专家解读｜刘平：商用密码迎来发展新机遇 
国家信息安全工程技术研究中心 刘平

近日，国务院发布了修订后的《商用密码管理条例》（以下简称《条例》）。新修订的《商用密码管理条例》清晰界定了商用密码管理范围，合理设置了管理环节，明确了管理条件和程序，宽严有度，规范到位，对促进商用密码技术进步和商用密码产业发展具有重要意义。

一、鼓励密码科技创新，促进密码科技进步

《条例》第七条、第八条对促进商用密码科学技术创新，开展商用密码科技成果转化及成果信息管理进行了规定；第九条对商用密码技术审查鉴定进行了规定；第十条、第十一条对商用密码标准的制定、实施、监督、国际化以及法律效力进行了规定。

应用需求是商用密码科技创新的动力，不断创新才能不断进步。商用密码用于保护不属于国家秘密的信息，其应用场景往往与国家关键信息基础设施和人民群众日常生活密切相关，涵盖金融、通信、公安、税务、社保、交通、卫生健康、能源、电子政务等重要领域，在维护国家安全，促进经济社会发展，保护公民、法人和其他组织合法权益等方面发挥着重要作用。国内外日益严峻的网络安全态势，信息领域新技术、新业态、新模式的快速发展，引发了对商用密码科技创新的迫切需求，为商用密码科技创新提供了广阔舞台。

商用密码标准是合规正确有效使用密码的遵循依据，创新成果成为标准才能广泛推广。商用密码标准的作用是规范密码技术的有效使用和密码产品市场准入的检测认证。所以，为合规正确有效使用商用密码技术，研发有市场竞争力的商用密码产品，应当遵循相关标准；为使商用密码科技创新的成果广泛推广使用，应当使其成为标准。

创新成果的应用需求和创新成果没有现成标准的矛盾，是商用密码科技进步和产业化进程中始终存在的矛盾，解决矛盾的方法是促进矛盾双方主次地位的相互转化，而转化的关键环节是商用密码技术审查鉴定，审查鉴定的主体是国家密码管理部门，审查鉴定的对象和内容是“法律、行政法规和国家有关规定要求使用商用密码进行保护的网络与信息系统所使用的密码算法、密码协议、密钥管理机制等商用密码技术”。

二、建立商用密码检测认证体系，自愿检测认证与强制检测认证相结合

《条例》第十二条落实《密码法》规定的推进商用密码检测认证体系建设，鼓励商用密码从业单位自愿接受商用密码检测认证；第十三条至第十九条依法明确检测、认证机构资质审批条件、程序及其从业规范；第十七条规定实行商用密码产品、服务、管理体系的国家统一推行的自愿性认证制度；第二十条、第二十一条规定对涉及国家安全、国计民生、社会公共利益的商用密码产品和服务，实行强制性检测认证。

密码是保障信息安全的关键技术，密码发挥作用需各方参与。密码供给方把密码技术落到实处，为需求方实现密码应用提供密码支撑；密码需求方把密码技术用到实处，解决信息系统的安全问题；密码技术、密码支撑和密码应用共同作用，保障信息系统安全。密码产品和服务是指承载密码技术、实现密码功能、支撑信息系统使用密码技术的实体，密码需求方使用密码产品和服务，把密码技术落实到应用中，解决安全问题。

密码产品和服务是保障安全的实体，保障安全的实体自身应当安全。信息系统使用不安全的密码产品和服务，会比不使用带来更大的安全问题。需求方如何确定采购的密码产品和服务正确地实现了密码技术，正确地提供了密码功能，自身安全达到了预期的安全等级？商用密码从业单位不能自说自话，应当出具商用密码认证机构颁发的认证合格的证书予以证明。

放宽准入与保障安全相结合，促进商用密码产业有序健康发展。通常密码从业单位可以自主决定是否接受商用密码检测认证。当商用密码产品涉及国家安全、国计民生、社会公共利益，被列入网络关键设备和网络安全专用产品目录，或商用密码服务使用网络关键设备和网络安全专用产品，需要按照国家有关法律法规要求，由具备资格的检测认证机构检测认证合格后方可销售或者提供。

三、建立统一的电子认证信任机制，依法管理电子认证服务密码使用

《条例》依据《密码法》和《电子签名法》，在第二十二条、第二十三条中明确电子认证服务机构采用商用密码技术提供电子认证服务应具备相关条件和遵循相关法律和规范；在第二十四条至第二十八条中明确电子政务电子认证服务机构的资质申请、条件认定和从业规范等内容；在第三十条中明确了政务活动中的电子签名、电子印章、电子证照等的电子认证服务要求。

电子认证的基础是信任，信任机制的实现靠密码技术。《电子签名法》明确“可靠的电子签名与手写签名或者盖章具有同等的法律效力”。公钥密码技术的实施需要一个大家都信任的权威机构，来为大家提供“证明公钥属于谁”的服务，这个权威机构称为电子认证服务机构，不同的电子认证服务机构之间需要互信互认，上下级的电子认证服务机构需要有效管理，这个互信互认、有效管理的机制称为电子认证信任机制。《条例》明确“国家建立统一的电子认证信任机制”，并且由“国家密码管理部门负责电子认证信任源的规划和管理”。

对电子认证服务使用密码的行为依法实施管理，是《电子签名法》赋予国家密码管理部门的职能，电子认证服务机构应当按照法律、行政法规和电子认证服务密码使用技术规范、规则，使用商用密码提供电子认证服务。

从事电子政务电子认证服务的机构，应当经国家密码管理部门认定。对电子政务电子认证服务使用密码和提供服务的行为依法实施管理，是《密码法》赋予国家密码管理部门的职能，电子政务电子认证服务机构应当依法取得电子政务电子认证服务机构资质，并应当按照法律、行政法规和电子政务电子认证服务技术规范、规则，在批准范围内提供电子政务电子认证服务。

采用非证书机制的电子认证服务，也应依法纳入管理。当前，电子认证服务使用的密码技术规范，均是采用基于数字证书机制的技术规范，而随着物联网、车联网、工业互联网等新业态的密码应用需求，采用SM9标识密码算法或基于SM2密码算法的非证书机制的电子认证服务应用也会不断发展。随着技术的不断完善、相关标准的研制和发布，采用这类技术规范的电子认证服务的规范管理也应提上日程。

四、促进密码技术应用，保障网络与信息安全

《条例》突出促进应用、保障安全的导向，第三十五条、第三十六条鼓励公民、法人和其他组织依法使用商用密码；第三十八条、第三十九条明确关键信息基础设施商用密码使用和安全性评估要求，同时第四十条明确关键信息基础设施的商用密码国家安全审查要求。

密码应用，是密码需求方用密码技术解决安全问题的过程。密码无处不在，任何网络与信息系统都可以使用密码技术满足机密性、真实性、完整性、不可否认性的安全需求。网络与信息系统的运营者可以使用经检测认证合格的密码产品和服务，遵循密码国家标准和行业标准，针对网络与信息系统的安全需求，制定密码应用方案，按照“三同步一评估”原则，同步规划、同步建设、同步运行密码保障系统，定期开展商用密码应用安全性评估。

密码应用方式，包括对业务应用透明和非透明两种。对业务应用透明的密码应用方式，一般用于保护网络与信息系统的物理环境、网络环境、计算环境和存储环境的安全，密码应用的重点是根据实际环境及安全需求，部署和管理密码产品，使其发挥作用；对业务应用非透明的密码应用方式，主要用于保障承载在计算环境上的业务应用的安全，包括用户和管理人员的身份真实性及行为的不可否认性、重要数据的机密性和完整性、重要业务流程和重要业务对象的安全性等，密码应用的特点是调用密码功能，使用密码技术，解决业务应用安全问题。

密码内生方式，包括密码资源内生和密码应用内生两种。内生安全、密码内生，近来呼声比较多，个人认为主要有两种内生方式：一是密码资源内生的方式，主要是在CPU、操作系统、数据库、浏览器等信息化产品中，内置密码算法及相关密钥管理等密码资源，用于产品自身安全或实现特定安全功能，该密码资源是产品自己用的，一般不会透出为其他应用服务。二是密码应用内生的方式，主要是在业务系统研发期间就把密码应用集成在内，通过接口调用外部密码资源提供的密码功能，成为安全的业务系统。

密码应用安全性评估，是对商用密码使用环节的监管。密码应用安全性评估的对象是网络与信息系统采用商用密码技术、产品和服务；评估的内容是按照商用密码管理政策和相关密码标准，对其密码应用的合规性、正确性、有效性进行评估；对于关键信息基础设施等重要网络与信息系统，评估通过后方可投入运行，运行后每年至少进行一次评估，评估情况报送国家密码管理部门或者关键信息基础设施所在地省、自治区、直辖市密码管理部门备案；开展商用密码应用安全性评估的检测机构应当经国家密码管理部门认定，依法取得商用密码检测机构资质。

五、结束语

《条例》的修订发布和实施，是商用密码发展史上的一件大事，对商用密码的发展有深远的意义。商用密码从业单位应认真研读，仔细领会，严格遵守。