随着数字经济深入发展,数据安全、个人信息保护、关键信息基础设施安全等问题日益凸显。在这一背景下,商用密码作为网络安全的核心技术,在本次宣传周被广泛强调为保障网络与数据安全的基础支撑。
我国密码法规体系历经二十余年发展,已形成以《密码法》为核心,《商用密码管理条例》为主干,多项部门规章和标准规范为支撑的完整法律体系。这一体系不仅为我国密码事业发展提供了法治保障,更为全球密码治理贡献了中国智慧。
2019年10月26日,《中华人民共和国密码法》正式颁布,自2020年1月1日起施行。这部法律首次从国家层面确立了密码工作的领导管理体制和分类管理原则,将密码分为核心密码、普通密码和商用密码三类,明确了对各类密码实行分类管理的要求,就像是给安全防护分了不同的“岗位”。
核心密码&普通密码:相当于“国家秘密守护者”,专门保护党、政、军涉密信息;
商用密码:商用密码是我们身边的“安全卫士”,覆盖包括像金融支付、工业互联网、家居设备组网、电子政务等各类信息保护场景,守护信息加密安全。《密码法》明确要求其符合国家标准,杜绝“劣质防护”。
《密码法》的颁布实施标志着我国密码工作进入法治化轨道。2023年新修订的《商用密码管理条例》进一步细化了管理制度,条例要求建立商用密码应用促进协调机制,制定和完善商用密码应用标准规范。
值得注意的是,2024年发布的《商用密码应用安全性评估管理办法》对密评工作提出了更为具体的要求,规定关键信息基础设施和网络安全等级保护第三级及以上系统必须定期开展密评。
在标准体系方面,国家密码管理局已发布近百项密码行业标准,涵盖算法应用、技术实现、检测评估等多个方面。
密码技术并非简单的"加密解密",而是一个完整的安全保障体系。现代密码学主要包括对称密码、非对称密码和密码杂凑算法三大类。
我国自主研制的SM系列商用密码算法已形成完整体系:
这些算法不仅在安全性上达到国际先进水平,更在效率方面具有明显优势。以SM2算法为例,其安全性比RSA算法更高,而密钥长度更短,计算速度更快,特别适合移动互联网和物联网等资源受限环境。
从技术架构看,一个完整的密码系统包括密码算法、密钥管理、证书认证和安全协议四个关键要素。其中密钥管理是密码安全的核心,需要实现密钥的全生命周期管理,包括生成、存储、使用、归档和销毁等环节。
商用密码应用安全性评估(简称"密评")是检测评估商用密码应用是否合规、正确、有效的关键手段。
密评制度要求关键信息基础设施、网络安全等级保护第三级及以上信息系统、国家政务信息系统等,必须通过商用密码应用安全性评估。评估内容涵盖物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全四个层面。
密评过程包括方案评估、系统测评和综合评估三个阶段,由具备资质的密评机构组织实施。通过密评的信息系统将获得检测报告,未通过的需要限期整改。
这一制度既是对密码应用情况的"健康体检",也是推动密码技术深度应用的重要抓手。据统计,目前我国已有数百家单位通过了密评,覆盖政务、金融、能源、交通等重要行业领域。
2025年,密评工作呈现出新的特点:一是评估范围进一步扩大,新增了对人工智能系统和物联网系统的密码应用要求;二是评估标准更加细化,新增了20多项具体技术指标;三是评估方法更加科学,引入了自动化测试工具和人工智能辅助分析系统。
