国家密码管理局专家：坚定不移推进密码应用

为适应我国安全和发展的新形势新要求，发挥密码在维护安全与促进发展综合平衡中的重要支撑作用，我国法律法规和政策性文件都对密码应用提出了明确要求。

（1）法律法规规定。《网络安全法》对密码应用作出明确规定。一是建设、运营网络或者通过网络提供服务，应当“采用技术措施和其他必要措施，保障网络安全、稳定运行，有效应对网络安全事件，防范网络违法犯罪活动，维护网络数据的完整性、保密性和可用性”。二是网络运营者应当“采取数据分类、重要数据备份和加密等措施”以“保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改”。这些法定要求都需要应用密码技术提供支撑。

《密码法（草案征求意见稿）》对密码应用的主要制度和要求也作了明确规定。为落实《密码法》精神，国家密码管理局正在组织修订《商用密码管理条例》，同时配合有关部门起草《网络安全等级保护条例》和《关键信息基础设施安全保护条例》，强化密码应用要求，突出密码应用监管，重点面向关键信息基础设施和网络安全等级保护第三级以上系统，落实密码应用安全性评估和国家安全审查制度。

（2）有关政策文件要求。2014 年，国务院办公厅印发金融领域密码应用指导意见，要求充分认识金融领域密码应用面临的安全风险，切实增强金融信息系统安全保障能力，推广应用符合国家密码管理政策和标准规范的密码算法、技术和产品，率先在金融 IC 卡、网上银行、移动支付、网上证券、电子保单等重点业务实现突破，力争到 2020 年实现密码全面应用，并提出加快产业升级改造、强化基础设施支撑、稳步推进密码应用、加大宣传培训力度和积极开展标准国际化工作等五项重要任务。

2015 年，密码应用从金融领域拓展到其他重要领域，核心目标是提升基础信息网络、重要信息系统、重要工业控制系统和面向社会服务的政务信息系统这四类重要网络和信息系统的网络空间安全密码保障能力。新建网络和信息系统应当采用密码进行保护，做到同步规划、同步建设、同步运行、定期评估，已建网络和信息系统密码应用不安全的应当进行升级改造。具体来说，一是推进电信网、广播电视网、互联网等基础信息网络密码应用；二是规范金融、能源、教育、公安、社保、金融等涉及国计民生和基础信息资源的重要信息系统密码应用；三是促进先进制造、石油石化、电力系统、交通运输等重要工业控制系统密码应用；四是加强党政机关和使用财政性资金的事业单位、团体组织使用的面向社会服务的政务信息系统密码应用；五是着力提升密码基础支撑能力；六是建立健全密码应用安全性评估审查制度，重点是提升密码产品检测和系统密码应用安全性评估能力。 

近年来，我国商用密码技术发展迅速，产业队伍不断壮大，标准和产品已成体系，检测能力快速提升，密码在金融、税务、海关、电力、公安等重要领域的网络和信息系统中得到广泛应用，取得了良好的社会效益和经济效益。

一是密码应用领域和范围快速拓展。在金融领域，商用密码已大规模应用于金融 IC 卡、网上银行、跨行交易等主流银行业务。93 家银行参与的密码应用示范工程，累计发行标准金融 IC 卡 2.34 亿张，完成 POS 终端升级 353 万台，ATM 机升级 58 万台，新发行网银设备 7977 万个。在重要领域，社保、能源、交通、广电、税务、公共安全等行业密码应用试点全面实施。应用商用密码的第二代居民身份证发放 15 亿张，杜绝了伪造、变造身份证违法行为；应用商用密码的智能电表超 4 亿只，输配电和调度系统全部应用商用密码，确保电网持续安全稳定运行；数字证书发放超 20 亿张，以电子认证服务体系为基础的网络信任体系逐步建立健全。中国密码“走出去”态势逐渐显现，在“一带一路”沿线国家的市场影响力和竞争力不断增强。

二是密码应用推进工作机制逐步完善。各地各部门加强对密码应用推进的组织领导，统筹政策规划和顶层设计，强化督促检查和任务落实，完善各项工作机制。在出台金融、网信、公安、政务等领域有关配套政策中，明确以密码技术作为基础支撑的要求，如财政部出台的《政务信息系统政府采购管理暂行办法》、发展改革委制定的智慧城市评价指标，切实写入了密码应用要求；通过信息系统立项审核、采购管理等强有力手段，从源头上加强管理；通过组织召开政策宣贯专题会议或举办培训班，编写出版《商用密码知识与政策干部读本》，加强密码应用政策在重要领域、重点人群的宣贯。

三是密码产业支撑能力显著增强。密码供给能力进一步提升，在国家专项支持和应用需求的有力牵引下，支持 SM 系列算法的密码产品已达 1000 多款，其中密码芯片 123 款，有的填补了国内空白，有的性能指标优于国外产品，总体由可用向好用转变。密码产品检测能力显著提升；信息系统的密码应用安全性评估试点逐步展开，首批 10 家密评机构已经国家密码管理局认定，稳步开展密码应用安全性评估试点工作。密码标准体系建设逐步健全，已发布68 项商用密码行业标准；密码标准国际化实现重要突破，祖冲之算法成为 3GPP 标准、SM2 和SM9 算法成为 ISO 国际标准。

四是密码应用社会认可度大幅提升。从银行、证券、保险，到通信、广电、能源、教育、公安、社保、测绘地理信息、环保、交通、卫生计生等领域，从面向社会服务的政务信息系统，到基础信息网络、重要信息系统、重要工业控制系统，产、学、研、测、用、管方方面面，密码应用政策宣传和普及得到加强，以国家安全观为统领、以密码为基础支撑的网络安全观得到各界普遍认同，应用密码维护网络和信息安全的意识逐渐深入人心。

在肯定成绩的同时，我们也要清醒地认识到，与新时代党中央的更高要求和网络空间密码应用的迫切需求相比，在一些关系国家安全的重要领域，仍然还存在使用密码保护网络与信息安全的自觉性不够，密码意识淡薄，密码应用缺乏体系规划，密码人才缺乏，密码使用不规范，服务保障、风险控制和应急处置能力不强等突出问题，难以抵御有组织、大规模的网络和密码攻击。 

砥砺奋进，开创密码应用新局面

党的十九大开启了全面建设社会主义现代化国家新征程，我们要以学习贯彻习近平新时代中国特色社会主义思想和党的十九大精神为主线，以总体国家安全观为统领，以国家重大战略需求为导向，以创新发展为动力，以关键信息基础设施保护为重点，在新的历史起点上促进密码合规、正确、有效应用。

（1）科学规划部署。坚持目标引领、问题导向，以总体国家安全观和网络强国战略为统领，结合党的十九大各项重大部署，科学规划商用密码应用与创新发展，特别是在服务与改善民生、金融和现代服务业、基础信息网络和新兴产业、社会治理智能化等方面继续安排一批密码应用示范工程，进一步推动密码全面应用。

（2）坚守工作底线。新建重要网络和信息系统要制定密码应用方案，同步规划、同步建设、同步运行密码保障系统，按照要求开展密码应用安全性评估。加强立项把关、方案审查、采购管理等手段，确保新建系统“三同步一评估”，避免走建成后再改造的老路，这是重要领域密码应用的工作底线。已建重要网络和信息系统，要结合实际、积极稳妥地实施密码升级改造。

（3）稳步开展密评。依法培育测评机构，开展商用密码应用安全性评估，与网络安全等级保护等制度做好衔接，促进重要网络和信息系统建设、使用、管理单位履行密码应用责任，提升密码安全防护能力。新建系统，应当在规划、建设、运行三个阶段开展评估；已建系统，应当定期开展评估；发生密码相关重大安全事件或特殊紧急情况时，应当开展应急评估。

（4）促进战略融合。实现密码应用与国家战略的融合发展，确保国家战略推进到哪里，密码就保障服务到哪里。加强密码应用与国家安全战略的统筹实施，在党政机关电子公文系统安全可靠应用、电子文件管理，以及政务信息资源共享等项目中落实密码应用要求。加强密码应用与网络强国、创新驱动发展、国家大数据等战略的统筹实施，实现系统互信互联，保障数据安全。加强密码应用与军民融合发展战略的统筹实施，建立商用密码产用、军民融合协同创新机制。加强密码应用与“一带一路”建设的统筹实施，鼓励更多优秀的中国密码企业、科研院校“走出去”。

（5）加强源头管理。各行业主管部门，从政策规划制定的源头落实密码应用要求；各产品和服务提供商，在信息产品研发生产、网络信息服务提供的源头应用好密码；各网络和信息系统建设、使用、管理单位，从网络信息系统规划建设和系统集成的源头明确密码应用主体责任，合规、正确、有效使用密码，保护网络系统安全。

（6）分类精准施策。金融领域加快实施密码升级工程，深入推进密码应用，形成对其他重要领域的辐射带动效应；政务信息系统使用财政性资金建设，带头落实好密码应用要求；重要信息系统和基础信息网络按领域按类型精准施策；重要工业控制系统加强研究、稳妥推进、逐步拓展。

总之，密码应用涉及网络安全和信息化建设的各个环节，涉及法律、管理、技术、人才、意识各个方面，是一个复杂的系统工程，要求我们科学制定重要领域密码应用总体规划，加强资源统筹和协调配合；以密码应用需求为牵引，加强供给与应用的对接，促进供给侧结构性改革；全面提升密码检测和评估能力，结合“放管服”改革，加强事中事后监管；通过学历教育和职业培训，加快人才培养、提升社会密码意识等等。只有明确国家、企事业单位、社会组织和个人的责任和义务，调动并发挥产、学、研、测、用、管各方面积极性，从应用侧、供给侧、支撑侧同时发力，从各个层面、各个环节加强协同，才能有效推进密码应用，切实维护国家安全、促进经济发展、保护人民群众利益。

作者：马奇学，国家密码管理局商用密码管理办公室应用推进处副处长，密码行业标准化技术委员会应用组副组长，密码学硕士，主要研究方向为密码应用、密码应用安全性评估。