随着《中国(海南)自由贸易试验区总体方案》和《智慧海南总体方案(2020—2025年)》的出台,海南自贸港建设进入快车道,数字经济将成为自贸港实现高质量发展的重要抓手。商用密码应用是护航数字经济建设的重要防护手段,发展具有海南自贸港特色的商用密码应用,需要适应数字化发展安全需求,找准发展方向,体现先行先试的优势。运用SWOT方法分析,结合海南商用密码应用现状,找出其内部优势和劣势,分析外部机遇与挑战,并提出针对性建议。

内容目录:

0 引 言

1 发展优势(S)分析

1.1 密码政策优势

1.2 离岛先行先试优势

2 发展劣势(W)分析

2.1 商用密码产业基础薄弱

2.2 商用密码应用范围和深度不足

2.3 缺少商用密码创新链

3 发展机遇(O)分析

3.1 制度创新机遇

3.2 数字化建设机遇

3.3 对接国际商用密码市场机遇

4 发展挑战(T)分析

4.1 高度开放的环境带来监管挑战

4.2 数据集约化建设带来网络安全风险

4.3 跨境数据的管理

4.4 新技术新场景对商用密码应用的挑战

5 发展建议

5.1 找准产业链定位,推进商用密码泛在化

5.2 加强对商用密码的应用监管,有效管控风险

5.3 发展以数据安全为特色的商用密码保障体系

6 结 语

0 引 言

海南自贸港是我国面向未来、面向世界,瞄准全球开放水平最高的区域打造的中国开放新高地,其重要任务就是抓住全球数字革命的机遇,打造法治化、国际化、便利化的营商环境。信息化、网络化、数字化发展在带来巨大进步的同时,也引入了诸多新的安全风险。网络安全牵一发而动全身,深刻影响国家政治、经济、文化、社会、军事等各领域安全,统筹提升信息化水平和网络安全保障能力尤为重要。

密码是网络安全的核心技术,构建自贸港新一代信息基础设施,可以利用密码在身份鉴别、数据加密、信任传递等方面的重要作用,助力维护网络空间安全秩序。商用密码一直是我国密码体系的重要组成部分,经过二十多年的发展,已经成为网络安全保障体系的必要组成。依托开放水平最高的特殊经济功能区的建设舞台,海南自贸港商用密码应用的发展要抓住机遇、担当使命,解放思想、大胆实践,积累可复制、可推广的经验,为全国商用密码发展探路。

SWOT 分析法是基于内外部竞争环境和竞争条件下的态势分析,将与研究对象密切相关的各种主要内部优势、劣势和外部机会、威胁等,通过调查列举出来,使用系统分析的思想,把各种因素相互匹配起来加以分析,从中得出一系列相应的结论。本文使用SWOT分析法对海南自贸港商用密码应用发展现状和前景进行全面、客观、准确的分析,围绕如何强化优势、规避劣势、抓住机会、应对威胁展开系统研究,以实现科学决策的目的,为海南自贸港商用密码应用的发展路径提出相应建议。

1 发展优势(S)分析

密码政策和离岛先行先试是海南自贸港发展商用密码应用的两大优势,密码政策推动合规刚性需求,离岛优势促进商用密码应用创新突破。

1.1 密码政策优势

我国已经在《中华人民共和国网络安全法》《中华人民共和国密码法》《网络安全等级保护条例(征求意见稿)》等多部政策法规中明确了商用密码应用的要求。由国家密码管理局发布的《商用密码管理条例(修订草案征求意见稿)》中提出:国家支持网络产品、服务使用商用密码提升安全性,支持并规范商用密码在信息领域新技术、新业态、新模式中的应用。2021年3月17日,海南省国家密码管理局、海南省委网信办、海南省发改委、海南省财政厅、海南省公安厅、海南省大数据管理局 6 个部门联合发布《关于进一步明确省政务信息化项目密码应用有关要求的通知》(以下简称《通知》)。《通知》要求,新建、改建、扩建以及通过政府购买服务产生的政务信息化项目,项目建设单位在项目建设完成后,应委托评估机构对信息系统进行密码应用安全性评估。国家及地方行政法规带来的刚性合规需求,将极大提升密码作为网络空间根本性核心技术的地位,为海南自贸港商用密码的发展提供政策保障。

1.2 离岛先行先试优势

海南是中国最南端的离岸岛,是中国香港面积的 32 倍,背靠中国大陆的腹地经济,并以此为据点,辐射太平洋、印度洋区域的周边国家,具备利用国内国际两个市场、两种资源的有利因素,连接国内国际两大循环,叠加具有全球影响力的自贸港政策,完全有条件建设全球最具活力的区域,引领和创造更丰富的新需求和新机会。

独特的离岛地理位置,使海南自贸港与内陆经济自然形成了风险缓冲带,成为先行先试的最佳试验田,可以开放过去很多未被开放的领域,降低过去相对较高的领域门槛,对要先行先试的行业正式准予先行。对于商用密码发展而言,在海南自贸港可以更加大胆地探索和推进商用密码的服务化、泛在化应用,积累经验,形成可推广复制的商用密码应用发展道路。

2 发展劣势(W)分析

海南自贸港当前的商用密码产业链不完整,存在基础薄弱、应用范围和深度不足以及缺少创新链等发展劣势。

2.1 商用密码产业基础薄弱

海南当前的密码产业基础薄弱,总体规模较小,支撑能力还不够,尚未形成完整链条的产品体系,还不能全面满足网络空间条件下差异化、多样化的商用密码应用需求。海南省商用密码产业链中,缺乏以密码算法、密码芯片为代表的上游企业;在以密码技术为核心,主要提供产品和服务的中游企业中,本地商用密码企业少,使用的商用密码产品多为外地企业提供。在海南开展业务的主要商用密码企业共30余家,来自北京的厂家占比近半数,其中活跃厂家12家,包括卫士通、信安世纪、北京CA、三未信安、北京数盾等,本地商用密码企业与这些活跃厂家相比,在规模和产品供给能力方面尚有较大差距。在本地企业采用的商用密码产品中硬件设备占比高,软件产品供给不足;下游客户主要是机关、军工、银行、证券,以及大型企业集团,商用密码应用的需求旺盛。

2.2 商用密码应用范围和深度不足

我国企业网络安全环境堪忧,普遍不重视对数字资产的保护,在认识上存在不属于国家秘密就无需密码保护的误区,一些重要信息系统和关键信息基础设施密码防护薄弱。海南当前同样存在上述情况,商用密码应用参差不齐,缺少统一规划和监管。一是密码应用深度不足,部分领域处于初始和试点阶段。在政务领域,政务云平台上建设了一体化政务服务平台,政务系统商用密码应用测评处于开始阶段。在金融领域,本地银行新发行金融IC卡全部支持商用密码算法,核心业务、网上银行、移动支付等系统的商用密码改造正在进行中。在通信领域,物联网商用密码安全芯片已在智能计表、工业互联网标识、燃气表、车联网等领域应用试点。二是海南缺少统一的商用密码基础设施,实体认证现存多个CA系统,不利于全海南业务系统互通。三是关键基础设施与重要领域的商用密码应用衔接不够,现有的重要信息系统和关键信息基础设施密码防护薄弱,系统“裸奔”,数据“裸跑”,密码应用局部化、碎片化、外挂化的现象比较普遍。

2.3 缺少商用密码创新链

2020年,海南每万人有效发明专利量为3.5件,远低于全国14.3件的平均水平;研发投入占地区生产总值比重为0.56%,只有全国平均水平2.23%的四分之一。由此可见,海南研发投入不足、科技创新能力较弱。海南缺少知名的商用密码企业,密码人才主要集中在高校,缺少留住密码高端人才的产业环境,缺少“产、学、研、用、测、服”密码创新链条,虽然吸引了俄罗斯密码研究团队,但是资源整合与创新牵引能力还未充分体现。以商用密码应用技术之一的区块链发展为例,根据《2020中国区块链城市创新发展指数》综合排名显示,在被调查的50个城市中,海口市综合排名仅位列第31名,从排名可以看出,尽管海南通过政策优势吸引了大量区块链企业入驻,但在推动区块链创新能力方面和全国其他城市仍存在一定差距。

3 发展机遇(O)分析

海南自贸港作为我国开放程度最高的区域,在制度创新、数字建设和国际接轨方面为商用密码应用的发展提供了重大机遇。

3.1 制度创新机遇

习近平总书记“4·13”重要讲话指出,海南全岛建设自由贸易试验区,要以制度创新为核心。自《海南自由贸易港建设总体方案》颁布后的一年时间内发布制度创新案例12批116项,其中4项被国务院向全国推广,为快速推进海南自由贸易港建设创造了良好氛围。

从中国香港、迪拜、新加坡自贸港的实践经验来看,海南自由贸易港应立足于国家定位和产业优势,借鉴国际自贸港的先进模式,利用制度创新打造“境内关外”的商用密码应用试点区,探索更加灵活便利的政策体系、监管模式和管理体制,打造成开放水平更高、产业生态环境更优的商用密码发展新模式。

3.2 数字化建设机遇

2020年8月,领导小组办公室印发《智慧海南总体方案(2020—2025年)》,明确至2025年底,要基本建成以“智慧赋能自由港”“数字孪生第一省”为标志的智慧海南,基本实现国际信息通信开放试验区、精细智能社会治理样板区、国际旅游消费智能体验岛和开放型数字经济创新高地的战略目标。随着各项建设任务的持续推进,数字化的提速,面向新场景的安全平台和服务需求必然快速增加。同时,该方案中明确提出,“构建云网端一体化安全防护体系”,提升网络空间防护能力,而商用密码作为一种重要的信息安全防护手段,在保护关键信息基础设施、打击网络犯罪、建立完善国家安全技术支撑体系方面都发挥着重要的作用。

商用密码应用要抓住智慧海南建设机遇,与信息基础设施建设同规划、同设计、同建设,主动加强与物联网、云计算、大数据、人工智能等新兴信息技术的融合发展,构建可信可管可控的数字世界,助力国家治理体系和治理能力现代化。

3.3 对接国际商用密码市场机遇

会展业是海南自贸港建设方案中所确定的12大重点产业之一,在提升城市国际化水平与层次,激发行业发展活力与动力,以及在加强国际合作交流、扩大产品进出口等方面发挥着重要作用。利用海南国际会议城的定位,通过举办密码顶级展会,加强中国商用密码企业与国际密码企业交流,为我国商用密码产业发展提供国际市场入口,助推其在国际上发声,提升国际地位。

自贸港建设出台了系列人才引进措施,截至2021年5月,已累计柔性引进百余名院士和500名院士团队成员,联系服务2万名“候鸟”人才。2020年面向全球招聘人才,签约5万多名国内外人才,包括密码领域高端人才和团队。通过与国际密码同业人员的交流与合作,将极大促进我国密码基础理论和工程技术研究全面对接国际领先水平。

4 发展挑战(T)分析

发展海南自贸港商用密码应用,面临高度开放环境、数据集约化、数据跨境流动以及新技术新场景带来的威胁,每一项都是全新的挑战。

4.1 高度开放的环境带来监管挑战

按照《中国(海南)自由贸易试验区总体方案》(以下简称《总体方案》),2025年海南实现全岛封关运作,实现“一线放开、二线管住”,做到资金、人员、运输和数据4个方面要素的自由流动。《总体方案》发布一年多来,国际能源、热带农产品、知识产权、国际资产等4家交易中心已开业;海南省正式实施了59国人员入境免签政策;2020年洋浦港集装箱吞吐量突破百万标箱,同比增长44%,在百万标箱级以上港口中增速排名全国第一;海口区域性国际通信业务出入口局获得工业和信息化部批准。伴随各开放事项的逐一落实,为确保自贸港发展的有序开展,对于人、财、物等要素和企业行为的监管需求快速增长,监管的广度和复杂程度前所未有。

传统监管模式的效率已经不能适应自贸港高度开发的需求,需要创新监管方式,不断提升预见性,加强风险研判,增强应对能力。商用密码中的区块链、多方安全计算、可信计算等可以为“二线管住”提供技术手段,在资金监管、信任体系构建、货物流转和数据共享交换等方面提供监管方案。但用于监管领域的密码技术尚处于探索阶段,实践案例少,在实际应用中存在走弯路甚至失败的风险。

自贸港数字化建设与传统产业深度融合后,以人为中心的信任基础被打破,数字世界的虚拟性、匿名性为监管带来极大挑战。建设商用密码基础设施,重新构建数字世界的信任体系,可以打通跨行业、跨区域、跨境合作中数据融通的瓶颈,疏通金融互信互通的阻隔,支撑身份可证、权限可控、取证存证、追踪溯源等监管需求。但是当前海南现存多个实体数字证书,还未实现实体身份的统一认证,无法有利支撑监管功能的落地。

4.2 数据集约化建设带来网络安全风险

海南省在2019年设立了海南省大数据管理局,成为全国首个以法定机构形式设立的省级大数据管理局,是全国唯一实现政务信息化全省统筹管理的省份,在全国率先形成全省一体化的大网络、大平台、大系统和大数据的政务信息化体系架构。

海南省集约化建设加剧了数据安全风险,由于大数据一体化平台建设网络连接广泛,难以预测的网络攻击加剧,从底层、硬件、操作系统到数据库、应用系统,任何一层出现问题,都会对数据构成致命威胁,加剧数据遭受攻击、窃取、非法使用的风险,因此对保障数据安全提出了更高要求。通过商用密码嵌入通用处理器、操作系统等基础软硬件,可以为海南新基建建设提供可信计算环境,但仍面临适应高性能要求、覆盖复杂多样应用场景的挑战。

4.3 跨境数据的管理

2021年3月19日,国际海缆系统工程海南侧海缆成功登陆文昌,同年4月8日,香港侧成功于香港舂坎角登陆,实现海南、香港、珠海三地互联互通。随着自贸港建设的逐步推进,跨境数据流动将成为国际贸易的重要支撑。数据跨境跨域流动、交换与共享导致数据流量增加、数据授权分级复杂、数据流向多变复杂,潜在攻击点增多,数据面临失控、不可信的风险。我国尚未形成统一的数据流动立法体系,商用密码为维护我国数据主权提供了最直接有效的保护手段,但尚缺乏跨境数据流动领域的商用密码国际互信机制,对商用密码使用的监管方式和手段还有待进一步完善。

4.4 新技术新场景对商用密码应用的挑战

自贸港建设必须充分发挥信息技术、云网平台等技术优势,加大5G网络、数据中心等新基建及信息化项目建设,通过云网融合促进数据便捷流动。当前,我国的商用密码产品供给体系多以较为独立的模块或产品销售,存在与具体应用的技术和系统融合度不足的问题。

面对国际国内密码标准、密码算法、密码协议、密码产品混用的新场景,如何实现国际国内密码标准对接、加密数据互通、密码管理机制互认是一项艰巨任务。

5 发展建议

面向海南自贸港建设的重大机遇,商用密码发展应主动担负护航数字经济的核心支撑使命,紧贴应用促创新,做强产业链中密码算法创新和商用密码应用两大关键环节,以密码应用监管为抓手,构建数据安全特色的自贸港商用密码保障体系。

5.1 找准产业链定位,推进商用密码泛在化

基于海南省商用密码产业上中游弱,下游应用场景丰富的现状,一手抓上游密码算法创新,一手抓下游商用密码应用推进,通过鼓励与全球企业加强交流合作,采取开放策略,创新合作模式,做强中游技术研发、产品生产、系统集成等方面的供给能力,实现上中下游优势互补,融入国际商用密码产业链。

一是以密码算法创新为抓手,掌握产业链核心。密码算法作为商用密码产业链的最前端,直接决定着整个商用密码产业的安全性和科学性,也集中体现了国家的密码政策和科研实力。在海南自贸港构建“产、学、研、用、测、服”密码算法创新链条,是掌握产业链核心的关键环节。突破面向物联网节点、工业控制器、智能卡等资源受限型设备的轻量级密码算法,面向数据共享交换、数据跨境交换等场景的安全多方计算算法等,力争纳入国际标准,提升我国在密码国际标准领域的国际竞争力。

二是以商用密码应用为推手,落实密码泛在化。突破商用密码与信息环境融合技术。叠加式的密码保障模式已经很难适应数字化进程中的密码需求,妨碍密码应用的推进。将密码功能融入信息环境和业务流程,是符合使用需求的发展方向,也是实现密码泛在化的重要途经。重点突破密码融合云架构核心运算环境,提供通用底层密码服务,解决云资源隔离、虚拟化、多租户、数据存储共享监管等安全问题;密码融合云终端、身份认证、访问控制,解决云接入安全、通信安全等安全问题;密码融合云上多元化业务,提供密码中间件,并广泛应用于云安全访问代理,赋能云上应用安全。依托云计算厂商强大的行业辐射能力,利用云密码打通密码产业链各个环节,有助于打造密码新业态、新模式。

重点推进重要领域商用密码应用。推动密码技术、产品和服务在金融、能源、通信、交通、电子政务等重要领域的部署应用。一方面,加快推进密码在5G、工业互联网、数据中心等基础设施网络的广泛应用,构建以密码基础设施为核心支撑的网络安全环境。例如,城市智慧大脑密码保障实现全省各地区密码运行总体态势、密码运行管理、密码综合服务、密码分析决策、密码重大项目等“一屏感知”,提升在突发应急状况下全省跨层级、跨部门密码策略决策和密码资源调度能力。另一方面,瞄准各领域重点工程给出针对性的密码保障解决方案,提供密码应用安全评估、安全管理、安全监管以及安全运营服务等密码综合服务能力。加快推进自贸港内银行核心业务、网上银行、移动支付等系统的商用密码改造,做好数字人民币、跨境金融服务的密码支撑;依托统一区块链平台,加大各行业中区块链特色应用试点,建立特色农产品溯源链、食品药品链、国际物流链、国际教育资源区块链、司法链、金融服务区块链等,推动区块链在行业中的深度应用。在实施层面,可以先以重点工程为基础,如政务云、国际数据中心等,持续开展应用试点示范,实施“揭榜挂帅”,鼓励示范单位形成规范予以推广,逐步完善所在领域行业密码综合服务能力,为海南治理体系和治理能力现代化赋能。

三是建立商用密码产业生态,融入国际商用密码产业链。发挥市场的配置作用,在由政府监管的前提下,通过政策引导,吸纳全球资本和企业参与商用密码应用的推广,坚持开放合作,鼓励商用密码企业升级商业模式,由密码产品提供商向密码服务转变,吸引IT企业、互联网企业参与商用密码产业,引入良性竞争,提升产业活力,建立开放、互促的健康生态,形成强大的供给保障能力。

5.2 加强对商用密码的应用监管,有效管控风险

我国正在积极构建认证机构、产品检测机构、应用安全性测评机构三位一体的商用密码检测认证体系。建设自贸港商用密码监管体系,海南具有较好的基础。海南省国盾信息化发展有限公司是经国家密码管理局考核认定的密码应用安全性评估机构,面向政府和社会开展密评工作。海南省信安电子认证有限公司已经获批电子政务电子认证服务资质。以商用密码监管为抓手,在强化监管的同时,充分利用政策优势,摸索和完善监管和风险防范措施,切实提升密码应用安全评估、管理、监管及运营服务水平,落实海南省治理体系和治理能力的现代化重大部署。

一是按照“全省一盘棋、全岛同城化”的理念,统筹全岛资源,建立统一认证基础设施,解决同一用户拥有多个数字证书时的统一互认、统一认证问题,解决数字身份管理和跨域认证问题。

二是建设密码监管平台,通过对商用密码系统和设备的统一监管,掌握全省重要领域和行业商用密码应用的合法合规情况,形成整合多监管维度集中统一的密码监管能力和安全风险预警能力。

三是紧紧抓住国家大力发展商用密码检测机构的有利时机,着力建设国内领先、国际一流的密码创新基地和应用示范基地。充分发挥检测机构的虹吸效应,打造产业融合、双创孵化等平台;高校、企业、科研机构等联手组建密码创新研究基地和若干重点实验室,打造创新融合、检测认证、安全靶场、合作交流、科普教育、咨询服务、高端智库等平台,通过有效整合价值链各方,打造良好的生态。

5.3 发展以数据安全为特色的商用密码保障体系

智慧海南在新型关键信息基础(5G、物联网、国际数据中心等)、智慧政务、智慧医疗、智慧教育、智慧交通以及精细化社会治理的建设中将更加突出数字经济的发展优势。在海南数字经济发展之初,就要以系统性、整体性和协同性为原则,以保障数据要素、数据交易和数据资产安全为目标,重视从业务风险映射视角列举数据保护需求,将密码功能融入业务流程,以数据安全为中心,构建全方位的商用密码保障体系,为信息化建设、企业业务架构设计提供数据安全防护能力,推动商用密码与数字经济的融合发展,切实提升数字经济的安全防护能力。

构建有自贸港特色的数据安全管理体系,一是建立符合行业或部门特色的数据分级分类保护制度,实现数据分级分类是数据安全的基础和核心,确定重要数据具体目录,对列入目录的数据进行重点保护;二是建立集中统一、高效权威的数据安全风险评估、报告、信息共享和监测预警机制,实现数据安全风险信息的获取、分析、研判、预警;三是建立数据安全应急处置机制,加强数据安全事件应急处置;四是建立数据安全审查制度,对影响或者可能影响国家安全的数据处理活动特别是对跨境数据进行安全审查;五是建立跨境数据保护能力认证、跨境数据流通备份审查、跨境数据流通风险评估等制度,试点开展分级管理、安全便利的国际互联网数据交互,试点开展数据跨境流动安全评估。对跨境数据的管制要兼顾发展与安全的原则,充分发挥密码保障跨境数据资产安全的关键作用,在目前以欧美国际标准为主流的密码应用生态环境中,应主动提出中国密码算法和应用标准,加强国际合作,在国际化标准组织中贡献中国密码算法和密码技术方案。

6 结 语

面向“2023年底前具备封关硬件条件、2024年底前完成封关各项准备”的目标,海南自贸港商用密码应用的发展要融入国家发展战略,抓住“一带一路”等国家发展战略机遇,加快推进产业转型,提升服务能力,扩大市场影响,增强市场自主性,做到有的放矢,有效提高商用密码产业国际竞争力,助力自贸港建设进程。

引用本文: 郭晓黎,董贵山,贾儒鹏,等.海南自贸港商用密码应用发展SWOT分析[J].信息安全与通信保密,2021(9):83-91.

作者简介

郭晓黎(1977—),女,硕士,高级工程师,主要研究方向为密码应用;

董贵山(1974—),男,博士,研究员,主要研究方向为密码学、数据安全;

贾儒鹏(1975—),男,硕士,高级工程师,主要研究方向为密码应用;

张小琼(1980—),女,硕士,工程师,主要研究方向为密码应用;

张远云(1975—),男,学士,高级工程师,主要研究方向为商用密码应用;

林俊燕(1980—),女,硕士,工程师,主要研究方向为网络与信息安全。

选自《信息安全与通信保密》2021年第9期(为便于排版,已省去原文参考文献)

声明:本文来自信息安全与通信保密杂志社,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。