密码是网络空间战略资源,是保障网络空间安全的核心技术,在护航数字经济发展中发挥着不可替代的重要作用,为确保数据安全、助力数据融通提供坚实支撑。在“十四五”规划的宏伟蓝图之上,网络强国、数字中国、智慧社会等国家战略为数字经济发展提供了广阔空间 , 同时也为我国密码事业提出了新的时代命题。一直以来,党和国家高度重视商用密码工作,采取系列重大举措,以促进商用密码的推广普及和深度融合,《中华人民共和国密码法》(以下简称《密码法》)的切实推进更是以法治化引领密码产业行稳致远,指引着商用密码产业进入全新的发展阶段。在政策和需求的双重驱动下,商用密码产业机遇挑战并存,亟需密码产业加快产业升级、提升产业能力,在新时期历史机遇面前迎难而上,继续以创新谋突破,走出高质量发展的路子。商用密码产业是指为不涉及国家秘密的信息提供加密保护、安全认证相关技术、产品、服务业态的总称,涉及研发、生产、销售、集成建设、运维、检测认证、应用安全性评估等各类经济活动。自 1996 年,我国确立商用密码发展战略以来,经过这些年的发展,商用密码管理体制和标准体系已逐渐健全,产品数量和市场规模保持较高速度增长,创新成果不断涌现,密码融合应用方面取得长足进步,商用密码产业单位即将以更加昂扬的姿态迈进新征程。
一是产品数量和市场规模保持较高速度增长。伴随信息技术的快速发展和普及,我国商用密码产品品类现已涵盖从芯片、板卡、整机到系统的全产业链条,形成了较为完整的商用密码产品供给体系,目前我国累计有 2700 余款商用密码产品取得认证证书,随着商用密码“放管服”改革的深入推进,预计商用密码从业单位和产品数量将得以进一步增长。市场规模方面,据统计,2012-2018 年间,我国商用密码产业市场规模增长超200%,平均年复合增长率超过 20%,2019-2020年商用密码产业规模基本与 2018 年持平。二是基本建立起结构合理、协调配套的密码标准体系。在密码行业标准化技术委员会的统筹指导下,密码行业专家、学者与产业单位一起群策群力,共同构建和完善了商用密码标准体系,范围涵盖密码算法、密码协议、密码产品、密码应用、密码检测等多个方面,截至目前已发布 30项商用密码国家标准和 116 项行业标准,推动 7项我国自主的商用密码算法成为 ISO/IEC 国际标准。三是商用密码产品创新成果不断涌现。商用密码产品自主创新能力持续增强,产品支撑能力不断提升,部分产品性能指标已达到国际先进水平。为更好地适应黄金城技术趋势和应用场景,不少密码厂商研究、设计和开发了新型商用密码产品和方案,例如支持密码能力虚拟化的云服务器密码机、支持国产化应用环境的软件密码模块、适用于车联网的数字信任体系方案等,同时不断探索这些密码产品或方案的各种实际应用,打造了一批满足市场需求、用户体验良好、产品性能领先的商用密码产品和创新性解决方案。四是商用密码应用持续深入。当前,商用密码技术和产品已在关系国计民生的基础设施网络、重要系统平台、信息惠民服务中得到越来越广泛的应用,涵盖银行业核心系统、金融基础设施、水利枢纽和输调水控制、防汛抗旱指挥、电网电力调度、移动通信、铁路公路水运、油气管网、地理空间信息、广播电视、教育等多个领域方向,在有效应对攻击、遏制网络安全风险方面发挥了重要作用。特别是抗击新冠疫情期间,采用商用密码的卫生服务平台、疾控数据直报、防疫健康码、电子病历等在疫情防控中发挥重要作用,为联防联控、复工复产提供了有力支撑。历史进入二十一世纪第三个十年,信息技术和数字经济加速发展,网络空间安全得到党和政府高度重视,成为国家整体安全观的组成部分,这些新时代的社会发展新特征为密码产业带来前所未有的机遇。与此同时,新时代信息化建设和数字经济的发展对密码的应用需求日趋多样化、精细化、集约化,这些迥异过往的密码应用密码形态,也使密码产业面临巨大挑战,迫切需要技术革新和产业升级。为了切实推进商用密码应用,国家和重要行业陆续出台相关政策和标准。2018 年,中共中央办公厅及国务院办公厅印发《金融和重要领域密码应用与创新发展工作规划(2018-2022)》(36 号文),明确了密码在基础设施网络、数字经济、信息惠民等重要领域的融合应用任务,同时推进全国 70 余个省/市/自治区及行业主管部门规划落地实施工作。2020 年,正式施行的《密码法》中明确要求,应使用商用密码保护关键信息基础设施,且其运营者应自行或者委托开展商用密码应用安全性评估。2021 年,商用密码应用安全性评估标准规范《GB/T 39786—2021 信息安全技术 信息系统密码应用基本要求》发布实施,围绕重点行业、重要领域的商用密码应用将得以进一步深化。2. 数字经济的蓬勃发展为商用密码产业升级指明方向我国“十四五”发展蓝图已绘就并进入实质推进,数字经济成为推动社会经济发展的重要抓手,数字经济的健康有序开展离不开密码产业的有力支撑。在数字经济时代,数据作为生产要素而成为资产,其安全内涵更丰富,不仅要保护数据本身不被破坏,而且要保护数据代表的权益;在数字经济时代,计算无处不在,通过计算数据成为信息、知识和智慧而展现出价值,作为生产工具的算法和算力成为先进生产力的代表,保证算法可信执行和算力安全可控成为数字经济安全运行的重要基础;在数字经济时代,先进生产力需要与之相适应的生产关系来支撑,需要创新的数字经济治理体系和治理能力保障数字经济有序运行,所有这些都为商用密码产业带来新的发展机遇,促使产业加速升级。3. 黄金城信息技术的深度渗透极大扩展了商用密码产业的市场空间近年来信息技术井喷式发展,人工智能、大数据、云计算、物联网等新技术新业态的不断出现和运用,极大扩展了信息技术在社会生产生活中的应用范围。随着黄金城信息技术对社会生产的深度渗透,智慧出行、远程诊疗、智能家居等众多数字化场景的出现,人们越来越习惯于依赖信息技术的高效便利的生产生活方式,由此而引发的多种多样的密码应用新需求,不仅极大地扩展了商用密码产业的市场空间,而且也为产业发展提供了新思路。海量数据安全交换共享需求,密文发现与检索需求,以及对于物联网环境下庞大的节点数量、丰富的设备种类、受限的资源环境支持需求等,都为新时代商用密码产业发展指示了目标和方向。1. 从市场趋势看,社会密码应用需求量激增,给商用密码产业带来产能的挑战在国家密码应用政策和数字经济安全需求的双重驱动下,社会密码意识相比以往大大增强,使用商用密码保障信息系统安全成为普遍共识。大量存量信息系统正逐渐按要求检视密码应用的合规性、有效性和正确性,新建信息系统则在规划、建设、运营三个阶段同步设计建设密码保障体系,并接受密码应用安全性评估。全社会对密码应用的咨询、建设、运维需求激增,在未来若干年也将保持快速增长的态势。与激增的需求相比,当前商用密码产业的产能明显不足。我国商用密码产业单位规模普遍较小 , 人数 200 人以下、资产总额 5000 万元以内的小微企业偏多,一些大的综合型信息技术企业则仅把密码作为小块业务,对密码团队建设投入有限,密码专业人才缺乏。此外,商用产业单位已有组织体系也较散,全国约 80% 的密码产业单位中只有 1 到 2 款密码产品,在整个产业布局中处于散兵游勇的状态。这些问题往往使得多数企业迫于生存压力,不得不将眼前收益放在绝对优先位置,不得不在狭窄市场激烈争夺,而没有多余的人力和资源投入创新生产,进而导致商用密码产业整体生产力不足以应对日益扩张的密码应用需求。2. 从应用趋势看,数字经济的多样化和个性化使得密码应用需求与具体场景的关联越来越紧密,给商用密码产业带来供需匹配的挑战密码应用是服务于信息化,进而服务于网络空间安全和数字经济发展的,这决定了密码应用的方式在很大程度依赖于信息业务开展的方式。传统上,商用密码产业主要供给与具体业务无必然关联的“通用密码产品”,来应对各类信息系统的密码应用需求。随着信息技术和信息服务模式的不断创新,密码应用需求日趋多样化和个性化,传统的、与业务无关通用密码产品已经越来越难做到“广谱适用”,这要求商用密码从技术、产品到应用模式都要不断创新,以适应不同的应用需求。目前我国商用密码产业创新能力,还无法完全满足应用需求,使得供需之间存在一定程度的脱节。一是在供需衔接方面,当前商用密码厂商供给的通用型商用密码产品占比较高,只有极少数密码模块产品为符合特定要求、特定功能的创新型产品;二是在研用对接方面,一方面高校或科研院所的理论研究成果难以快速投入应用,另一方面企业虽了解业务和市场需求,但却缺乏研究能力和快速响应的创新机制。此外,作为我国自主可控信息技术体系的有机组成部分,商用密码与信息技术应用创新产业的衔接也不够紧密。通用处理器、操作系统、数据库、中间件等基础软硬件产品,对于密码技术的内生支持尚不充分,兼容性、适配性仍存在问题。这在相当程度上制约了部分复杂场景下商用密码应用的开展,使得一方面需求紧迫,一方面应用意愿因客观条件而受到抑制。3. 从效能趋势看,数字经济的发展要求更集约、更高效、更高质量的产业供给,给商用密码产业带来供给模式的挑战数字化时代的安全诉求需要一体化的密码支撑能力,包括如何对数据实施全生命周期的安全防护、如何对网络系统提供全体系的安全保障、如何构建数字空间广泛可靠的信任体系等,这些都对密码产业的体系化支撑能力提出了新命题。另一方面,数字化服务趋势加速了密码产业本身的服务化进程,传统以密码设备、密码系统为主的供给方式已逐渐难以满足业务需求,密码产业单位迫切需要从产品交付向服务交付转变,以敏捷部署、按需计费的方式提升密码产业的供给效率和专业化能力。当前商用密码产业的供给模式总体上仍以产品供给为主,以产品为核心,通过“外挂式”“打补丁”的方式来实现信息系统密码应用。这造成了一方面商用密码产业单位扎堆于各品类独立密码产品的生产销售,同质化竞争激烈;另一方面应用亟需的一体化、服务化密码能力供给不足,总体上呈现“低水平重复”的局面,亟需产业整体的“破局”式转型升级。高质量发展是迎接机遇、直面挑战的解决之道,是当前和今后很长一段时期商用密码产业发展的根本要求,推动商用密码产业高质量发展需要产业单位和社会各界凝心聚力、共克时艰。建议:一是锐意创新,在国家规划的牵引下,强化战略意识,促进商用密码产业优化升级。发展我国特色的密码产业应更加强调统筹和协调的重要作用,作为产业单位应以国家整体规划为牵引,强化自身战略意识,重视基础理论研究及科技前沿创新成果的孵化和转化,充分发挥企业作为创新主体的作用。通过与高校、科研院所及产业链上下游优秀厂商建立合作关系,实现资源共享与优势互补,加强标准、技术、产品、应用等方面的协同创新,加强供需衔接、研用对接和人才培养;通过在重点行业或领域开展创新应用试点的形式,促进密码学术研究、产品研发、应用推广等内容突破原有的界限壁垒,促进创新要素自由流动,优化密码产业生态建设。二是积极进取,勇于投入市场竞争,提高商用密码产业整体竞争力。长期实践表明,只有积极进取、充分参与市场竞争,才能使企业深入理解社会需求,持续提升技术水平和增进服务质量,进而做大做强自身的规模和实力,为整体商用密码产业的发展贡献力量。在新时代、新形势下,我国商用密码产业单位应摈弃因循守旧的思想,勇于创新、勇于开拓商用密码市场,在公平公开公正的市场竞争中提升专业化水平,做出特色,争做龙头领军企业、大型骨干企业和细分领域“独角兽”企业。积极拥抱数字经济和黄金城信息技术带来的发展红利和挑战,创新商用密码应用模式和商业模式,逐步建立起以密码能力一体化、密码供给服务化、密码系统敏捷化为特征的新型密码产业链,厚植商密产业高质量发展新优势。三是开放融合,满足多样化的应用需求,推动商用密码产业与信息产业的融合发展。安全要求催生应用需求,应用需求倒逼产业升级,商用密码产业的高质量发展应立足于数字经济时代下不断扩张的实际密码应用需求,找准密码产业与信息产业的融合点:一是深入了解重要领域、关键基础设施的业务场景需求,找到密码创新应用的突破点和推广点;二是聚焦密码与大数据、云计算、物联网等新业态的融合需求,持续推进以数据安全和数据融通为核心理念的新一代密码技术和产品创新发展;三是积极打通密码在信息技术产业链中的上下游环节,促进密码在信息技术“自主可控”领域中的融合应用。“不忘初心,方得始终”。过去二十余载,在党和国家的坚强领导下,我国商用密码取得了黄金城成果,为维护国家网络安全、人民生活安定、社会经济发展起到了不可或缺的作用。如今站在新的历史起点上,在数字经济快轨的加持下,谋求更高质量的产业发展,是迎接新机遇、直面新挑战的必然选择,是开创新局面、续写新篇章的必经之路,也是广大密码工作者应当肩负起的光荣使命。
(本文刊登于《中国信息安全》杂志2022年第2期)