

    党的二十大提出,我国要加快建设制造强国、网络强国、数字中国。国家层面积极推动数字经济发展,促进密码与数字经济、数字政府、数字社会的融合应用。不断筑牢密码安全防线,保障国家经济发展,成为时代赋予密码从业人员的新使命。2021 年 10 月 26 日,在《密码法》颁布 2 周年之际,人民日报发表《密码,让百姓生活更安全》文章,提出要深入践行“密码安全为人民”的理念,全面推进《中华人民共和国密码法》的贯彻实施,积极促进密码与数字经济、数字政府、数字社会的融合应用,不断筑牢密码安全防线,让百姓的生活更安全、更便捷。面对百年未有之大变局,密码已然焕发出了勃勃生机,我国的密码产业将在这样的机遇中凌云而生,必将为实现我国网络强国、数字中国的战略目标踔厉奋发,勇担使命,做出更大贡献。

(本文刊登于《中国信息安全》杂志2023年第2期)