【精读】2023网信自主创新调研报告-商用密码

admin

138717
文章

114
评论

2024年5月14日17:55:50评论46 views字数 4629阅读15分25秒阅读模式

【精读】2023网信自主创新调研报告-商用密码

经过7个多月的调研和分析整理工作，《2023网信自主创新调研报告》如期和读者见面了。如果说第一年参与调研和报告编写工作是出于兴趣，第二年、第三年是出于情怀，那么连续6年参与这项工作就变成了一种责任。编委会将把这项工作坚持做下去。

从今天开始，“自主创新如是说”将对报告的各个章节进行连载，希望对读者有提供有益的帮助。

第十一章

商用密码

《2023网信自主创新调研报告》

商用密码产业规模整体呈上升趋势。数据显示，2021年我国商用密码行业市场规模 585 亿元，2017-2021年复合增长率为 25.08%，增速高于全球水平。预计2023年市场规模将达到 985.85 亿元，同比增长 39.32%。在有关政策的带动下，国家鼓励密码技术与云计算、大数据、物联网、车联网等新兴技术融合，并发挥安全的基础支撑作用。目前，商用密码在部分领域初步实现了与应用场景的融合。然而，由于行业的特殊性、专业性和复杂性，商用密码产品和服务在与行业应用相融合的过程中面临着较大的挑战。

11.1

商用密码产品在行业

应用推广中面临挑战

11.1.1

政策法规不完全适应

行业发展需求

商用密码产业和应用具有明显的政策导向性。我国在多部法律法规中明确规定了商用密码应用要求，形成了一套全面的商用密码应用政策法规体系。

现行的政策法规标准在指导商用密码在行业的应用上仍存在针对性和有效性不足的问题。如各行业商用密码应用相关标准体系暂未构建，针对具体细分行业属性制定的密码应用标准尚不健全，尤其是关键信息基础设施密码应用标准编研工作进程需加快。其中主要问题聚焦在政策针对性低、管理机制弱、标准规划不完善、组织环境变化等方面，导致行业用户在缺乏指引的情况下，采用模板化的解决方案，或照搬其他单位的经验或方法。

另外，政策标准在规划制定阶段没有深入考虑企业经营情况和周边环境问题，由于政策施行不到位导致的管理机制不完善，以及组织环境的快速变化导致政策法规标准更新滞后等情况，也是影响商用密码在重点行业应用的现实问题。

11.1.2

复杂化应用场景对商密技术

提出更高要求

商用密码的应用主要集中在对信息安全具有较高要求的行业领域。近年来随着高新技术的发展，各行业领域均引入了全新的技术手段来提升其行业竞争力，行业应用场景的复杂性和安全性要求快速增长，对商用密码的应用需求呈现出常态化、多样化的特点。5G、云计算、大数据等技术衍生出海量数据存储、传输、处理的需求，目前在这些场景下缺乏商用密码高效的解决方案。在物联网领域，各类不同设备的密码应用上，存在接口、协议不通用的问题，同时，设备在控制改造成本的前提下如何方便快捷地融合密码技术也是迫切需要解决的问题。人工智能技术的发展，同样也包含了大数据等技术的应用，想要计算机达到类人的处理能力，需要在极短时间内对环境因素等进行大量运算，在处理的同时保护数据需要同态加密等隐私计算技术进一步发展。目前针对这些场景的商用密码应用还远远不足，如何紧跟快速发展的信息技术推出符合行业应用场景需求的商用密码技术和产品，实现商密产品的进一步创新是密码行业发展中急需解决的问题。

11.1.3

密码人才队伍有缺口

密码技术的应用推广离不开密码人才队伍的支撑。在商用密码产业快速发展的大背景下，培育一支规模和质量相匹配的密码人才队伍十分必要。然而，我国密码人才队伍的现状还远远不能满足信息化和数字经济发展的迫切需要。供给侧，密码企业的扩张、传统安全厂商的转型，都需要密码专业人才的支撑，而现实的情况是密码专业人才的培养跟不上产业的快速发展。需求侧，绝大多数从业人员对密码的认知还处于相对较浅的阶段，不可避免地导致了密码建设不规范不完善，资源浪费、工作效率低等情况。这从客观上对商用密码的应用推广造成了一定的阻力。

11.2

商用密码发展需要

全方位思考

11.2.1

行业标准中需要明确

商用密码的定位

当前的商用密码标准规范主要聚焦于商用密码技术维度，包括商用密码基础类标准、基础设施类标准、产品类标准、应用支撑类标准、应用类标准和检测类标准。相对于技术标准，商用密码在行业应用维度的标准化工作有所滞后，导致商用密码应用工作缺乏指引。

不同行业的应用存在差异，商用密码的应用需要贴合场景，与场景中的具体业务相结合才能发挥密码的保护作用。因此，需要持续关注商用密码的应用问题，明确商用密码应用在行业标准中的定位:推广可参考的标准规范，为商用密码应用提供指导:通过广泛地试验、验证、修订和完善标准形成行业共识，推进商用密码在各个重点行业的应用工作。

一些行业已经注意到这一问题。2023年1月，中国通信标准化协会成立了通信网商用密码应用特色任务组(ST10)旨在统筹通信网商用密码应用技术标准发展，引导和促进商用密码技术在通信网的有序应用，提升我国通信网商用密码应用保障能力和水平。

11.2.2

供给侧需要服务思维，

在融合创新上下功夫

当前，商用密码产业的供给模式仍以产品为主，通过“外挂式”、“打补丁”的方式给信息系统提供密码支持。由于密码产品只是提供基础的密码服务，如何与信息系统相结合，与数据安全真正互动起来，需要大量软件和中间件的研发工作这是密码服务的核心内容。缺乏服务思维在客观上造成了两方面的后果:一是厂商同质化竞争，低水平重复;二是一体化、服务化密码能力供给不足。在物联网、大数据、人工智能等应用场景中，密码技术和产品缺乏与行业深度融合，导致通用产品无法满足实际业务需求，带来安全问题和大量密码产品的闲置。因此，供给侧亟需“破局”式转型升级，从产品思维向服务思维转变，从粗放发展到精细耕作升级。

11.2.3

密码人才培养需要实现体系化

在密码人才培养方面，现有的培养体系尚不完善。高校的密码人才培养侧重理论研究，在工程和应用方面相对不足导致基础研究人员多、工程技术人员少，研发人员多、应用人员少，这与国内密码产业发展的局面形成反差。因此，必须加强顶层设计，从基础理论、技术研发、工程应用、评测管理等方面培养一大批密码专门人才，才能满足商用密码推广应用的迫切需要。

在培养密码学历人才的同时，为尽快解决密码应用快速推进面临的人才紧缺问题，在职人员密码培训和评价也尤为重要。当前我国大多数商用密码从业人员都是因工作需要才从事密码工作，接受过密码专业全日制教育的人员不足 20%。密码从业人员专业性不足、知识深度不够、系统性不强，高端技术人才和管理人才紧缺。因此，需要结合实际工作需求研究建立相应的在职密码人才培训课程体系，建立不同层次密码人才的评价标准，在必要的岗位对人员资质提出准入要。

11.3

体系化保障措施助力建

设商用密码发展快车道

11.3.1

完善行业标准，

推动密码应用快速普及

加强商用密码标准化工作总体研究和规划布局，不断完善商用密码标准体系。坚持急用先行，紧扣国家新技术新业态新应用的重大战略部署，开展配套商用密码标准研制，提升商用密码标准对国家重大战略实施的服务保障能力。加大商用密码检测和监管部门对密码技术创新和应用创新提供政策上的支持，缩短商业化应用周期，降低企业成本。加大商用密码标准宣贯力度，组织开展应用培训，引导企业知标准、懂标准、用标准。推动“产学研用测”优势资源开展供需对接，鼓励在商用密码活动中采用商用密码推荐性国家标准行业标准，提升商用密码产品和服务的安全防护能力。建立商用密码标准实施信息反馈和评估机制，遴选优秀试点企业和示范项目，提升标准应用价值与实施效果，形成一批可复制、可推广的行业应用解决方案。

11.3.2

密码与新技术融合，

为行业安全护航

坚持应用导向，坚持需求拉动与技术驱动相结合，加强密码前瞻性、基础性、通用性技术研究攻关，大力推进行业应用场景中的商用密码深度应用。目前，我国在密码算法产品认证、应用推广和检测规范等方面均取得了显著成果在新型密码算法上已经达到国际先进水平。在基础密码应用领域，应进一步提升密码产品的通用性、好用性，通用性保证密码产品互联互通以及平滑升级换代问题，好用性保证密码体系建设完成后，能够在不影响业务正常流转的前提下提高系统的安全性。在大数据领域，应聚焦密码相关软硬件的性能提升问题，以密码卡等硬件为基础、密码应用等软件为支撑，切实提高密码使用效率，以适应海量数据场景下的安全需求。在物联网领域，应先解构场景需求，再对技术和产品进行有关联性的迭代，提高密码和设备的兼容性，对不同场景做针对性设计，避免为了创新而创新。

11.3.3

多元化培养模式为产业

和行业输送密码人才

一是加强产教融合，建立密码人才实践能力培养体系。密码深度融入信息系统设计、开发、建设、运维、管理、评测的各个环节，需要大量具有工程实践能力的专业人才。商用密码企业在生产运营中直接面对应用需求，对人才能力的需求有着最直接的了解。因此，在密码人才培养过程中应当充分发挥密码企业的优势，通过构建实验系统、提供实习岗位等方式使人才培养更加贴近产业和行业需求。

二是加强科研机构和行业协会在培养密码人才中的纽带作用。通过举办密码应用和技术创新比赛等方式，加大密码产学研用各方交流力度，发掘和储备行业密码应用人才，同时，在兼顾创新性与实用性的基础上，瞄准某个行业痛点做深入研究，有助于促进密码的创新应用与推广。