未來(lái)密碼產(chǎn)業(yè)發(fā)展如何護(hù)航網(wǎng)絡(luò)安全?
編輯:2023-06-30 14:17:28
黨的二十大提出,我國(guó)要加快建設(shè)制造強(qiáng)國(guó)、網(wǎng)絡(luò)強(qiáng)國(guó)、數(shù)字中國(guó)。國(guó)家層面積極推動(dòng)數(shù)字經(jīng)濟(jì)發(fā)展,促進(jìn)密碼與數(shù)字經(jīng)濟(jì)、數(shù)字政府、數(shù)字社會(huì)的融合應(yīng)用。不斷筑牢密碼安全防線,保障國(guó)家經(jīng)濟(jì)發(fā)展,成為時(shí)代賦予密碼從業(yè)人員的新使命。
在2019年之前密碼產(chǎn)業(yè)主要以政策驅(qū)動(dòng)為主,隨著《密碼法》《數(shù)據(jù)安全法》《個(gè)人隱私保護(hù)法》在陸續(xù)發(fā)布,我國(guó)安全法律制度體系已基本形成;同時(shí)基于近年產(chǎn)業(yè)對(duì)用戶的持續(xù)普及,用密碼技術(shù)保障信息系統(tǒng)安全逐步成為共識(shí)。 2019年等保2.0政策的發(fā)布,增大了等保的保護(hù)范圍,提高了測(cè)評(píng)及格線,引領(lǐng)等級(jí)保護(hù)市場(chǎng)高速增長(zhǎng),存量信息系統(tǒng)的改造,疊加新建信息系統(tǒng)的建設(shè),均逐步接受密碼應(yīng)用安全性評(píng)估,產(chǎn)業(yè)發(fā)展從政策驅(qū)動(dòng)走向需求釋放,逐步形成了“應(yīng)用-反饋-迭代調(diào)優(yōu)-再應(yīng)用”正向循環(huán)。 產(chǎn)業(yè)的快速發(fā)展,也使得諸多網(wǎng)安企業(yè)進(jìn)入,對(duì)原中小型企業(yè)為主體的密碼產(chǎn)業(yè)形成了一定沖擊,但真正具備上下游全產(chǎn)業(yè)鏈開(kāi)發(fā)能力的商密企業(yè)仍較為稀缺,多數(shù)密碼企業(yè)僅有2-3款產(chǎn)品,不具備系統(tǒng)服務(wù)能力和全線解決能力。
密碼算法和產(chǎn)品的自主可控一直都是我國(guó)信息安全的重中之重。在信創(chuàng)戰(zhàn)略的持續(xù)牽引下,我國(guó)密碼算法、技術(shù)應(yīng)用已逐步擺脫對(duì)外部的依賴,實(shí)現(xiàn)了自主可控。 目前信創(chuàng)產(chǎn)業(yè)頂層規(guī)劃及產(chǎn)業(yè)環(huán)境已經(jīng)趨于成熟,正在進(jìn)入高速發(fā)展期,密碼作為網(wǎng)絡(luò)信息安全的核心技術(shù)和基礎(chǔ)支撐,在信創(chuàng)體系中的地位也是舉足輕重的。 在算法方面,我國(guó)自主設(shè)計(jì)的SM系列算法,已經(jīng)覆蓋了從對(duì)稱密碼算法、公鑰密碼算法、雜湊算法、標(biāo)識(shí)密碼算法等密碼技術(shù)體系,在有關(guān)部門的推動(dòng)下,密碼標(biāo)準(zhǔn)、協(xié)議規(guī)范已逐步成熟和完善。 在技術(shù)應(yīng)用方面,我國(guó)在密碼芯片、密碼模塊以及密碼板卡等產(chǎn)業(yè)鏈上游,已基本實(shí)現(xiàn)自主可控,完成了從基本可用到基本好用的跨越,但在應(yīng)用技術(shù)領(lǐng)域的投入仍顯不足,還需加強(qiáng)牽引作用。 在工業(yè)互聯(lián)網(wǎng)、云計(jì)算、大數(shù)據(jù)、區(qū)塊鏈、人工智能等新技術(shù)、新業(yè)態(tài)的融合下,密碼的存在形式、產(chǎn)品形態(tài)、服務(wù)方式發(fā)生著快速變化,同時(shí)伴隨著數(shù)據(jù)安全需求的泛在化,密碼應(yīng)用泛在化趨勢(shì)明顯。與此對(duì)應(yīng),商用密碼行業(yè)規(guī)模也在持續(xù)增長(zhǎng),產(chǎn)業(yè)規(guī)模整體呈上升趨勢(shì)。 近兩年在新冠疫情的客觀環(huán)境下,我國(guó)商用密碼產(chǎn)業(yè)仍取得了高速發(fā)展,產(chǎn)業(yè)在政策環(huán)境與市場(chǎng)需求的共同作用下,保持了高速增長(zhǎng),2021年更是達(dá)到了585億元,預(yù)計(jì)2025年商用密碼行業(yè)規(guī)模有望達(dá)到937.5億元,從行業(yè)分布來(lái)看,黨政、金融、電信仍是三大市場(chǎng),并且保持25%左右的增速。
隨著產(chǎn)業(yè)支撐要求的不斷提升,我們商用密碼產(chǎn)品自主創(chuàng)新能力持續(xù)加強(qiáng),部分產(chǎn)品性能已達(dá)到國(guó)際先進(jìn)水平,截至目前,我國(guó)商密產(chǎn)品已有3000余款,其中2200余款產(chǎn)品取得了產(chǎn)品認(rèn)證,覆蓋了芯片、板卡、模塊、軟件、系統(tǒng)、整機(jī)全產(chǎn)業(yè)鏈。 此外隨著5G、物聯(lián)網(wǎng)等新技術(shù)為代表的新興技術(shù)基礎(chǔ)設(shè)施建設(shè),重新定義了數(shù)字化的生產(chǎn)、生活場(chǎng)景。新基建呈現(xiàn)出的設(shè)備多樣化、通信IP化、數(shù)據(jù)開(kāi)放化、算力平臺(tái)化、運(yùn)行智能化、生產(chǎn)要素?cái)?shù)字化、生產(chǎn)主體泛在化、生產(chǎn)關(guān)系透明化、對(duì)抗復(fù)雜化等一系列特點(diǎn),都要求密碼服務(wù)實(shí)現(xiàn)模塊化、層次化、差異化、動(dòng)態(tài)化、多元化的發(fā)展,進(jìn)而要求密碼產(chǎn)品由“外掛式”密碼服務(wù)向“內(nèi)生性”密碼服務(wù)轉(zhuǎn)型。 國(guó)內(nèi)商用密碼產(chǎn)業(yè)在經(jīng)歷漫長(zhǎng)蟄伏期后,已然迎來(lái)發(fā)展的機(jī)遇期。隨著科創(chuàng)板、京交所的落地,密碼企業(yè)或?qū)⒂瓉?lái)一波上市潮。資本的涌入使行業(yè)投融資活動(dòng)逐步活躍,據(jù)不完全統(tǒng)計(jì),在2019-2022年間,先后有十余家商密企業(yè)進(jìn)行了IPO。 此外國(guó)資也在近年紛紛入場(chǎng),其在促進(jìn)產(chǎn)業(yè)下游客戶資源的獲取的同時(shí),也使得市場(chǎng)競(jìng)爭(zhēng)格局進(jìn)一步向頭部廠商集中。 密碼產(chǎn)業(yè)的應(yīng)用技術(shù)是漸變型技術(shù),而密碼的理論技術(shù)是突變性技術(shù)。突變性技術(shù)具備時(shí)代的隨機(jī)性,比如我國(guó)算法方向的突破,可以不需要太多技術(shù)積累短期實(shí)現(xiàn)趕超,而漸變型技術(shù)則需要建立在原有技術(shù)積累上才能實(shí)現(xiàn)創(chuàng)新突破,如密碼硬件產(chǎn)品的發(fā)展,需要上下游供需兩側(cè)的長(zhǎng)期積淀。 借用華為任正非的觀點(diǎn):應(yīng)用理論的研究也是研究。因此,在保證對(duì)密碼產(chǎn)業(yè)基礎(chǔ)研究、基礎(chǔ)教育上高強(qiáng)度投入的同時(shí),在應(yīng)用領(lǐng)域高風(fēng)險(xiǎn)、高成本的實(shí)驗(yàn)性項(xiàng)目中,國(guó)家也可以作為主導(dǎo),匹配相應(yīng)政策、技術(shù)、環(huán)境、資金,而非單純依靠市場(chǎng)和高校主導(dǎo)。 我國(guó)密碼人才需求旺盛,呈現(xiàn)快速增長(zhǎng)的態(tài)勢(shì)。2020年3月1日,“密碼科學(xué)與技術(shù)”專業(yè)被列入普通高等學(xué)校本科專業(yè)目錄;2021年,人社部發(fā)布“密碼技術(shù)應(yīng)用員”新職業(yè),這些舉措為培養(yǎng)密碼專業(yè)人才起到了重要促進(jìn)作用。但根據(jù)媒體公開(kāi)報(bào)道顯示,現(xiàn)階段我國(guó)密碼人才需求人數(shù)約為30萬(wàn),實(shí)際缺口達(dá)20萬(wàn),隨著5G、新基建、東數(shù)西算等數(shù)據(jù)工程的建設(shè)提速,到2025年我國(guó)密碼人需求將達(dá)110萬(wàn)左右。 密碼管理部門和商用密碼企業(yè)對(duì)密碼從業(yè)人員狀況的調(diào)研結(jié)果表明:未來(lái)3-5年內(nèi)商用密碼人才需求平均增長(zhǎng)率為30%-60%。 因此,在做好密碼人才培養(yǎng)的頂層設(shè)計(jì)的同時(shí),應(yīng)加強(qiáng)推進(jìn)校企合作培育,加強(qiáng)多層次、多場(chǎng)景的密碼應(yīng)用人才培養(yǎng),推動(dòng)產(chǎn)業(yè)的建設(shè)發(fā)展,這也是中國(guó)密碼事業(yè)的百年大計(jì)。 目前,很多密碼應(yīng)用方案是基于單點(diǎn)合規(guī)設(shè)計(jì)的,最常見(jiàn)的是在應(yīng)用層加密認(rèn)證,對(duì)網(wǎng)絡(luò)層、鏈路層等基本沒(méi)有關(guān)注。即使在應(yīng)用層,通常也只關(guān)注傳輸加密,少數(shù)對(duì)數(shù)據(jù)存儲(chǔ)過(guò)程提供加密,但離實(shí)際密評(píng)要求的全庫(kù)加密相去甚遠(yuǎn),對(duì)應(yīng)用的體系性合規(guī)關(guān)注不足,注重單點(diǎn)合規(guī),忽視體系合規(guī)。 在實(shí)際應(yīng)用中,要真正實(shí)現(xiàn)密碼應(yīng)用合規(guī),不僅是單點(diǎn)產(chǎn)品的增設(shè),更需結(jié)合應(yīng)用場(chǎng)景及應(yīng)用的特殊性,進(jìn)行系統(tǒng)化方案的構(gòu)建,讓密碼不僅能用,更要真用和好用。 在目前頒布的國(guó)家密碼相關(guān)標(biāo)準(zhǔn)中,絕大部分都是關(guān)于單個(gè)產(chǎn)品的實(shí)現(xiàn)標(biāo)準(zhǔn),對(duì)應(yīng)用有關(guān)的方案類標(biāo)準(zhǔn)比較缺乏,密評(píng)中很多判斷都是基于單點(diǎn)的產(chǎn)品標(biāo)準(zhǔn),即便有GB/T39786-2021《信息安全技術(shù) 信息系統(tǒng)密碼應(yīng)用基本要求》作為指導(dǎo)、規(guī)范信息系統(tǒng)密碼應(yīng)用,但對(duì)應(yīng)用的體系化合規(guī)規(guī)范性仍顯不足。 建議出臺(tái)行業(yè)應(yīng)用類標(biāo)準(zhǔn)以規(guī)范密碼應(yīng)用過(guò)程中的整體架構(gòu)和應(yīng)用方向,對(duì)相關(guān)部門和密評(píng)機(jī)構(gòu)形成指導(dǎo)意見(jiàn),構(gòu)建更完整的密碼應(yīng)用方案和測(cè)評(píng)方案,降低在商密應(yīng)用過(guò)程中的漏洞和短板。
來(lái)源:中國(guó)信息安全(節(jié)選)
作者:郭剛
咨詢熱線:0351-4073466?
地址:(北區(qū))山西省太原市迎澤區(qū)新建南路文源巷24號(hào)文源公務(wù)中心5層
? ? ? ? ? ?(南區(qū))太原市小店區(qū)南中環(huán)街529 號(hào)清控創(chuàng)新基地A座4層