通过收集和分析广大网民的真实反馈,针对性地提出意见建议,推进密码技术更好地服务于社会大众,构建更加安全、可信的网络环境。
(一)加大密码融合投入力度,提升商密安全专项管理能力当前我国在密码技术领域的投入与发达国家相比仍有较大差距,导致在密码技术的创新应用、产品研发、产业应用等方面存在短板。为了全面提升密码技术的应用水平,应从产业融合、资源投入、企业保障等几方面进行针对性开展专项行动和能力提升策划。
密码应用融合发展,基础能力与专业创新齐发力。现阶段我国密码技术飞速发展,商用密码领域正迎来快速发展的机遇,技术创新、安全性评估、产业链整合、投资并购、人才培养、云服务与大数据安全等都是推动其发展的关键因素。但从密码专业角度来看,存在密码应用原始动力不足、基础能力融合度不高、行业应用创新缺乏等阻碍密码技术的持续性发展。一是我国在后量子密码、量子通信、量子计算、区块链等方面的标准和规范,与国外发达国家相比还存在差距,导致在前沿技术应用和创新方面存在动力不足的表现。二是密码技术是一个综合性较强的专业,也是一项交叉类学科领域,密码技术的应用无法脱离开使用场景。从古代密码、近代密码到现代密码不同时代的典型应用来看,伴随着应用场景的不断变化,进而推动了密码技术的快速演变。因此,密码技术必须与使用场景高度融合,才能推动密码技术的快速发展。三是随着信息化、智能化、数字化的快速发展,各种新业态、新模式、新场景的快速出现,密码技术从保护通信安全变成了保护企业安全的重要技术手段。从网络威胁、网络勒索及网络敲诈中保护企业核心资料,到企业产品的全生命周期管理及保障。应将密码技术融入到产品的设计、开发、测试、管理、使用和退市等各个环节,融入到企业运行管理、生产生活的各个环节,建立起产品的安全壁垒、安全供应链及企业的信息化安全保障,增加企业在市场中的竞争力。
增加密码融合应用资源投入,行业主管部门政策引导很重要。近年来密码应用已拓展到社会生产生活的方方面面,从涉及政府安全的保密通信,到涉及国民经济的金融交易、防伪税控,再到涉及公民权益的电子支付、网上办事等。密码技术渗透到各领域信息系统的业务环节,构建了密码保障体系,从而发挥出信息安全基础支撑作用,并初步实现了商用密码产品与行业场景特点的融合应用。目前在密码融合的前景上已经看到了初步成果,但在一些关键基础设施领域,需要行业主管部门的政策和资金的倾向。加强特定关键基础设施领域的政策倾斜,如能源、国土、交通等行业,国家和地方政府设立专项基金。可以设立专门用于支持密码技术研发的专项基金及预算经费,加强监管以确保经费真实有效的用于资助基础研究、关键技术突破等项目。鼓励推动密码与行业前沿应用场景的融合,一是打造新型密码基础设施。在关键基础设施行业场景中融合密码技术,建立基于密码技术为核心的安全保障体系。二是优化信息系统重的密码资源配置。提高信息系统设计、建设、运维过程中的密码应用比重,给予一定量的比例倾斜。三是进一步推动密码与行业应用的深度融合。传统的密码应用方案都是基于网络威胁、数据安全等方面的考虑居多,应进一步推动从系统设计、产品设计、安全管理等项目前倾阶段的密码技术融合,充分利用密码技术的核心保障作用,将密码技术与行业应用深度绑定。
加强产业密码技术应用,为企业发展提供动力保障。密码是经严格科学证明的网络空间安全的根本性核心技术,也是赋能数字经济发展的核心支撑。数字经济发展得益于开源软件的普及、软件开发的便捷、低代码等形式的出现和流行,软件行业迎来的爆发性的发展。伴随着的网络安全也随着而来,应推动密码技术成为软件行业安全基座。加强开源软件的密码技术的应用普及和安全检测。开源软件给软件行业开发提供了便利性,也伴同时随着不确定性,应建立针对开源软件密码应用成熟度的评价,对不同的开源软件分级分类,形成良性的开源软件使用环境。将密码技术植入软件开发全过程。推动建立软件开发行业的密码使用水平测评,打造从软件设计、研发、调试、运行和管理等全方位的密码应用水平评估,将密码应用与软件开发深度绑定,是密码技术成为真正的网络空间安全的核心技术。
(二)应对密码技术发展挑战,强化合规管理与监督工作随着信息技术的不断进步,新兴技术的应用、未来产业的发展以及应用场景的多样化,都对密码技术提出了更高的要求。例如量子计算的崛起可能对现有加密算法构成威胁,新兴技术的应用、未来产业的发展以及应用场景的多样化,都对密码技术提出了更高的要求。面对这些挑战,合规管理与监督的重要性不容忽视。一方面,需要加强合规管理,确保密码技术的应用符合国家法律法规的要求。这包括制定适应新技术发展的政策法规,明确密码技术应用的标准和流程,以及建立合规性评估机制,定期对密码技术应用进行审查,确保其合法合规。另一方面,监督机制也需要不断完善。通过建立多层次、立体化的监督体系,加强对密码技术应用全过程的监督,确保各项技术措施得到有效执行。此外,还应充分利用大数据、云计算等现代信息技术手段,提高监督效率和精准度,及时发现并纠正不符合规定的行为,防范潜在的安全风险。通过有效的合规管理和监督,不仅能保障密码技术在新挑战下的安全应用,还能促进整个密码生态系统的健康发展。
新兴技术带来的挑战,对密码技术提出新要求。如云计算、物联网、区块链、人工智能等,正在深刻改变着我们的生产生活方式,同时也给密码技术带来了新的挑战。一是云计算环境下数据安全,需要考虑全球范围内的存储安全。在云计算环境中,数据不再局限于本地存储,而是分布在全球各地的数据中心。这就要求密码技术不仅要保证数据在传输过程中的安全性,还要确保数据在云端的存储安全。传统的加密算法可能无法完全适应云环境的需求,需要开发适用于云计算环境的新一代密码技术。二是物联网设备的安全防护,需要轻量级密码算法。物联网设备的普及使得大量传感器和智能终端接入互联网,这些设备往往计算能力有限,传统的密码算法可能不适合它们的使用。因此,需要设计轻量级的密码算法,既能保证设备的安全,又不会过多占用其有限的计算资源。三是区块链技术的安全保障,自身风险成焦点。区块链以其去中心化、不可篡改等特点,在金融、供应链管理等领域得到了广泛应用。然而,区块链本身的安全性也是一个不容忽视的问题。如何在保障区块链系统安全的同时,利用密码技术实现数据加密、身份认证等功能,成为了当前研究的重点。四是人工智能的密码需求,注重多方面安全与隐私保护。人工智能正处在蓬勃发展的阶段,通用大模型和行业小模型已经与生产实践相结合,取得了一定成果。人工智能系统的密码需求与传统信息系统相比,更加注重数据隐私保护、模型安全、动态密钥管理、高性能计算、多方协作和实时监控等方面。这些差异反映了人工智能技术在安全性和隐私保护方面的新挑战和新需求,需要采用先进的密码技术和安全措施,以便更好地确保系统的安全性和可靠性。
新产业新业态,为密码技术提供大舞台。随着数字经济的兴起,许多传统行业正经历深刻的变革,这为密码技术的应用提供了广阔的舞台,同时也带来了新的挑战。一是数字经济中的数据保护。数字经济时代,数据已成为重要的生产要素。如何在确保数据流动的同时,保护数据不被非法获取或篡改,成为了亟待解决的问题。密码技术作为数据保护的核心手段,需要不断创新,以适应数字经济发展的需求。二是智能制造中的安全保障。智能制造是制造业转型升级的重要方向,其中涉及到大量的自动化设备和控制系统。如何保证这些设备和系统的安全稳定运行,防止被恶意攻击或控制,是智能制造发展中必须面对的问题。密码技术可以在此过程中发挥作用,通过加密通信、身份认证等手段,确保工业网络的安全。三是生物医疗中的隐私保护。生物医疗领域涉及大量的敏感个人信息,如何在利用这些数据推进医学研究和临床应用的同时,保护患者的隐私,成为了亟需解决的问题。密码技术可以用来对患者信息进行加密处理,确保只有授权人员才能访问。四是数字货币应用中的安全与可靠。数字货币与国家经济、公民财产息息相关,它的普及为交易带来了便捷,但是使用数字货币也面临新的安全风险。如何降低数字货币交易风险,推动数字货币的发展和应用是亟需解决的问题。密码技术可以通过采用零知识证明、多因素认证、形式化验证、原子交换等先进的密码技术和安全措施,有效提升数字货币系统的安全性和可靠性。
合规管理与监督,技术创新与制度完善双管齐下。面对新挑战,合规管理与监督显得尤为重要。只有通过有效的管理与监督,才能确保密码技术的健康发展。一是针对行业提供配套的检测技术,通过第三方实现功能性能检测背书。现阶段商密检测中心已经取得了用户认可,对商密产品的安全性检测能够提供权威的认证,深得用户信赖。但是,目前一些特殊的应用场景也有进行密码应用效果认证的需求,需要第三方提供针对特殊应用场景的商密应用效果进行评估,出具相关检测结果,便于为市场选择提供有效信息和依据。二是密码技术会面临新技术发展的新机遇,要有相对包容的机制。面向创新发展阶段,有更宽松的方式鼓励和包容技术创新,例如:新兴技术密码应用成熟度认证。现有制度滞后于创新技术的发展,如果都要通过商密产品检测认证后才能用,会对新兴技术把握发展契机有一定影响,建议鼓励第三方提供针对新兴技术成熟度评估意见,以鼓励发展。三是加强合规管理,法治建设和标准完善同步进行。根据新技术新应用的特点,及时修订和完善相关法律法规,为密码技术的应用提供法律保障。制定符合国际标准的密码技术标准,促进技术的国际化发展。四是完善监督机制,建立全国统一的密码运行安全监督管理平台。运行态安全监督管理,辅助解决部分单位密评过于宽松、货不对板、低价抢占市场的不规范行为。商密产品全生命周期运行态监管,实现密码运行安全的动态管理,定期检查并公开信息。对密码技术应用情况进行监督检查,发现问题及时整改。建立信息公开制度,提高密码技术应用的透明度,增强公众的信任感。
(三)推进密码知识社会化,切实做好多元化宣传工作尽管密码技术在保障信息安全方面发挥着重要作用,但社会公众和从业人员对其了解仍然有限,普及工作亟待加强。为了提高全民的信息安全意识,必须采取多元化的方式进行互动式普及。例如可以通过举办线上线下相结合的讲座、研讨会等活动,邀请行业专家讲解密码技术的基本原理、应用场景及发展趋势,让公众和从业人员能够直观地感受到密码技术的实际价值。其次,利用社交媒体、短视频平台等新媒体渠道,发布易于理解的科普视频和图文资料,以生动有趣的形式传播密码知识,吸引年轻人的关注和兴趣。此外,开发密码技术相关的游戏或应用程序,让参与者在娱乐中学习密码学的基础概念,体验密码技术的应用场景,从而加深对密码学的理解和记忆。最后,学校和培训机构应当将密码知识纳入教学大纲,开设专门的课程,培养学生的密码学素养,为未来的信息化社会培养更多具备信息安全意识的专业人才。通过这些多元化的互动方式,可以有效提升公众和从业人员对密码技术的认知水平,为构建更加安全的网络环境打下坚实基础。
面向从业人员的专业培训,丰富形式提升其技能水平。对于从业人员而言,不仅需要基本的密码知识,还需要根据不同的职业发展阶段,接受更为专业的培训。一是初级从业人员,提供在线课程。新员工入职时,提供系统的密码基础知识培训,确保每位员工都能掌握必要的信息安全知识。开发在线学习平台,提供初级密码技术课程,方便员工自主学习。二是中级从业人员,开设技能提升班。定期举办技能提升班,帮助中级员工深化对密码技术的理解,掌握更复杂的密码应用技巧。组织案例分析会,通过实际案例讨论,提升员工解决密码技术问题的能力。三是高级从业人员,鼓励承担课题研究。为高级技术人员开设高级研修班,邀请国内外顶尖专家授课,拓宽视野,促进技术创新。鼓励高级员工参与密码技术前沿课题的研究,推动理论与实践相结合。
面向不同层次管理者,互动策略应结合职能特点。在密码知识普及过程中,管理者起着至关重要的作用。根据不同层次管理者的职能特点,采取相应的互动策略。一是为主持主管决策提供支持。组织专题研讨会,邀请行业内外专家共同探讨密码技术的发展趋势和应用前景。帮助高层管理者了解密码技术对企业战略的影响,为决策提供依据。二是与主要参与者交流经验。定期举行经验分享会,鼓励主要参与者分享自己的工作经验和心得,通过团队协作项目,促进内部交流。三是鼓励一般参与者学习知识。鼓励一般参与者在日常工作中的相互交流,通过日常对话分享密码技术相关知识。建立在线论坛,供一般参与者提问和讨论,促进形成良好的学习氛围。四是对不参与者采取激励措施。对于那些尚未参与到密码技术学习中的员工,需要采取激励措施,促使他们加入到学习行列。设立奖励制度,对积极参与密码知识学习的员工给予物质或精神上的奖励。对于部分关键岗位的员工,可以考虑将其密码技术学习情况纳入绩效考核,确保每个人都具备必要的信息安全知识。
面向公众的多元化互动,多渠道提高其安全意识。密码技术虽是专业领域的一部分,但其应用却与每个人的生活息息相关。因此,增强公众对密码知识的了解,提高其安全意识,是普及工作的首要任务。一是利用新媒体平台,短视频平台和社交媒体平台。制作简洁明了、生动有趣的短视频,介绍密码技术的基本概念和应用场景,通过轻松幽默的方式吸引观众的兴趣。通过发布短视频,利用微博、微信公众号等社交平台发布密码技术相关资讯,开展线上问答活动,增强互动性。二是开展线下活动,参见科普讲座和体验展览。邀请专家走进社区、学校等地,举办面对面的讲座,解答公众疑问,提高密码知识的普及率。组织密码技术主题展览,通过实物展示、互动体验等形式,让公众直观感受密码技术的魅力。三是制作教育资料,宣传册和动画视频。设计图文并茂的宣传册页,分发给市民,便于大家随时查阅学习。制作适合儿童观看的动画视频,寓教于乐,从小培养孩子的密码安全意识。
