據(jù)賽迪研究統(tǒng)計(jì)，我國(guó)商用密碼市場(chǎng)總體規(guī)模2023年有望達(dá)985.85億元，同比增長(zhǎng)39.32%。

　　近日，國(guó)務(wù)院總理李強(qiáng)主持召開(kāi)國(guó)務(wù)院常務(wù)會(huì)議，會(huì)議審議通過(guò)了《商用密碼管理?xiàng)l例(修訂草案》》(簡(jiǎn)稱(chēng)《條例》)。

　　會(huì)議指出，近年來(lái)，商用密碼應(yīng)用愈發(fā)廣泛，在保障網(wǎng)絡(luò)和信息安全、維護(hù)公民和法人權(quán)益方面的重要性日益凸顯。要全面貫徹總體國(guó)家安全觀，進(jìn)一步規(guī)范商用密碼應(yīng)用和管理，督促平臺(tái)企業(yè)依法履行用戶密碼保護(hù)責(zé)任，確保個(gè)人隱私、商業(yè)秘密和政府敏感數(shù)據(jù)的安全。

　　業(yè)內(nèi)人士認(rèn)為，隨著數(shù)據(jù)安全重要性的提升，我國(guó)密碼產(chǎn)業(yè)市場(chǎng)規(guī)模逐漸擴(kuò)大，近幾年平均增速高于全球增速。據(jù)賽迪研究統(tǒng)計(jì)，我國(guó)商用密碼市場(chǎng)總體規(guī)模2023年有望達(dá)985.85億元，同比增長(zhǎng)39.32%。

　　【三大重要變化】

　　早在1999年，我國(guó)發(fā)布生效了《商用密碼管理?xiàng)l例》;2019年，由于《商用密碼管理?xiàng)l例》已無(wú)法適應(yīng)時(shí)代發(fā)展要求，我國(guó)對(duì)商用密碼管理制度進(jìn)行了結(jié)構(gòu)性重塑，從而頒布了《中華人民共和國(guó)密碼法》(簡(jiǎn)稱(chēng)“密碼法”)。

　　到2020年8月10日，以《中華人民共和國(guó)密碼法》為上位法，國(guó)家密碼管理局發(fā)布了《商用密碼管理?xiàng)l例(修訂草案征求意見(jiàn)稿)》，對(duì)1999年的《商用密碼管理?xiàng)l例》進(jìn)行了全面修訂。

　　業(yè)內(nèi)有專(zhuān)家認(rèn)為，《條例》的正式通過(guò)，將進(jìn)一步規(guī)范密碼應(yīng)用市場(chǎng)，帶來(lái)以下幾點(diǎn)重要變化：

　　一、督促平臺(tái)企業(yè)依法履行密碼保護(hù)責(zé)任

　　《條例》進(jìn)一步落實(shí)《密碼法》的管理要求，除了對(duì)密碼應(yīng)用本身要求外，對(duì)檢測(cè)認(rèn)證、電子認(rèn)證、進(jìn)出口管理等都提出了相關(guān)要求，讓平臺(tái)和企業(yè)有法可依。

　　二、商用密碼改造逐步從“建議性”變?yōu)椤皬?qiáng)制性”

　　《條例》中明確規(guī)定，非涉密的關(guān)鍵信息基礎(chǔ)設(shè)施、網(wǎng)絡(luò)安全等級(jí)保護(hù)第三級(jí)以上網(wǎng)絡(luò)和國(guó)家政務(wù)信息系統(tǒng)等網(wǎng)絡(luò)與信息系統(tǒng)，要求“自行或者委托商用密碼檢測(cè)機(jī)構(gòu)開(kāi)展商用密碼應(yīng)用安全性評(píng)估”。

　　對(duì)于非涉密的關(guān)鍵信息基礎(chǔ)設(shè)施，《條例》規(guī)定運(yùn)營(yíng)者應(yīng)履行使用商用密碼進(jìn)行保護(hù)、開(kāi)展商用密碼應(yīng)用安全性評(píng)估、使用列入密碼技術(shù)指導(dǎo)目錄的商用密碼技術(shù)、采購(gòu)網(wǎng)絡(luò)產(chǎn)品和服務(wù)的國(guó)家安全審查等義務(wù)。

　　三、“密評(píng)”成為衡量密碼建設(shè)程度的指標(biāo)

　　《條例》中還指出，前款所列的網(wǎng)絡(luò)與信息系統(tǒng)通過(guò)商用密碼應(yīng)用安全性評(píng)估(即“密評(píng)”)方可投入運(yùn)行，運(yùn)行后每年至少進(jìn)行一次評(píng)估，評(píng)估情況報(bào)送所在地設(shè)區(qū)的市級(jí)密碼管理部門(mén)備案。

　　【為物聯(lián)網(wǎng)搭建“防火墻”】

　　經(jīng)過(guò)十余年的發(fā)展，我國(guó)物聯(lián)網(wǎng)產(chǎn)業(yè)規(guī)模已接近3萬(wàn)億元，在工業(yè)制造、社會(huì)民生等各個(gè)領(lǐng)域得到廣泛應(yīng)用。

　　隨著數(shù)以千億的物聯(lián)網(wǎng)設(shè)備接入網(wǎng)絡(luò)，物聯(lián)網(wǎng)面臨的安全威脅問(wèn)題日益突出，物聯(lián)網(wǎng)密碼越來(lái)越受到重視。

　　業(yè)內(nèi)專(zhuān)家認(rèn)為，物聯(lián)網(wǎng)網(wǎng)絡(luò)主要的安全風(fēng)險(xiǎn)集中在6個(gè)方面：

　　1、物聯(lián)網(wǎng)設(shè)備：攻擊者可利用鑒別機(jī)制弱點(diǎn)惡意部署同型號(hào)或克隆一個(gè)相似設(shè)備，接入系統(tǒng)進(jìn)行攻擊。

　　2、安全網(wǎng)關(guān)：由于物聯(lián)網(wǎng)終端可能采集處理大量敏感數(shù)據(jù)，若安全網(wǎng)關(guān)對(duì)上述數(shù)據(jù)轉(zhuǎn)發(fā)未作加密，則易發(fā)生數(shù)據(jù)竊取等問(wèn)題。

　　3、無(wú)線安全：物聯(lián)網(wǎng)中節(jié)點(diǎn)數(shù)量龐大且數(shù)據(jù)傳輸采用無(wú)線射頻信號(hào)進(jìn)行傳輸，存在攻擊者可通過(guò)發(fā)射干擾信號(hào)造成通信中斷，或信號(hào)傳輸過(guò)程中劫持、竊聽(tīng)、篡改數(shù)據(jù)等風(fēng)險(xiǎn)

　　4、數(shù)據(jù)傳輸：傳輸層面臨異構(gòu)網(wǎng)絡(luò)跨網(wǎng)認(rèn)證等安全問(wèn)題，此外，物聯(lián)網(wǎng)上傳輸?shù)臄?shù)據(jù)包未加密和簽名，易發(fā)生被竊聽(tīng)、篡改、偽造以及發(fā)送者抵賴(lài)等問(wèn)題

　　5、業(yè)務(wù)平臺(tái)：由于接入設(shè)備類(lèi)型繁多、能力參差不齊，存在身份仿冒、非授權(quán)訪問(wèn)等安全風(fēng)險(xiǎn)。

　　6、物聯(lián)網(wǎng)終端：攻擊者可以利用信息采集設(shè)備檢測(cè)和搜集所有與保密數(shù)據(jù)相關(guān)的泄漏信息，還存在攻擊者利用破壞性或是非破壞性技術(shù)擾亂芯片加密系統(tǒng)，從而獲取密鑰的故障攻擊手段。此外，軟件形態(tài)更易造成敏感數(shù)據(jù)泄露。

　　物聯(lián)網(wǎng)中需要商用密碼主要對(duì)以下4點(diǎn)進(jìn)行保護(hù)：

　　(1)身份認(rèn)證：建立基產(chǎn)算法的PKI/CA基礎(chǔ)設(shè)施，為物聯(lián)網(wǎng)場(chǎng)景下的各個(gè)設(shè)備以及云端都頒發(fā)證書(shū),通過(guò)對(duì)設(shè)備的識(shí)別和并且與證書(shū)進(jìn)行綁定，對(duì)每個(gè)設(shè)備都能進(jìn)行備案,這樣在進(jìn)行身份認(rèn)證階段，通過(guò)雙向的身份，設(shè)備無(wú)法被冒充，同時(shí)云端服務(wù)也攔截

　　(2)數(shù)據(jù)傳輸：通過(guò)SM2和SM4的組合使用，在未建立SSL安全通道的傳輸鏈路中對(duì)傳輸?shù)臄?shù)據(jù)包進(jìn)行簽名和加密，同樣也保證了數(shù)據(jù)的安全可信。

　　(3)數(shù)據(jù)交換：可采取點(diǎn)到點(diǎn)加密機(jī)制和端到端加密機(jī)制確保傳輸層安全，也可采用SSL/TLS和IPSec等協(xié)議，提供通信加密和認(rèn)證功能，保證通信雙方傳輸交換安全。

　　(4)終端安全：采用更加輕量級(jí)的純軟件實(shí)現(xiàn)的SM2門(mén)限密碼算法.將簽名和驗(yàn)簽過(guò)程在終端和服務(wù)端分別運(yùn)算再合并。

　　整體來(lái)看，密碼技術(shù)在云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)、人工智能等新興領(lǐng)域發(fā)揮基礎(chǔ)支撐作用，商密作為保護(hù)數(shù)據(jù)安全的重要手段，新興領(lǐng)域的出現(xiàn)也帶來(lái)了新的市場(chǎng)空間。