对电力行业提升商用密码应用安全的系统性认识

对电力行业提升商用密码应用安全的系统性认识

杨金贵  徐声鸿  吴海

云南滇能智慧能源有限公司  云南 昆明  650228

摘要：我国对网络安全的重视程度日益提高，密码技术已经成为保障网络与信息安全的重要支撑，在确认真伪、鉴别来源中的作用越来越突显。国家法律法规、行业管理办法等均明确了商用密码应用安全的重要性。电力行业作为国家重要的能源企业，加强对商用密码应用安全的系统性认识，落实好商用密码安全性应用工作也至关重要。本文就对电力行业提升商用密码应用安全提出系统性的认识。

关键词：电力行业；商用密码；应用安全；认识

一、背景

《中华人民共和国网络安全法》、《中华人民共和国密码法》的陆续颁布奠定了密码技术作为网络安全保护重要手段的地位。《中华人民共和国密码法》规定，法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施，其运营者应当使用商用密码进行保护，自行或者委托商用密码检测机构开展商用密码应用安全性评估。

2022年11月16日，国家能源局正式印发《电力行业网络安全管理办法》（国能发安全规〔2022〕100号），第十五条规定：电力企业应当按照国家有关规定开展电力监控系统安全防护评估、网络安全等级保护测评、关键信息基础设施网络安全检测和风险评估、商用密码应用安全性评估和网络安全审查等工作，未达到要求的应当及时进行整改。

二、相关概念

（一）什么是商用密码

商用密码工作是密码工作的重要组成部分。商用密码主要用于保护不属于国家秘密的信息，广泛用于通信、金融、税控、社保、能源等重要领域，在维护国家安全、促进经济发展、保护人民群众利益中发挥不可替代的作用。1996年7月，中央政治局常委会专题研究商用密码，做出在我国大力发展商用密码和加强对商用密码管理的决定，“商用密码”从此成为专有名词。

根据1999年10月7日国务院发布实施的《商用密码管理条例》第一章第二条规定：“本条例所称商用密码，是指对不涉及国家秘密内容的信息进行加密保护或者安全认证所使用的密码技术和密码产品”。

如何来理解《条例》中对商用密码的定义呢?第一，它明确了商用密码是用于“不涉及国家秘密内容的信息”领域，即非涉密信息领域。商用密码所涉及的范围很广，凡是不涉及国家秘密内容的信息，又需要用密码加以保护的，均可以使用商用密码。第二，它指明了商用密码的作用，是实现非涉密信息的加密保护和安全认证等具体应用。加密是密码的传统应用。采用密码技术实现信息的安全认证，是现代密码的主要应用之一。第三，定义将商用密码归结为商用密码技术和商用密码产品，也就是说，商用密码是商用密码技术和商用密码产品的总称。

（二）什么是商用密码安全性评估

商用密码应用安全性评估（也简称“密评”），是指在采用商用密码技术、产品和服务集成建设的网络和信息系统中，对其密码应用的合规性、正确性、有效性进行评估。

（三）如何开展商用密码安全性评估

《中华人民共和国密码法》规定，法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施，其运营者应当使用商用密码进行保护，自行或者委托商用密码检测机构开展商用密码应用安全性评估。这里已明确，自行或者委托商用密码检测机构开展商用密码应用安全性评估，但对于电力行业来说，还是以委托具有资质的商用密码检测机构开展为主流。

（四）取得商用密码应用安全性评估报告后如何开展工作？

《电力行业网络安全管理办法》（国能发安全规〔2022〕100号）第十五条规定：电力企业应当按照国家有关规定开展电力监控系统安全防护评估、网络安全等级保护测评、关键信息基础设施网络安全检测和风险评估、商用密码应用安全性评估和网络安全审查等工作，未达到要求的应当及时进行整改。商用密码应用安全性评估完成后，应当根据评估报告，制定针对性的整改计划，并推进系统的商用密码应用整改，主要为物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全、管理制度等方面的改造和建设。

三、商用密码应用安全性相关依据

（一）《中华人民共和国密码法》

第二十七条法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施，其运营者应当使用商用密码进行保护，自行或者委托商用密码检测机构开展商用密码应用安全性评估。商用密码应用安全性评估应当与关键信息基础设施安全检测评估、网络安全等级测评制度相衔接，避免重复评估、测评。

关键信息基础设施的运营者采购涉及商用密码的网络产品和服务，可能影响国家安全的，应当按照《中华人民共和国网络安全法》的规定，通过国家网信部门会同国家密码管理部门等有关部门组织的国家安全审查。

（二）《商用密码应用安全性评估管理办法（试行）》

为规范密评工作，国家密码管理局制定印发了《商用密码应用安全性评估管理办法（试行）》、《商用密码应用安全性测评机构管理办法（试行）》、《商用密码应用安全性测评机构能力评审实施细则（试行）》等管理文件。

其中，《商用密码应用安全性评估管理办法（试行）》第十条规定：重要领域网络与信息系统投入运行后，责任单位应当委托测评机构定期开展商用密码应用安全性评估，评估未通过，责任单位应当限期整改并重新组织评估。

关键信息基础设施、网络安全等级保护第三级及以上信息系统，每年至少评估一次，测评机构可将商用密码应用安全性评估与关键信息基础设施网络安全测评、网络安全等级保护测评同步进行。对其他信息系统定期开展检查和抽查。

四、目前我国商用密码发展概况

（一）商用密码技术产品不断升级

密码技术与核技术、航天技术并称为国家的三大“杀手锏”技术，是国之重器，是重要的战略性资源。近年来，我国密码算法设计分析能力达到国际先进水平，我国自主设计的商用密码算法ZUC、SM2、SM3和SM9已成为国际标准，这是与世界先进密码算法同台竞争、反复论证的结果。密码无处不在，时时刻刻守卫着国家、公民、法人和其他组织的安全。

近年来，我国商用密码产品自主创新能力持续增强，产业支撑能力不断提升，部分产品性能指标已达到国际先进水平。随着信息技术产业的持续发展和完善，密码产品也随之迭代丰富，现有商用密码产品达到3000余款，其中2200余款产品取得商用密码产品认证证书，品类涵盖了密码芯片、密码板卡、密码整机、密码系统等全产业链条，形成了完整的商用密码产品体系。

（二）密码技术持续进步

在国家密码发展基金等国家级科技项目的引导和支持下，我国在序列密码设计、分组密码算法设计与分析、密码杂凑算法分析、密码协议基础理论与分析、量子密钥分配等密码基础理论研究方面取得了一系列的创新科研成果。同时，由我国自主设计的椭圆曲线公钥密码算法SM2、杂凑算法SM3、分组密码算法SM4、序列密码算法ZUC、标识密码算法SM9等已经成为国际标准、国家标准或密码行业标准，标志着我国商用密码算法体系已经基本形成。

（三）商用密码应用领域不断扩大

随着云计算、大数据、区块链、数字货币、物联网、车联网、人工智能等新技术、新模式的广泛应用，密码技术积极护航新基建安全发展，商用密码应用程度不断加深。在金融领域，累计发行应用国密算法的银行卡超过10亿张；在能源领域，部署支持商用密码的智能电表超5亿只；在惠民领域，已换发采用商用密码技术的二代身份证和港澳台居民居住证超过19亿张；在广播电视领域，基于商用密码技术的数字版权保护技术应用于移动智能终端2700万台；在政务领域10个省（区、市）完成商用密码技术支撑的政府云试点建设覆盖服务用户超过5000万。

五、常见密码算法简介

（一）RSA算法

RSA加密算法，它是1977年由罗纳德·李维斯特（Ron Rivest）、阿迪·萨莫尔（Adi Shamir）和伦纳德·阿德曼（Leonard Adleman）共同提出的一种加密算法，RSA就是他们三人姓氏开头字母拼在一起组成的。

RSA算法是一种非对称加密算法，这一算法主要依靠分解大素数的复杂性来实现其安全性，由于大素数之积难被分解，因此该密码就难被破解。

几十年来，RSA算法经历了各种攻击的挑战，根据相关显示，目前被破解的最长RSA密钥是768个二进制位。也就是说，长度超过768位的密钥，还未被破解，至少目前尚未有人公开宣布。

RSA基于一个十分简单的数论事实：将两个大素数相乘十分容易，但想要对其乘积进行因式分解却极其困难，因此可以将乘积公开作为加密密钥，即公钥，而两个大素数组合成私钥。公钥是可发布的供任何人使用，私钥则为自己所有，供解密之用。

（二） SM2算法

SM2椭圆曲线公钥密码算法（简称SM2算法）是基于椭圆曲线离散对数问题。由于基于椭圆曲线上离散对数问题的困难性要高于一般乘法群上的离散对数问题的困难性，且椭圆曲线所基于的域的运算位数要远小于传统离散对数的运算位数，因此，椭圆曲线密码体制比原有的密码体制（如RSA）更具优越性。

SM2算法于2010年年底由国家密码管理局发布，于2012年成为密码行业标准，于2016年转化为国家标准。SM2数字签名算法于2017年被ISO采纳，成为国际标准ISO/IEC14888-3的一部分。

与RSA算法相比，SM2算法具有以下优势：

1.安全性更高。256比特的SM2算法密码强度已超过RSA-2048（私钥长度为2048比特的RSA算法），与RSA-3072相当。

2.密钥短。SM2算法的使用私钥长度为256比特，而RSA算法通常至少需要2048比特，甚至更长（如3072比特）。

3.私钥产生简单。RSA私钥产生时需要用到两个随机产生的大素数，除了需要保证随机性外，还需要用到素数判定算法，产生过程复杂且速度较慢；而SM2私钥的产生只需要生成一个一定范围内的256比特的随机数即可，因此产生过程简单，存在的安全风险也相对较小。

4.签名速度快。同等安全强度下，SM2算法在用私钥签名时，速度远超RSA算法。

（三）SM3算法

SM3密码杂凑算法，国家密码管理局2010年公布的中国商用密码杂凑算法标准。适用于商用密码应用中的数字签名和验证消息认证码的生成与验证以及随机数的生成，可满足多种密码应用的安全需求。SM3中输入消息经过填充、扩展、迭代压缩后，生成长度为256比特的杂凑值

，SM3算法在结构上和SHA-256相似，消息分组大小、迭代轮数、输出长度均与SHA-256相同。但相比于SHA-256，SM3算法增加了多种新设计技术，从而在安全性和效率上具有优势。在保障安全性的前提下，SM3算法的综合性能指标与SHA-256在同条件下相当。

六、密码应用在电力行业信息化、数字化系统中的重要作用

1.密码是电力行业信息化、数字化系统网络安全的核心技术和基础支撑。密码可以完整实现电力行业重要数据防泄密、内容防篡改、身份防假冒、行为抗抵赖等功能，满足重要业务系统系统对保密性、完整性、真实性和不可否认性等安全需求。密码是信息化、数字化系统免疫体系的内置基因，是实现网络从被动防御向主动免疫转变的关键元素。没有密码，就不能真正解决网络安全问题。

2.密码是构建电力行业网络信任体系的重要基石。信任是世界上任何价值物转移、交易、存储和支付的基础，是社会发展的润滑剂和助推器。最初人类社会依靠血缘和宗族关系建立信任，后来主要依靠法律和合同建立信任。信息时代，万物互联、人机互认、天地一体，电力行业信息化、数字化系统信任至关重要，密码算法和密码协议可解决人、机、物的身份标识、身份鉴别、统一管理、信任传递和行为审计问题，是实现安全、可信、可控的电力网络环境的核心技术手段。

3.密码是保障电力调度安全可靠的重要技术。伴随着社会经济水平的不断前进，各行各业对电力供给的需求量逐年增加。电力系统的供电安全也逐步引起人们的重视，电力调度的自动化关系着每一个人的日常生活，在人们的衣食住行中占据着重要的地位。通过开展电力监控系统密码应用测评及改造，可以实现电力监控系统重要数据和信息的保密性、信息来源的真实性、数据的完整性和行为的不可否认性，系统安全是电力调度自动化的关键，为保证电力能源安全可靠的供应奠定了基础。

七、结束语

电力是国家的重点能源，电力行业的发展与壮大日益成为社会的焦点，电力系统安全、自主、可靠的重要性显得尤为突出，加强商用密码应用，推进电力系统商用密码改造，保证生产控制大区的安全和管理控制大区的稳定运行，已经成为电力系统智能发展方向中的一个重要问题，必须得到整个行业的高度重视。

参考文献

[1]国家密码管理局。商用密码应用安全性评估管理办法（试行）[Z].2017-04-22。

[2]中国密码学会密评联委会。商用密码应用安全性评估量化评估规则[Z].2021-12。

[3]GB/T 39786-2021。信息安全技术，信息系统密码应用基本要求[S].2021-10-01