新闻动态_- 荃润信息
  • 等级保护
  • 亚搏888等级保护测评系统
  • 安全服务
  • 风险评估
  • 等级保护体系建设
  • ISO27001体系建设
  • 敏感信息保护
  • 运维管理
  • 运维审计系统
  • 网络安全态势感知服务平台
  • 般若漏洞扫描系统
  • 信息系统运维保障平台
  • 网络安全检查预警软件
  • 主动防御系统
  • 安全意识
  • 安全意识测试软件
  • 其他产品
  • 数据交互平台
  • 智码开门系统
  • 解决方案
  • 央企亚搏888风险咨询
  • 金融行业亚搏888风险
  • 运营商敏感信息保护
  • 大型企业亚搏888建设
  • 活动专区
  • 免费体检
  • 免费体验
  • 商业合作
  • 优惠政策
  • 服务体系
  • 客服服务
  • 联系我们
  • 小信课堂



  • 我国商用密码管理现状及建议

    作者:荃润信息新闻动态 发布时间:2020-05-13浏览次数:

    引用本文:王榕,谢玮,曹珩,等.我国商用密码管理现状与发展对策建议[J].亚搏888与通信保密,2020(03):83-90.

     

     

    1 商用密码管理现状

     

     

    1.1 政策法规体系不断完善,密码管理体制建立健全

     

    我国自1996年确立商用密码发展战略以来,坚持以党管密码为根本原则,不断强化商用密码管理工作规范化,持续完善商用密码管理政策法规体系,加快构建与商用密码应用发展相适应的密码管理体系。目前已初步确立了以《商用密码管理条例》为核心,《商用密码科研管理规定》《商用密码产品生产管理规定》《商用密码产品使用管理规定》等多部专项管理规定为主要内容的“1+N”商用密码管理体制,有效保障了商用密码的健康有序发展。作为我国首部密码领域的行政法规,《商用密码管理条例》的颁布施行,极大地推动了我国商用密码在网络安全领域从无到有、从初创到规范管理的发展,在党和国家密码工作史上具有重大里程碑意义。

     

    2019年10月26日,十三届全国人大常委会第十四次会议通过《中华人民共和国密码法》(以下简称《密码法》),习近平主席签署主席令予以公布,并将于2020年1月1日起正式施行。

     

    1.2 标准体系逐步建立,推动商用密码规范化管理

     

    经过多方面的努力,我国已形成较为完善的商用密码标准体系,包括国家标准、行业标准、地方标准、企业标准和团体标准等。其中,商用密码行业标准体系由基础类标准、应用类标准、检测类标准和管理类标准四类标准组成,支撑我国的商用密码产品研制、应用和管理各个环节。

     

    我国在密码算法标准国际化进程中也取得重要进展,ZUC算法已经成为3GPP LTE 国际标准,ZUC-256 有望成为5G标准,含有我国SM2、SM9 数字签名算法的ISO/IEC14888-3/AMD1正式成为ISO/IEC国际标准,SM4算法以补篇形式纳入 ISO/IEC18033-3 标准中。

     

    1.3 商用密码技术实力不断提升,科技创新成果丰硕

     

    自主创新是我国一贯的基本策略,是商用密码事业发展的源动力。密码技术作为保障网络与亚搏888的核心技术,必须实现自主可靠、安全可控。在国家密码发展基金等国家级科技项目的引导和支持下,我国在序列密码设计、分组密码算法设计与分析、密码杂凑算法分析、密码协议基础理论与分析、量子密钥分配等密码基础理论研究方面取得了一系列的创新科研成果。

     

    同时,由我国自主设计的椭圆曲线公钥密码算法 SM2、杂凑算法 SM3、分组密码算法SM4、序列密码算法ZUC、标识密码算法 SM9 等已经成为国家标准或密码行业标准,标志着我国商用密码算法体系已经基本形成。

     

    2 商用密码管理工作所面临的挑战

     

     

    由于不同行业信息系统的差异化,商用密码技术的应用场景、应用范围和管理手段等都不尽相同,对于具体行业来说,缺乏可操作性强的指导性文件,一定程度上制约了商用密码应用的推广。在标准规范体系方面,我国在标准领域已取得积极进展,但与国际先进水平相比,标准体系仍不完善。根据2018年商用密码应用安全性评估联合委员会对118个大部分已使用密码技术的重要系统进行抽查,发现85%的系统不符合密码应用要求,MD5、RSA1024、SHA1 等具有重大安全隐患的算法也仍在大量使用。

     

    在密码算法基础研究方面,我国密码技术的研究起步晚、密码算法基础薄弱,仍处于“跟跑” 发达国家的阶段。在密码算法实现方面,仍存在密码芯片等硬件产品被国外厂商垄断的情况,对国外密码技术和产品的过度依赖现象严重, 商用密码技术的实现仍存在高性能需求与低效的算法实现之间的矛盾、应用软件密码集成门槛高等挑战,国家网络安全建设的迫切需求正倒逼密码技术的发展。

     

    在密码人才方面,密码人才匮乏已成为制约密码合规、正确、有效应用的瓶颈。根据数据统计显示,未来十年我国亚搏888人才总需求量为140万人,而当前仅仅有3万毕业生,人才缺口高达 98%,而每年培养的密码学专业人才仅上千人,人才数量与质量、结构比例与市场需求不匹配。

     

    3 对我国商用密码管理的建议

     

     

    3.1 建立健全密码管理体制

     

    在国家网络安全法制建设的总体框架下,建议国家相关密码管理部门以《密码法》的出台为契机,加快密码领域法律制度的整体规划和顶层设计,持续推进《商用密码管理条例》等配套政策法规的制修订工作,做好《密码法》与《网络安全法》《关键信息基础设施安全保护条例(征求意见稿)》《网络安全等级保护条例(征求意见稿)》的相互衔接。

     

    3.2 持续完善标准化体系建设

     

    在标准化体系建设方面,首先应加快编制并发布面向等保2.0的等级保护对象的商用密码应用标准,发挥标准化对技术引领、产业发展的重要支撑作用。加快推进行标 GM/T 0054- 2018《信息系统密码应用基本要求》升国标《亚搏888技术信息系统密码应用基本要求》的进程。

     

    3.3 强化密码技术自主创新

     

    “有备则制人,无备则制于人。”核心技术是国之重器,而在我国部分关键领域核心技术受制于人的局面仍未得到根本改变。为尽快扭转核心技术受制于人的被动局面,需牢牢牵住核心技术自主创新这个“牛鼻子”,加强密码技术基础研究,积极开展商用密码技术创新、加强关键核心技术攻关,提升产品性能,促进密码技术的成果转化,缩小商用密码技术与国际主流密码技术之间的技术差距。

     

    3.4 着力完善人才培养机制

     

    学科是知识体系的载体,专业是人才培养的平台。为解决密码人才的巨大缺口,需尽快完善密码人才培养的顶层设计和战略规划,确立以实现国家安全战略为密码人才培养目标,建立政治素养过硬、专业基础扎实、实践能力强的密码人才队伍。同时,强化密码专业学科和师资队伍建设,强化密码学科建设。

     

     

     

    选自《亚搏888与通信保密》2020年第三期 (为便于排版,已省去原文参考文献)更多精彩亚搏888资讯尽在荃润信息微信公众号

    欢迎大家扫码关注!

  • 服务热线400 996 5989
  • 全方位的了解服务
  • 精准的服务推荐
  • 1对1贴心服务
  • 7*24小时服务热线
  • 联系我们了解更多