商用密码的困境，如何进行自主进行商用密码改造，如何自建密钥管理系统

商用密码，密改，SIMKEY，CA，数字证书。做一个业务为主的密改系统，不再乱买设备。 密码工作直接关系国家政治安全、经济安全、国防安全和网络安全，直接关系社会组织和公民个人的合法权益。商用密码工作是密码工作的重要组成部分，在维护国家安全、促进经济发展、保护人民群众利益中发挥着不可替代的重要作用。 -- 《商用密码知识与政策干部读本》序言 密码技术是实现网络安全的基石，是保障网络安全与信息安全的核心技术和基础支撑，是解决网络与信息安全最有效，最可靠、最经济的手段，是信息系统内置的免疫基因，没有密码就没有网络安全。--P2 没有网络安全就没有国家安全。密码是网络安全的核心技术和基础支撑，是保护国家安全的战略性资源。了解密码，要从理解密码的重要作用入手，结合网络安全形势认识使用密码的重要性，结合国家网络形势安全相关政策认清我国密码事业面临的机遇和挑战，进而树立以总体国家安全观为统领、以密码为基础支撑的网络安全观，在相关工作中全面推进密码应用。-- P7 商用密码推广了那么多年，为什么我还没接触到，密码厂商都干了什么，可以从中了解一二。 ### 商用密码应用的困境与对策 #### 一、背景介绍 随着信息技术的快速发展和数字经济的不断壮大，网络空间安全面临着前所未有的挑战。密码技术作为保障网络与信息安全的关键技术之一，其重要性日益凸显。商用密码的应用对于维护国家的政治安全、经济安全、国防安全以及网络安全具有重要意义。然而，在商用密码的实际应用过程中，仍然存在着一系列挑战。 #### 二、商用密码应用困境分析 1. **缺乏业务系统参与**：目前的商用密码规范主要由密码厂商和技术专家制定，很少有业务系统的参与。这导致规范往往更侧重于技术可行性和安全性，而忽略了业务的实际需求。 2. **业务系统改造难度大**：业务系统要达到密评的要求，需要突破密码规范、密码厂商以及密评规范的多重阻碍。特别是密评规范的高标准要求，使得许多业务系统几乎无法自主研发，只能依赖特定的密码设备和服务。 3. **密码厂商绑定问题**：部分密码厂商利用业务系统对商用密码知识的缺乏，采用各种方式绑定自家产品，比如在密钥管理系统中配套自己的密码设备，或者通过透明网关等方式接管业务数据，这不仅限制了业务系统的灵活性，还可能导致长期的技术锁定。 4. **认证标准与实际应用脱节**：虽然有相关的商用密码认证标准，但在实际应用中，这些标准往往与业务系统的具体需求不符，导致改造难度增加。例如，《商用密码产品认证目录》中的服务器密码机等产品与实际应用接口规范之间的差异，以及缺乏明确的密码设备更换指导等问题。 #### 三、对策建议 1. **加强业务系统参与**：在制定商用密码规范时，应积极邀请业务系统的代表参与，确保规范能够更好地满足实际需求。同时，鼓励业务系统参与到密码技术的研发和应用过程中来，提高其自主创新能力。 2. **简化密评流程**：优化密评流程，降低业务系统的改造门槛，减少非标准产品的依赖，给予更多自主创新的空间。同时，加强密码厂商和业务系统之间的沟通，确保技术解决方案更加贴合业务需求。 3. **推进标准化建设**：建立健全统一的商用密码标准体系，确保密码设备的接口兼容性和可替换性。加强对商用密码认证过程的监管，避免厂商利用标准漏洞进行产品绑定。 4. **提升业务系统安全意识**：加大对商用密码技术的普及力度，提高业务系统对于商用密码应用的认识水平，帮助他们建立正确的密码使用观念，避免因缺乏了解而导致的技术绑定问题。 5. **鼓励技术创新**：鼓励和支持密码领域的技术创新，特别是在密钥管理和密码设备接口等方面的研究与开发，推动商用密码技术的进步与发展。 商用密码的应用困境不仅体现在技术层面，还涉及政策、市场等多个方面。只有通过多方面的努力，才能有效地解决这些问题，促进商用密码技术的健康发展，为数字经济的安全稳定运行提供坚实的保障。