湾区创见·商用密码合规专场分论坛圆满举行

11月28日，以“新基建 新安全”为主题的湾区创见•2020网络安全大会在深圳国际会展中心拉开帷幕。由深圳市密码管理局与中国平安保险（集团）股份有限公司联合承办，深圳市商用密码行业协会支持举办的商用密码合规专场分论坛，在各级密码管理部门、行业用户和密码企业的大力支持下圆满举行。

首先，大会分论坛承办单位深圳市密码管理局局长黄雄权致辞，向全国密码同行汇报了深圳商用密码科技创新和产业发展的情况。

今年是深圳经济特区建立40周年，40年来，深圳密码事业伴随经济特区的发展，逐步从无到有，从弱到强，为深圳市的经济社会发展作出了不可磨灭的重要贡献。

近年来，在国家密码管理局、广东省密码管理局的关心和指导下，在各兄弟、省市、自治区以及省内各市密码管理部门的大力支持下，深圳市密码管理部门主动作为、开拓创新、以服务企业规范市场、促进应用为宗旨，不断创新、完善服务和管理模式。在全市营造了良好的商密产业发展环境。有力推动商业密码产业蓬勃发展，目前我国事业密码的从业单位涌现200家，涌现一批具有核心竞争力的知名企业，如大会承办单位深信服有限公司和平安科技股份有限公司等，都是深圳市商密企业的杰出代表。深圳市商密企业涵盖的企业种类齐全，商用密码产品种类丰富，获国家密码管理局批准的商密产品型号就有200多种，产品的数量、产值的规模均位于全国前列，广泛应用于金融、政务、医疗、教育、交通等重要领域。

在深圳市委市政府积极争取和国家密码管理局的大力支持，在深圳成功培育了全国首家国家级的第三方商业密码产品检测机构，即鼎铉商用密码测评技术（深圳）有限公司，目前该公司也是深圳市商业密码行业协会的会长单位，为商用行业密码检测体系作出了应有的贡献。由深圳市向省密码管理局推荐的两家密码应用安全性评估机构获得国家密码管理局的批准，为深入推进金融领域密码应用打下了坚实基础。

为宣传贯彻《中华人民共和国密码法》，按照上级密码管理部门的统一部署，在全市范围深入开展《密码法》的宣贯活动，利用全市地标建筑的电子大屏、公众场所、悬挂挂图、海报、行业协会的宣讲以及组织银行、证券等行业培训等形式广泛开展《密码法》的宣传，努力实现《密码法》进机关、进企业、进高校、进社区，在全市营造知密码、懂密码、用密码的浓厚氛围。

接下来，平安集团首席信息安全总监-陈建针对密码对于整个平安集团的重要性和在密码国产化的应用场景中的实践进行了致辞。

密码对于整个平安集团的信息安全是一个至关重要的基础的技术应用，平安集团在过往30年历程当中，已经在密码的应用上走过了很多历程，但是国家《密码法》的颁布让大家更加感觉到国家对信息安全的重视度，包括对密码作为信息安全基石，对未来的国家安全的重视度提到了更高的层面。

平安集团作为一个商业机构，在密码的应用上面临了很多的挑战，在商用密码国产化的应用场景中也面临了很多的挑战，在过去两三年的过程中，在国家信创和各方面的指导下，在很多方面做了很多尝试。平安集团希望将金融场景下密码的改造做案例，能够为整个中国的金融行业在密码国产化应用场景里面如何更加有效地探索提供一些更好的实践。

国家密码管理局商密办副主任吴立刚以《密码法》解读为主题，分别从密码法颁布实施的重要意义、精神实质和主要内容三方面进行了分享。 

重要意义。密码法是我国密码领域的第一部综合性和基础性法律。密码法的颁布实施，在密码史上具有里程碑的意义，是构建国家安全法律制度体系的重要举措；是维护国家网络空间主权安全的重要举措；是推动密码事业高质量发展的重要举措。 

精神实质。密码法立法改革重塑了现行的管理制度，体现了继承发展“守正创新”的精神，贯彻实施密码法要坚持党管密码和依法管理相统一，是最根本性的规定和原则；要坚持创新发展与确保安全相统一；要坚持简政放权和加强监管相统一。 

主要内容。密码法共5章44条，具体包括总则、核心密码和普通密码、商用密码、法律责任和附则，本次重点就商用密码管理制度和规定做简要介绍。 

密码法第27条规定了关键信息基础设施商用密码使用要求，规定了商用密码应用安全评估制度和国家安全审查制度。关键信息基础设施的商用密码使用制度，是十八大以来密码应用推进工作的拓展和深化。从2018年对全国系统普查和典型系统密评的情况看，密码使用不正确不合规不安全的情况还较普遍，未使用密码保护数据的“裸奔”系统比例还较高，许多地方和行业发展建设没有同步规范建设密码保障体系，党政机关和关键基础设施面临的安全风险非常大，亟需加强商用密码应用和安全性评估。 

第28条规定了商用密码进口许可和出口管制制度，商用密码是国际公认两用物项，进行进口许可与出口管制是维护国家安全和社会利益的需要，符合世贸组织“安全例外”原则，也是国际通用做法。进口方面，国家密码管理局联合海关总署发布了密码产品，含有密码技术的设备进口管理目录共5类9种产品，包括加密传输机、加密电话机、密码机、密码卡等。针对大众消费类产品不实行进口许可和出口管制制度。 

此外，密码法还规定了商用密码的监管原则、商用密码的标准化制度、商用密码标准法律效力、商用密码检测认证制度和商用密码检测认证机构管理、商用密码事中事后监管制度等重要内容。 

吴立刚表示，密码是我们党和国家的命门命脉，也是我们国家的重要战略资源，是保障网络和信息安全的核心技术和基础支撑，直接关系国家政治安全、经济安全、国防安全和信息安全。进入新时期，密码工作面临新的机遇和挑战，也担负着更加繁重的保障和管理任务，密码技术必将发挥更大的作用，密码事业在百年未有之大变局中，也必将迎来重大历史发展机遇。

国家密码管理局商密办商用密码检测中心副主任邓开勇，向大家分享了《商用密码认证规则及密码应用安全性评估政策法规》主题演讲。

邓主任首先汇报了《密码法》颁布以来，商密检测认证的进展。首先依据《密码法》第二十五条要求，建立实施商用密码产品认证制度，推进商用密码检测认证体系建设，形成事前事中事后以及随机抽查、执法监管的闭环管理。其次，分享了开展商用密码认证工作的情况。从商用密码行政审批过渡到检测认证期间，完成了所有商用密码产品型号证书换发认证证书。自7月1日，新颁发证书已有200多张，总计有2219张商密产品认证证书。国推认证流程主要包括5个环节，包括认证委托、型式实验、初始工厂检查、认证评价与决定，获证后监督。目前密码管理部门已发布第一批商用密码产品认证目录，包括22类产品，前21类都有明确的产品标准，第22类列为其他，是特殊的一类，适用于新技术或者特殊行业应用，主要按照密码模块要求进行研发。并以服务器密码机为例，向大家详细介绍了全流程的商密产品认证。

接下来，邓主任就商用密码应用安全性评估的目标、测评对象、实施等方面进行了详细解读。

密评目标首先是合规，要符合法律、法规和行业相关的密码使用要求，包括相关的算法、协议以及密钥管理标准。其次是正确，应采用正确的产品，正确的算法协议、密钥管理。最后是要有效，密码应用要切实解决系的安全问题，这也是密评关注的三个方面，最后也是依据这三个方面进行评估。

关于密评测评对象主要包括重要的数据，重要的程序、行为（安全行为）、用户身份鉴定等。

关于密评实施，十分关键的是密码应用方案，包括政策法规要求，安全风险，业务需求。密码应用方案并不是要通吃所有的系统，而是结合业务的安全需要去进行，形成可行的方案，整个系统当中运行、完善。

邓主任也强调了商密产品国推认证和商用密码应用安全性评估都刚刚起步，需要产业界、认证机构、测评机构共同努力，贯彻落实《密码法》，发挥密码的机密性、完整性、真实性和不可否认性，切实维护国家网络空间安全，保障人民群众利益。

深圳市电子商务安全证书管理有限公司副总经理吴昊，介绍了《国密改造 构建可信空间守护国家安全》。对国产密码改造的政策背景、标准及要求、实践与经验分享。

密码国产化顺应时代的要求，是国家安全的必然选择。密码国产化是新时代政务应用的重要信息系统与安全系统中内在的需求，也是构建新基建的安全防线，实现自主创新和安全可信的必然选择，推进密码算法的国产化改造也是大势所趋，是必然的要求。

维护网络信息安全，商用密码是利器。金融行业和有关关键信息基础设施领域的“国密改造”是我国大力推进国产密码应用、实现密码自主可控、安全可靠的重要举措。

鼎链数字科技（深圳）有限公司副总经理/CTO苏年乐演讲主题是《政务区块链及其商用密码合规性设计》。从区块链与密码、政务区块链、国米区块链平台合规性设计及政务区块链应用合规性设计等方面进行了分享。

密码技术是区块链的核心基础支撑，政务区块链应用应通过密码应用安全性评估和符合安全可靠（信创）要求；区块链技术为“实现政务数据跨部门、跨区域共同维护和利用，促进业务协同办理”提供了有效手段。

区块链促进了整个的政务服务改革，它是现在简政放权、放管结合的难题，我们通过区块链服务可以办一些政务服务、民生服务、城市管理，我们构建了一个安全、可信、价值传递来优化服务，提升政务可信体系，保障了政务信息安全。

鼎铉商用密码测评技术（深圳）有限公司副总经理李振以《密码产品检测和密码应用安全性评估要点解析》为主题，从商用密码测评边界、密码产品测评分级、商用密码应用安全性评估要点等方面进行了分享。

 国家相继颁布实施了《网络安全法》《密码法》《网络安全审查办法》《国家政务信息化项目建设管理办法》等一系列法律法规，规范密码应用，强调通过密码应用安全性评估促进商用密码的使用和管理规范。 

在技术方面，密码技术是实现安全的核心和基础，贯穿硬件（芯片）平台、操作系统、应用服务器（中间件平台）、业务应用系统的各个层次。确保正确鉴别用户身份及权限，保证关键数据的真实性和完整性，保证关键数据的机密性，实现关键操作的不可否认性。因此，密码技术应用需从系统规划设计开始尽量满足各个层次的密码安全设计要求。

在商用密码应用安全性评估方面，李振表示，商用密码应用安全性评估指在商用密码技术、产品和服务集成建设的网络和信息系统中，对其密码应用的合规性、正确性和有效性等进行评估，包括规划阶段的方案评审和建设、运行阶段的安全评估。通过以评促建、以评促改、以评促用，逐步引导网络运营者的密码规范使用，最终确保商用密码在重要信息系统和关键信息基础设施中使用的正确、合规、有效，为重要网络的密码应用情况提供科学评价方法。评估分为评估准备、方案编制、分析与编制、现场评估四个阶段。在密码应用方案设计上，应遵循总体性、科学性、可行性、完备性四大原则。 此次专场的举办为新时代密码法制化、研究应用与发展提供新认识、新思路、新方向，为建设网络强国提供经验借鉴及智力支撑，进一步提升各行业商用密码合规应用，更好地维护网络空间安全，维护国家安全。

中国科学技术大学教授王双带来了《量子密码技术发展态势》为主题的分享。从量子密码基本的概念、量子密码的终端及量子密码的应用发展与展望进行了讲解。

虽然传统密码和量子密码在安全性基础和密码系统方面有很大的不同，但是在安全运用方面其实是需要进行融合的，通过这样的融合能够增强传统密码的安全性，同时也拓展了量子应用在驱动发展中的应用道路。

对于量子密码的应用发展与展望，王双认为量子密钥应用于有限传输网络已有着相对丰富的经验和相对成熟的商业产品。随着5G时代的到来，量子密钥移动应用成为了新的产业应用趋势。

深圳壹账通智能科技有限公司区块链研究院首席科学家郑溪龙，带来了《商用密码在区块链中的应用》的主题演讲，主要分享了商用密码在平安区块链的应用情况和探索。

郑老师首先介绍了区块链可以解决那些现实问题，包括多中心化系统之间的连接、数据确权、数据交换、数据重新分配。

区块链是分布式数据存储、点对点传输、共识机制、智能合约、加密算法等计算机技术的新型应用模式的合集，大幅降低信用风险管理成本、缩短时间损耗、数字化、资源共享更加便捷，减少违法失信。

郑老师介绍了如何利用密码算法提高区块链的效率，增强区块链的安全性，为我们分享了fintech企业使用商用密码的宝贵实践经验。