1标准化的重要性
由于中国特色的社会主义发展道路,政治体制和经济体制的不同,特殊的国情决定了必须建立中国特色的信息安全测评体系。密码管理更具有特殊性,建立相对独立的商用密码测评体系是可行的,是必要的。商用密码测评服务是商用密码管理、信息化密码保障的基础性工作,也是新时期调整商用密码管理模式的关键性工作;建设商用密码测评体系是保障商用密码安全的必要条件和有效措施,同时为在经济全球化背景下按照国际惯例建立和实施商用密码的市场准入制度提供技术支撑。从国家安全角度讲,密码标准是我国信息安全保障体系的重要组成部分,是政府进行宏观管理的重要手段,没有配套的密码标准,就不能构造出一个可用的安全保障体系,没有自主开发的密码安全标准,就不能构造出一个自主可控的安全保障体系。从国家利益角度讲,随着我国信息化建设的深入,标准化的重要性与日俱增,如果不尽快制订出统一的密码应用规范,任由各种协会组织及厂商各自发挥,将不利于相关产业的完善和发展。密码标准是规范商用密码市场经济客体的“法律”依据,是信息安全发展的重要技术支撑,也是国产密码技术走向国际市场的通信证。密码标准能确保有关信息安全的产品在安全设计、密码技术研发、密码技术应用、安全测评中解决其一致性、可靠性、可控性、先进性和符合性的技术规范、技术依据。密码标准化工作对于解决信息安全问题具有重要的技术支撑作用。密码标准不仅关系到国家安全,同时也是保护国家利益、促进产业发展的一种重要手段。在世界经济一体化发展的今天,不同国家、地区之间,已常常把信息安全标准作为保护利益和解决冲突的一种重要手段,中国发展到今天,只有作好这篇文章,积极推动密码标准化,才能在信息时代全球化竞争中掌握“技术主导权”。因此,密码标准化工作是一项重要、艰巨、长期的基础性工作。目前,我国产品密码检测没有形成完善的检测标准体系,一部分密码产品制定了对应的检测标准,但是对一部分商用密码产品和大部分含密码技术的信息产品的密码检测还主要依据产品的技术标准。因此我们必须建设自主的商密密码测评体系。通过公平公正公开的技术手段,对市场上的商用密码产品进行规范与约束。通过体系化的测评认证管理,正确引导国内商用密码市场的导向、保护国内商用密码产业,进而促进整个商用密码行业的发展。
2我国商用密码应用现状和面临的主要问题
随着信息化发展,商用密码在维护国家利益、促进国民经济建设、保持社会稳定、保护公众利益和保障电子政务、电子商务以及公民个人信息安全等方面,都发挥了重要作用,取得了较好的社会效益和经济效益。商用密码等级保护工作是密码等级保护工作的有机组成部分,是国家信息安全等级保护工作的重要内容,按照满足需求、方便使用、加强管理的指导思想,国家密码管理局组织编制了《信息安全等级保护商用密码管理要求》、《信息安全等级保护商用密码技术要求》、《信息安全等级保护商用密码技术应用要求》等管理规定,明确商用密码等级划分准则和要求,对于指导商用密码有效应用,促进商用密码的科学化、规范化、制度化管理具有积极而深远的影响,对更好地发挥商用密码在信息化发展中的作用具有重要意义。在信息安全等级保护商用密码测评方面,研究制定了《信息安全等级保护商用密码测评准则》、《信息安全等级保护商用密码测评方案》;并准备参照其他信息安全测评机构的相关做法,在全国范围内,按照统一规划、合理布局、归口管理、强化监督的原则,开展密码测评工作。我国目前在商用密码标准化方面存在以下十分突出的问题:
(1)我国的商用密码标准数量远远少于现行的产品品种。
根据国家商用密码管理办公室公布的数据显示,截至2013年底,我国仅有国家密码标准40多个。
(2)密码标准的研究多停留在“文本”阶段。
密码标准的研究过于依赖政府资金。由于国家项目资金的有限,直接导致有技术含量的标准研究不出。因为一个有技术含量,可实现可用的密码标准,是对产品进行各方面的安全试验取得真实数据的基础上,才能提出标准文本的具体内容、指标和参数,对标准文本中的所有安全指标、要求,还要进行验证试验,并与开发生产与应用经验融合才能形成。而我国目前有关方面进行的标准研究,难以创造上述条件。
(3)研发企业的积极性不够。
密码标准的制定,不能单单依赖政府,政府只管理标准的颁布,使之具有法律效力。标准的研究编制,要充分调动企业的积极性,尤其是那种产品的市场占有率很大,产业化规模很大的企业。而企业的动力正是来源于其自身的战略利益。
3促进商用密码标准化建设对策
3.1加强密码测评认证
国外含密码信息产品的大量涌入,使得我们需要对其进行科学的测评,从而规范其在国内的使用,保证国家信息安全。我国的信息技术落后于美国等西方发达国家,携带商用密码的国外信息产品大量涌入中国是一个不争的事实。国外密码技术已经深入到了我国的各个信息产业领域,包括:密码算法、芯片、智能密码钥匙、智能IC卡、密码卡、密码机、VPN、系统等产品及PC、RFID、存储加密、电子交易、通信系统、数字电视等多个不同的领域。根据调研数据,在芯片、板卡、设备和系统等层次上,除密码机之外,都是国外厂商产品占据市场领先地位。目前,密码机市场上主要是国产密码机。但即使是在国产密码机中,也大量地用到DES/3DES、AES、SHA-1、MD5等国外密码算法。国外含密码产品的进入一方面也给我们的信息安全带来了威胁,另一方面促进了国内信息技术和密码技术的发展。所以简单地阻断国外产品的进入不是最佳选择。为了发挥国外密码产品对我国信息化的促进作用,同时避免安全威胁,一个可行、有效的措施就是加强测评认证,这样可以对国外密码产品在国内的使用状况进行有效的监管和规范,有效地保证国家安全,同时发挥国外技术对我国信息安全技术的促进。
3.2完善密码测评体系
我国商用密码市场的现状要求我们必须建设自主的商密密码测评体系。密码应用的蓬勃发展,给我们进行商用密码管理带来了新的挑战,需要完善的密码测评体系,增强管理手段。一方面随着密码应用的不断发展,我们需要管理的对象在数量上不断增加。另一方面密码新技术不断在实际应用涌现,使得我们的管理要能够及时的反映新技术的变化。商用密码标准化体系是一个包括标准体系研究、标准文本制修订和技术验证、标准的产业化应用等环节及其相关组织运作和程序的整体。商用密码测评标准体系的落实,必须与国家信息化建设、信息安全保障体系建设同步,必须是有关产品、系统、设施的研发者、建设者、运营管理者面向产业和市场在国家的主导下共同参与,才能开发出我国有自主知识产权的商用密码标准。
3.3充分调动企业积极性
商用密码标准要“化”起来,它的前提是:这个标准所规范代表的产品必须要在市场上“化”起来,只有这种情况,业界才会活跃起来,才会积极投入,国家才能真正实现安全标准的战略目标———控制国家的技术主权。
4结束语
密码标准是其他信息安全技术标准及应用规范的基础,商用密码标准的建立是信息安全技术及其产业快速发展的一个关键环节,已经迫在眉睫。商用密码标准建立得越早,技术、产品与市场就越容易规范化,管理起来也就越容易。因此,为了引导信息安全技术及其产业的健康发展,为了推进我国经济信息化和经济安全进程,应加快商用密码标准和应用规范的建设脚步。
作者:梁珈 罗干生 王惠君 唐松 单位:湖南省密码管理局 中安信息安全工程研究中心