快速洞察:商用密码

发布时间:2024-12-04 11:17 来源:市政府办公厅
嘉宾
李娜 西安市国家密码管理局综合处副处长
贠行 西安市国家密码管理局通信处干部
简介
本期访谈邀请了西安市国家密码管理局综合处副处长李娜;通信处干部贠行,结合我市情况共同探讨商用密码的现状与未来和广大网友进行交流。
文字实录

尊敬的各位网友,大家早上好,您正在收看的是由西安市人民政府网主办的在线访谈栏目。在数字化时代,信息安全已成为国家、企业和个人最为关注的问题之一。商用密码作为保护网络与信息安全的核心技术和基础支撑,随着不断应用和加速推广,它已经与国计民生安全密不可分。那么今天我们有幸邀请到二位商用密码领域的工作者,结合我市情况共同探讨商用密码的现状与未来。首先,请每位嘉宾简单介绍一下自己。

嘉宾:大家好!我是市国家密码管理局综合处副处长李娜;

嘉宾:大家好!我是市国家密码管理局通信处干部贠行;

主持人:《中华人民共和国密码法》经十三届全国人大常委会第十四次会议表决通过,自2020年1月1日起正式施行。新修订的《商用密码管理条例》(以下简称《条例》),自2023年7月1日起施行。请嘉宾们给我们介绍一下吧。

嘉宾:好的主持人,密码法是总体国家安全观框架下,国家安全法律体系的重要组成部分,也是一部技术性、专业性较强的专门法律。密码法共五章四十四条,重点规范了以下内容:第一章总则部分,规定了本法的立法目的、密码工作的基本原则、领导和管理体制,以及密码发展促进和保障措施。第二章核心密码、普通密码部分,规定了核心密码、普通密码使用要求、安全管理制度以及国家加强核心密码、普通密码工作的一系列特殊保障制度和措施。第三章商用密码部分,规定了商用密码标准化制度、检测认证制度、市场准入管理制度、使用要求、进出口管理制度、电子政务电子认证服务管理制度以及商用密码事中事后监管制度。第四章法律责任部分,规定了违反本法相关规定应当承担的相应的法律后果。第五章附则部分,规定了国家密码管理部门的规章制定权,解放军和武警部队密码立法事宜以及本法的施行日期。

而《商用密码管理条例》是为了加强商用密码管理,保护信息安全,保护公民和组织的合法权益,维护国家的安全和利益而制定的法规。该条例最初于1999年10月7日由国务院发布,并在2023年进行了修订,修订后的条例自2023年7月1日起施行 。条例的主要内容包括:立法目的、科技创新与标准化、检测认证体系、电子认证服务、进出口管理、商用密码应用促进、监督管理和法律责任等。

伴随着商用密码的不断发展,法制问题也日益显现,重投诉举报渠道已在市政府网站正式公布,如有相关领域违法线索,可联系举报。

主持人:两部法律的出台,体现着国家对商用密码的重视,大家都知道商用密码在保护数据安全方面扮演着越来越重要的角色,那到底哪些是商用密码呢?

嘉宾:商用密码,是指对不涉及国家秘密内容的信息进行加密保护或者安全认证所使用的密码技术和密码产品。《密码法》中明确提出我们国家密码实行分类管理,分为核心密码、普通密码、商用密码,前两者用于保护国家秘密,而商用密码面向公众,公民、法人、其他组织均可使用商用密码保护网络安全和信息。

密码除了用于保护国家秘密,也与我们老百姓的生活息息相关。举个简单的例子,网上办事、转账支付、交税纳税,后面都有商用密码在默默贡献。商用密码就像数据的守护神,保障着我们工作生活中的网络和信息安全,但是我们基本感觉不到它的存在。

主持人:那么,商用密码它具体应用在哪些方面呢?

嘉宾:首先,大家要区分一个概念,密码不等于口令,我们的手机解锁密码、银行密码、账号密码均为口令,不是密码法中所定义的密码。密码,是指采用特定变换的方法对信息等进行加密保护、安全认证的技术、产品和服务。他的作用可以简单理解为:我向你传递信息只有你能解密收到,我进行电子签名,你能认定我一定是我本人。商用密码应用的领域非常广泛,在这里我讲几个例子:

一是保障在线支付安全。网上支付、手机支付等在线支付方式已成为老百姓日常消费支付的主要方式。各大支付平台都使用密码技术实现用户身份认证、交易数据验签等功能,确保支付数据的机密性和完整性,保护用户资金等敏感信息不被盗用、输入的交易资料不被篡改,防止业务损失或服务中断,为保护消费者资金安全,防止欺诈、套现、洗钱等违法犯罪行为发挥了重要作用。

二是助力“互联网+政务服务”。例如公积金管理部门利用密码技术,为个人办理公积金业务提供在线身份核实认证、各类申请表电子签名,实现公积金网办大厅全程电子化,查询、提取、贷款等业务全部线上办理,为存缴单位和职工提供优质、便捷、高效的服务。电子营业执照和电子印章利用密码技术,支持市场主体身份全国范围内的在线验证和识别,降低市场主体办事成本。

三是服务居民医疗健康数据管理。卫生信息系统利用密码技术,实现各级卫生行政部门和各级各类医疗卫生机构及其工作人员的统一身份认证,有效满足了居民医疗健康数据的完整性保护、可信时间及责任认定等安全需求,在防止假冒身份、篡改信息、越权操作、否认责任等方面发挥了重要作用。特别是在抗疫斗争中,通过采用密码技术,国家疾控数据直报、“防疫健康码”等实现了传输不中断、信息不泄露、数据无篡改,可靠电子签名及安全电子病历在医疗系统大量应用,为政府、社区、单位联防联控、复工复产提供了有力支撑。

四是支撑智能电表安全快捷。智能电表采用商用密码对电力用户进行身份鉴别,对用电关键数据进行签名、加密,保障用电信息采集、用电控制、用户电力缴费等业务的顺利开展和安全可靠运行。目前,智能电表已经遍及千家万户,老百姓使用手机就可以查询电量、缴纳电费。方便快捷的背后,离不开密码技术的保护和支持。智能电表的广泛应用,在便利了群众日常生活的同时,对支持阶梯电价政策、推动节能减排也发挥了重要作用。

嘉宾:目前密码应用保障领域也在全面拓宽。比如高校毕业生就业升学也能利用商用密码技术,将成绩单等传统纸质证明材料电子化,加盖基于密码技术的可靠电子签名及可信时间戳实现信息防伪,达成电子成绩单等证明材料互信互认,验证时间从之前的三周缩短至“秒级”,极大便利了广大毕业生办理就业、升学等业务。在公安、社保、交通、能源、水利、教育、广电、税务等领域,密码应用不断向纵深拓展。银行卡、网上银行、移动支付、条码支付等各类电子支付中的密码应用不断深化。采用商用密码的身份证件、社会保障卡、应急广播、数字电视、不停车收费(ETC)系统、交通一卡通、增值税发票系统等实现规模化部署,密码在一大批国家和地方政务网络系统中得到广泛应用。

嘉宾:大家如果关注产业发展可能知道,目前密码产业、从业单位和从业人员正在不断扩大,密码检测认证体系不断健全。为推动密码科学化规范化管理,促进密码产业健康有序发展提供了坚实保证。国家市场监管总局与国家密码管理局联合发布一系列规范性文件,进一步明确商用密码检测认证工作原则、工作机制和实施要求。组织开展商用密码应用安全性评估试点,推进评估标准、技术、机构、人才支撑体系建设。全国电子认证服务机构签发的数字证书,广泛应用于各领域(金融、税务、教育、电信、电子商务以及电子政务等领域),产生了重大的社会效益和经济效益。

主持人:那商用密码这个产业前景应该很不错吧。

嘉宾:说到产业,目前商用密码产品按功能可以划分为七类:密码算法类、数据加解密类、认证鉴别类、证书管理类、密钥管理类、密码防伪类和综合类。十四五”以来,数字经济成为我国经济实现高质量发展的重要方向,密码作为数据安全的重要基石,对推动数字经济健康安全发展发挥着重要作用。2017年至2022年,我国商用密码行业市场规模从206.55亿元增长至691.9亿元。至2027年,我国商用密码行业的市场规模有望超过2000亿元,年复合增长率达27.35%。在人才培养方面,我国密码人才的现状还远远不能满足信息化和数字经济安全的迫切需要。据不完全统计,我国只有少数军队高等院校和极少数地方院校培养密码专业人才,而密码产业相关工作岗位需求缺口在20万人左右,密码专业基础人才缺口巨大。

嘉宾:是的,也是基于这个原因,2022年《中华人民共和国职业分类大典》新增密码技术应用员和密码工程技术人员两个职业,将对解决人才缺口、密码职业人才培养评价具有重要意义。

嘉宾:在这个方面,咱们市为积极促进产业发展,加强人才培养,陕西商用密码应用与创新示范产业园(西安密码产业园)已于5月19日完成揭牌,产业园内包含了培训中心、科普教育示范中心,预计明年正式亮相,欢迎大家关注参与后续活动。

主持人:提到了密码产业园,我想大家都很感兴趣,您能不能给我们详细介绍一下。

嘉宾:今年省、市密码管理局获得国家密码管理局“陕西商用密码应用与创新示范产业园(西安密码产业园)”授牌,筹建完成陕西商用密码服务中心(西安密码服务中心),提供园区日常运营、人才培养、服务保障职能。

嘉宾:根据《密码法》《商用密码管理条例》等法规文件要求及长远发展战略考虑,建设“陕西商用密码服务中心(西安密码服务中心)”,为密码、保密、信创产业提供政策咨询,方案设计和评审,系统建设,密码验收、创新孵化、教育培训和宣传展示等全方位的支撑和保障服务,推动网络安全核心产品突破、网络安全服务应用创新,打造国家级网络安全高端研发和运营服务基地。

同时,陕西商用密码应用与创新示范产业园(西安密码产业园)由省市共建,着力打造十大核心功能平台:密码应用与创新中心、算力中心、产品适配中心、科普教育示范中心、商用密码检测中心、培训中心、科技金融中心、重点实验室、院士工作站、法治协同创新中心,旨在提供全方位的专业服务,同时显著提升园区的吸引力和核心竞争力,其中:

1.密码应用与创新中心:将以打造“省内领先,国内先进”的密码技术创新研究与成果转化中心为目标,针对密码技术创新领域的“卡脖子”技术,开展自主技术攻关,成为密码应用技术方面的自主技术创新高地。通过技术引领,带动行业技术发展。并以健全的成果转化和利益分配方法,实现成果高质量转化。

2.算力中心:主要包括三个方面:一是建设算力资源平台,主要包括通用算力、通用存储、高性能存储、通用渲染算力等硬件资源,实现多方算力资源的接入和调度。二是建设行业应用平台,主要包含个人数据中心、人工智能算法模型、产业互联网应用平台等,为个人和企业提供优质的算力网络应用服务。三是打造算力科创平台,为算力产业提供全方位的服务和支持,推动科技创新和产业升级。

3.科普教育示范中心:会同有关部门和商用密码产学研各界,集聚优势资源,紧盯技术前沿,建设全省首家省级商用密码创新科普教育示范中心,叫响“西安是中国现代密码的摇篮”名片。中心包含两大模块:一是产品展示区,以相关产品呈现陕西商用密码行业发展;二是专业主题区,以“密码安全与检测”“密码互动”等为主题,复原多个商用密码应用场景,是面向全社会宣传普及密码政策法规阵地、密码技术创新示范基地、密码产品应用体验展示平台和密码工作对外交流窗口。

4.产品适配中心:发挥陕西省在国家关键信息基础设施建设中的主力军作用,申请成立产品适配中心,通过产品适配打通商用密码产业各个环节的国产替代,满足各层次的应用需求,借助适配推广带来的经济效力大力创新发展自主可控产品,丰富产品类型,推动互联网、大数据、人工智能等与商用密码产品的融合,加速形成商用密码新技术、新产品、新业态。

5.培训中心:包括密码技术应用员(职业编码4-07-05-06)和密码工程技术人员(职业编码2-02-38-13)。商用密码人才实训基地将通过成熟的线上线下相结合的培训体系,为各级政府和企事业单位提供专业的商用密码培训。在打造商用密码人才培训基地的同时,联合高校与密码相关企业定时开展商用密码公开课;创办行业交流/专家交流论坛;举办商用密码应用创新大赛、网络安全攻防对抗大赛、算法分析创新大赛等安全相关比赛;承办相关密码峰会。

6.科技金融中心:建立科技金融服务机构体系,以科技金融服务中心为核心,广泛吸引各类资本广泛参与科技创新的融资体系。依托长安先导产业创新中心等现有创新平台,引进科技咨询中介服务机构,提供项目中介和投融资等综合配套服务。加大与人才培训机构合作,组建一批科技金融服务人才和金融专家顾问。

7.商用密码检测中心:由省、市国家密码管理局牵头监督,联合高校,设立并建设西北地区第一家商用密码产品检测中心,待建成后申报国家局批准,下辖多个类别的商用密码产品检测实验室,与金融、电力、通信、社保、交通、物联网等重点领域、行业的检测与认证技术交流,联合各个领域检测认证机构开展具有针对性的密码测评和认证,助力陕西打造国内具有重要影响力的商用密码和网络安全产业高地。

8.重点实验室:依托陕西教育资源,联合企业共同打造重点实验室。重点实验室围绕网络、密码、安全等领域,研究方向为密码学基础理论、密码算法设计与分析、密码协议设计及应用、密码工程与测评,涵盖密码学研究的“产+学+研”各个环节。

9.院士工作站:引进密码领域知名院士及其团队,设立院士工作站,凝聚高层次科技创新人才和团队,共建技术创新与人才培养平台,致力于原创性、颠覆性科技创新,加速科技成果转化,促进技术与市场的深度融合,将其打造为陕西商用密码的名片,引领商用密码行业的发展,带动陕西商密产业发展,拓展其产业发展链条。

10.法治协同创新中心:整合运用“密码法治实践创新基地”现有学术资源和影响力,立足陕西、引领西北、辐射全国,以组建商用密码法治工作组、创新联合体等多种方式开展好法治协同创新工作,不断推动新时代商密法治建设壮大发展。

嘉宾:可能很多人都不知道,西安是现代密码的摇篮,翻开中国密码学发展史和密码人才培养史,西电的“一肖二王”(肖国镇、王新梅、王育民)更是我国密码学领域的泰山北斗,为教育和国防事业作出了重要贡献。但现今在密码产业发展上,西安还存在产业不集中,规模效应不显著的,占全国总规模的比重不高的问题,密码产业园就是要为企业提供一个更良好的发展环境,推动商用密码技术的创新和应用,擦亮西安密码名片。

主持人:好的,非常感谢两位嘉宾的介绍,相信大家都对商用密码是什么和我市的商用密码发展情况有一些了解,那么有没有一些案例,可以让大家直观感受到没有密码保护的危害,从而让大家引起重视?

嘉宾:正如主持人所说,由于密码技术应用不到位,近几年发生了很多网络安全和数据泄露事件。我简单讲几个案例,2021年,西安市发生首例破坏医院计算机信息系统案、还有中信银行因泄露客户信息案被罚450万元;2022年,北京健康宝在使用高峰期间,遭受到境外网络攻击、西北工业大学被美国NSA间谍软件攻击;2023年,45亿国内快递信息遭泄露、工商银行美国子公司被LockBit勒索软件攻击;从这些代表性案例,可以看到每年我国境内均有大型网络安全事件,网络安全形势严峻。

嘉宾:我觉得,我们在看这些事件的同时也要进行思考,当今世界局部的网络攻防对抗,已不再是科幻小说才有的场景,在网络战争中,密码技术和密码产业落后的一方往往成为被动挨打的对象。网络安全已成为国家安全的重要组成部分,网络空间已成为继海、陆、空、天之后的“第五空间”,世界各国纷纷将网络安全纳入国家战略。密码技术也随之上升到国家战略层面。我们只有高度重视在商用密码技术算法、产品研发、设备制造、系统建设以及技术服务等方面,做到全产业链自主可控,确保所有网络信息系统稳妥运行,才能牢牢掌握我国网络安全主动权。

主持人:感谢两位嘉宾的精彩解读。商用密码不仅是技术问题,更是关乎我们每个人的数据隐私安全,关系到社会经济的稳定,希望今天的讨论能让大家了解商用密码、认识密码产业、重视密码评估,那么,感谢您的收看,今天的访谈就到这里,我们下期再见。