合規與實戰推動密碼產業發展*

白小勇

（北京煉石網絡技術有限公司，北京 100086）

0 引 言

密碼技術作為網絡空間安全的核心技術，在網絡安全體系中起著不可替代的作用。《中華人民共和國密碼法》將密碼分為核心密碼、普通密碼和商用密碼，其中商用密碼滿足數字經濟發展中數據活動的機密性、完整性、真實性和不可否認性等安全需求。國家“十四五”規劃指出：“發展數字經濟，推進數字產業化和產業數字化，推動數字經濟和實體經濟深度融合”，密碼作為數字經濟的“安全基因”，密碼產業將迎來全新發展機遇，也面臨著新挑戰。

1 合規監管與實戰防護共驅新密碼市場

密碼技術歷來由攻防對抗推動發展。密碼作為歷史最悠久、最具傳奇色彩的安全技術，自誕生以來就屬于安全產品。3000年前，著名兵書《六韜》記載了姜太公使用陰符、陰書等古典密碼技術保護軍事秘密通信。甲午戰爭期間，中方的高級電報密碼被日方破譯，導致清軍在戰爭各方面陷入被動，密破則國破，國破則家亡。密碼技術發展史是一部宏大的攻防對抗史。

密碼合規解決使用門檻和外部經濟學兩大問題。而如今，信息系統復雜多樣，伴隨的豐富應用場景對用戶正確使用密碼提出極高要求，再加上現代密碼學體系的復雜化，攻防重心延伸到密碼應用環節，但是廣泛政企用戶很難應對這種偶發性的、高技術水平的對抗性風險。而密碼合規能將這種對抗性風險轉變成常態的、可重復驗證的非對抗風險。同時，從外部經濟學角度來看，合規能有效解決消費方與受益方不一致的問題，對數據的服務者提出基礎性的安全保障要求，對普及密碼技術、提升國家安全具有積極意義。

因此，我國陸續出臺多項安全法規，直接或間接驅動形成新密碼市場。

一是國家安全頂層設計。《中共中央國務院關于構建更加完善的要素市場化配置體制機制的意見》明確要求數據安全。《中共中央關于制定國民經濟和社會發展第十四個五年規劃和二〇三五年遠景目標的建議》明確提出：保障國家數據安全，加強個人信息保護。[1]

二是出臺多部數據安全法律法規。《中華人民共和國網絡安全法》作為我國網絡安全領域第一部基礎性法律，對于我國有效應對網絡威脅和風險、全方位保障網絡安全具有重要意義；《中華人民共和國數據安全法（草案）》《中華人民共和國個人信息保護法（草案）》對數據安全和個人信息提出明確防護要求；《中華人民共和國密碼法》提升使用密碼保障網絡與信息安全的水平。這四部法律之間緊密關聯，網絡安全法規定了安全治理道路，數據安全法和個人信息保護法明確了道路上信息數據的保護目標，而密碼法提出了保護信息數據的技術手段。四法共治，極大驅動了以應用為主的新密碼市場發展。

三是強化密碼“一法三規”。《中華人民共和國密碼法》強調國家積極規范和促進密碼應用，將密碼應用的相關制度上升為國家法律，明確要求關鍵信息基礎設施等使用商用密碼保護網絡安全。而國家關于政務信息系統、等保三級以上網絡、關鍵信息基礎設施等“三規”，同樣要求正確、有效采用符合相關要求的密碼產品和服務。

用戶需要以合規為起點，以真實對抗結果為導向，進一步構建有效的密碼實戰化防護體系。密碼實戰化防護指標包含三部分：第一，應滿足密碼防護能力融入業務流程，提供多場景細粒度有效防護；第二，能夠融合訪問控制、審計等其他安全技術，實現安全機制可靠有效運行；第三，支持敏捷部署、實施周期短、對業務影響小等特點。

在合規監管與實戰防護的共同驅動下，商用密碼市場迎來前所未有的發展機遇。密碼法頒布前，密碼市場可分為監管市場和商業市場兩部分。監管市場由合規手段強制推動，用戶規模小但市場占比龐大，在過去占據密碼市場的主導地位。而商業市場用戶規模數倍于監管市場，但過去市場體量不足監管市場的一半。《中華人民共和國密碼法》《商用密碼管理條例（修訂草案征求意見稿）》等也同步貫徹落實“放管服”理念，精簡了行政許可事項,進一步放寬市場準入。信息技術高速發展帶動的安全新需求，亦充分激活實戰防護驅動的密碼需求。如圖1所示，未來密碼市場亦將呈現分層次疊加的多樣化需求，即實戰防護、密評合規、信創合規。

圖1 未來密碼市場的分層次需求

2 高質量供給推動密碼技術升級

2.1 國內產業生態提出密碼新需求

美國產業生態特點決定了其應用內加密采用集成密碼SDK模式。美國SOX（塞班斯法案，上市公司監管法規）、HIPAA（健康保險隱私及責任法案）、FISMA（聯邦信息系統安全防護政策）、GLBA（金融服務法現代化法案）、PCIDSS（支付卡行業數據安全標準）等行業合規準則，在應用開發建設階段均被有效執行，并且涉及數據加密、訪問控制、審計等。

相比美國，我們在應用與數據安全的相關法律法規制定起步較晚，過去十幾年，大量應用系統在建設過程中沒有將應用內建安全考慮進來，造成國內大量已建應用缺失安全防護能力，只能采取二次開發改造的方式以增強數據安全防護。

而對已建應用系統，進行開發改造以增強安全的方式涉及面廣、開發周期長、成本極高、風險很大，部分維護不到位的系統甚至缺失源代碼；同時，已上線系統如果重新部署還存在業務中斷風險。所以，通過改造的方式增強已建應用系統安全并不可行，國內的產業生態決定了我們更適合采取運行階段補丁增強安全的模式。

2.2 業務層是密碼應用的重點

密碼防護重點放在業務應用層相對更合理。如圖2所示，企業目前的IT架構，包含基礎設施、軟件平臺以及業務應用等不同層，企業數據在不同層之間高效流轉，實現互聯共享，為企業創造價值。數據隨著向上層流動，價值點就會越多。數據在基礎設施層，它就是一些沒有業務含義的二進制數字；在軟件平臺層，它表現為各種形式的文件格式；在業務應用層，數據才具備了豐富的業務含義。

圖2 企業IT架構

應用層惡意人群的攻擊行為，一般發生在看似合理的業務操作中，具有一定隱蔽性。而且，相關內部人員因為權限問題，更容易接觸到企業或組織的核心數據信息，風險性更高。同時，接觸業務應用層的內外部人員數量相對更多，因此，企業要重視數據在業務應用層的安全防護，以應用為抓手達成對企業數據資產的安全防護，有效應對數據泄露。

2.3 高質量密碼供給面臨的挑戰

2020年12月11日中央政治局會議要求：“要扭住供給側結構性改革，同時注重需求側改革，打通堵點，補齊短板，貫通生產、分配、流通、消費各環節，形成需求牽引供給、供給創造需求的更高水平動態平衡，提升國民經濟體系整體效能。要整體推進改革開放，強化國家戰略科技力量，增強產業鏈供應鏈自主可控能力。”[2]

密碼產業也應當形成“需求牽引供給、供給創造需求的更高水平動態平衡”。從需求側，國家大力推動在重要領域的密碼應用，密碼測評認證體系穩步有序發展，合規與實戰雙驅動的密碼需求正在牽引密碼供給。從供給側，新一代信息技術場景需要密碼技術的持續迭代，尤其是在密碼應用領域，創新驅動的高質量密碼供給亟待增強。

高質量密碼供給面臨三大挑戰，一是讓密碼能用，需要持續優化SM系列算法實現性能，使得替換國外密碼算法后不影響業務效率；同時，完善場景覆蓋，逐步完善軟件形態產品，覆蓋云端、移動端、物聯網端等新型場景。二是讓密碼好用，既要降低使用門檻，為用戶提供易用的密碼數據安全產品；又要降低集成難度，對密碼接口進行業務級封裝，提煉密碼中間件，讓應用軟件開發者輕松用起來。三是讓密碼用好，對于新建或改造的應用系統，同步內建密碼能力，對于存量應用系統，提供融入業務流程的密碼安全能力，讓數據流轉與安全防護兼得。

讓密碼能用。首要解決密碼算法性能問題。煉石利用AES-NI指令集加速優化SM4算法性能，實現在i9單顆CPU上SM4加解密性能突破130Gbps，加密10億條手機號僅耗時20秒，實現對AES等算法的等效替換。

讓密碼好用。需要免開發改造應用或輕量級改造應用的方式，補足已建應用系統缺失的安全能力。過去十幾年，大量應用系統在建設過程中沒有將應用內建安全考慮進來。因此，對已建應用系統進行開發改造以增強安全的方式涉及面廣、開發周期長、成本高、風險大，此外還有失去維護的系統甚至缺失源代碼而無法實施；同時，對已上線系統重新部署還存在業務中斷風險。所以，通過改造的方式增強已建應用系統安全并不可行。

讓密碼用好。需要將密碼與其他多種安全技術結合，共同構建實戰化防護體系。傳統的加密與防護控制組合模式中，加密施加在數據庫一側，訪問控制通過4A或IAM策略中心下發認證和權限決策，二者是分別建設的。解密和權限是兩個決策點，數據解密無法和權限體系結合，加解密和細控的分離帶來了威脅敞口，攻擊者可以繞過訪問控制，從威脅敞口直接竊取數據。密鑰是對數據秘密的濃縮，加密將明文的安全性縮小到密鑰的安全性，但單獨應用加密并不直接解決問題，因此如圖3所示，需要將加密與訪問控制、審計等技術結合，共同構建“防繞過”的數據安全防護體系。

圖3 密碼與系統安全一體化

2.4 “面向切面數據安全”讓密碼融合到業務中

煉石基于現狀，參考AOP面向切面編程思想，創新性提出“面向切面數據安全”思路，進而打造出CASB業務數據安全平臺，通過在業務流轉的數據切面上施加安全規則，實現安全與業務在技術上解耦，又在能力上融合交織，構建實戰化的數據安全防護體系。

2.4.1 應用免開發改造，敏捷部署

在免開發改造應用基礎上，CASB業務數據安全平臺通過部署AOE插件，代理和攔截入庫SQL，實現敏感數據在服務側的加密防護。當數據被業務人員訪問，它能結合業務人員的身份信息進行動態脫敏，并對不同等級數據分類施策，同時面向業務人員和DBA增強內控防護，實現主體到人、客體到字段的細粒度訪問控制，以及加解密脫敏一體化防護。

2.4.2 打造“防繞過”安全機制

密碼技術與“面向切面數據安全”概念結合，能夠有效打造數據安全平臺的“防繞過”安全機制。CASB業務數據安全平臺通過在“數據切面點”加密，就會讓訪問控制機制無法被繞過，讓數據訪問審計具備高置信度特征，防范內部人員利用漏洞或內控不足導致敏感數據泄露。

2.4.3 滿足“安全新合規”需求

CASB業務數據安全平臺能滿足各行業對多方面“新合規”的需求，包括國密、個人信息保護、信創等。CASB業務數據安全平臺具有國家密碼管理局頒發的商用密碼產品認證證書，能夠滿足GM/T 0054-2018 《信息系統密碼應用基本要求》密評規范中的密碼合規要求；支持加密、去標識化、匿名化等功能，遵循個人信息保護技術合規要求；同時，CASB業務數據安全平臺可基于龍芯、飛騰等國產化平臺提供，全面支持信創。

3 拓寬商業市場，培育密碼生態

市場機遇和高質量密碼供給是商用密碼發展內在因素。商用密碼的健壯發展亦離不開信息技術整體生態的支撐。如圖4所示，按技術鏈條劃分，密碼技術鏈可大致分為上、中、下游三個環節。

圖4 密碼技術鏈條

上游包括密碼算法標準、網絡協議及規范，如IETF RFC等。中游包括網絡協議棧實現、軟件開發工具鏈，硬件密碼模塊和驅動、CPU密碼指令集支持等。下游包括各種應用軟件，涉及基礎應用軟件、行業應用軟件等環節。

目前，技術生態環節存在商用密碼覆蓋盲區。上游的網絡層協議及規范尚不支持SM算法。中游的通用協議棧實現與開發工具鏈沒有充分支持SM算法。上中游盲區導致下游應用軟件普遍不支持SM算法。

而在信息技術生態推廣商用密碼面臨巨大挑戰：

一是與已有協議或應用銜接兼容、算法安全切換等問題。在協議兼容方面，商用密碼TLS協議面臨算法ID等問題，如不能與標準協議兼容，會形成生態孤島；應用銜接方面，大量已有應用需進行商用密碼改造升級工作，如何實現SM算法和已有應用無縫對接、深度融合存在技術挑戰；算法切換方面，需解決好SM系列算法與RSA/AES/SHA等已有的國外密碼算法的快速、安全切換問題。

二是商用密碼“走出去”面臨阻力。首先是潛在阻力，很多國際標準組織被超級大國主導和影響，商用密碼算法進入國際規范存在潛在阻力；其次是意見統一，我國產業界在是否要進入國際規范這個問題上需要統一，無形中形成商用密碼國際化推進工作的“內部阻力”；最后是差距明顯，與歐美相比，我國密碼產業起步晚，在密碼產業生態上有明顯差距。

與此同時，密碼生態迎來歷史性發展契機。首先，密碼法出臺造就商用密碼發展黃金窗口期，密碼建設從國家層面將迎來最好時機，加速SM算法在上中下游的全面融合和推廣應用。其次，新技術、新業態成就商用密碼發展新機遇。云計算、物聯網、大數據、5G等信息技術升級可以促進算法協議以更低成本完成升級工作，尤其是信創產業帶來的歷史契機。密碼既是信創的重要組成部分，又為信創提供安全保障。最后，我國具有充沛的技術人才保障，以及“一帶一路”巨大市場潛力，為商用密碼發展奠定了重要基礎。

進一步地，增強技術生態覆蓋，針對上游，通過RFC等規范制定，布局SM算法進入標準和協議；針對中游，通過多個重點工程，抓住協議棧和工具鏈；針對特定行業或領域，結合中國市場，聯合多家國際主導廠商，以密碼合規等市場準入條件為契機，反向推動上游協議接納SM算法；針對下游，結合法律法規和密評整改等手段，從下游應用軟件反向推動，依賴下游廣泛應用生態發揮出商用密碼的巨大價值，不斷開拓商用密碼市場和國際市場，做強做大密碼產業生態。

進一步地，拓寬密碼商業化市場，在戰略上，應明確商用密碼全面應用的路線，堅持 “走出去”的密碼技術路線，技術鏈條的上中下游配合行動，做實做強密碼產業生態。在戰術上，從算法到協議，再到應用，全面貫徹SM算法的加速普及。

4 結 語

密碼技術歷來由攻防對抗推動發展，合規是推廣密碼技術直接有效的手段，合規與實戰并舉，更能拉動商用密碼市場蓬勃發展。目前，產業內高質量密碼供給不足，造成密碼普及滯后，市場呼喚高質量密碼供給，通過技術升級讓密碼技術能用、好用、用好，在豐富的應用場景中打造密碼實戰化防護體系。在密碼生態建設上，目前技術生態環節存在商用密碼覆蓋盲區，需要進一步增強工具鏈覆蓋，彌補密碼生態短板，抓住信創帶來的歷史契機，拓寬密碼商業化市場，做大做強密碼生態。