在2017年互聯(lián)網(wǎng)安全大會(huì)密碼應(yīng)用技術(shù)論壇上的發(fā)言

 

商用密碼應(yīng)用政策、現(xiàn)狀與展望
（國(guó)家密碼管理局商用密碼管理辦公室副主任霍煒）

 

各位嘉賓，女士們、先生們：

非常榮幸參加第五屆互聯(lián)網(wǎng)安全大會(huì)，與來自海內(nèi)外的朋友們相聚在北京金秋，圍繞互聯(lián)網(wǎng)安全這一時(shí)代命題，交流成果，分享思想，共謀未來。在此，我代表國(guó)家密碼管理局商用密碼管理辦公室，對(duì)大會(huì)和論壇的舉辦表示熱烈的祝賀！對(duì)各位嘉賓的到來表示熱烈的歡迎！

互聯(lián)網(wǎng)是把雙刃劍，用得好，它是阿里巴巴的寶庫(kù)；用不好，它就是潘多拉的魔盒，小可殺人于無形，大可顛覆國(guó)家政權(quán)。網(wǎng)絡(luò)空間是全世界人民的公共空間，網(wǎng)絡(luò)安全是人類社會(huì)面臨的共同挑戰(zhàn)，有效應(yīng)對(duì)網(wǎng)絡(luò)安全是世界各國(guó)的共同責(zé)任。2015年12月16日，習(xí)近平主席在第二屆世界互聯(lián)網(wǎng)大會(huì)上，提出互聯(lián)網(wǎng)發(fā)展治理的“四項(xiàng)原則”、“五點(diǎn)主張”，并特別指出：“要維護(hù)網(wǎng)絡(luò)安全，共同構(gòu)建和平、安全、開放、合作的網(wǎng)絡(luò)空間”。2016年11月16日，習(xí)近平主席在第三屆世界互聯(lián)網(wǎng)大會(huì)上發(fā)表講話指出：“要攜手構(gòu)建網(wǎng)絡(luò)空間命運(yùn)共同體”。

下面，我就落實(shí)習(xí)近平主席重要講話要求，圍繞構(gòu)建和平、安全、開放、合作的網(wǎng)絡(luò)空間，進(jìn)一步發(fā)揮密碼的核心支撐作用，與各位嘉賓分享一些觀點(diǎn)和看法，請(qǐng)大家批評(píng)指正。

一、密碼是互聯(lián)網(wǎng)安全的核心支撐

推動(dòng)互聯(lián)網(wǎng)安全互聯(lián)需要發(fā)揮密碼的基礎(chǔ)支撐作用。目前，全球網(wǎng)民數(shù)量突破35億，約占世界總?cè)丝诘?/2，全球范圍內(nèi)網(wǎng)絡(luò)互聯(lián)、信息互通，互聯(lián)網(wǎng)讓世界變成了“雞犬之聲相聞”的地球村，相隔萬(wàn)里的人們不再“老死不相往來”。密碼是互聯(lián)網(wǎng)的基礎(chǔ)設(shè)施,是安全互聯(lián)互通的前提，人、機(jī)、物的可信互認(rèn)、安全互通均依賴于密碼?？梢哉f，互聯(lián)網(wǎng)安全發(fā)展，客觀需要密碼技術(shù)，來實(shí)現(xiàn)可用、且可控的互聯(lián)互通。

維護(hù)互聯(lián)網(wǎng)空間安全需要發(fā)揮密碼的核心保障作用。網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)犯罪、網(wǎng)絡(luò)恐怖主義已成當(dāng)今各國(guó)公害。習(xí)近平主席指出，“安全是發(fā)展的前提，發(fā)展是安全的保障，安全和發(fā)展要同步推進(jìn)?！被ヂ?lián)網(wǎng)發(fā)展不能成為沙漠之上的“海市蜃樓”。傳統(tǒng)信息安全中用密碼實(shí)現(xiàn)的真實(shí)性、機(jī)密性、完整性、可用性、抗抵賴等需求，仍然是互聯(lián)網(wǎng)應(yīng)用的安全需求。安全實(shí)現(xiàn)的密碼技術(shù)，是經(jīng)過理論證明的、保障互聯(lián)網(wǎng)安全的關(guān)鍵技術(shù)。現(xiàn)在和未來相當(dāng)長(zhǎng)的時(shí)間內(nèi)，密碼將在數(shù)據(jù)加密、身份鑒別、訪問控制、取證溯源等方面發(fā)揮著難以替代的重要作用。要充分發(fā)揮密碼的核心保障作用，共同維護(hù)網(wǎng)絡(luò)數(shù)據(jù)安全、技術(shù)安全和應(yīng)用安全。

服務(wù)互聯(lián)網(wǎng)創(chuàng)新發(fā)展需要發(fā)揮密碼的協(xié)同促進(jìn)作用。今天的互聯(lián)網(wǎng)已經(jīng)處于新的階段，移動(dòng)互聯(lián)、萬(wàn)物互聯(lián)、人工智能的時(shí)代已經(jīng)到來。我們所處的每一個(gè)行業(yè)、每一個(gè)國(guó)家，都因此發(fā)生了重大改變。不管你是什么人，不管你身處哪里，不管你在干什么，我們每個(gè)人都是這場(chǎng)大變革的一部分。在這場(chǎng)變革中，密碼因其解決網(wǎng)絡(luò)安全問題的經(jīng)濟(jì)性、便捷性、有效性，以及在處理海量數(shù)據(jù)機(jī)密性保護(hù)、復(fù)雜網(wǎng)絡(luò)實(shí)體認(rèn)證等方面具有的獨(dú)特優(yōu)勢(shì)，將成為網(wǎng)絡(luò)空間的“內(nèi)在”基因。而且，密碼技術(shù)將不斷與互聯(lián)網(wǎng)安全深度融合，隨著互聯(lián)網(wǎng)安全發(fā)展的新趨勢(shì)，不斷創(chuàng)新、不斷變革。

綜上所述，構(gòu)建和平、安全、開放、合作的網(wǎng)絡(luò)空間，密碼大有可為。我的理解，關(guān)鍵是要倡導(dǎo)“三個(gè)新”：

第一個(gè)是新安全文明：即通過密碼實(shí)現(xiàn)可信互聯(lián)、安全互通，倡導(dǎo)網(wǎng)絡(luò)空間開放、共享、安全的發(fā)展理念；

第二個(gè)是新安全體制：即樹立以總體國(guó)家安全觀為統(tǒng)領(lǐng)，以密碼為核心技術(shù)和基礎(chǔ)支撐的網(wǎng)絡(luò)信息安全觀；

第三個(gè)是新安全環(huán)境：即構(gòu)建以密碼基礎(chǔ)設(shè)施為底層支撐的，系統(tǒng)的、完善的網(wǎng)絡(luò)安全保障體系。

二、提升密碼保障能力的挑戰(zhàn)與機(jī)遇

我們?cè)诿艽a的重要性上取得共識(shí)，但如何推進(jìn)密碼深入廣泛應(yīng)用，提升網(wǎng)絡(luò)空間安全保障能力，我們面臨著嚴(yán)峻的挑戰(zhàn)，但也迎來了難得的機(jī)遇，這是問題的兩個(gè)方面。

一方面，密碼應(yīng)用安全挑戰(zhàn)日益嚴(yán)峻。當(dāng)前，網(wǎng)絡(luò)威脅形式復(fù)雜多樣，未知威脅漸成主流，網(wǎng)絡(luò)安全威脅被許多國(guó)家列為第一層級(jí)的安全威脅，上升為國(guó)家戰(zhàn)略并付諸行動(dòng)。谷歌公司使用高性能計(jì)算機(jī)找到SHA-1算法的碰撞，揭示了高性能計(jì)算對(duì)密碼和網(wǎng)絡(luò)安全的新挑戰(zhàn)，OpenSSL“心臟出血”漏洞證明了密碼安全對(duì)網(wǎng)絡(luò)空間的致命威脅，勒索軟件攻擊事件體現(xiàn)了密碼攻防角色互換的新趨勢(shì)，密碼安全已成為網(wǎng)絡(luò)安全的焦點(diǎn)。眼下，我們的網(wǎng)絡(luò)安全防護(hù)能力還比較薄弱，防護(hù)方式也比較單一。特別是在密碼使用方面，還存在使用密碼意識(shí)不強(qiáng)，密碼應(yīng)用缺乏規(guī)劃，密碼使用不夠規(guī)范，以及服務(wù)保障、風(fēng)險(xiǎn)控制和應(yīng)急處置能力不足等問題?？梢哉f，問題突出，隱患很大，必須構(gòu)建科學(xué)完善的密碼安全保障體系。

另一方面，密碼產(chǎn)業(yè)發(fā)展機(jī)遇前所未有。全球的網(wǎng)絡(luò)安全產(chǎn)業(yè)剛剛起步，投資與創(chuàng)業(yè)機(jī)會(huì)將聚焦網(wǎng)絡(luò)安全領(lǐng)域，未來可能催生萬(wàn)億級(jí)別的大市場(chǎng)（資料顯示：2016年全球網(wǎng)絡(luò)安全市場(chǎng)已超過6000億人民幣，Gartner的數(shù)據(jù)是906億美元）。目前，我國(guó)網(wǎng)絡(luò)安全投入還很不夠，僅占整個(gè)IT產(chǎn)業(yè)比重的1%至2%，低于世界5%至10%的平均水平，更低于歐美國(guó)家8%至12%的水平，相比于西方發(fā)達(dá)國(guó)家，我國(guó)尚有8倍的增長(zhǎng)空間，這既是短板也是市場(chǎng)。按照國(guó)家有關(guān)部署，金融和重要領(lǐng)域正在強(qiáng)化密碼應(yīng)用，大量網(wǎng)絡(luò)和信息系統(tǒng)涉及密碼保障系統(tǒng)的新建或改造，市場(chǎng)空間很大?？梢哉f，密碼應(yīng)用將會(huì)帶動(dòng)更多安全投入，拓展更大安全市場(chǎng)空間。誰(shuí)投入早，創(chuàng)新多，誰(shuí)成為網(wǎng)絡(luò)安全行業(yè)龍頭的可能就更大。對(duì)此，產(chǎn)業(yè)單位要有更加積極的認(rèn)識(shí)。

三、密碼發(fā)展取得了顯著成效

國(guó)家高度重視商用密碼工作。1999年國(guó)務(wù)院頒布《商用密碼管理?xiàng)l例》，對(duì)商用密碼產(chǎn)品的科研、生產(chǎn)、銷售和使用實(shí)施管理。2002年國(guó)家商用密碼辦公室成立，專門負(fù)責(zé)全國(guó)商用密碼管理工作，包括商用密碼技術(shù)與標(biāo)準(zhǔn)化、產(chǎn)品服務(wù)和進(jìn)出口審批、密碼應(yīng)用、監(jiān)督管理、檢測(cè)認(rèn)證等。

經(jīng)過多年的發(fā)展，我國(guó)在密碼基礎(chǔ)理論研究方面取得了大批國(guó)際矚目的原創(chuàng)成果，設(shè)計(jì)了具有中國(guó)特色的基礎(chǔ)密碼算法體制，制定了涵蓋應(yīng)用各層面的密碼標(biāo)準(zhǔn)體系，擁有了具有國(guó)際影響力的密碼學(xué)家團(tuán)體，具備了完備的高校和科研院所專業(yè)密碼人才培養(yǎng)體系，具備了從密碼芯片到密碼應(yīng)用系統(tǒng)全產(chǎn)業(yè)鏈的密碼產(chǎn)業(yè)隊(duì)伍，具備了以金融等重點(diǎn)行業(yè)應(yīng)用為代表的,深入國(guó)民經(jīng)濟(jì)信息應(yīng)用各環(huán)節(jié)的,統(tǒng)一可控的密碼應(yīng)用市場(chǎng)。目前，有1900多款商用密碼通用產(chǎn)品，900多家從業(yè)單位，密碼產(chǎn)品不斷豐富，產(chǎn)業(yè)支撐能力不斷增強(qiáng)。

從密碼應(yīng)用實(shí)踐來看，我國(guó)商用密碼算法在設(shè)計(jì)、實(shí)現(xiàn)方面均有優(yōu)勢(shì)，以SM算法為例，密鑰替換攻擊是目前多個(gè)數(shù)字簽名算法不能抵御的攻擊方法，SM2數(shù)字簽名算法抵御密鑰替換攻擊方面存在可證明安全，SM2算法的性能與EC-SDSA等國(guó)際算法相當(dāng)，但簽名長(zhǎng)度更短。SM3算法能夠抵御差分分析且具有較強(qiáng)的擴(kuò)散性，在硬件實(shí)現(xiàn)面積和性能上占優(yōu)。SM4算法在設(shè)計(jì)上實(shí)現(xiàn)了資源重用，即密鑰擴(kuò)展過程和加密過程類似，實(shí)現(xiàn)時(shí)硬件資源占用較少，目前針對(duì)SM4的研究最多能分析32輪中的23輪，具有良好的安全強(qiáng)度。

四、促進(jìn)密碼創(chuàng)新與依法依規(guī)使用

為更好地發(fā)揮密碼在互聯(lián)網(wǎng)安全中的重要作用，切實(shí)維護(hù)國(guó)家安全、促進(jìn)經(jīng)濟(jì)發(fā)展、保護(hù)人民群眾利益，國(guó)家密碼管理局將加強(qiáng)密碼規(guī)范管理、促進(jìn)密碼廣泛應(yīng)用、著力密碼科技創(chuàng)新、指導(dǎo)密碼應(yīng)用安全性評(píng)估、構(gòu)建密碼安全通報(bào)機(jī)制。

一是加強(qiáng)密碼規(guī)范管理?！睹艽a法》初稿今年5月面向社會(huì)公開征求意見，國(guó)家有關(guān)部門正在積極推進(jìn)立法進(jìn)程。國(guó)家密碼管理局正在制定配套法規(guī)，完善商用密碼管理法規(guī)體系，確保商用密碼管理有法可依、有章可循。

二是促進(jìn)密碼廣泛應(yīng)用。不斷強(qiáng)化密碼應(yīng)用與國(guó)家戰(zhàn)略的融合。《“十三五”國(guó)家信息化規(guī)劃》提出，構(gòu)建關(guān)鍵信息基礎(chǔ)設(shè)施安全保障體系，要加強(qiáng)密碼應(yīng)用，國(guó)家互聯(lián)網(wǎng)大數(shù)據(jù)平臺(tái)建設(shè)，要推進(jìn)數(shù)據(jù)加解密、完整性驗(yàn)證等安全技術(shù)的應(yīng)用。銀行業(yè)清算辦法、網(wǎng)絡(luò)安全等級(jí)保護(hù)管理要求、政務(wù)信息化規(guī)劃，也都提出密碼應(yīng)用要求。通過密碼廣泛應(yīng)用，不斷促進(jìn)密碼技術(shù)、產(chǎn)品和服務(wù)創(chuàng)新，形成典型應(yīng)用案例和標(biāo)準(zhǔn)規(guī)范，實(shí)現(xiàn)密碼事業(yè)創(chuàng)新發(fā)展的生動(dòng)局面。

三是著力密碼科技創(chuàng)新。加強(qiáng)密碼基礎(chǔ)研究和原始創(chuàng)新，推進(jìn)國(guó)家密碼重大科技項(xiàng)目、重大工程和重大基礎(chǔ)設(shè)施建設(shè)。組建產(chǎn)學(xué)研用聯(lián)盟，建設(shè)密碼創(chuàng)新產(chǎn)業(yè)基地和重點(diǎn)實(shí)驗(yàn)室，實(shí)施創(chuàng)新驅(qū)動(dòng)和協(xié)同攻關(guān)，努力形成一批“拳頭”產(chǎn)品，有效應(yīng)對(duì)網(wǎng)絡(luò)空間威脅，不斷滿足物聯(lián)網(wǎng)、工業(yè)控制、移動(dòng)智能終端等新興領(lǐng)域?qū)γ艽a應(yīng)用新的需求，不斷提高密碼供給質(zhì)量，讓產(chǎn)品更好用，讓用戶更愛用。

四是指導(dǎo)密碼應(yīng)用安全性評(píng)估。根據(jù)國(guó)家法律法規(guī)要求，今年，國(guó)家密碼管理局在7省5行業(yè)開展了密碼應(yīng)用安全性評(píng)估試點(diǎn)。關(guān)鍵信息基礎(chǔ)設(shè)施（試點(diǎn)期間主要針對(duì)等級(jí)保護(hù)三級(jí)及以上信息系統(tǒng)）要進(jìn)行密碼應(yīng)用安全性評(píng)估，包括規(guī)劃、上線、運(yùn)行三個(gè)階段。評(píng)估結(jié)果作為項(xiàng)目規(guī)劃立項(xiàng)、申報(bào)財(cái)政性資金、建設(shè)驗(yàn)收的必備材料。目的就是，督促網(wǎng)絡(luò)建設(shè)和運(yùn)營(yíng)者落實(shí)密碼應(yīng)用和安全保障責(zé)任。

五是構(gòu)建密碼安全通報(bào)機(jī)制。在總體國(guó)家安全觀的統(tǒng)領(lǐng)下，國(guó)家密碼管理局將會(huì)同國(guó)家網(wǎng)信、公安、保密等網(wǎng)絡(luò)安全主管部門，以及各行業(yè)主管部門，建立密碼安全通報(bào)機(jī)制，加強(qiáng)密碼基礎(chǔ)數(shù)據(jù)、應(yīng)用情況、安全動(dòng)態(tài)等信息的共享，實(shí)現(xiàn)密碼數(shù)據(jù)的動(dòng)態(tài)跟蹤和密碼安全的態(tài)勢(shì)感知。

各位嘉賓，女士們、先生們，縱觀密碼的發(fā)展歷史，新型計(jì)算的威脅和新型應(yīng)用的需求，一直是推動(dòng)密碼技術(shù)進(jìn)步的兩大主要?jiǎng)恿?。第二次世界大?zhàn)的軍事通信需求，催生了機(jī)械密碼的巔峰時(shí)代；圖靈炸彈的攻擊威脅和全球網(wǎng)絡(luò)的安全通信需求，推動(dòng)了現(xiàn)代密碼學(xué)的出現(xiàn)。當(dāng)前，量子計(jì)算的威脅和互聯(lián)網(wǎng)安全的需求，催生著密碼技術(shù)的革命性突破與發(fā)展。

各位嘉賓都是互聯(lián)網(wǎng)安全和密碼技術(shù)的設(shè)計(jì)者、維護(hù)者、使用者和受益者，讓我們一道，積極倡導(dǎo)網(wǎng)絡(luò)安全新文明、推動(dòng)網(wǎng)絡(luò)安全新體制、創(chuàng)建網(wǎng)絡(luò)安全新環(huán)境，構(gòu)建以密碼為核心技術(shù)和基礎(chǔ)支撐的網(wǎng)絡(luò)安全保障體系，讓互聯(lián)網(wǎng)成為安全之網(wǎng)、放心之網(wǎng)；讓互聯(lián)網(wǎng)安全，從密碼開始，從密碼應(yīng)用開始。

謝謝大家！