中国工业互联网研究院王聪：深入贯彻落实《商用密码管理条例》推进电信行业商用密码应用

通信世界网消息（CWW）近日，新修订的《商用密码管理条例》（以下简称《条例》）正式施行，根据我国商用密码事业发展的新形势、新任务，进一步规范了商用密码应用及管理。《条例》的施行是贯彻落实《密码法》、健全完善商用密码法规制度体系的重要举措，为商用密码在关键信息基础设施及其他重要网络和信息系统中的深入应用提供了重要法规依据，对维护我国网络空间安全、推进数字中国建设具有重要意义。电信行业是国民经济的基础性、战略性、先导性行业，是应用范围最广泛、产业基础最深厚的技术密集性行业之一，电信网络基础设施是国家信息基础设施的重要组成部分，其安全运行是数字经济高速健康发展的重要支撑。随着网络和信息技术迅猛发展，网络空间已深度融入到经济发展、人民生活和社会治理的各个方面。然而，与此同时，网络安全问题也日益严峻，网络安全事件层出不穷，电信网络基础设施的安全保护需求变得更加紧迫。密码是目前全球公认的保障网络与信息安全最有效、最可靠、最经济的关键核心技术之一。电信行业是密码应用的重要领域，推进电信行业的商用密码应用既是形势所需，也是贯彻落实《密码法》《条例》的必然要求。

  一、电信行业密码应用现状

 政策引领电信行业商用密码应用落地。我国立足国情将商用密码应用及安全性评估纳入顶层规划，出台相关法律法规，充分发挥引领、规范和保障作用，推动密码管理体系不断完善。为落实国家相关法律法规要求，电信行业在一系列政策文件中提出密码应用要求，规范和促进商用密码技术应用落地。《“十四五”信息通信行业发展规划》（工信部规〔2021〕164号）中提出，全面加强网络和数据安全保障体系和能力建设，稳妥有序推进商用密码应用。《5G应用“扬帆”行动计划（2021-2023年）》（工信部联通信〔2021〕77号）中提出，在5G应用中推广使用商用密码，做好密码应用安全性评估。《物联网新型基础设施建设三年行动计划（2021-2023年）》（工信部联科〔2021〕130号）中提出，加快物联网领域商用密码技术和产品的应用推广，建设面向物联网领域的密码应用检测平台，提升物联网领域商用密码安全性和应用水平。

 电信行业商用密码应用工作稳步推进。在法规政策要求及安全需求的双重驱动下，大部分基础电信企业结合自身实际，将密码纳入企业工作计划中，逐渐提高了对商用密码应用工作的重视程度。工业和信息化部密码应用研究中心主办了首届全国商用密码应用优秀案例遴选活动，并将15项优秀案例提炼形成《全国商用密码应用优秀案例汇编》。其中，多项信息通信领域密码应用案例被评选为优秀案例，发挥了积极的引导和示范作用。整体来看，行业管理支撑类、集中化安全管理类等传统信息系统密码应用推进工作进程较快，密码应用合规化水平较高。基础网、移动通信网、IP承载网等行业属性较强的关键信息基础设施密码应用尚处于起步阶段，密码应用的程度、规模和水平偏低。

 多个典型系统商用密码应用工作取得阶段性成效。一是5G网络ZUC算法应用试点成效初显。我国自主设计的序列密码算法ZUC以中国古代数学家祖冲之的拼音（ZU Chongzhi）首字母命名，可用于4G、5G移动通信网Uu口和N1接口通信数据的机密性和完整性保护。目前，基础电信企业积极开展5G网络ZUC算法试点验证工作，并在智能制造、电力等5G专网中得到初步应用。相关试点结果表明，ZUC算法未对通信业务产生明显负面影响，ZUC算法具备在5G网络空口侧大范围、大规模推广的基础和条件。5G网络ZUC算法的应用推进了我国商用密码算法自主可控水平的提高，对于提升商用密码算法的国际竞争力具有重要意义。二是统一安全管理平台实现密码较成熟应用。统一安全管理平台（4A）集认证、授权、账号、审计功能为一体，是用户登录其他网络和系统的统一入口，面临着非授权登录、信息泄露等安全风险,安全防护需求迫切。目前，电信行业4A系统密码应用进程较快，预计于今年年末，多个基础电信企业的4A系统将通过商用密码应用安全性评估。4A系统商用密码的安全、合规应用将赋能电信企业所有系统，全面提高其他系统在身份认证、访问控制、安全审计等方面的安全性。三是公有云服务设施密码应用取得积极进展。部分公有云服务设施结合云平台自身特点，推进商用密码在云计算平台及租户业务系统中的合规、正确、有效应用。未来，网络和系统上云是大势所趋，云平台及云租户访问控制、数据安全等问题愈发突出，通过推动云平台密码合规建设，保证云计算平台密钥隔离、数据存储传输安全，进而保证云技术服务的自主可控性和安全性。

 二、电信行业密码应用面临的困难与挑战

（一）行业商用密码应用成本高、难度大

办公类系统、集中化安全管理类系统、信息服务类系统等传统信息系统目前已有较成熟的商用密码应用方案和实践案例，可开展商用密码应用改造工作。然而，基础电信网络具有较强行业属性，商用密码应用存在较大挑战。一是基础电信网络规模庞大，截至2022年，全国光缆线路总长度达5958万千米，互联网宽带接入端口数达到10.71亿个，移动通信基站总数达1083万个。二是基础电信网络设备繁多，涉及核心网、IP承载网、传送网等网络和系统上万个，光传输（OTN）、交换机、路由器等大量设备。三是基础电信网络承载了高价值的海量数据，2022年，仅移动互联网接入流量就高达2618亿GB，涉及大量个人信息及各行各业生产数据。电信行业商用密码应用工作牵一发而动全身，对如此大规模的复杂网络进行商用密码改造、对海量数据进行加密，需要采购大量密码设备或更换支持商用密码算法的电信设备，并进行充分的功能、性能测试验证，持续反复优化商用密码应用技术方案。因此，对全网进行全面商用密码应用改造面临成本高、难度大的挑战。此外，基础电信网络涉及的网络通信协议复杂多样，国际互联互通要求非常高，相关国际标准中部分网络通信协议未支持商用密码算法，此类网络开展商用密码应用存在较大困难。

（二）行业商用密码应用标准有待健全完善

我国已形成较为完善的商用密码标准体系，截至目前，已发布密码行业标准144项，密码国家标准43项。密码标准体系框架中共包括密码基础类、基础设施类、密码产品类、应用支撑类、密码应用类、密码检测类及密码管理类等七大类。其中，GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》（以下简称“基本要求”）为密码应用类基础性标准，用于指导、规范信息系统密码应用的规划、建设、运营及测评。然而，电信行业大部分系统，尤其是CT类系统具有较强的行业属性特征，基本要求对电信行业密码应用指导的针对性和有效性不足。当前，通信行业商用密码应用相关标准体系暂未构建，针对电信行业属性特征制定的密码应用标准尚不健全，电信行业重要网络和系统，尤其是关键信息基础设施密码应用标准研制工作进程需加快推进。

（三） 行业密码应用产业供给能力有待加强

基础通信网络具有大带宽、低时延、高并发、高可靠等性能要求，但传统的密码应用解决方案以为业务系统“打补丁”、增加“旁路式”和“外挂式”密码产品或设备的形式为主，密码应用产业现有供给能力无法满足基础通信网络，特别是CT类系统的性能要求。电信行业商用密码应用的“最后一公里”急需被打通，基础通信网络需依托内嵌密码能力的高性能通信芯片、设备，采用个性化、针对性的场景解决方案进行密码应用改造，实现通信产品和场景与密码技术深度融合。然而由于国际标准中部分通信协议不支持商用密码算法，同时，内植密码能力的通信设备研发成本较高，供给侧企业对于融合商用密码技术的通信芯片和设备的研发动力不足，研发力量薄弱，导致融合商用密码技术的通信产品、设备欠缺，商用密码改造一体化、服务化、内嵌式的产业供给能力欠缺，难以满足基础通信网络密码应用改造的内生密码能力需求。

三、电信行业密码应用工作建议

  （一）示范引领，加强行业商用密码应用标准规范体系建设

充分发挥标准的示范引领作用，加快行业商用密码应用标准规范研制进程，构建完善行业商用密码应用标准体系建设。发挥工业和信息化部商用密码应用推进标准工作组等组织的引领作用，加快推进5G核心网、业务运营支撑系统、云服务设施等关键信息基础设施密码应用标准研制工作，为行业相关场景开展商用密码应用提供指导建议。通过广泛开展试验验证，不断修订完善行业商用密码应用标准，形成行业共识，推进行业密码应用工作迈上新高度。同时，加快推进行业相关商用密码技术国际标准化工作，提升商用密码技术国际竞争力和认可度，为基于商用密码技术的国际互联互通业务夯实国际生态基础。

（二）先行先试，全面提升行业关键信息基础设施密码应用水平

坚持试点先行、示范推广的基本原则，鼓励和引导企业在4G/5G移动通信网、IP承载网、BOSS系统、公有云服务设施等典型关键信息基础设施选取用户身份鉴别、重要通信链路机密性和完整性保护、重要数据存储机密性和完整性保护等重点环节开展商用密码应用试点，以重点环节试点开局破题，推动关键信息基础设施密码应用取得关键进展。在试点工作中，对密码改造后的业务系统开展充分的功能、性能测试验证，尽可能减少密码改造对业务的影响。遴选行业关键信息基础设施商用密码应用优秀案例，探索关键信息基础设施商用密码应用最佳实践，发挥优秀实践成果的示范带动效应，促进成熟试点成果的推广应用。

（三）联合攻关，积极构建培育行业商用密码应用良好生态

加强政策和资金支持力度，开展电信行业密码应用关键和前沿技术攻关，完善电信行业密码产业生态。发挥密码应用技术创新与测试验证工业和信息化部重点实验室等创新平台优势，鼓励“产、学、研、用、测”各方协同合作，促进轻量级、抗量子等密码新兴技术和行业新场景、新业务的融合创新，验证、形成更多先进成熟的行业密码应用方案，全面提升电信行业商用密码应用技术水平。发挥中国网络安全产业创新发展联盟—商用密码工作组等组织的桥梁纽带作用，整合行业各方资源，凝聚产业各方力量，增强供给侧企业的密码原生创新动力，加快内嵌密码能力的高性能通信设备的研发进度，提升行业密码产业供给能力，满足行业系统高吞吐量、低时延、高可靠性能要求，持续推进电信行业密码应用工作走深走实。

四、结语

未来，随着商用密码产业的发展及行业密码应用推进工作的深入，电信行业密码应用产业链头部企业的“头雁”效应将逐渐凸显，行业统一集中的密码服务模式将逐步成熟，行业密码相关复合型人才队伍将持续壮大，密码将在增强电信行业网络与信息安全保障能力、营造清朗网络空间上发挥更加重要的作用。

本文刊于《中国信息安全》2023年 第7期 作者为中国工业互联网研究院安全研究所所长王聪