本文为北京商用密码行业协会会长、数字认证公司董事长詹榜华在《中国信息安全》杂志(2019年11期)发表的署名文章。
全文如下
2019年10月26日是中国密码发展史上值得纪念的日子,经第十三届全国人大常委会第十四次会议表决通过,习近平主席签署第35号主席令,正式颁布《中华人民共和国密码法》,自2020年1月1日起正式施行。
密码是国际公认的网络空间战略资源,是保障网络空间安全的核心技术和基础支撑。在我国,机要密码曾有力确保了我党我军作战指挥、情报传递的安全畅通,为革命胜利作出卓越贡献;如今随着信息化发展,网络空间的内涵和外延都大大扩展,密码不再仅仅是军事斗争的利器,也成为保护国家安全、维护社会稳定的幕后英雄,在国民经济的方方面面均发挥着重要的安全保障作用,也促进了密码产业的发展。
密码法的颁布是我国密码工作的重要里程碑,标志着密码发展进入有法可依的时代,密码管理、科研、产业、应用、检测等环节均正式步入法制化轨道。密码应用的推进、评估和监督检查,成为国家意志的最新体现。在密码法的护航之下,密码产业即将站在新的起点启帆远航。
一
密码法对商用密码产业发展的积极影响
密码法第六条规定,国家对密码实行分类管理。第八条界定商用密码用于保护不属于国家秘密的信息,指出公民、法人和其他组织可以依法使用商用密码保护网络与信息安全,并在第三章对商用密码的管理、科研、产业、检测进行了一系列规定,明确了商用密码的法制化框架。密码法对商用密码的相关规定,对商用密码产业的发展必将产生积极而深远的影响。
充分体现放管服,制度框架下的市场化、开放化
1996年,中共中央政治局常委会议专题研究做出了有关商用密码发展和使用管理的重大决策,并下发27号文件,确定了我国商用密码的发展和管理方向的20字方针,即“统一领导、集中管理、定点研制、专控经营、满足使用”,有效推动了我国近二十年来的商用密码产业发展。
当前,商用密码已广泛应用于国民经济和社会生产生活的方方面面,国家对各行业领域商用密码的应用、基础支撑能力的提升以及安全性评估、审查制度等不断提出新的要求,以行政审批为基本手段的定点制度已经不能完全适应市场化的商用密码产业。
国家密码管理局自2015年开始,逐步取消了商用密码定点科研、生产和销售的行政审批,以产品检测认证机制严把准入关、维护市场秩序。本次颁布的密码法进一步明确了商用密码产业的市场化属性,指出要建立“健全统一、开放、竞争、有序的商用密码市场体系”,平等对待商用密码所有从业单位,鼓励与外商之间基于商业规则的合作交流,充分体现国家推行由市场配置资源,通过市场竞争促进产业能力和产品质量的持续提升的决心。
同时推进商用密码检测认证体系建设,为产业提升产品竞争力提供服务;建立事中事后监管制度,取消部分事前监管,从而缩短反应链条,实现密码产业对市场的快速响应,充分满足飞速发展的信息技术对密码的产业需求。
推进应用,拉动产业升级和技术革新
据统计,2018年全国网络安全行业总市值约510亿,与数字经济的总市值31.3万亿相比,包括密码企业在内的我国网络安全企业规模整体偏小,产业创新能力有所不足。
密码法明确了关键信息基础设施运营者应使用商用密码保护信息系统安全并实施商用密码应用安全性评估,这一举措将进一步扩展商用密码的市场容量,为密码产业链上拥有高质量密码产品或服务的从业单位提供可观的发展空间。
同时鼓励商用密码研究开发、学术交流、成果转化和推广应用,为商用密码科研、生产、销售、服务创造了良好、开放的环境。通过供需两端的同时发力,起到以应用促创新、以创新保发展的效果,长期来看将显著拉动密码产业的产业升级和技术革新。
强化监管,利于产业可持续健康发展
有效的监督管理,是市场秩序和健康发展的有力保障。密码法再次强调取消对商用密码生产、销售等环节从业企业的许可管理,而是从标准符合、产品检测认证、专用产品目录、安全审查、行业自律等多方面相结合、多手段配合的方式强化监管,充分调动商用密码行业协会的引导和监督作用,对特定重要行业的密码应用则强调密码管理部门与行业有关部门的配合监管,对商用密码活动建立日常监管和随机抽查相结合的事中事后监管制度,同步推进监管体制与社会信用体系的衔接,强化商用密码从业单位自律、社会监督。
标准化是促进产业分工、完善产业链,形成大协作、大产业的强力手段。密码法注重商用密码标准体系建设,突出标准引领作用,大力支持在国家标准、行业标准的基础上,提出更高标准的团体标准、企业标准,加大参与国际标准化活动力度,加强与国际标准的转化应用。
检测认证是严把产品质量关、维护市场健康向上的关键关口。密码法指出要推进商用密码检测认证体系建设,鼓励从业单位通过商用密码检测认证来提升产品市场竞争力,与《网络安全法》充分融合,避免重复检测认证的同时也使检测认证工作更加全面,商用密码检测认证机构获得进一步发展机遇,密码产业也将得到更加规范的发展。
二
对密码产业未来发展的思考与建议
密码法体现了国家在密码管理体制上的新思想,描绘了密码产业的新蓝图。企业是密码产业的核心力量,担负着在新的法制化框架下努力提升国家密码产业能力、助力网络强国建设的历史任务,必须大胆革新、锐意进取,将密码法的蓝图落实到祖国大地的画卷之上。为此,我们提出一些建议,供广大密码企业参考。
转变生产观念,以需求为引领大力开拓创新
密码法的出台将引动政务、电信、金融、医疗等关键领域的安全防护投资力度再次加码,从而加速商用密码应用需求的释放,应用规模将迎来快速增长。但是,随着各行业业务发展越来越多样化,对密码保障服务的需求逐渐细分,传统的“以我为中心”的产品生产组织模式已不能满足多样化的应用需求,密码机、密码卡、智能密码钥匙等传统密码产品不可能是包治百病的良药。
商用密码从业单位需要转变生产观念,学会“走出去”,深入了解应用方的业务需求,把握业务特点,针对性组织技术研发、产品研制,切实做到密码与业务的融合,提供与业务深度匹配的安全保障能力。市场化必然伴随着竞争,商用密码从业单位只有以实际业务需求为风向标,解放思想、开拓创新,不断向市场投放高质量密码产品和高品质密码服务,才能在竞争的大潮中立于不败之地。
升级经营模式,由产品供给向服务供给转变
专业化分工已经成为当今世界信息产业的特点,“由专业的团队提供专业的服务”,将用户从庞大而繁重的支撑保障任务中解放出来,集中精力于自身业务,是专业化分工时代的主流。我国商用密码产业历史上一直以产品供给为主,用户方不得不自行建设和维护密码保障体系,既耗费人力物力又欠缺专业能力,形成较大的负担,致使密码应用意愿不强。
密码法多次提到密码服务,并提出对提供密码服务的企业进行许可和认定,这是一个很明显的风向标。密码企业作为专业化密码力量,需要尽快升级经营模式,从产品交付转变到服务交付及结合产品和服务的综合性密码应用尊龙凯时最新的解决方案交付,为用户提供“一站式”专业化密码服务,减轻用户负担,提高社会生产效率。
强化产业融合,营造健康可持续发展的产业生态
密码的生态系统不是独立的,它涵盖了信息技术基础软硬件、中间件、及信息系统的集成服务和运营等。这决定了密码产业不可能游离在信息产业之外,必须实现与信息产业的深入融合、共同促进、协同发展,才能充分体现自身的社会价值。
密码企业下一步需要加强与信息产业链各环节的协作,例如与处理器芯片、操作系统、数据库、浏览器、工业控制软硬件等供应商协作研究商用密码嵌入这些信息产品的完善方案,共同设计开发新的产品。除与基础软硬件、中间件的融合外,更需与终端信息系统深度融合,使基于密码的保障能力成为信息系统的内在能力。通过密码产业与信息产业的同步共进,为信息产业打造真正的“安全港”,也保证了密码生态系统的平衡协调发展。
数字化时代的列车高速前进,云计算、大数据、物联网、移动互联网、人工智能、区块链、工业互联网等新兴领域蓬勃发展,如何做好科技列车的保障工作,密码法给了从业者及时的支撑和莫大的信心。抓住机遇,加快推进产业转型,提升服务能力,扩大市场影响,增强市场自主性,是每一个密码从业单位必须肩负的使命。