新闻中心

牛路宏:守正创新 高起点建设高质量商用密码检测认证体系

时间:2021-09-14 来源:《中国信息安全》杂志2021年第8期

文│ 国家密码管理局商用密码检测中心主任 牛路宏


2020 年1月1日,《中华人民共和国密码法》正式施行,明确提出国家推进商用密码检测认证体系建设,为商用密码检测认证工作指明了方向,提供了根本遵循。商用密码检测中心作为经市场监管总局和国家密码管理局批准的全国唯一一家商用密码认证机构,深入贯彻落实习近平总书记重要指示批示精神和《密码法》相关要求,立足发展实际,借鉴相关领域成熟做法和先进经验,为商用密码检测认证体系建设贡献积极力量。

一、商用密码检测认证体系的重要意义

进入全面建设社会主义现代化强国的新历史时期,商用密码在维护国家安全、促进经济社会发展、保障人民群众利益等方面发挥着越来越重要的作用,商用密码治理体系和治理能力面临新形势与新挑战,建设商用密码检测认证体系对贯彻落实新发展理念,推动商用密码进入高质量发展快车道具有重要意义。

建设商用密码检测认证体系是落实国务院“放管服”改革要求,服务商用密码管理重塑的重要举措。贯彻落实《密码法》,重塑商用密码管理,检测认证体系建设是重要组成和关键环节。从行政许可管理向检测认证体系转变,有效加强事中事后监管,实现商用密码管理“放”与“管”的有机衔接,也是“放管服”改革的要求。作为国家质量体系管理的一项基本制度,检测认证利用技术手段对商用密码产品和服务进行技术把关、质量控制,为行政执法提供公正数据和技术支持,政府从“前台”转入“后台”,进一步放宽市场准入,促进行政职能转变,推进供给侧结构性改革,激发市场活力和社会创造力,创新商用密码发展,规范商用密码管理。

建设商用密码检测认证体系是引导商用密码从业单位提质升级,增加商用密码高质量供给的发展需要。通过检测认证手段,保障商用密码产品、服务符合相关技术标准规范,引导商用密码从业单位加强技术升级迭代,不断提升产品、服务质量,全面提升供给能力,实质高质量发展。商用密码检测认证采用强制性认证和国推自愿性认证相结合的方式,充分发挥强制性认证的“保底线”作用,对涉及国家安全、国计民生、社会公共利益的商用密码产品及使用相关设备的服务进行强制性认证,把安全风险降到最低;以国推自愿性认证“拉高线”,引导消费和采购,形成有效的市场选择机制,促进商用密码企业提升产品和服务质量,推动“产品”向“精品”转变,增加优质供给。

建设商用密码检测认证体系是优化商用密码营商环境,推动商用密码产业繁荣发展的有效手段。检测认证提供独立公正、专业可信的评价信息,向市场和社会传递质量与信用信号,引导市场优胜劣汰,从源头把关,规范市场秩序。在商用密码产业发展中,针对现有产品和服务,检测认证评价信息引导市场调节和政府调控;围绕新兴技术和产业发展需求,检测认证积极促进新兴产品标准研究,努力打造高水准、一站式的检测认证服务平台,促进新产品研发、生产和应用,为商用密码产业结构升级和有序发展提供有力支撑。

二、商用密码检测认证体系的总体部署

商用密码检测认证体系按照高质量发展的要求,以制度机制建设为统领,以标准建设、机构建设、力量建设为重点,全面推进产品认证、服务认证和管理体系认证能力建设,大力服务并促进商用密码产业发展和改革创新。

(一)规划检测认证体系建设目标

建立科学完备、公正权威、先进高效的商用密码检测认证体系,覆盖商用密码产品、服务和管理体系。检测认证法律法规和标准体系健全,形成市场机制为主导、政府加强事中事后监管的运行机制,推动检测认证与产业发展深度融合;密码检测分析基础理论研究取得原创性成果,突破一批密码检测认证核心关键技术,研制一批适应新技术新应用发展以及检测认证工作需求的检测认证工具,以科研创新驱动检测认证发展;培育一批操作规范、技术能力强、服务水平高、规模效益好的检测认证机构,建成多层次、高水平的检测认证专业人才队伍,构建完备的检测认证基础设施,推动检测认证服务做强做优做大。

(二)构建检测认证制度体系

自 2019 年 10 月 26 日《密码法》颁布至今,在市场监管总局、国家密码管理局领导下,初步建立商用密码检测认证制度体系,为检测认证实施提供根本遵循。

开展顶层设计。2019 年 12 月至 2020 年 5 月,市场监管总局会同国家密码管理局陆续发布《关于调整商用密码产品管理方式的公告》(第 39 号)、《关于开展商用密码检测认证工作的实施意见》(国市监认证〔2020〕50 号)、《商用密码产品认证目录 ( 第一批 )》和《商用密码产品认证规则》,取消“商用密码产品品种和型号审批”制度,建立国家统一推行的商用密码认证制度,坚持“统一管理、共同实施、规范有序、保障安全”的基本原则,明确市场监管总局、国家密码管理局以及检测认证机构等各方职责分工,为商用密码检测认证体系奠定制度基础。

修订规章制度。落实党和国家要求、贯彻《密码法》精神、适应新时代商用密码事业发展,国家密码管理局组织对《商用密码管理条例》进行修订,并面向社会征求意见。条例征求意见稿落实《密码法》规定的推进商用密码检测认证体系建设,鼓励商用密码从业单位自愿接受商用密码检测认证,明确检测、认证机构资质审批条件、程序及其从业规范,细化检测认证体系的管理要求和运作机制。

完善标准规范。标准是检测认证科学性、权威性、规范性和有效性的根本依据和技术基础。按照共性先立、急用先行的原则,稳步推进密码标准制修订工作,形成了具有自主知识产权的 SM 系列国产算法及相关密码技术标准和规范。目前国家密码管理局已发布密码行业标准 115 项,推进发布密码国家标准 39 项,覆盖密码算法、密码芯片、密码设备、密码应用中间件、密码系统、密码检测等的密码标准体系基本建立,为商用密码检测认证实施提供了有力的标准支撑。

(三)布局检测认证力量

建设国家密码管理局一手抓机构布局,一手抓能力建设,双管齐下,稳步推进商用密码检测认证体系建设工作。

建设商用密码检测认证机构。立足商用密码发展实际,我国积极构建“1+M+N”的商用密码检测认证体系,即设立 1 家商用密码认证机构、M 家商用密码产品检测机构和 N 家商用密码应用安全性评估机构。围绕产业需求,综合考虑地理因素,目前我国设立认证机构 1 家(商用密码检测中心);产品检测机构 4 家,分布在北京、深圳、上海和成都等地;密评机构 48 家,分布在北京、天津、上海、杭州、广州、乌鲁木齐、郑州等地,商用密码检测认证队伍日益壮大。

强化商用密码检测认证能力。经过二十余年的深耕细作,我国密码检测基础理论、关键技术、工具平台、运行机制等方面都取得新突破,多项成果达到国际先进水平,商用密码检测能力大幅提升。以安全芯片检测能力建设为关键突破口,逐步建成覆盖芯片、板卡、整机、系统等 22 类密码产品的检测能力;在探索和实践中建立完善的电子认证服务系统安全性测评和信息系统密码应用安全性评估工作机制,积极推进相关测评工作,很好地满足了商用密码管理和产业发展的检测评估需要。

三、商用密码检测认证工作的实施成效

自《密码法》实施以来,商用密码检测认证工作立足发展实际,积极开展工作,在商用密码产品检测认证方面取得了阶段性成果。

初步建成国推商用密码产品认证实施体系。根据市场监管总局和国家密码管理局联合公告要求,依据《商用密码产品认证规则》,立足认证工作实际,商用密码检测中心制定发布 22 类商用密码产品的认证实施细则,明确认证模式和认证实施流程,作为认证规则的配套文件,共同指导国推产品认证工作的开展。

完成型号审批机制向检测认证体系的平稳过渡。《密码法》实施后,原“商用密码产品品种和型号审批”行政许可调整为检测认证制度。为确保商用密码产品管理工作平稳有序衔接和过渡,2020 年 7 月 1 日前圆满完成有效期内的《商用密码产品型号证书》换发《商用密码认证证书》工作,共换发证书 1876 张;此前尚未完成的型号审批,申请单位可自愿转为认证申请;审批期间已经开展的审查及检测,认证机构不再重复审查、检测。

有序开展检测认证工作。依据《商用密码产品认证规则》,有序开展产品认证工作;按照密码应用安全性评估要求,不断探索推进密评试点。截至2021 年 6 月 30 日,累计完成产品检测 3000 余款(含型号审批制度阶段),累计发放认证证书 2528 张(含换发证书);对 1000 多个高安全等级的重要信息系统进行了密码应用安全性评估,有效引导了商用密码企业提质升级,丰富产品供给,保障了商用密码在重要信息系统和关键信息基础设施中的安全合规应用。

四、商用密码检测认证发展的未来展望

新时代商用密码发展面临新形势、新挑战和新问题,商用密码检测认证体系建设将重点围绕以下目标继续推进。

一是制度体系更加完善。依据《密码法》和《商用密码管理条例》,加快构建科学规范、系统完备、运行高效的法规体系,完善检测认证规则,加强检测认证机构和人员管理,规范检测认证活动。按照共性先立、急用先行的原则,跟踪密码技术和密码应用发展,大力推进密码检测认证标准的制修订,不断适应商用密码产业和应用发展新需求。

二是检测认证机构能力全面提升。持续提升检测认证技术能力,突破检测认证关键核心技术,丰富密码检测认证工具,优化完善检测认证手段,提高检测认证技术水平和服务质量。加强检测认证人才培养,聚焦高层次领军人才和紧缺急需人才,坚持引进和培养并重,打造一支结构合理、素质优良、业务精湛的创新人才队伍。

三是商用密码产品、服务和管理体系认证全面开展。建立完善的商用密码检测认证体系,促进商用密码市场健康有序发展。强化国推商用密码产品认证体系建设。推动建立商用密码服务国推自愿认证制度,稳妥开展服务认证。研究探索并适时推动商用密码管理体系认证。针对商用密码新产品、新应用、新业态、新模式,探索开展自愿性检测认证活动。

四是服务产业发展、应用促进、密码管理的作用更加突出。以服务为宗旨,以需求为导向,推动检测认证在商用密码优质供给,推动密码与新兴技术的融合应用,保障密码应用的合规、正确、有效。增强检测认证服务的全面性、针对性、专业性和有效性,为行政执法监管提供公正数据和技术支持,提升政府监管的可靠性和公信力。

推进商用密码检测认证体系高质量建设和发展,责任重大,使命光荣。商用密码检测中心将深入学习贯彻习近平新时代中国特色社会主义思想,深入贯彻落实《密码法》相关要求,在国家密码管理局的领导下,携手商用密码产业和应用各方,守正创新,积极奋进,为建设科学完备、公正权威、先进高效的商用密码检测认证体系,服务国家安全和经济社会发展作出新的更大贡献。