密码工作直接关系国家政治安全、经济安全、国防安全和网络安全,直接关系社会组织和公民个人的合法权益。商用密码工作是密码工作的重要组成部分,在维护国家安全、促进经济发展、保护人民群众利益中发挥着不可替代的重要作用。目前,我市商用密码应用还存在着一些不容忽视的突出问题。比如,一些重要信息系统使用密码尚不广泛,涉及政府、法人和社会公众的大量数据还在裸奔;一些单位重信息化建设、轻安全保护,信息系统密码使用不规范、不正确,密码使用存在不安全情况等等。为推动我市商用密码技术的规范应用,市密码管理局负责人回答了本报记者的提问。
记者:请问什么是密码?
市密码管理局:“密码”一词对人们来说并不陌生,人们可以举出许多有关使用密码的例子。如保密通信设备中使用“密码”,个人在银行取款使用“密码”,在计算机登录和屏幕保护中使用“密码”,开启保险箱使用“密码”,儿童玩电子游戏中使用“密码”等等。但以上所说的“密码”,并不都是真正的密码。除了保密通信设备中使用密码以外,其它使用的并不是密码,而是一种特定的暗号或口令字。
那么,什么是密码呢?在《辞海》中对密码是这样释意的:“按特定法则编成,用以对通信双方的信息进行明密变换的符号”。换而言之,密码是隐蔽了真实内容的符号序列。就是把用公开的、标准的信息编码表示的信息通过一种变换手段,将其变为除通信双方以外其他人所不能读懂的信息编码,这种独特的信息编码就是密码。
密码是一门科学,有着悠久的历史。密码在古代就被用于传递秘密消息。在近代和现代战争中,传递情报和指挥战争均离不开密码,外交斗争中也离不开密码。密码一般用于信息通信传输过程中的保密和存储中的保密。随着计算机和信息技术的发展,密码技术的发展也非常迅速,应用领域不断扩展。密码除了用于信息加密外,也用于数据信息签名和安全认证。这样,密码的应用也不再只局限于为军事、外交斗争服务,它也广泛应用在社会和经济活动中。当今世界已经出现了密码应用的社会化和个人化趋势。例如:可以将密码技术应用在电子商务中,对网上交易双方的身份和商业信用进行识别,防止网上电子商务中的“黑客”和欺诈行为;应用于增值税发票中,可以防伪、防篡改,杜绝了各种利用增值税发票偷、漏、逃、骗国家税收的行为,并大大方便了税务稽查;应用于银行支票鉴别中,可以大大降低利用假支票进行金融诈骗的金融犯罪行为;应用于个人移动通信中,大大增强了通信信息的保密性等等。
记者:请问什么是商用密码和商用密码技术?
市密码管理局:商用密码,是指对不涉及国家秘密内容的信息进行加密保护或者安全认证所使用的密码技术和密码产品。
商用密码技术,是指能够实现商用密码算法的加密、解密和认证等功能的技术(包括密码算法编程技术和密码算法芯片、加密卡等的实现技术)。商用密码技术是商用密码的核心,国家将商用密码技术列入国家秘密,任何单位和个人都有责任和义务保护商用密码技术的秘密。
记者:请问哪些产品属于商用密码产品?
市密码管理局:商用密码产品是指采用商用密码技术实现加密解密或安全认证操作等功能的专用硬件、软件。
从功能上,我们将商用密码产品划分为通信加密类和非通信加密类。通信加密类产品包括电话密码机、传真密码机、各种总线接口的密码卡、计算机应用层密码机、计算机网络层密码机、计算机链路层密码机等;非通信加密类产品主要包括认证和存储等密码产品,如智能IC卡、智能密码钥匙、各种防伪系统及数据库加密系统等。
记者:请问哪些组织和个人可使用商用密码产品,需遵守哪些规定?
市密码管理局:中国公民、法人和其他组织需要对不涉及国家私密内容的信息进行加密保护或安全认证的,均可以使用商用密码产品。使用商用密码产品,应当遵守国家法律,不得损害国家利益、社会公共利益和其他公民的合法权益,不得利用商用密码产品进行违法犯罪活动。中国公民、法人和其他组织都应当使用国家密码管理局准予销售的商用密码产品,不得使用自行研制的或境外生产的密码产品。需要使用商用密码产品的,应当到商用密码产品销售许可单位购买。购买商用密码产品应当向商用密码产品销售许可单位出示本人身份证,说明直接使用商用密码产品的用户名称(姓名)、地址(住址)以及产品用途,提供用户组织机构代码证(居民身份证)复印件。需要维修商用密码产品的,应当交该产品的生产单位或销售单位维修。用户不得转让其使用的密码产品。
记者:请问国家对商用密码如何管理?
市密码管理局:根据《商用密码管理条例》确立的管理内容和管理规则,结合商用密码管理实际,国家密码管理局制定颁布了《商用密码科研管理规定》《商用密码产品生产管理规定》《商用密码产品销售管理规定》《商用密码产品使用管理规定》《境外组织和个人在华使用密码产品管理办法》《电子认证服务密码管理办法》《信息安全等级保护商用密码管理办法》《含有密码技术的信息产品政府采购规定》等多部专项管理规定。这些专项管理规定的颁布施行,进一步细化了相关商用密码管理事项的程序、条件和期限要求,为商用密码管理人员、从业单位和广大用户依法从事商用密码活动提供了明确具体的行为依据。
随着国务院“放管服”改革的持续深入,一些商用密码行政审批事项取消,相关专项管理规定也将清理废止。2017年9月29日,国务院决定取消商用密码产品生产单位审批和销售单位许可等行政许可事项。取消行政许可后,国家密码管理局将进一步加强事中事后监管。一是从管企业改为重点管产品,加强密码产品的标准规范和检测认证体系建设,强化商用密码产品许可审批,未经许可不准进入市场销售,严把密码产品市场准入关口。二是强化市场监管措施,加大商用密码产品“双随机、一公开”抽查力度。三是建立信息体系,实行“黑名单”制度,加强社会监督,对违法违规行为加大处罚力度,充分发挥行业组织作用。
目前,我市负责商用密码管理工作的机构是蚌埠市密码管理局(联系电话:0552-3121911)。
记者:请问国家在分类施策推进商用密码应用中有哪些举措和要求?
市密码管理局:一是金融领域,密码产品、密码标准和行业应用标准已基本完善,大、中、小银行的密码应用模式已经初步形成,积累了丰富的升级改造成功案例。为此,要在原有基础上进一步扩大和拓展应用范围,实现银行业密码全面应用,并辐射带动其他领域的密码应用。
二是教育、交通、卫生、能源、公安等重要信息系统和电信网、广播电视网、互联网、物联网等基础通信网络,相关行业主管部门已经制定工作规划,明确了重点任务和进度安排。对于这些全国范围内部署规划建设的网络和信息系统,行业主管部门是密码应用实施的主体,地方各级部门要加强条块配合,做好督促检查和通报交流工作。
三是重要工业控制系统,目前基础比较薄弱,密码应用可以循序渐进,首先做好技术研究和产品准备,根据实际情况制订工作计划,先选择条件成熟的系统开展密码应用试点,逐步拓展到相关领域。
四是政务信息系统,各级行政部门是密码应用的实施主体。尤其是使用财政性资金建设的政务系统,要带头落实国家密码应用政策要求,带头提升系统安全防护水平,要从项目规划立项、资金支持、建设验收等环节,督促有关部门落实密码安全责任。
记者:请问国家在商用密码应用方面取得了哪些成效?
市密码管理局:商用密码产品应用领域不断扩大,应用程度不断加深,应用认可度不断提升,在维护国家网络与信息安全,保护公民权益等方面发挥了重要作用。一是以电子政务服务体系为基础的网络信任体系逐步建立健全。基于商用密码技术发放的数字证书超过20亿张,广泛应用于金融、税务、工商、质检、教育、电信以及电子政务等领域,产生巨大的经济效益和社会效益。二是在金融和重要领域密码应用逐渐铺开。我国金融信息系统、第二代居民身份证管理系统、国家电力信息系统、社会保障信息系统、全国中小学学籍管理系统中,都应用商用密码技术构建了密码保障体系。截至2017年8月,累计发放标准金融IC卡1.2亿张、二代身份证15亿张,部署智能电表4.47亿只,有效发挥了商用密码的安全保障作用。三是海关电子口岸公共数据安全保密子系统发挥重要作用。系统采用基于公钥基础设施的商用密码技术,实现了国家发展改革委、科技部、商务部、人民银行、海关总署、税务总局等11个部委和8家商业银行的联网运行和数据共享、身份认证和完整性保护。商用密码在海关电子口岸中的应用,为贸易顺差顺收趋于平衡、“三假”走私案件减少、促进海关税收显著增长等方面发挥了重要的基础保障作用。
记者:为什么说商用密码是互联网安全的核心支撑?
市密码管理局:习近平总书记指出:安全是发展的前提,发展是安全的保障,安全和发展要同步推进。当前,互联网的发展已经进入移动互联、万物互联、人工智能的新时代。我们所处的每一个行业、每一个国家,都因此发生了重大改变。不管你是什么人,不管你身处哪里,不管你在干什么,我们每个人都是这场大变革的一部分。人类社会在享受这场伟大变革的同时,也面临日益猖獗的网络攻击、网络犯罪、网络恐怖主义的现实威胁。传统信息安全中用密码实现的真实性、机密性、完整性、可用性、抗抵赖等需求,仍然是互联网应用的安全需求。现在和未来相当长的时间内,密码因其解决网络安全问题的经济性、便捷性、有效性,以及在处理海量数据机密性保护、复杂网络实体认证等方面具有的独特优势,将成为网络空间的“内在”基因。而且,密码技术将不断与互联网安全深度融合,随着互联网安全发展的新趋势,不断创新、不断变革。
记者:商用密码发展面临哪些机遇和挑战?
市密码管理局:一方面,商用密码发展迎来新的发展机遇。1999年10月,国务院颁布《商用密码管理条例》。在《商用密码管理条例》以及一系列配套管理办法的指导下,商用密码从无到有,从艰难起步到迅速发展,如今已经形成了相当的科研、产业规模。2014年,习近平总书记在中央网络安全和信息化领导小组第一次会议上指出:没有网络安全就没有国家安全;建设网络强国,要有自己的技术,有过硬的技术。目前,我国网络安全投入还很不够,仅占整个IT产业比重的1%至2%,低于世界5%至10%的平均水平,更低于欧美国家8%至12%的水平,相比于西方发达国家,我国尚有8倍的增长空间,这既是短板也是市场。可以预见,在国家大力提倡信息技术自主可控的形势下,在《密码法》即将出台的背景下,我国国民经济各领域对商用密码技术和产品的需求将急剧增加,应用需求将持续推动技术进步,商用密码产业将迎来大发展。并且,这种机遇是长期的、持续的,是一个全新的蓝海空间。
另一方面,商用密码的规模急剧增加,应用领域将极大扩展,这是摆在商用密码技术研究和产业发展界面前的一次全方位考验。当前,网络威胁形式复杂多样,未知威胁渐成主流,网络安全威胁被许多国家列为第一层级的安全威胁,上升为国家战略并付诸行动。谷歌公司使用高性能计算机找到SHA-1算法的碰撞,揭示了高性能计算对密码和网络安全的新挑战,OpenSSL“心脏出血”漏洞证明了密码安全对网络空间的致命威胁,勒索软件攻击事件体现了密码攻防角色互换的新趋势,密码安全已成为网络安全的焦点。如何在非对称技术、前沿技术、颠覆性技术方面超前部署、集中攻关,在后量子时代实现商用密码从跟跑并跑到并跑领跑的转变,是对我国商用密码技术研究界自主创新能力的重大挑战。同时,不同领域和行业应用特点各异,不存在放之四海而皆准的密码解决方案,特别是云计算、大数据、人工智能等新兴领域,对密码功能和性能提出更为苛刻的要求,极度考验商用密码从业者的智慧。如何科学、合理、顺利地将商用密码技术应用到各个不同领域中,是对商用密码应用推进的挑战。
