邁入新時代���,信息技術(shù)應(yīng)用創(chuàng)新是數(shù)字經(jīng)濟(jì)發(fā)展的基礎(chǔ)����,是制造強(qiáng)國�、網(wǎng)絡(luò)強(qiáng)國���、數(shù)字中國建設(shè)的關(guān)鍵支撐��。推進(jìn)密碼技術(shù)與信創(chuàng)產(chǎn)業(yè)的深化融合應(yīng)用,對于發(fā)展軟件和信息技術(shù)服務(wù)行業(yè),支撐數(shù)字中國建設(shè)具有重要意義。為此,國家工業(yè)信息安全發(fā)展研究中心聯(lián)合關(guān)鍵軟件密碼應(yīng)用研究中心于2022年8月24日召開關(guān)鍵軟件密碼應(yīng)用研討會,旨在進(jìn)一步完善《關(guān)鍵軟件密碼應(yīng)用研究報告》相關(guān)內(nèi)容�����,分析關(guān)鍵軟件密碼應(yīng)用面臨挑戰(zhàn)��,論證信創(chuàng)產(chǎn)業(yè)密碼應(yīng)用發(fā)展前景�����,為行業(yè)主管部門提供有力研究支撐�����。
一��、乘信創(chuàng)發(fā)展之勢,謀安全防護(hù)之路
信創(chuàng)發(fā)展盡頭是市場經(jīng)濟(jì)前提下的產(chǎn)業(yè)領(lǐng)先�。當(dāng)下,信創(chuàng)產(chǎn)業(yè)已進(jìn)入發(fā)展關(guān)鍵期����,這是我國堅持信息技術(shù)應(yīng)用自主創(chuàng)新的必經(jīng)之路�����。據(jù)艾媒咨詢統(tǒng)計,中國信創(chuàng)產(chǎn)業(yè)規(guī)模在2020年突破1萬億�����,2021年信創(chuàng)產(chǎn)業(yè)規(guī)模超1.3萬億元,預(yù)計未來將保持高速增長態(tài)勢�����。信創(chuàng)發(fā)展初期��,采用指令式的手段���,按照“計劃經(jīng)濟(jì)模式”發(fā)展,旨在通過行業(yè)應(yīng)用拉動構(gòu)建國產(chǎn)化信息技術(shù)軟硬件底層架構(gòu)體系和全周期生態(tài)體系,解決核心技術(shù)關(guān)鍵環(huán)節(jié)“卡脖子”的問題�����,實現(xiàn)為數(shù)字中國建設(shè)夯實基礎(chǔ)的目標(biāo)�����。但信創(chuàng)產(chǎn)業(yè)的盡頭���,應(yīng)該是市場經(jīng)濟(jì)前提下達(dá)到產(chǎn)業(yè)領(lǐng)先���,在國家信創(chuàng)戰(zhàn)略的指引下�,依靠市場和廣大企業(yè)���、用戶的自發(fā)選擇���。
堅持安全可控是實現(xiàn)信創(chuàng)高質(zhì)量發(fā)展的關(guān)鍵���。在實際建設(shè)發(fā)展中,信創(chuàng)產(chǎn)業(yè)面臨著多方面的安全挑戰(zhàn):一是關(guān)鍵軟件自主可控方面�����,中美貿(mào)易摩擦���,凸顯關(guān)鍵軟件供應(yīng)鏈安全風(fēng)險�,針對通用基礎(chǔ)軟件�、重要領(lǐng)域應(yīng)用軟件,我國已開始布局國產(chǎn)化替代�����,但仍然需要周期����;二是軟件內(nèi)建安全機(jī)制方面,安全的外部經(jīng)濟(jì)學(xué)���、前景理論等特點����,決定了安全機(jī)制總是滯后于業(yè)務(wù)設(shè)計,軟件安全機(jī)制普遍薄弱���;三是安全應(yīng)用協(xié)同發(fā)展方面���,傳統(tǒng)安全合規(guī)側(cè)重基礎(chǔ)設(shè)施防護(hù),導(dǎo)致安全主要以“外掛”模式保護(hù)應(yīng)用與數(shù)據(jù)�,導(dǎo)致安全與應(yīng)用長期脫鉤,如同隔靴搔癢�,防護(hù)效果有限�。
信創(chuàng)布局中亟待補(bǔ)齊密碼技術(shù)安全對抗能力。密碼作為保障數(shù)據(jù)安全的關(guān)鍵核心技術(shù)�����,本身就屬于信創(chuàng)重要的組成部分��,反過來又能為信創(chuàng)提供最經(jīng)濟(jì)有效的安全防護(hù)����。我國應(yīng)大力推進(jìn)在構(gòu)建自主可控信息技術(shù)體系中推進(jìn)密碼優(yōu)先發(fā)展,構(gòu)建以密碼技術(shù)為核心、多種技術(shù)相互融合的新網(wǎng)絡(luò)安全體系����,建設(shè)以密碼基礎(chǔ)設(shè)施為支撐的新網(wǎng)絡(luò)安全環(huán)境。從供給側(cè)和需求側(cè)入手�,面向信創(chuàng)建立高質(zhì)量商用密碼應(yīng)用體系,能充分發(fā)揮商用密碼在保障信創(chuàng)安全的作用�����;將商用密碼作為廣義信創(chuàng)產(chǎn)業(yè)推廣��,也將加速國密生態(tài)建設(shè)進(jìn)程�,深化信創(chuàng)產(chǎn)業(yè)體系建設(shè)。
二�����、應(yīng)密碼信創(chuàng)之策�����,筑產(chǎn)業(yè)發(fā)展之基
“密碼信創(chuàng)政策”交織融合多重意義��。具體來看��,涵蓋三個方面:一是政策密集出臺驅(qū)動安全需求爆發(fā);二是密碼對信創(chuàng)產(chǎn)業(yè)安全護(hù)航與發(fā)展促進(jìn)����;三是政策扶持密碼產(chǎn)業(yè)自身發(fā)展。
政策拉動安全建設(shè)需求
合規(guī)能有效破局安全需求的經(jīng)濟(jì)學(xué)外部效應(yīng)���。從經(jīng)濟(jì)意義來看��,安全需求本身具備經(jīng)濟(jì)學(xué)的外部效應(yīng)特征��,即消費方與受益方不一致�。以化工廠為例�,如果沒有《環(huán)境保護(hù)法》等法律法規(guī)制約,在不考慮社會責(zé)任的情況下����,其最經(jīng)濟(jì)的選擇是就地排污排廢���。就數(shù)據(jù)保護(hù)而言�����,如果沒有外部的合規(guī)要求�,數(shù)據(jù)泄露最直接的受害者就是老百姓,而對企業(yè)等數(shù)據(jù)處理者的自身利益沒有實質(zhì)損害���。因此����,對數(shù)據(jù)的服務(wù)者提出基礎(chǔ)性的安全保障要求��,如將密碼應(yīng)用保障數(shù)據(jù)安全的要求通過法定程序轉(zhuǎn)化為國家意志��,對于提升國家安全具有積極意義�����。
“一實戰(zhàn)��、雙合規(guī)”辯證驅(qū)動安全產(chǎn)業(yè)發(fā)展��。從技術(shù)實戰(zhàn)來看�,安全建設(shè)呈現(xiàn)“一實戰(zhàn)、雙合規(guī)”的辯證統(tǒng)一����,密碼技術(shù)貫穿始終。不論是攻防演練還是合規(guī)整改�,本質(zhì)上是解決實戰(zhàn)對抗的問題���,所以實戰(zhàn)是檢驗數(shù)據(jù)安全能力的唯一標(biāo)準(zhǔn)。但是��,實戰(zhàn)對抗對應(yīng)著偶發(fā)的�、高技術(shù)水平的對抗風(fēng)險,對于絕大部分企業(yè)來說����,難以具備持續(xù)性的資源投入應(yīng)對。而合規(guī)建設(shè)可將這種對抗性風(fēng)險轉(zhuǎn)變成常態(tài)的�、可重復(fù)驗證、可被審計的非對抗風(fēng)險��,合規(guī)更容易被推廣��。當(dāng)然�,合規(guī)需求也是來自于實戰(zhàn)的最佳實踐,實戰(zhàn)與合規(guī)的需求是辯證統(tǒng)一的����。在煉石看來�����,安全合規(guī)分為過程合規(guī)和結(jié)果合規(guī)。從過程看�����,密碼作為一種直接作用于數(shù)據(jù)的技術(shù)手段����,合規(guī)、正確�、有效的使用密碼技術(shù),可以滿足《密碼法》等法定要求的“數(shù)據(jù)安全過程合規(guī)”�。從結(jié)果看,DSM數(shù)據(jù)安全管理認(rèn)證等是《數(shù)據(jù)安全法》《個人信息保護(hù)法》以及配套法律法規(guī)的落地手段�,體現(xiàn)了“數(shù)據(jù)安全結(jié)果合規(guī)”。
密碼護(hù)航信創(chuàng)產(chǎn)業(yè)安全
信創(chuàng)產(chǎn)業(yè)亟需建設(shè)密碼防護(hù)能力�����。當(dāng)今��,我國持續(xù)推進(jìn)信息技術(shù)應(yīng)用創(chuàng)新產(chǎn)業(yè)發(fā)展�����,推動信創(chuàng)產(chǎn)品和解決方案在更多領(lǐng)域落地應(yīng)用����。但是�����,信創(chuàng)產(chǎn)業(yè)正面臨日益增多的安全威脅和“卡脖子”風(fēng)險�����,關(guān)鍵軟件安全既包含狹義的操作系統(tǒng)��、數(shù)據(jù)庫等安全�,也包括廣義上整個信創(chuàng)體系中的信息化應(yīng)用安全���。密碼技術(shù)作為保障安全的核心技術(shù)和基礎(chǔ)支撐��,是維護(hù)信息安全最有效��、最可靠的技術(shù)手段��,是信創(chuàng)產(chǎn)業(yè)的護(hù)城墻���。隨著密碼技術(shù)對社會生活各方面的滲透,其在維護(hù)國家安全��、經(jīng)濟(jì)安全���、保護(hù)人民利益中發(fā)揮著越來越重要的作用�,成為夯實信息技術(shù)應(yīng)用創(chuàng)新體系建設(shè)的安全保障�����?�!懊艽a護(hù)航信創(chuàng)”體現(xiàn)為����,一是構(gòu)建虛擬防護(hù)安全邊界,為軟件產(chǎn)業(yè)打造密碼安全一體化的防護(hù)建設(shè)���。流動的數(shù)據(jù)沒有邊界���,密碼技術(shù)可以對數(shù)據(jù)重構(gòu)邊界,打造防繞過的訪問控制和高置信度的審計�。通過加密技術(shù),在邊界上施加訪問控制����、審計等技術(shù)����,實現(xiàn)“防繞過的訪問控制”以及“高置信度審計”�,進(jìn)一步集成企業(yè)IAM身份認(rèn)證管理,打造同時滿足傳統(tǒng)場景和零信任場景的有效數(shù)據(jù)保護(hù)��。二是重構(gòu)軟件系統(tǒng)安全能力����,以密碼提供的安全技術(shù)和信任機(jī)制推動軟件產(chǎn)業(yè)安全升級。針對開發(fā)中或完成開發(fā)的軟件系統(tǒng)����,密碼提供適配開發(fā)階段的技術(shù)支撐,對于投入使用的成熟產(chǎn)品�����,可以免開發(fā)或輕量級改造的方式進(jìn)行安全能力建設(shè)��,基于面向切面數(shù)據(jù)安全技術(shù)�,將安全與業(yè)務(wù)在技術(shù)上解耦、但又在能力上融合交織���,構(gòu)建高覆蓋率的安全增強(qiáng)點組合�,融合識別、加密�、去標(biāo)識化、檢測/響應(yīng)�����、追溯等能力����,實現(xiàn)主體到應(yīng)用內(nèi)用戶����、客體到字段級的細(xì)粒度防護(hù)。
密碼作為信創(chuàng)組成部分互為促進(jìn)���。信創(chuàng)為密碼產(chǎn)業(yè)發(fā)展注入新活力�����,推動密碼高質(zhì)量供給�����,面向多樣化應(yīng)用場景���,新的信創(chuàng)產(chǎn)品從硬件和軟件層面都在深刻改變著密碼產(chǎn)品形態(tài)����,為軟件產(chǎn)業(yè)嵌入深融業(yè)務(wù)流程的密碼安全能力夯實基礎(chǔ)�。密碼產(chǎn)業(yè)自身供應(yīng)鏈上中下游,對信創(chuàng)CPU�、操作系統(tǒng)、數(shù)據(jù)庫�����、中間件等有著豐富需求�,這也拉動了信創(chuàng)的需求與供給兩端發(fā)展