专家解读|俞克群:推进商用密码应用与创新发展为关键信息基础设施安全保护提供牢固支撑
国家信息技术安全研究中心主任 俞克群
新修订的《商用密码管理条例》(以下简称《条例》)已经国务院常务会议审议通过并正式发布,将于2023年7月1日起正式实施,这是完善我国密码法律法规体系建设的又一重大标志性成果。特别是《条例》细化和完善了关键信息基础设施商用密码应用要求,为构建以密码技术为核心、多种技术相融合的关键信息基础设施网络安全保护体系提供了基本遵循和有力抓手,意义重大,影响深远。
一、《条例》出台是顺应时代发展大势,强化关键信息基础设施安全保护的必然要求
密码技术是国家重要的战略资源,是保障网络安全和信息安全的核心技术和基础支撑。通过密码技术、产品和服务加强关键信息基础设施安全保护,已成为世界各国的通行做法。美国、俄罗斯、法国、以色列等发达经济体,均通过多种方式加强密码管理,强化关键信息基础设施安全保护。《密码法》对商用密码管理制度作出了原则性规定,为《条例》出台奠定了法律基础。国家“十四五”规划明确提出要健全国家网络安全法律法规和制度标准,加强重要领域数据资源、重要网络和信息系统安全保障,建立健全关键信息基础设施保护体系等目标要求,《条例》出台顺应了相关政策导向和发展需求。
当前,我国密码应用、科技创新和产业发展实现了历史性跨越。商用密码已广泛应用于能源、交通、金融、公共服务、电子政务等关键信息基础设施领域,为维护国家安全,促进经济发展,保护人民群众利益发挥了重要作用。但与此同时,还存在一些短板,比如,重要网络和信息系统密码应用的广度和深度还有待提升;重信息化建设、轻安全保护的观念和现象还有待改善;密码应用的合规性、正确性、有效性还有待加强;面向工控、物联网、自动驾驶等新兴重要行业,商用密码的算法种类、供给形态、服务水平还需进一步丰富完善。这为商用密码的应用与创新发展提供了广阔的市场空间与现实需求,《条例》出台乘大势、开新局、育新机。
二、《条例》建立健全关键信息基础设施商用密码应用管理体系
《条例》落实了上位法的相关要求。我国已颁布实施的《网络安全法》《密码法》《关键信息基础设施安全保护条例》等均对使用密码技术保护关键信息基础设施安全提出原则性要求。其中《网络安全法》规定了关键信息基础设施运营者应当对关键信息基础设施采取加密等措施,保护网络安全。《密码法》明确了关键信息基础设施应使用商用密码进行保护,开展密码应用安全性评估,落实网络安全审查制度的要求,形成了我国关键信息基础设施商用密码应用管理的顶层架构。《条例》对上述原则性要求进行了细化和完善,规定更加明确具体,是使用商用密码保护关键信息基础设施安全的有力抓手。
《条例》突出了对关键信息基础设施使用商用密码进行重点保护的具体要求。关键信息基础设施安全是网络安全的重中之重,国家在网络安全等级保护制度的基础上对关键信息基础设施实施重点保护。《条例》体现了这一思想,并明确了具体要求,规定了关键信息基础设施中的商用密码应用要通过安全性评估,密码产品、服务及技术要通过检测认证或审查鉴定,同时还对检测认证机构的资质认定进行了明确。上述规定突出了《条例》在鼓励使用商用密码对网络和信息系统进行普遍性、系统性保护的基础上,对关键信息基础设施实施重点保护的思想,保持了与相关法律法规和制度的一致性。
《条例》明确了关键信息基础设施运营者使用商用密码的主体责任。运营者落实密码应用的主体责任是实现关键信息基础设施安全保护目标的基础。围绕落实商用密码应用要求,《条例》规定了运营者应当制定商用密码应用方案,提供资金保障,配备专业人员,按照“三同步”(同步规划、同步建设、同步运行)要求,建设和运行商用密码保障系统,上线运行前要通过商用密码应用安全性评估,之后每年开展一次商用密码应用安全性评估,并将商用密码应用安全性评估结果报密码管理部门备案。
《条例》延续了统筹关键信息基础设施安全测评与增效提质的一贯导向。《条例》明确商用密码应用安全性评估、关键信息基础设施安全检测评估、网络安全等级测评之间要加强衔接,避免重复评估、测评。关键信息基础设施依法开展商用密码应用安全性评估、关键信息基础设施安全检测评估、网络安全等级测评等测评工作,是在网络安全领域落实国家有关法律法规和制度要求,结合我国网络安全治理实际,作出的综合考虑安排,三者之间密切联系。实际工作中,运营者和测评机构应准确把握三种测评的定位和关联关系,从系统思维和整体防护角度开展相关测评工作。运营者应充分发挥好不同测评手段在发现安全威胁中的作用,加强与测评机构沟通交流,从整体防护的角度对测评结果进行分析,制定科学完善的安全加固方案;测评机构应充分利用好已有测评结果和其他测评机构的测评数据,避免出现资源浪费和信息割裂等情况,进一步提升测评工作的协同性、测评实施的针对性、测评结果的可靠性和加固建议的合理性,提升关键信息基础设施整体安全防护水平。
《条例》坚持创新发展与保障安全相结合的时代理念。关键信息基础设施是国民经济运行的神经中枢,关系国计民生、人民福祉和国家安全,发挥着全局性、战略性、支撑性作用。当前,以5G、大数据、云计算、人工智能、区块链等为代表的新技术新应用深度融入关键信息基础设施,在持续赋能数字经济发展的同时,也进一步增大了网络安全风险,带来了身份认证、数据确权等新的安全需求。《条例》在鼓励商用密码创新应用和科技成果转化的基础上,对关键信息基础设施中商用密码产品、服务、技术的使用提出了明确要求,并要求遵守国家网络安全审查制度,这些规定均体现了坚持创新发展与保障安全相结合的时代理念。
三、关于推进关键信息基础设施商用密码应用的思考
一是加大宣贯力度,提高贯彻落实《条例》的行为自觉。新修订的《条例》对原《条例》进行了结构性重塑,建立并完善了关键信息基础设施商用密码应用管理体系,既是对以往我国商用密码工作具体实践和有益经验的充分总结,也是面向未来发展的制度性设计。下一步,应紧紧把握密码与关键信息基础设施深度融合的发展趋势,大力开展《条例》的宣贯工作,不断深化密码是关键信息基础设施安全保护基石的认知,凝聚共识,提高自觉,为《条例》的落地实施奠定坚实的思想基础。
二是明晰资产底数,精准掌握关键信息基础设施密码应用情况。掌握关键信息基础设施密码应用资产信息,是国家密码管理部门开展监管工作的重要前提;掌握关键信息基础设施资产信息和密码使用情况,是保护部门履行关键信息基础设施保护责任的重要抓手;掌握关键信息基础设施资产情况,是运营者合规、正确、有效使用商用密码的基础。为此,应在运营者、关键信息基础设施保护部门和国家密码管理部门之间建立有效的商用密码应用信息收集、风险评估、信息通报、重大事项会商等机制,进一步加强网络安全监测预警和信息通报等方面的衔接,形成高效联动。
三是提炼典型案例,积极促进关键信息基础设施商用密码全面应用。基于多年来密码应用改造试点形成的项目成果和经验积累,选择基础信息网络、数字经济融合应用、信息惠民等重要领域以及重点行业密码应用典型场景,提炼出可推广、可复制的密码应用与安全性评估案例,发挥示范引领作用,促进关键信息基础设施商用密码全面应用。
四是坚持系统思维,强化关键信息基础设施密码应用体系设计和整体防护。关键信息基础设施是复杂的动态巨系统,具有部署环境复杂、网络互联纷繁、业务场景多样等特性,因此必须以系统思维,对使用商用密码保护关键信息基础设施安全进行体系设计,开展整体防护。对容易忽视和疏漏的中间传输节点和交互节点进行充分保护,避免因局部短板导致整体防护失效。
五是促进产研合作,提升关键信息基础设施密码应用供给侧保障能力。随着关键信息基础设施中商用密码应用的深入推进,日益增长的商用密码应用需求对我国商用密码供给能力提出了越来越高的要求,需要协同政、产、学、研、用、测各方,从理论、算法、技术、产品、服务、标准等多个层面加强研发攻关,不断迭代升级,促进商用密码技术进步和体系建设,引领关键信息基础设施商用密码应用高质量发展。
四、结语
关键信息基础设施安全是网络安全的重中之重。《条例》的出台实施,健全和完善了我国密码法律法规体系,在应用促进层面突出了使用商用密码对关键信息基础设施进行重点保护的要求,必将进一步深化关键信息基础设施密码应用格局,促进数字经济健康发展,为建设网络强国和数字中国提供更加有力的支撑和保障。