产业与政策丨基础电信企业开展商用密码应用安全性评估工作的思考与建议

摘要：目前，电信网络和基础设施的信息安全需求强烈，业界越来越广泛地采用密码技术进行信息安全建设。《中华人民共和国密码法》（简称《密码法》）的颁布和实施，对信息系统密码应用提出了规范化要求和密评的规定，因此基础电信企业需要提高密码应用水平并对建设和运维的信息系统实施密评。从标准制定、人才培养、平台研发、能力建设和技术研究等方面给出了后续开展密码应用及密评工作的建议。

关键词：信息安全；密码技术；密码应用；密评

0  引言

随着科技的快速发展，信息化、数字化、智能化已成为社会发展的重要方向，基础电信企业承担着保障基础通信服务的使命，在其中扮演了重要角色。近年来，电信行业发展迅速，用户数量稳步持续增长，基础设施建设快速有序推进，据工业和信息化部发布的信息，2021年，全国电话用户净增4 755 万户，总数达到18.24 亿户，其中移动电话用户总数16.43 亿户；新建光缆线路长度319 万公里，全国光缆线路总长度达5 488 万公里；全国移动通信基站总数达996 万个，全年净增65 万个。与此同时，网络空间安全形势日趋复杂和严峻，安全事件层出不穷，基础电信企业面临越来越严重的信息安全威胁。密码技术是解决网络和信息安全的有效技术手段，自1999年《商用密码管理条例》颁布以来，商用密码产业快速发展，应用领域不断扩大，在保障网络信息安全工作中发挥了重要作用。基础电信企业也逐步开展商用密码应用建设，保护网络和信息系统安全。

1  商用密码应用及密评的法律法规要求

为了促进信息系统中商用密码应用的规范性、正确性和有效性，国家建立商用密码应用安全性评估（以下简称“密评”）制度，并通过《中华人民共和国密码法》（简称《密码法》）推动其实施。密评最早于2007年提出，经过十余年的积累，密评制度体系不断成熟，于2017年基本完成密评体系建设并启动密评试点工作。自《密码法》颁布以来，关于密评的相关法律逐步在各项法律法规和规范性文件中体现（见表1）。

表1   法律法规对商用密码应用及密评的要求
 

总体而言，我国法律法规对于网络和信息系统的密评有关要求，可以归纳为3个方面。
 

（1）关键信息基础设施、网络安全等级保护第三级以上网络、国家政务信息系统等网络与信息系统，其运营者应当使用商用密码进行保护，制定商用密码应用方案，配备必要的资金和专业人员，同步规划、同步建设、 同步运行商用密码保障系统。

（2）法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施和网络安全等级保护三级及以上系统应开展密评，且每年应至少评估一次。

（3）关键信息基础设施和网络安全等级保护三级及以上系统中的密码应用和管理，应遵守相关法律法规和管理办法的要求，并配合密码管理等相关部门的安全检查，不符合安全要求的单位和个人将受到处罚。

2  商用密码技术在基础电信企业信息系统中的应用

在国家日益重视信息安全并大力推动利用商用密码技术增强网络与系统信息安全能力的大背景下，基础电信企业作为国内通信技术设施的建设者和运营者，肩负着为国家做好通信服务保障的重任，有责任做好商用密码应用建设，保障网络和通信安全。商用密码技术和产品经过近年的快速发展，已经具备为基础电信企业网络和信息系统服务的能力和条件。目前，在部分基础电信企业建设和运维的网络和系统中已经开展了商用密码应用规划与建设，旨在在提高信息安全能力方面发挥积极作用。

2.1  基础网络

2011年9月，在第53次3GPP系统架构组会议上，以ZUC算法为核心的加密算法128-EEA3和完整性保护算法128EIA3已成为4G国际标准。目前，正在推动256 比特版本的ZUC算法进入5G通信安全标准，这一版本的算法采用256 比特密钥与184 比特初始向量，可产生32/64/128 比特3种不同长度的认证标签。基础电信企业提供的移动通信业务采用该算法后，在5G时代可以更好地保障移动通信网络和业务的保密性和完整性。

专网是指基础电信企业基于授权频谱，为专有行业客户提供的服务范围、网络能力、隔离程度可定制的移动通信服务。随着用户对移动通信的需求从覆盖、性能等服务质量需求向差异化需求的不断改变，在5G时代，专网已成为用户的迫切需求，无论是逻辑专网还是物理专网，安全性都是专网的重要特性，利用商用密码技术可以为用户提供安全程度可定制的移动通信服务，包括不同量级的数据通信加密和身份认证强度等，以及利用不同算法、参数或协议在专网之间进行密码隔离，为专网的可定制特性增加了安全维度，可以更好地满足不同用户的差异化安全需求。

2.2  业务系统

当前，信息技术正处于快速发展和不断变革之中，云计算、物联网、车联网、大数据、互联网金融、数字货币等新技术和新应用层出不穷。基础电信企业身处其中，除了语音通话、短信、分组数据和家庭宽带等传统业务外，也推出了包括云、大数据、直播、视频会议、移动支付等在内的一系列新型业务，覆盖教育、能源、交通、医疗、政务、金融等重要领域。

在这些业务系统中，一方面涉及用户的隐私、财产、健康，甚至人身安全，另一方面关系到国家重要系统的平稳运行，对信息安全的需求强烈。在当前网络安全形势不断变化、日益严峻的背景下，商用密码技术作为解决信息安全问题的有效手段，已经逐渐应用于上文所述业务系统，且在未来其应用范围的广度和深度还将不断提升。

2.3  运维系统

网络管理系统是基础电信企业用来对网络系统和业务系统的各类管理维护作业进行统一管理的系统，4A管理系统是将账号管理、认证管理、授权管理和安全审计整合成集中、统一的安全服务系统，它们是基础电信企业为了保障通信服务而建设的众多内部运维系统中的一部分，虽然不直接面向用户，有些甚至与互联网隔离，但仍然面临着信息泄露、信息篡改等外部安全风险，以及来自内部操作人员的安全隐患。

利用商用密码技术，可在身份认证、访问控制、安全审计、信息的安全传输和存储等方面，起到有效作用。

3  基础电信企业开展商用密码应用及密评的必要性分析

根据工业和信息化部2021年的统计数据，全国电话用户总数达到18.24 亿户，基础设施规模巨大，信息系统数量众多，是保障国家基础通信能力的基石，安全保障能力至关重要，有必要对重要系统和关键信息基础设施进行密评。

3.1  国家法律法规的明文要求

国家对信息系统的密评工作有法律法规层面的明文要求，其中《密码法》第二十七条规定：“法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施，其运营者应当使用商用密码进行保护，自行或者委托商用密码检测机构开展商用密码应用安全性评估”，基础电信企业作为通信领域基础设施和信息系统的建设者、使用者、管理者和运营者，必须遵守国家法律法规，对使用商用密码进行保护的关键信息基础设施和信息系统进行密评。

3.2  检验密码应用效果的必要手段

为了提升信息系统的安全能力，基础电信企业已逐步规划并开展在现网通信基础设施和业务信息系统的商用密码应用建设，但当前实际的商用密码应用情况并不容乐观，存在商用密码应用不规范、不正确、不安全等问题，因此有必要采用测评的方式来确保密码应用确实起到应有的效果。

4  开展后续相关工作的建议

4.1  完善商用密码应用技术标准体系

一方面，目前我国已形成较为完善的商用密码标准体系。截至2021年10月，我国已发布行业标准130 项、国家标准30 余项，范围覆盖密码算法、协议、产品、检测、应用、管理等各方面。

另一方面，商用密码在各行业应用的相关标准还不尽完善，跨行业制定密码应用标准难度较大，适用于具体行业的密码应用标准缺失，较难对商用密码应用的切实落地起到指导作用。

具体到通信领域，缺乏明确的电信领域网络和基础设施商用密码应用标准规范来指导，导致在商用密码应用方面形成不敢用和无从下手的局面。

基础电信企业应通过密标委、CCSA、工业和信息化部密码应用推进标准工作组等标准化组织积极参与通信领域商用密码应用行业标准的制定工作，通过聚焦通信行业，更好地适应各行业差异化的安全需求，明确行业内密码应用的安全需求，完善密码应用标准化工作，有效指导通信行业开展商用密码应用工作，充分发挥标准化的基础性和引领性作用。

4.2  推进商用密码应用人才队伍建设

作为信息安全领域的一个重要分支，密码专业具有较强的专业性。在密码人才方面，密码人才匮乏已成为制约密码合规、正确、有效应用的瓶颈。

基础电信企业虽然较少甚至不涉及密码算法、密码协议等密码基础技术研究工作，但随着商用密码应用深度和广度的不断增加，实际通信基础设施和业务系统平台的建设和运维工作与密码应用紧密耦合，牵涉密码背景知识较多，对密码相关从业人员的能力水平要求较高。然而基础电信企业内部具有商用密码相关背景的员工非常少，对相关人才的引进和培养也不够重视。

为解决密码人才的巨大缺口，基础电信企业需尽快完善密码人才培养的设计和规划，确立以实现国家安全战略为密码人才培养目标，建立政治素养过硬、专业基础扎实、实践能力强的密码人才队伍。

4.3  打造商用密码应用统一服务平台

近年来，基础电信企业的部分基础网络和业务系统已逐步开展商用密码应用建设，但在建设过程中，密码应用体系的建设往往以信息系统为单位，由各个业务部门主导进行建设，进而导致密码应用体系极其繁杂，密码产品数量、种类繁多，不可避免地产生密码基础设施重复建设问题，使企业自身难以对密码应用体系的合规性和安全性进行评估，极易造成网络安全漏洞和隐患，以及对接冲突和投资浪费等问题。

因此，建议以密码服务为资源，建立统一的密码应用服务平台，提供统一的密码设备和密钥、密码服务，简化密码应用流程，降低密码应用门槛，提供正确、合规和有效的国产密码服务，降低信息系统应用密码的复杂度。

同时，建议形成应用接入密码服务平台标准规范、接口和制度，指导各信息系统快速实现密码服务的集成。

此外，建议在管理角度实现统一密码资源管理、统一密钥管理、统一业务监控分析考核等监管功能，实现行业级、集团级、企业级的密码应用统一管控和细粒度管控。

4.4  构建商用密码应用安全测评能力

目前，国家密码管理局已授权全国48 家单位开展密评试点工作，然而名单中缺乏基础电信企业，具有电信行业背景的相关单位和机构也较少。

在密评工作中，给出明确的风险分析和合理的整改意见是一个重要环节，密评的最终目的也是帮助被测信息系统完善商用密码应用安全性。显然具备电信行业背景知识，了解基础电信企业业务和运作流程特点的测评人员能够更快、更有效地发现商用密码在电信行业信息系统应用中存在的问题，能够给出更合理的整改建议，通过以评促建、以评促改、以评促用，一方面提升信息系统商用密码应用安全能力，另一方面推动电信行业商用密码应用的深度和广度。

4.5  研究新技术新业务中的密码应用技术

信息技术发展日新月异，云计算、大数据、区块链、人工智能等新技术和新应用层出不穷，基础电信企业也顺应趋势和需求开展新业务的研发和建设，产生了新的信息安全需求，抗量子攻击密码、抗密钥攻击密码、同态密码等密码新技术不断产生，给传统密码技术带来了新的机遇和挑战，导致部分传统密码技术应用方式面临安全风险。

因此，基础电信企业应深入开展密码新技术研究，大胆创新密码技术在新业务中的应用方法，适应新时代信息安全需求，利用密码技术提升基础电信企业新系统新业务的信息安全能力。

5  结束语

本文从国家法律法规要求和信息系统安全需求两方面论述了基础电信企业开展密评工作的必要性，然后从标准制定、人才培养、平台研发、能力建设和技术研究等方面给出了后续开展密码应用及密评工作的建议，希望能对基础电信企业开展信息安全工作提供有益的参考。

来源：信息通信技术与政策

作者：张杨，张艳