在2017年互聯(lián)網(wǎng)安全大會密碼應用技術(shù)論壇上的發(fā)言

 

商用密碼應用政策、現(xiàn)狀與展望
（國家密碼管理局商用密碼管理辦公室副主任霍煒）

 

各位嘉賓，女士們、先生們：

非常榮幸參加第五屆互聯(lián)網(wǎng)安全大會，與來自海內(nèi)外的朋友們相聚在北京金秋，圍繞互聯(lián)網(wǎng)安全這一時代命題，交流成果，分享思想，共謀未來。在此，我代表國家密碼管理局商用密碼管理辦公室，對大會和論壇的舉辦表示熱烈的祝賀！對各位嘉賓的到來表示熱烈的歡迎！

互聯(lián)網(wǎng)是把雙刃劍，用得好，它是阿里巴巴的寶庫；用不好，它就是潘多拉的魔盒，小可殺人于無形，大可顛覆國家政權(quán)。網(wǎng)絡空間是全世界人民的公共空間，網(wǎng)絡安全是人類社會面臨的共同挑戰(zhàn)，有效應對網(wǎng)絡安全是世界各國的共同責任。2015年12月16日，習近平主席在第二屆世界互聯(lián)網(wǎng)大會上，提出互聯(lián)網(wǎng)發(fā)展治理的“四項原則”、“五點主張”，并特別指出：“要維護網(wǎng)絡安全，共同構(gòu)建和平、安全、開放、合作的網(wǎng)絡空間”。2016年11月16日，習近平主席在第三屆世界互聯(lián)網(wǎng)大會上發(fā)表講話指出：“要攜手構(gòu)建網(wǎng)絡空間命運共同體”。

下面，我就落實習近平主席重要講話要求，圍繞構(gòu)建和平、安全、開放、合作的網(wǎng)絡空間，進一步發(fā)揮密碼的核心支撐作用，與各位嘉賓分享一些觀點和看法，請大家批評指正。

一、密碼是互聯(lián)網(wǎng)安全的核心支撐

推動互聯(lián)網(wǎng)安全互聯(lián)需要發(fā)揮密碼的基礎支撐作用。目前，全球網(wǎng)民數(shù)量突破35億，約占世界總?cè)丝诘?/2，全球范圍內(nèi)網(wǎng)絡互聯(lián)、信息互通，互聯(lián)網(wǎng)讓世界變成了“雞犬之聲相聞”的地球村，相隔萬里的人們不再“老死不相往來”。密碼是互聯(lián)網(wǎng)的基礎設施,是安全互聯(lián)互通的前提，人、機、物的可信互認、安全互通均依賴于密碼。可以說，互聯(lián)網(wǎng)安全發(fā)展，客觀需要密碼技術(shù)，來實現(xiàn)可用、且可控的互聯(lián)互通。

維護互聯(lián)網(wǎng)空間安全需要發(fā)揮密碼的核心保障作用。網(wǎng)絡攻擊、網(wǎng)絡犯罪、網(wǎng)絡恐怖主義已成當今各國公害。習近平主席指出，“安全是發(fā)展的前提，發(fā)展是安全的保障，安全和發(fā)展要同步推進。”互聯(lián)網(wǎng)發(fā)展不能成為沙漠之上的“海市蜃樓”。傳統(tǒng)信息安全中用密碼實現(xiàn)的真實性、機密性、完整性、可用性、抗抵賴等需求，仍然是互聯(lián)網(wǎng)應用的安全需求。安全實現(xiàn)的密碼技術(shù)，是經(jīng)過理論證明的、保障互聯(lián)網(wǎng)安全的關(guān)鍵技術(shù)。現(xiàn)在和未來相當長的時間內(nèi)，密碼將在數(shù)據(jù)加密、身份鑒別、訪問控制、取證溯源等方面發(fā)揮著難以替代的重要作用。要充分發(fā)揮密碼的核心保障作用，共同維護網(wǎng)絡數(shù)據(jù)安全、技術(shù)安全和應用安全。

服務互聯(lián)網(wǎng)創(chuàng)新發(fā)展需要發(fā)揮密碼的協(xié)同促進作用。今天的互聯(lián)網(wǎng)已經(jīng)處于新的階段，移動互聯(lián)、萬物互聯(lián)、人工智能的時代已經(jīng)到來。我們所處的每一個行業(yè)、每一個國家，都因此發(fā)生了重大改變。不管你是什么人，不管你身處哪里，不管你在干什么，我們每個人都是這場大變革的一部分。在這場變革中，密碼因其解決網(wǎng)絡安全問題的經(jīng)濟性、便捷性、有效性，以及在處理海量數(shù)據(jù)機密性保護、復雜網(wǎng)絡實體認證等方面具有的獨特優(yōu)勢，將成為網(wǎng)絡空間的“內(nèi)在”基因。而且，密碼技術(shù)將不斷與互聯(lián)網(wǎng)安全深度融合，隨著互聯(lián)網(wǎng)安全發(fā)展的新趨勢，不斷創(chuàng)新、不斷變革。

綜上所述，構(gòu)建和平、安全、開放、合作的網(wǎng)絡空間，密碼大有可為。我的理解，關(guān)鍵是要倡導“三個新”：

第一個是新安全文明：即通過密碼實現(xiàn)可信互聯(lián)、安全互通，倡導網(wǎng)絡空間開放、共享、安全的發(fā)展理念；

第二個是新安全體制：即樹立以總體國家安全觀為統(tǒng)領(lǐng)，以密碼為核心技術(shù)和基礎支撐的網(wǎng)絡信息安全觀；

第三個是新安全環(huán)境：即構(gòu)建以密碼基礎設施為底層支撐的，系統(tǒng)的、完善的網(wǎng)絡安全保障體系。

二、提升密碼保障能力的挑戰(zhàn)與機遇

我們在密碼的重要性上取得共識，但如何推進密碼深入廣泛應用，提升網(wǎng)絡空間安全保障能力，我們面臨著嚴峻的挑戰(zhàn)，但也迎來了難得的機遇，這是問題的兩個方面。

一方面，密碼應用安全挑戰(zhàn)日益嚴峻。當前，網(wǎng)絡威脅形式復雜多樣，未知威脅漸成主流，網(wǎng)絡安全威脅被許多國家列為第一層級的安全威脅，上升為國家戰(zhàn)略并付諸行動。谷歌公司使用高性能計算機找到SHA-1算法的碰撞，揭示了高性能計算對密碼和網(wǎng)絡安全的新挑戰(zhàn)，OpenSSL“心臟出血”漏洞證明了密碼安全對網(wǎng)絡空間的致命威脅，勒索軟件攻擊事件體現(xiàn)了密碼攻防角色互換的新趨勢，密碼安全已成為網(wǎng)絡安全的焦點。眼下，我們的網(wǎng)絡安全防護能力還比較薄弱，防護方式也比較單一。特別是在密碼使用方面，還存在使用密碼意識不強，密碼應用缺乏規(guī)劃，密碼使用不夠規(guī)范，以及服務保障、風險控制和應急處置能力不足等問題。可以說，問題突出，隱患很大，必須構(gòu)建科學完善的密碼安全保障體系。

另一方面，密碼產(chǎn)業(yè)發(fā)展機遇前所未有。全球的網(wǎng)絡安全產(chǎn)業(yè)剛剛起步，投資與創(chuàng)業(yè)機會將聚焦網(wǎng)絡安全領(lǐng)域，未來可能催生萬億級別的大市場（資料顯示：2016年全球網(wǎng)絡安全市場已超過6000億人民幣，Gartner的數(shù)據(jù)是906億美元）。目前，我國網(wǎng)絡安全投入還很不夠，僅占整個IT產(chǎn)業(yè)比重的1%至2%，低于世界5%至10%的平均水平，更低于歐美國家8%至12%的水平，相比于西方發(fā)達國家，我國尚有8倍的增長空間，這既是短板也是市場。按照國家有關(guān)部署，金融和重要領(lǐng)域正在強化密碼應用，大量網(wǎng)絡和信息系統(tǒng)涉及密碼保障系統(tǒng)的新建或改造，市場空間很大。可以說，密碼應用將會帶動更多安全投入，拓展更大安全市場空間。誰投入早，創(chuàng)新多，誰成為網(wǎng)絡安全行業(yè)龍頭的可能就更大。對此，產(chǎn)業(yè)單位要有更加積極的認識。

三、密碼發(fā)展取得了顯著成效

國家高度重視商用密碼工作。1999年國務院頒布《商用密碼管理條例》，對商用密碼產(chǎn)品的科研、生產(chǎn)、銷售和使用實施管理。2002年國家商用密碼辦公室成立，專門負責全國商用密碼管理工作，包括商用密碼技術(shù)與標準化、產(chǎn)品服務和進出口審批、密碼應用、監(jiān)督管理、檢測認證等。

經(jīng)過多年的發(fā)展，我國在密碼基礎理論研究方面取得了大批國際矚目的原創(chuàng)成果，設計了具有中國特色的基礎密碼算法體制，制定了涵蓋應用各層面的密碼標準體系，擁有了具有國際影響力的密碼學家團體，具備了完備的高校和科研院所專業(yè)密碼人才培養(yǎng)體系，具備了從密碼芯片到密碼應用系統(tǒng)全產(chǎn)業(yè)鏈的密碼產(chǎn)業(yè)隊伍，具備了以金融等重點行業(yè)應用為代表的,深入國民經(jīng)濟信息應用各環(huán)節(jié)的,統(tǒng)一可控的密碼應用市場。目前，有1900多款商用密碼通用產(chǎn)品，900多家從業(yè)單位，密碼產(chǎn)品不斷豐富，產(chǎn)業(yè)支撐能力不斷增強。

從密碼應用實踐來看，我國商用密碼算法在設計、實現(xiàn)方面均有優(yōu)勢，以SM算法為例，密鑰替換攻擊是目前多個數(shù)字簽名算法不能抵御的攻擊方法，SM2數(shù)字簽名算法抵御密鑰替換攻擊方面存在可證明安全，SM2算法的性能與EC-SDSA等國際算法相當，但簽名長度更短。SM3算法能夠抵御差分分析且具有較強的擴散性，在硬件實現(xiàn)面積和性能上占優(yōu)。SM4算法在設計上實現(xiàn)了資源重用，即密鑰擴展過程和加密過程類似，實現(xiàn)時硬件資源占用較少，目前針對SM4的研究最多能分析32輪中的23輪，具有良好的安全強度。

四、促進密碼創(chuàng)新與依法依規(guī)使用

為更好地發(fā)揮密碼在互聯(lián)網(wǎng)安全中的重要作用，切實維護國家安全、促進經(jīng)濟發(fā)展、保護人民群眾利益，國家密碼管理局將加強密碼規(guī)范管理、促進密碼廣泛應用、著力密碼科技創(chuàng)新、指導密碼應用安全性評估、構(gòu)建密碼安全通報機制。

一是加強密碼規(guī)范管理。《密碼法》初稿今年5月面向社會公開征求意見，國家有關(guān)部門正在積極推進立法進程。國家密碼管理局正在制定配套法規(guī)，完善商用密碼管理法規(guī)體系，確保商用密碼管理有法可依、有章可循。

二是促進密碼廣泛應用。不斷強化密碼應用與國家戰(zhàn)略的融合。《“十三五”國家信息化規(guī)劃》提出，構(gòu)建關(guān)鍵信息基礎設施安全保障體系，要加強密碼應用，國家互聯(lián)網(wǎng)大數(shù)據(jù)平臺建設，要推進數(shù)據(jù)加解密、完整性驗證等安全技術(shù)的應用。銀行業(yè)清算辦法、網(wǎng)絡安全等級保護管理要求、政務信息化規(guī)劃，也都提出密碼應用要求。通過密碼廣泛應用，不斷促進密碼技術(shù)、產(chǎn)品和服務創(chuàng)新，形成典型應用案例和標準規(guī)范，實現(xiàn)密碼事業(yè)創(chuàng)新發(fā)展的生動局面。

三是著力密碼科技創(chuàng)新。加強密碼基礎研究和原始創(chuàng)新，推進國家密碼重大科技項目、重大工程和重大基礎設施建設。組建產(chǎn)學研用聯(lián)盟，建設密碼創(chuàng)新產(chǎn)業(yè)基地和重點實驗室，實施創(chuàng)新驅(qū)動和協(xié)同攻關(guān)，努力形成一批“拳頭”產(chǎn)品，有效應對網(wǎng)絡空間威脅，不斷滿足物聯(lián)網(wǎng)、工業(yè)控制、移動智能終端等新興領(lǐng)域?qū)γ艽a應用新的需求，不斷提高密碼供給質(zhì)量，讓產(chǎn)品更好用，讓用戶更愛用。

四是指導密碼應用安全性評估。根據(jù)國家法律法規(guī)要求，今年，國家密碼管理局在7省5行業(yè)開展了密碼應用安全性評估試點。關(guān)鍵信息基礎設施（試點期間主要針對等級保護三級及以上信息系統(tǒng)）要進行密碼應用安全性評估，包括規(guī)劃、上線、運行三個階段。評估結(jié)果作為項目規(guī)劃立項、申報財政性資金、建設驗收的必備材料。目的就是，督促網(wǎng)絡建設和運營者落實密碼應用和安全保障責任。

五是構(gòu)建密碼安全通報機制。在總體國家安全觀的統(tǒng)領(lǐng)下，國家密碼管理局將會同國家網(wǎng)信、公安、保密等網(wǎng)絡安全主管部門，以及各行業(yè)主管部門，建立密碼安全通報機制，加強密碼基礎數(shù)據(jù)、應用情況、安全動態(tài)等信息的共享，實現(xiàn)密碼數(shù)據(jù)的動態(tài)跟蹤和密碼安全的態(tài)勢感知。

各位嘉賓，女士們、先生們，縱觀密碼的發(fā)展歷史，新型計算的威脅和新型應用的需求，一直是推動密碼技術(shù)進步的兩大主要動力。第二次世界大戰(zhàn)的軍事通信需求，催生了機械密碼的巔峰時代；圖靈炸彈的攻擊威脅和全球網(wǎng)絡的安全通信需求，推動了現(xiàn)代密碼學的出現(xiàn)。當前，量子計算的威脅和互聯(lián)網(wǎng)安全的需求，催生著密碼技術(shù)的革命性突破與發(fā)展。

各位嘉賓都是互聯(lián)網(wǎng)安全和密碼技術(shù)的設計者、維護者、使用者和受益者，讓我們一道，積極倡導網(wǎng)絡安全新文明、推動網(wǎng)絡安全新體制、創(chuàng)建網(wǎng)絡安全新環(huán)境，構(gòu)建以密碼為核心技術(shù)和基礎支撐的網(wǎng)絡安全保障體系，讓互聯(lián)網(wǎng)成為安全之網(wǎng)、放心之網(wǎng)；讓互聯(lián)網(wǎng)安全，從密碼開始，從密碼應用開始。

謝謝大家！