商用密码正在成为国计民生的安全守护神

——访网络空间身份认证与数据安全湖南省工程实验室主任王刚博士

图为商用网络加密构件。

随着网络空间时代的来临，世界成了一个“村”，全球经济、政治、文化和社会均可“一网打尽”。因此，网络信息安全显得越来越重要，商用密码应用技术的推广，正在成为国计民生的安全守护神。在湖南商用密码产业示范基地建设推进会议即将召开前夕，笔者专访了网络空间身份认证与数据安全湖南省工程实验室主任王刚博士，他就商用密码的含义、国内外应用现状及其发展前景回答了笔者提问。

问：当今世界高新技术层出不穷，普通大众对一些高新技术的了解和应用需要一个过程。那么，到底什么是商用密码？它的应用有何重大意义？

答：国务院发布的《商用密码管理条例》明确指出，商用密码是指对不涉及国家秘密内容的信息进行加密保护或者安全认证所使用的密码技术和密码产品。具体说，第一，就是将商用密码定义为商用密码技术和商用密码产品的总称。第二，明确了凡是不涉及国家秘密内容的信息，又需要用密码加以保护的信息系统，均可使用商用密码来确保信息安全。第三，指明了商用密码的作用，是实现对信息系统的加密保护和安全认证。商用密码技术是商用密码的核心，是信息化时代社会团体、企事业单位和个人用于保护自身权益的重要工具。国家对商用密码产品的科研、生产、销售和使用实行专控管理。

现在，网络信息技术已延伸到经济社会的每个角落，有网络的地方如果没有密码技术的应用，其信息安全将无从谈起。密码技术，既是网络信息安全的核心技术和基础支撑，更是保护国家安全的重要战略资源，也是保护个人合法权益的必备手段。正因为如此，应用和发展商用密码技术及产业，从涉及国民经济领域的金融、证券、税控、教育、医疗，到涉及公民权益的电子支付、社会保障以及个人信息保护等方方面面，都具有十分重要的意义。

问：商用密码随着网络技术的兴起而发展，随着互联网产业的发展而得到广泛应用。在国际上由于一些领域的商用密码应用不到位，多次发生安全事件，我们应该如何引起重视？

答：网络空间是密码的主战场，要想保护网络上存储、传输的数据不被非法获取、非法篡改、非法假冒，最有效的手段非密码技术莫属。在全球范围内，商用密码技术的正确和有效应用仍然存在较大问题：

首先，敏感数据缺乏密码保护，数据泄露事件时有发生。例如，2016年，美国某网站用户隐私信息泄露，3.6亿用户账户和4.27亿用户口令遭到泄露，造成当时互联网史上最大规模的口令泄露事件。其次，数据篡改和身份假冒也成为亟待解决的问题。互联网上有大量的假冒网站，通过非常逼真的仿冒页面来冒充一些官方网站，以达到其非法目的。第三，合法使用密码技术会带来安全保障，而非法滥用密码技术也会造成社会危害。2017年，一款“魔哭”勒索软件袭击了全球网络，使受害者电脑内的重要文件自动加密，逼迫受害者通过比特币交纳赎金，否则被加密的文件无法恢复，影响范围覆盖全球150多个国家和地区。

因此，我们应该清醒地看到，当今世界局部的网络攻防对抗，已不再是科幻小说才有的场景，在网络战争中，密码技术和密码产业落后的一方往往成为被动挨打的对象。网络安全已成为国家安全的重要组成部分，网络空间已成为继海、陆、空、天之后的“第五空间”，世界各国纷纷将网络安全纳入国家战略。密码技术也随之上升到国家战略层面。我们只有高度重视在商用密码技术算法、产品研发、设备制造、系统建设以及技术服务等方面，做到全产业链自主可控，确保所有网络信息系统稳妥运行，才能牢牢掌握我国网络安全主动权。

问：没有商用密码，就不可能有网络信息安全，我国应在哪些方面加强商用密码应用，来确保各个领域的网络信息安全？

答：我国商用密码技术的研发应用历史较短。1996年，才明确“商用密码”这一专有名词。在“互联网+”新时代，商用密码技术的服务范围更广、应用领域更多。1999年，国务院颁布了《商用密码管理条例》，并逐步出台了一系列管理办法和指导应用措施，使商用密码技术从无到有，逐步得到发展，如今已形成较好的科研和产业发展前景。

党和国家对发展和应用商用密码技术空前重视。通过多方面的努力，我国已形成较为完善的商用密码标准体系，包括国家标准、行业标准、地方标准、企业标准和团体标准等。商用密码行业标准体系由基础类标准、应用类标准、检测类标准和管理类标准组成，支撑我国的商用密码产品研制、应用和管理。我国发布使用的商用密码国家标准和行业标准已达50余项，其中多项密码算法成为国际标准。这些由我国自行设计、具有自主知识产权的安全高效密码算法，相继得到国际商用密码界认可，标志着我国密码算法国际标准体系已初步建成。这对于推进我国商用密码标准国际化具有重大而深远的意义。

百年大计，教育为本。为加强科教兴国战略的实施，我国在教育科研计算机网络、教育资源系统、电子校务系统、教育基础数据系统、学历学籍管理系统、教育卡等支撑体系建设上，必须强化商用密码技术应用，切实增强网络信息安全保障能力。在互联网、电信网、广播电视网等基础信息网络建设上，必须将商用密码应用技术纳入建设规划。在规范重要信息系统密码应用方面，如电子政务、自然资源、能源、教育、公安、民政、社保、卫生、医疗、环保、交通、水利等涉及国计民生的重要信息系统，均需要将商用密码技术应用，纳入信息化建设规划，并抓紧实施。

在面向社会服务的信息系统密码应用方面，党政机关、事业单位、社会团体的信息系统建设，应大力推进基于商用密码技术应用的网络信任、安全管理和运行监管体系建设。并规范商用密码在电子文件、电子证照、电子印章、身份认证、电子签名、数据存储和传输等方面的应用。为确保其安全可靠运行，我们在商用密码技术基础支撑能力上，应大力加强云计算、物联网、大数据、移动互联网和“智慧城市”等方面的建设，大力推进商用密码技术与各种高新技术的融合发展，让广大人民群众真正享受到更好、更快、更安全的网络信息服务。(通讯员 钟育 严敏)