中国评测：2021年商用密码应用安全性评估白皮书（66页）.pdf

《中国评测：2021年商用密码应用安全性评估白皮书（66页）.pdf》由会员分享，可在线阅读，更多相关《中国评测：2021年商用密码应用安全性评估白皮书（66页）.pdf（66页珍藏版）》请在三个皮匠报告上搜索。

1、不同行业的信息系统对密码技术的性能要求、商用密码应用场景、手段和管理方法等都不尽相同，因此面向不同行业的商用密码应用指导性文件有待加速出台。网络安全新形势下的商用密码产品还处于起步阶段，网络运营者尚在规则换挡的磨合适应期，相关规则的解释和执行需要结合实际应用情况及时调整。另外，由于前期非涉密单位的网络运营者并无明确强制性的密码应用安全要求，网络运营者面对陆续出台的密码管理规定，可能会面临管理、技术、成本等各方面的磨合适应问题，这在一定程度上制约了商用密码的应用发展。我国虽然在密码标准化工作中取得积极进展，并已发布系列密码算法，但密码应用方面可以起到指导性作用的标准依然需要加快制定出台，标准支撑

2、体系尚待完善。随着工业互联网、移动互联网、物联网、云计算等新业态的快速发展，适用于这些新兴行业和重点领域密码应用标准的缺失将成为阻碍行业发展、阻碍数据互联互通的障碍。现行密码标准与关键信息基础设施、重点行业的密码应用要求难以契合，商用密码标准化推进难度大，由此直接或间接导致了商用密码未能规范应用。伴随着商用密码的推广普及，我国的商用密码产品供给体系已经初步建立，但是仍然存在产业支撑力量不足的问题。一方面，商用密码供应端能力不能充分与设备和应用系统需求端要求相耦合。密码设备生产商决定着密码算法的选择和产品的实现方式，目前的算法往往以内嵌的形式固化于主流设备系统中，缺失选择密码算法的灵活性，这就会

3、造成行业对密码产品的高性能或多性能需求与设备生产商生产的低性能或单一性能的密码产品不匹配的后果。另一方面，当前还存在密码产业缺乏协同、供应链上下游缺少凝聚力的问题，有较强影响力的权威行业协会或产业联盟等组织没有突显出推动商用密码产业发展的带头示范作用。国家网络安全自主可控的核心和关键在于具备先进的密码技术，实现核心技术自主可控。然而我国互联网信息技术的发展过程中，长期以来在某些领域(芯片、操作系统等)中依赖西方发达国家技术体系，直至当前，我国信息化建设中的“信息孤岛” 问题也未能得到妥善解决。一方面，我国研究密码算法的基础薄弱，研究密码技术起步较晚，和发达国家在密码行业的发展相比还存在一定差距，类似于密码芯片等关键硬件产品或技术长期以来受制于西方国家的垄断。另一方面，专业的密码技术人才缺乏，企业对商用密码技术了解不够，这在很大程度上阻碍了企业根据密码应用需求来规划密码研发方案的进程，难以实现高性能密码技术或产品的自给自足。因此，加强密码技术研究，大力开发先进密码算法是网络强国建设的迫切需求。