密码是党和国家的“命门”和“命脉”，是国家重要战略资源。商用密码是社会应用最广泛、与数字经济发展、人民群众利益关系最为密切的一类密码。1999 年，国务院颁布并实施了《商用密码管理条例》（以下简称《条例》），开启了我国商用密码事业的发展。2019 年，《中华人民共和国密码法》（以下简称《密码法》）颁布，对商用密码管理制度进行了结构性重塑。在此背景下，为了贯彻落实《密码法》，国家密码管理部门会同相关部门，对 1999 年《条例》进行了全面修订。2023 年 4月 27 日，国务院总理李强签署了第 760 号国务院令予以公布，自 2023 年 7 月 1 日起施行。新修订的《条例》适应习近平新时代中国特色社会主义建设，强化了党管密码根本原则，调整完善了商用密码管理体制，为保障网络与信息安全、特别是关键信息基础设施安全，提供了坚实有力的法律保障。

一、《条例》是完善我国密码法律法规体系建设的重大成果，也是推动关键信息基础设施安全保护向深向实发展的重要举措

密码是维护国家安全最重要的技术保障之一，也是保障网络空间安全的核心技术和基础支撑。随着数字经济浪潮席卷全球，商用密码应用已经传导渗透至网络设施和信息系统的方方面面，对于加强关键信息基础设施和数据要素安全保护的核心地位愈发凸显。修订后的《条例》成为贯彻落实《密码法》的重要举措，吸纳旧版《条例》实施以来的成功实践经验，进一步完善密码法律法规体系和管理制度，有效细化关键信息基础设施商用密码应用的法治化管理要求，对构建以商用密码技术为核心底座、多种安全保护技术协同的关键信息基础设施安全保护体系具有重大意义。

二、《条例》深化对关键信息基础设施的商用密码应用管理要求，是强化关键信息基础设施安全保护的重要抓手

关键信息基础设施是国家经济发展运行的重要枢纽，全局性、战略性地位凸显。世界主要国家广泛采用密码技术、产品和服务来保障关键信息基础设施安全。当前，商用密码也已广泛应用于我国多个关键信息基础设施领域，发挥了不可替代的重要作用。近期，多个与关键信息基础设施相关的行业领域主管部门也纷纷提出加强密码应用。国家发改委发布《“十四五”推进国家政务信息化规划》，提出推进国产密码应用；交通运输部发布《交通领域科技创新中长期发展规划纲要（2021—2035 年）》，提出推动交通运输领域商用密码创新应用；国家能源局发布《“十四五”现代能源体系规划》，提出加快推进电力信息系统密码基础设施建设工程。

对于运营者来说，使用密码进行关键信息基础设施安全保护更是法定义务和要求。已实施的《密码法》《关键信息基础设施安全保护条例》等均对使用密码保护关键信息基础设施安全提出相应要求。《条例》在上述法律法规的基础上，细化和完善了针对关键信息基础设施在商用密码应用方案、商用密码保障系统、商用密码应用安全性评估、使用的商用密码产品和服务以及资金和专业人员保障等方面的要求，并加快推动商用密码在新技术、新业态、新模式中的应用。

具体来说，一是进一步压实运营者使用商用密码保护关键信息基础设施的主体责任。主要包括提出运营者使用商用密码保护关键信息基础设施时需要制定商用密码应用方案；配备必要的资金和专业人员；落实关键信息基础设施密码应用的“三同步一评估”；对正在运行的关键信息基础设施提出每年至少进行一次商用密码应用安全性评估的要求。

二是对关键信息基础设施中使用的商用密码技术、产品、服务的安全合规性提出了明确要求。主要包括要求关键信息基础设施使用的商用密码产品、服务应当经检测认证合格，使用的密码算法、密码协议、密钥管理机制等商用密码技术应当通过国家密码管理部门审查鉴定；运营者采购涉及商用密码的网络产品和服务，可能影响国家安全的，应当依法通过有关部门组织的国家安全审查等。

三是统筹规定关键信息基础设施相关安全测评与评估工作的衔接性要求。具体提出商用密码应用安全性评估、关键信息基础设施安全检测评估、网络安全等级测评应当加强衔接，避免重复评估、测评。运营者和测评机构需要系统性地开展相关工作，提质增效，合力提升关键信息基础设施综合安全防护水平。四是加快推动商用密码在信息领域新技术、新业态、新模式中的应用。

当前，以 5G、大数据、云计算、人工智能等为代表的新技术新应用在数字经济时代深度融入关键信息基础设施。这种新技术、新应用场景、多领域的融合交叉引发新的网络安全和数据安全风险，亟需商用密码的创新应用“破局”。针对这一局面，《条例》提出“国家支持并规范商用密码在信息领域新技术、新业态、新模式中的应用”，鼓励商用密码创新与应用的有机结合。由此可见，《条例》聚焦于落实《密码法》的相关条款，对于关键信息基础设施商用密码应用提出明确、具体的要求，成为采用商用密码强化关键信息基础设施安全保护的重要指引。

三、企业贯彻落实《条例》中针对关键信息基础设施商用密码应用管理要求的相关探索与实践

（一）牵头密码行业标准《关键信息基础设施密码应用要求》编制，以系统性视角强化关键信息基础设施密码应用体系化防护

为了贯彻落实《条例》的要求，北京数字认证股份有限公司（以下简称“数字认证”）根据密码行业标准委员会的指示，作为牵头单位开展密码行业标准《关键信息基础设施密码应用要求》的编制工作。为了确保标准能够兼顾规范性和可落地性，数字认证广泛邀请具备行业代表性的关键信息基础设施运营单位和建设单位、熟悉关键信息基础设施识别认定、安全保护、检测评估的研究机构和测评机构以及密码产业单位，共同参与标准的编制。关键信息基础设施是更加体系化、复杂庞大又彼此紧密关联的综合性大型系统或全局系统，有必要提出更系统甚至更严格的安全保护要求。针对这个特点，数字认证与编制组各成员单位充分考虑关键信息基础设施与单个网络安全等级保护定级对象的差异性，对使用商用密码保护关键信息基础设施安全进行体系化、协同化设计，重点考虑整个关键信息基础设施内部的整体和协同防护，加强针对跨网络安全等级保护定级对象的安全保护力度，有力保障关键业务稳定运行及数据安全。

（二）面向关键信息基础设施的建设和运维特点，着力探索挖掘商用密码应用和供给新模式

从《条例》可以看出，商用密码应用创新应当与应用有机结合，才能发挥出更大的作用。数字认证针对关键信息基础设施的建设和运维特点，以保障关键信息基础设施的安全稳定运行为目标，从密码应用方式和密码应用供给模式两个方面开展创新工作，加快推动商用密码与新技术融合发展。

一方面，深度融合利用好 ICT 新技术，推出创新的密码应用，提高关键信息基础设施安全防护水平。例如，便民政务业务办理终端、银行 ATM 机等海量边缘节点的传统密码应用方式通常是部署密码卡或密码机，边缘节点设备相较于机房设备受控性减弱，面临潜在安全风险。同时，对边缘节点的密钥分发、算法升级等实施难度较大，需要耗费大量人力成本。通过部署基于机密计算架构的新型密码算力平台，能够有效解决现有场景中密码算力分散引发的运维管理难题，有效解决边缘设备与密码算力间由于距离导致的安全风险、带宽资源消耗等问题，为边缘节点提供可统一管控的分布式内生安全计算能力。

另一方面，通过完善和创新商用密码供给形态、应用模式、服务水平，支撑数字化转型大背景下，工业互联网、物联网、车联网等新兴场景和领域的关键信息基础设施安全稳定运行。例如，在车联网环境下，高速行驶的汽车必须快速完成与各类实体的认证，对证书编码格式、传输带宽、交互时延都提出了极高要求，这种资源受限环境下的密码应用问题愈发突出。将数字证书应用于车联网领域，为 V2X 车辆与路侧设施提供证书和密码安全模块，保障车与车载单元（OBU）和路侧单元（RSU）之间的安全通信，面向车联网中泛在化的信任主体，实现信任建立的实时性、匿名性、随遇接入能力，实现对车辆位置轨迹和身份的隐私保护等安全能力。

四、思考和展望

（一）关键信息基础设施密码应用的总体发展趋势是从分散走向集约，从外挂走向内生未来，需要持续促进关键信息基础设施在顶层设计时同步考虑密码技术保护的实施机制，以系统架构、场景等要素为依据和考量，在架构、流程、形态上一体化统筹设计构建配套的密码保护机制，成为内嵌安全能力。内生密码保护机制适应性强、扩展性好，依据系统组成要素的自身特性进行全方位保护，实现“无处不在”的加密保护与安全认证。长远看来，以“内生”方式实现的密码保护机制，才是确保安全保护得以充分实现的关键思路和发展方向。

（二）关键信息基础设施应提早考虑和规划密码技术向后量子密码时代的迁移随着量子计算向实用化快速演进，传统的公钥密码体制面临被颠覆的风险，迫切需要提前部署密码替换进程，包括积极开展适用于我国的抗量子密码算法研究以及抗量子密码算法的评选及标准化工作，重点选择典型的关键信息基础设施前沿阵地，试点后量子密码算法的敏捷迁移过程，以试点示范效应加快推动整个关键信息基础设施领域的后量子密码算法迁移工作，确保在后量子时代到来之际关键信息基础设施仍然具备持续的安全防护能力。

（三）积极推动开展关键信息基础设施商用密码应用安全性评估可以预见，未来多个行业领域将在GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》的基础上推出更加契合行业特色需求的标准规范，助力更好地开展商用密码应用安全性评估工作。同时，亟需针对应用云计算等新技术新模式构建的关键信息基础设施，逐步制定特色化、差异化的密评细化要求，依法依规开展新领域的商用密码应用安全性评估，保障关键信息基础设施安全稳定运行，持续加强商用密码在新技术、新业态、新模式下的大规模推广和泛在化应用。

公司介绍

北京数字认证股份有限公司(简称“数字认证”)成立于2001年，国有控股上市企业(股票代码300579)，是国内领先的网络安全解决方案提供商，也是拥有许可资质的电子认证服务提供商。

数字认证以“共建可信任的数字世界”为愿景，以密码技术为核心驱动力，致力于保护网上业务安全可信开展、保障网络基础设施安全可靠运行、保护数据安全。经过22年的高速发展，已成为聚焦网络安全领域专业化、规模化的集团型公司，服务领域涉及政务、医疗、金融、教育、交通、电信、能源等数十个行业，为20+国家部委客户、1千万+企业用户、2亿+个人用户提供网络安全解决方案。