近日，國務(wù)院發(fā)布了修訂后的《商用密碼管理條例》（以下簡稱《條例》）。新修訂的《商用密碼管理條例》清晰界定了商用密碼管理范圍，合理設(shè)置了管理環(huán)節(jié)，明確了管理條件和程序，寬嚴(yán)有度，規(guī)范到位，對促進(jìn)商用密碼技術(shù)進(jìn)步和商用密碼產(chǎn)業(yè)發(fā)展具有重要意義。

一、鼓勵密碼科技創(chuàng)新，促進(jìn)密碼科技進(jìn)步

《條例》第七條、第八條對促進(jìn)商用密碼科學(xué)技術(shù)創(chuàng)新，開展商用密碼科技成果轉(zhuǎn)化及成果信息管理進(jìn)行了規(guī)定；第九條對商用密碼技術(shù)審查鑒定進(jìn)行了規(guī)定；第十條、第十一條對商用密碼標(biāo)準(zhǔn)的制定、實施、監(jiān)督、國際化以及法律效力進(jìn)行了規(guī)定。

應(yīng)用需求是商用密碼科技創(chuàng)新的動力，不斷創(chuàng)新才能不斷進(jìn)步。商用密碼用于保護(hù)不屬于國家秘密的信息，其應(yīng)用場景往往與國家關(guān)鍵信息基礎(chǔ)設(shè)施和人民群眾日常生活密切相關(guān)，涵蓋金融、通信、公安、稅務(wù)、社保、交通、衛(wèi)生健康、能源、電子政務(wù)等重要領(lǐng)域，在維護(hù)國家安全，促進(jìn)經(jīng)濟(jì)社會發(fā)展，保護(hù)公民、法人和其他組織合法權(quán)益等方面發(fā)揮著重要作用。國內(nèi)外日益嚴(yán)峻的網(wǎng)絡(luò)安全態(tài)勢，信息領(lǐng)域新技術(shù)、新業(yè)態(tài)、新模式的快速發(fā)展，引發(fā)了對商用密碼科技創(chuàng)新的迫切需求，為商用密碼科技創(chuàng)新提供了廣闊舞臺。

商用密碼標(biāo)準(zhǔn)是合規(guī)正確有效使用密碼的遵循依據(jù)，創(chuàng)新成果成為標(biāo)準(zhǔn)才能廣泛推廣。商用密碼標(biāo)準(zhǔn)的作用是規(guī)范密碼技術(shù)的有效使用和密碼產(chǎn)品市場準(zhǔn)入的檢測認(rèn)證。所以，為合規(guī)正確有效使用商用密碼技術(shù)，研發(fā)有市場競爭力的商用密碼產(chǎn)品，應(yīng)當(dāng)遵循相關(guān)標(biāo)準(zhǔn)；為使商用密碼科技創(chuàng)新的成果廣泛推廣使用，應(yīng)當(dāng)使其成為標(biāo)準(zhǔn)。

創(chuàng)新成果的應(yīng)用需求和創(chuàng)新成果沒有現(xiàn)成標(biāo)準(zhǔn)的矛盾，是商用密碼科技進(jìn)步和產(chǎn)業(yè)化進(jìn)程中始終存在的矛盾，解決矛盾的方法是促進(jìn)矛盾雙方主次地位的相互轉(zhuǎn)化，而轉(zhuǎn)化的關(guān)鍵環(huán)節(jié)是商用密碼技術(shù)審查鑒定，審查鑒定的主體是國家密碼管理部門，審查鑒定的對象和內(nèi)容是“法律、行政法規(guī)和國家有關(guān)規(guī)定要求使用商用密碼進(jìn)行保護(hù)的網(wǎng)絡(luò)與信息系統(tǒng)所使用的密碼算法、密碼協(xié)議、密鑰管理機(jī)制等商用密碼技術(shù)”。

二、建立商用密碼檢測認(rèn)證體系，自愿檢測認(rèn)證與強(qiáng)制檢測認(rèn)證相結(jié)合

《條例》第十二條落實《密碼法》規(guī)定的推進(jìn)商用密碼檢測認(rèn)證體系建設(shè)，鼓勵商用密碼從業(yè)單位自愿接受商用密碼檢測認(rèn)證；第十三條至第十九條依法明確檢測、認(rèn)證機(jī)構(gòu)資質(zhì)審批條件、程序及其從業(yè)規(guī)范；第十七條規(guī)定實行商用密碼產(chǎn)品、服務(wù)、管理體系的國家統(tǒng)一推行的自愿性認(rèn)證制度；第二十條、第二十一條規(guī)定對涉及國家安全、國計民生、社會公共利益的商用密碼產(chǎn)品和服務(wù)，實行強(qiáng)制性檢測認(rèn)證。

密碼是保障信息安全的關(guān)鍵技術(shù)，密碼發(fā)揮作用需各方參與。密碼供給方把密碼技術(shù)落到實處，為需求方實現(xiàn)密碼應(yīng)用提供密碼支撐；密碼需求方把密碼技術(shù)用到實處，解決信息系統(tǒng)的安全問題；密碼技術(shù)、密碼支撐和密碼應(yīng)用共同作用，保障信息系統(tǒng)安全。密碼產(chǎn)品和服務(wù)是指承載密碼技術(shù)、實現(xiàn)密碼功能、支撐信息系統(tǒng)使用密碼技術(shù)的實體，密碼需求方使用密碼產(chǎn)品和服務(wù)，把密碼技術(shù)落實到應(yīng)用中，解決安全問題。

密碼產(chǎn)品和服務(wù)是保障安全的實體，保障安全的實體自身應(yīng)當(dāng)安全。信息系統(tǒng)使用不安全的密碼產(chǎn)品和服務(wù)，會比不使用帶來更大的安全問題。需求方如何確定采購的密碼產(chǎn)品和服務(wù)正確地實現(xiàn)了密碼技術(shù)，正確地提供了密碼功能，自身安全達(dá)到了預(yù)期的安全等級？商用密碼從業(yè)單位不能自說自話，應(yīng)當(dāng)出具商用密碼認(rèn)證機(jī)構(gòu)頒發(fā)的認(rèn)證合格的證書予以證明。

放寬準(zhǔn)入與保障安全相結(jié)合，促進(jìn)商用密碼產(chǎn)業(yè)有序健康發(fā)展。通常密碼從業(yè)單位可以自主決定是否接受商用密碼檢測認(rèn)證。當(dāng)商用密碼產(chǎn)品涉及國家安全、國計民生、社會公共利益，被列入網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品目錄，或商用密碼服務(wù)使用網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品，需要按照國家有關(guān)法律法規(guī)要求，由具備資格的檢測認(rèn)證機(jī)構(gòu)檢測認(rèn)證合格后方可銷售或者提供。

三、建立統(tǒng)一的電子認(rèn)證信任機(jī)制，依法管理電子認(rèn)證服務(wù)密碼使用

《條例》依據(jù)《密碼法》和《電子簽名法》，在第二十二條、第二十三條中明確電子認(rèn)證服務(wù)機(jī)構(gòu)采用商用密碼技術(shù)提供電子認(rèn)證服務(wù)應(yīng)具備相關(guān)條件和遵循相關(guān)法律和規(guī)范；在第二十四條至第二十八條中明確電子政務(wù)電子認(rèn)證服務(wù)機(jī)構(gòu)的資質(zhì)申請、條件認(rèn)定和從業(yè)規(guī)范等內(nèi)容；在第三十條中明確了政務(wù)活動中的電子簽名、電子印章、電子證照等的電子認(rèn)證服務(wù)要求。

電子認(rèn)證的基礎(chǔ)是信任，信任機(jī)制的實現(xiàn)靠密碼技術(shù)。《電子簽名法》明確“可靠的電子簽名與手寫簽名或者蓋章具有同等的法律效力”。公鑰密碼技術(shù)的實施需要一個大家都信任的權(quán)威機(jī)構(gòu)，來為大家提供“證明公鑰屬于誰”的服務(wù)，這個權(quán)威機(jī)構(gòu)稱為電子認(rèn)證服務(wù)機(jī)構(gòu)，不同的電子認(rèn)證服務(wù)機(jī)構(gòu)之間需要互信互認(rèn)，上下級的電子認(rèn)證服務(wù)機(jī)構(gòu)需要有效管理，這個互信互認(rèn)、有效管理的機(jī)制稱為電子認(rèn)證信任機(jī)制。《條例》明確“國家建立統(tǒng)一的電子認(rèn)證信任機(jī)制”，并且由“國家密碼管理部門負(fù)責(zé)電子認(rèn)證信任源的規(guī)劃和管理”。

對電子認(rèn)證服務(wù)使用密碼的行為依法實施管理，是《電子簽名法》賦予國家密碼管理部門的職能，電子認(rèn)證服務(wù)機(jī)構(gòu)應(yīng)當(dāng)按照法律、行政法規(guī)和電子認(rèn)證服務(wù)密碼使用技術(shù)規(guī)范、規(guī)則，使用商用密碼提供電子認(rèn)證服務(wù)。

從事電子政務(wù)電子認(rèn)證服務(wù)的機(jī)構(gòu)，應(yīng)當(dāng)經(jīng)國家密碼管理部門認(rèn)定。對電子政務(wù)電子認(rèn)證服務(wù)使用密碼和提供服務(wù)的行為依法實施管理，是《密碼法》賦予國家密碼管理部門的職能，電子政務(wù)電子認(rèn)證服務(wù)機(jī)構(gòu)應(yīng)當(dāng)依法取得電子政務(wù)電子認(rèn)證服務(wù)機(jī)構(gòu)資質(zhì)，并應(yīng)當(dāng)按照法律、行政法規(guī)和電子政務(wù)電子認(rèn)證服務(wù)技術(shù)規(guī)范、規(guī)則，在批準(zhǔn)范圍內(nèi)提供電子政務(wù)電子認(rèn)證服務(wù)。

采用非證書機(jī)制的電子認(rèn)證服務(wù)，也應(yīng)依法納入管理。當(dāng)前，電子認(rèn)證服務(wù)使用的密碼技術(shù)規(guī)范，均是采用基于數(shù)字證書機(jī)制的技術(shù)規(guī)范，而隨著物聯(lián)網(wǎng)、車聯(lián)網(wǎng)、工業(yè)互聯(lián)網(wǎng)等新業(yè)態(tài)的密碼應(yīng)用需求，采用SM9標(biāo)識密碼算法或基于SM2密碼算法的非證書機(jī)制的電子認(rèn)證服務(wù)應(yīng)用也會不斷發(fā)展。隨著技術(shù)的不斷完善、相關(guān)標(biāo)準(zhǔn)的研制和發(fā)布，采用這類技術(shù)規(guī)范的電子認(rèn)證服務(wù)的規(guī)范管理也應(yīng)提上日程。

四、促進(jìn)密碼技術(shù)應(yīng)用，保障網(wǎng)絡(luò)與信息安全

《條例》突出促進(jìn)應(yīng)用、保障安全的導(dǎo)向，第三十五條、第三十六條鼓勵公民、法人和其他組織依法使用商用密碼；第三十八條、第三十九條明確關(guān)鍵信息基礎(chǔ)設(shè)施商用密碼使用和安全性評估要求，同時第四十條明確關(guān)鍵信息基礎(chǔ)設(shè)施的商用密碼國家安全審查要求。

密碼應(yīng)用，是密碼需求方用密碼技術(shù)解決安全問題的過程。密碼無處不在，任何網(wǎng)絡(luò)與信息系統(tǒng)都可以使用密碼技術(shù)滿足機(jī)密性、真實性、完整性、不可否認(rèn)性的安全需求。網(wǎng)絡(luò)與信息系統(tǒng)的運(yùn)營者可以使用經(jīng)檢測認(rèn)證合格的密碼產(chǎn)品和服務(wù)，遵循密碼國家標(biāo)準(zhǔn)和行業(yè)標(biāo)準(zhǔn)，針對網(wǎng)絡(luò)與信息系統(tǒng)的安全需求，制定密碼應(yīng)用方案，按照“三同步一評估”原則，同步規(guī)劃、同步建設(shè)、同步運(yùn)行密碼保障系統(tǒng)，定期開展商用密碼應(yīng)用安全性評估。

密碼應(yīng)用方式，包括對業(yè)務(wù)應(yīng)用透明和非透明兩種。對業(yè)務(wù)應(yīng)用透明的密碼應(yīng)用方式，一般用于保護(hù)網(wǎng)絡(luò)與信息系統(tǒng)的物理環(huán)境、網(wǎng)絡(luò)環(huán)境、計算環(huán)境和存儲環(huán)境的安全，密碼應(yīng)用的重點是根據(jù)實際環(huán)境及安全需求，部署和管理密碼產(chǎn)品，使其發(fā)揮作用；對業(yè)務(wù)應(yīng)用非透明的密碼應(yīng)用方式，主要用于保障承載在計算環(huán)境上的業(yè)務(wù)應(yīng)用的安全，包括用戶和管理人員的身份真實性及行為的不可否認(rèn)性、重要數(shù)據(jù)的機(jī)密性和完整性、重要業(yè)務(wù)流程和重要業(yè)務(wù)對象的安全性等，密碼應(yīng)用的特點是調(diào)用密碼功能，使用密碼技術(shù)，解決業(yè)務(wù)應(yīng)用安全問題。

密碼內(nèi)生方式，包括密碼資源內(nèi)生和密碼應(yīng)用內(nèi)生兩種。內(nèi)生安全、密碼內(nèi)生，近來呼聲比較多，個人認(rèn)為主要有兩種內(nèi)生方式：一是密碼資源內(nèi)生的方式，主要是在CPU、操作系統(tǒng)、數(shù)據(jù)庫、瀏覽器等信息化產(chǎn)品中，內(nèi)置密碼算法及相關(guān)密鑰管理等密碼資源，用于產(chǎn)品自身安全或?qū)崿F(xiàn)特定安全功能，該密碼資源是產(chǎn)品自己用的，一般不會透出為其他應(yīng)用服務(wù)。二是密碼應(yīng)用內(nèi)生的方式，主要是在業(yè)務(wù)系統(tǒng)研發(fā)期間就把密碼應(yīng)用集成在內(nèi)，通過接口調(diào)用外部密碼資源提供的密碼功能，成為安全的業(yè)務(wù)系統(tǒng)。

密碼應(yīng)用安全性評估，是對商用密碼使用環(huán)節(jié)的監(jiān)管。密碼應(yīng)用安全性評估的對象是網(wǎng)絡(luò)與信息系統(tǒng)采用商用密碼技術(shù)、產(chǎn)品和服務(wù)；評估的內(nèi)容是按照商用密碼管理政策和相關(guān)密碼標(biāo)準(zhǔn)，對其密碼應(yīng)用的合規(guī)性、正確性、有效性進(jìn)行評估；對于關(guān)鍵信息基礎(chǔ)設(shè)施等重要網(wǎng)絡(luò)與信息系統(tǒng)，評估通過后方可投入運(yùn)行，運(yùn)行后每年至少進(jìn)行一次評估，評估情況報送國家密碼管理部門或者關(guān)鍵信息基礎(chǔ)設(shè)施所在地省、自治區(qū)、直轄市密碼管理部門備案；開展商用密碼應(yīng)用安全性評估的檢測機(jī)構(gòu)應(yīng)當(dāng)經(jīng)國家密碼管理部門認(rèn)定，依法取得商用密碼檢測機(jī)構(gòu)資質(zhì)。

五、結(jié)束語

《條例》的修訂發(fā)布和實施，是商用密碼發(fā)展史上的一件大事，對商用密碼的發(fā)展有深遠(yuǎn)的意義。商用密碼從業(yè)單位應(yīng)認(rèn)真研讀，仔細(xì)領(lǐng)會，嚴(yán)格遵守。