灣區創見·商用密碼合規專場分論壇圓滿舉行

11月28日，以“新基建 新安全”為主題的灣區創見•2020網絡安全大會在深圳國際會展中心拉開帷幕。由深圳市密碼管理局與中國平安保險（集團）股份有限公司聯合承辦，深圳市商用密碼行業協會支持舉辦的商用密碼合規專場分論壇，在各級密碼管理部門、行業用戶和密碼企業的大力支持下圓滿舉行。

首先，大會分論壇承辦單位深圳市密碼管理局局長黃雄權致辭，向全國密碼同行匯報了深圳商用密碼科技創新和產業發展的情況。

今年是深圳經濟特區建立40周年，40年來，深圳密碼事業伴隨經濟特區的發展，逐步從無到有，從弱到強，為深圳市的經濟社會發展作出了不可磨滅的重要貢獻。

近年來，在國家密碼管理局、廣東省密碼管理局的關心和指導下，在各兄弟、省市、自治區以及省內各市密碼管理部門的大力支持下，深圳市密碼管理部門主動作為、開拓創新、以服務企業規范市場、促進應用為宗旨，不斷創新、完善服務和管理模式。在全市營造了良好的商密產業發展環境。有力推動商業密碼產業蓬勃發展，目前我國事業密碼的從業單位涌現200家，涌現一批具有核心競爭力的知名企業，如大會承辦單位深信服有限公司和平安科技股份有限公司等，都是深圳市商密企業的杰出代表。深圳市商密企業涵蓋的企業種類齊全，商用密碼產品種類豐富，獲國家密碼管理局批準的商密產品型號就有200多種，產品的數量、產值的規模均位于全國前列，廣泛應用于金融、政務、醫療、教育、交通等重要領域。

在深圳市委市政府積極爭取和國家密碼管理局的大力支持，在深圳成功培育了全國首家國家級的第三方商業密碼產品檢測機構，即鼎鉉商用密碼測評技術（深圳）有限公司，目前該公司也是深圳市商業密碼行業協會的會長單位，為商用行業密碼檢測體系作出了應有的貢獻。由深圳市向省密碼管理局推薦的兩家密碼應用安全性評估機構獲得國家密碼管理局的批準，為深入推進金融領域密碼應用打下了堅實基礎。

為宣傳貫徹《中華人民共和國密碼法》，按照上級密碼管理部門的統一部署，在全市范圍深入開展《密碼法》的宣貫活動，利用全市地標建筑的電子大屏、公眾場所、懸掛掛圖、海報、行業協會的宣講以及組織銀行、證券等行業培訓等形式廣泛開展《密碼法》的宣傳，努力實現《密碼法》進機關、進企業、進高校、進社區，在全市營造知密碼、懂密碼、用密碼的濃厚氛圍。

接下來，平安集團首席信息安全總監-陳建針對密碼對于整個平安集團的重要性和在密碼國產化的應用場景中的實踐進行了致辭。

密碼對于整個平安集團的信息安全是一個至關重要的基礎的技術應用，平安集團在過往30年歷程當中，已經在密碼的應用上走過了很多歷程，但是國家《密碼法》的頒布讓大家更加感覺到國家對信息安全的重視度，包括對密碼作為信息安全基石，對未來的國家安全的重視度提到了更高的層面。

平安集團作為一個商業機構，在密碼的應用上面臨了很多的挑戰，在商用密碼國產化的應用場景中也面臨了很多的挑戰，在過去兩三年的過程中，在國家信創和各方面的指導下，在很多方面做了很多嘗試。平安集團希望將金融場景下密碼的改造做案例，能夠為整個中國的金融行業在密碼國產化應用場景里面如何更加有效地探索提供一些更好的實踐。

國家密碼管理局商密辦副主任吳立剛以《密碼法》解讀為主題，分別從密碼法頒布實施的重要意義、精神實質和主要內容三方面進行了分享。 

重要意義。密碼法是我國密碼領域的第一部綜合性和基礎性法律。密碼法的頒布實施，在密碼史上具有里程碑的意義，是構建國家安全法律制度體系的重要舉措；是維護國家網絡空間主權安全的重要舉措；是推動密碼事業高質量發展的重要舉措。 

精神實質。密碼法立法改革重塑了現行的管理制度，體現了繼承發展“守正創新”的精神，貫徹實施密碼法要堅持黨管密碼和依法管理相統一，是最根本性的規定和原則；要堅持創新發展與確保安全相統一；要堅持簡政放權和加強監管相統一。 

主要內容。密碼法共5章44條，具體包括總則、核心密碼和普通密碼、商用密碼、法律責任和附則，本次重點就商用密碼管理制度和規定做簡要介紹。 

密碼法第27條規定了關鍵信息基礎設施商用密碼使用要求，規定了商用密碼應用安全評估制度和國家安全審查制度。關鍵信息基礎設施的商用密碼使用制度，是十八大以來密碼應用推進工作的拓展和深化。從2018年對全國系統普查和典型系統密評的情況看，密碼使用不正確不合規不安全的情況還較普遍，未使用密碼保護數據的“裸奔”系統比例還較高，許多地方和行業發展建設沒有同步規范建設密碼保障體系，黨政機關和關鍵基礎設施面臨的安全風險非常大，亟需加強商用密碼應用和安全性評估。 

第28條規定了商用密碼進口許可和出口管制制度，商用密碼是國際公認兩用物項，進行進口許可與出口管制是維護國家安全和社會利益的需要，符合世貿組織“安全例外”原則，也是國際通用做法。進口方面，國家密碼管理局聯合海關總署發布了密碼產品，含有密碼技術的設備進口管理目錄共5類9種產品，包括加密傳輸機、加密電話機、密碼機、密碼卡等。針對大眾消費類產品不實行進口許可和出口管制制度。 

此外，密碼法還規定了商用密碼的監管原則、商用密碼的標準化制度、商用密碼標準法律效力、商用密碼檢測認證制度和商用密碼檢測認證機構管理、商用密碼事中事后監管制度等重要內容。 

吳立剛表示，密碼是我們黨和國家的命門命脈，也是我們國家的重要戰略資源，是保障網絡和信息安全的核心技術和基礎支撐，直接關系國家政治安全、經濟安全、國防安全和信息安全。進入新時期，密碼工作面臨新的機遇和挑戰，也擔負著更加繁重的保障和管理任務，密碼技術必將發揮更大的作用，密碼事業在百年未有之大變局中，也必將迎來重大歷史發展機遇。

國家密碼管理局商密辦商用密碼檢測中心副主任鄧開勇，向大家分享了《商用密碼認證規則及密碼應用安全性評估政策法規》主題演講。

鄧主任首先匯報了《密碼法》頒布以來，商密檢測認證的進展。首先依據《密碼法》第二十五條要求，建立實施商用密碼產品認證制度，推進商用密碼檢測認證體系建設，形成事前事中事后以及隨機抽查、執法監管的閉環管理。其次，分享了開展商用密碼認證工作的情況。從商用密碼行政審批過渡到檢測認證期間，完成了所有商用密碼產品型號證書換發認證證書。自7月1日，新頒發證書已有200多張，總計有2219張商密產品認證證書。國推認證流程主要包括5個環節，包括認證委托、型式實驗、初始工廠檢查、認證評價與決定，獲證后監督。目前密碼管理部門已發布第一批商用密碼產品認證目錄，包括22類產品，前21類都有明確的產品標準，第22類列為其他，是特殊的一類，適用于新技術或者特殊行業應用，主要按照密碼模塊要求進行研發。并以服務器密碼機為例，向大家詳細介紹了全流程的商密產品認證。

接下來，鄧主任就商用密碼應用安全性評估的目標、測評對象、實施等方面進行了詳細解讀。

密評目標首先是合規，要符合法律、法規和行業相關的密碼使用要求，包括相關的算法、協議以及密鑰管理標準。其次是正確，應采用正確的產品，正確的算法協議、密鑰管理。最后是要有效，密碼應用要切實解決系的安全問題，這也是密評關注的三個方面，最后也是依據這三個方面進行評估。

關于密評測評對象主要包括重要的數據，重要的程序、行為（安全行為）、用戶身份鑒定等。

關于密評實施，十分關鍵的是密碼應用方案，包括政策法規要求，安全風險，業務需求。密碼應用方案并不是要通吃所有的系統，而是結合業務的安全需要去進行，形成可行的方案，整個系統當中運行、完善。

鄧主任也強調了商密產品國推認證和商用密碼應用安全性評估都剛剛起步，需要產業界、認證機構、測評機構共同努力，貫徹落實《密碼法》，發揮密碼的機密性、完整性、真實性和不可否認性，切實維護國家網絡空間安全，保障人民群眾利益。

深圳市電子商務安全證書管理有限公司副總經理吳昊，介紹了《國密改造 構建可信空間守護國家安全》。對國產密碼改造的政策背景、標準及要求、實踐與經驗分享。

密碼國產化順應時代的要求，是國家安全的必然選擇。密碼國產化是新時代政務應用的重要信息系統與安全系統中內在的需求，也是構建新基建的安全防線，實現自主創新和安全可信的必然選擇，推進密碼算法的國產化改造也是大勢所趨，是必然的要求。

維護網絡信息安全，商用密碼是利器。金融行業和有關關鍵信息基礎設施領域的“國密改造”是我國大力推進國產密碼應用、實現密碼自主可控、安全可靠的重要舉措。

鼎鏈數字科技（深圳）有限公司副總經理/CTO蘇年樂演講主題是《政務區塊鏈及其商用密碼合規性設計》。從區塊鏈與密碼、政務區塊鏈、國米區塊鏈平臺合規性設計及政務區塊鏈應用合規性設計等方面進行了分享。

密碼技術是區塊鏈的核心基礎支撐，政務區塊鏈應用應通過密碼應用安全性評估和符合安全可靠（信創）要求；區塊鏈技術為“實現政務數據跨部門、跨區域共同維護和利用，促進業務協同辦理”提供了有效手段。

區塊鏈促進了整個的政務服務改革，它是現在簡政放權、放管結合的難題，我們通過區塊鏈服務可以辦一些政務服務、民生服務、城市管理，我們構建了一個安全、可信、價值傳遞來優化服務，提升政務可信體系，保障了政務信息安全。

鼎鉉商用密碼測評技術（深圳）有限公司副總經理李振以《密碼產品檢測和密碼應用安全性評估要點解析》為主題，從商用密碼測評邊界、密碼產品測評分級、商用密碼應用安全性評估要點等方面進行了分享。

 國家相繼頒布實施了《網絡安全法》《密碼法》《網絡安全審查辦法》《國家政務信息化項目建設管理辦法》等一系列法律法規，規范密碼應用，強調通過密碼應用安全性評估促進商用密碼的使用和管理規范。 

在技術方面，密碼技術是實現安全的核心和基礎，貫穿硬件（芯片）平臺、操作系統、應用服務器（中間件平臺）、業務應用系統的各個層次。確保正確鑒別用戶身份及權限，保證關鍵數據的真實性和完整性，保證關鍵數據的機密性，實現關鍵操作的不可否認性。因此，密碼技術應用需從系統規劃設計開始盡量滿足各個層次的密碼安全設計要求。

在商用密碼應用安全性評估方面，李振表示，商用密碼應用安全性評估指在商用密碼技術、產品和服務集成建設的網絡和信息系統中，對其密碼應用的合規性、正確性和有效性等進行評估，包括規劃階段的方案評審和建設、運行階段的安全評估。通過以評促建、以評促改、以評促用，逐步引導網絡運營者的密碼規范使用，最終確保商用密碼在重要信息系統和關鍵信息基礎設施中使用的正確、合規、有效，為重要網絡的密碼應用情況提供科學評價方法。評估分為評估準備、方案編制、分析與編制、現場評估四個階段。在密碼應用方案設計上，應遵循總體性、科學性、可行性、完備性四大原則。 此次專場的舉辦為新時代密碼法制化、研究應用與發展提供新認識、新思路、新方向，為建設網絡強國提供經驗借鑒及智力支撐，進一步提升各行業商用密碼合規應用，更好地維護網絡空間安全，維護國家安全。

中國科學技術大學教授王雙帶來了《量子密碼技術發展態勢》為主題的分享。從量子密碼基本的概念、量子密碼的終端及量子密碼的應用發展與展望進行了講解。

雖然傳統密碼和量子密碼在安全性基礎和密碼系統方面有很大的不同，但是在安全運用方面其實是需要進行融合的，通過這樣的融合能夠增強傳統密碼的安全性，同時也拓展了量子應用在驅動發展中的應用道路。

對于量子密碼的應用發展與展望，王雙認為量子密鑰應用于有限傳輸網絡已有著相對豐富的經驗和相對成熟的商業產品。隨著5G時代的到來，量子密鑰移動應用成為了新的產業應用趨勢。

深圳壹賬通智能科技有限公司區塊鏈研究院首席科學家鄭溪龍，帶來了《商用密碼在區塊鏈中的應用》的主題演講，主要分享了商用密碼在平安區塊鏈的應用情況和探索。

鄭老師首先介紹了區塊鏈可以解決那些現實問題，包括多中心化系統之間的連接、數據確權、數據交換、數據重新分配。

區塊鏈是分布式數據存儲、點對點傳輸、共識機制、智能合約、加密算法等計算機技術的新型應用模式的合集，大幅降低信用風險管理成本、縮短時間損耗、數字化、資源共享更加便捷，減少違法失信。

鄭老師介紹了如何利用密碼算法提高區塊鏈的效率，增強區塊鏈的安全性，為我們分享了fintech企業使用商用密碼的寶貴實踐經驗。