无形指挥棒——密码标准规范与政策法规

撰文 | 康老师

密码规范和法规的重要作用

上期我们讨论了“老成持重”的密码管理系统。形象的说，密码管理系统就像一个乐队中的指挥一样指挥着各类不同的密码应用系统，那指挥与乐手们靠什么能共同奏响和谐的乐章呢？没错，靠得就是这同一份乐谱——密码标准规范与政策法规。指挥能不能“立得住”、能不能“服众”，乃至演奏整体效果如何，固然与指挥分不开，同样离不开这份乐谱。这个比喻相似之处在于，密码规范与乐谱一样，是提前由称职的专家设计完成的智力输出产品，力图规范的是实际系统的运行。而且，密码标准规范与政策法规可不只是与密码管理系统有关，不论是对密码应用/密码管理系统的开发厂商、运营厂商和使用用户，还是对密码管理部门乃至各行业的密码系统用户，密码标准规范与政策法规都是开展密码工作的依据、案头备查工具和我们脑中衡量工作效果的无形“规尺”。

虽然我们在文章编排上把它放在后面介绍，密码标准规范与政策法规的作用可非常之重要。它不仅起到规范密码技术、密码产品和密码管理及服务的重要作用——范围足够广；而且是密码产业化、法治化、标准化的主要推手，不仅对当前状况能起到约束和规范作用，而且像设计蓝图一样对行业未来的发展会起到引领作用——效应足够长。之所以放在后面安排，就是因为它具有高度的综合性和严谨性——内容足够严谨。无论是正规学习过程还是作为科普“串烧”介绍，如果对具体各类密码技术与实际密码系统还没有深入理解，就更加无法理解言简意赅、“惜字如金”的密码规范与政策法规。

至于说到密码标准规范与政策法规间的区别与联系，依康老师浅见：两者区别不在于约束范围的大小，在于标准规范一般规范对象是技术与系统，政策法规一般规范的是组织以及人的活动和行为，它对具体密码系统的影响不像标准规范那样直接；而两者合起来就可以称为密码系统运行和密码行业发展的无形“指挥棒”，对应上期我们已经介绍过的密码管理系统这一有形“指挥棒”，这也就是把它们两者放到本期一起介绍的原因。由于行业政策及法律法规的作用更易理解，本文重点放在更具特点、也更不为一般用户所熟悉的密码行业标准规范上。

密码领域标准规范发展历程

密码标准规范可按照发布主体和约束范围，划分为国家标准、行业标准、团体标准和企业标准；可按照标准化对象属性的分类方法，分为基础类标准、应用类标准、管理类标准和检测类标准等，若干标准规范可能形成相互有从属等一定关系的标准族；可按照保密程度和知悉范围分为公开标准、涉密标准；可按照实施效力分为强制性标准和推荐性标准。至于密码政策法规，也有类似的各种划分方式，例如：国家范围内推行的、有统领作用的政策法规如我国的《密码法》，适用于特定行业密码应用的行业政策法规，在此不一而足。之所以类别如此之多，就是因为当前密码标准和法规对密码领域、密码行业的各项工作覆盖面非常之广、无所不包，因此我们这里也无必要去复述它具体范围，而是从其发展特征进行梳理。

我们在本系列的第一部分中就谈到了密码标准化是密码学发展正规化和进入现代密码时代的重要标志。在密码标准化的具体过程中，最早出现的是国家政府或军方密码主管部门出于其密码使用需求主导推出的、组织各方专家编研形成的国家标准。其后随着密码算法公开化的发展、商用密码应用需求的增多，出现了大商业公司及产业联盟主导推出的行业/团体/企业标准，这类标准往往遵循着“先到先得”或“赢者通吃”的规律，例如PKCS系列公钥加密标准，就是由最早成功商业化推出公钥密码技术的美国RSA公司所设计和发布的。再例如，我国经过多年的技术积累和产业发展，在量子密钥分发（QKD）系统方面具备了一定的技术优势，我国通信以及密码行业的各个标准化组织都不失时机的在数年前就启动推进了QKD技术标准的编研工作，形成了一批标准规范成果，从而能在该领域占据先发优势。

近年，密码标准规范发展历程的新方向是，受IT领域开源运动流行的影响，以及密码界算法公开征集活动被认可与广泛接受（有点从公开化走向开源化的意味），出现了从正规学术团队乃至到互联网开发群体的各类“民间”组织主动推出并在事实上逐渐形成、或者被权威机构所最终认可的密码标准编研模式。例如上世纪七十年代通过美国标准研究所的算法征集活动产生的DES对称加密标准，九十年代产生的AES对称加密标准，以及由比特币基金会以一系列开源文档形式确定下来的比特币应用标准。这三类中出现最晚、组织形式看似最不“官方”的第三类密码标准规范恰是当前表现最活跃的，尤其是在密码算法、密码应用软件这类“较轻量级”、适合小团队出彩的领域，而且他们也是参与新技术研发程度最深、应用新技术意愿最强的，往往能够做到边进行新技术研发、边形成相关标准。当今时代，大家都早就看到了掌握标准的优势，都重视抢占标准制高点，形成这样“狂飙突进”的竞争态势，不足为奇，有利发展。而前两类的组织形式越大、越“官方”，各相关方或者是全行业内对关键问题、敏感问题越难于达成共识，标准规范的出台也就越倾向于谨慎乃至保守。

如果说，密码领域标准规范从推出到被权威部门或相关业界所认可需要一个过程，那再从针对具体技术、具体系统的标准规范发展到对应的政策、法律、法规，这个过程一般更加审慎和漫长。这也是一个在此值得一提的具备一般性规律的发展特点。之前发展PKI等密码基础设施的实践证明，密码管理部门在战略规划和谋篇布局上考虑具体标准规范之外，适时同步出台相关具体政策、措施与规定，很多时候更具有战略价值和对创新的推进作用。这在发展量子密码、后量子密码算法等新技术、新基础设施上非常关键。

密码标准和法规的特点

密码标准规范和法律法规与通用性标准规范和法律法规既有其共通性、又有其特殊之处，在此把康老师的学习体会和大家做一分享。

学习密码标准规范和法律法规首先要注意其分级分类特征，这是它的最大特点和普遍特征，不论对于国内还是国际标准都是一样。分级分类首先是指密码系统本身是有其重要性级别差异和保护级别差异的（密码系统保护级别尤其在密码模块保护上体现的明显，例如美国FIPS标准就是专门对密码模块保护区分了级别）；其次，是指按保护对象不同而区分不同密码的使用范围，例如我国商用密码与非商用密码的分类管理。一项具体的密码标准或法规，要么本身规定的是特定类别密码系统的管理要求或细则，要么就在其文本内针对涉及范围详细区分了对各类别、各级别密码系统的不同要求，而见不到针对所有密码系统泛泛而谈管理要求的。在此康老师把分级分类合为一个特征讨论，是由于各国密码标准和法规依据的分级分类原则各不相同，总体上能够用分级分类概括。而且，尽管分级分类原则有不同，分级与分类总有一定的关联和对应关系，举例来说，如果用自身保护措施较弱、保护级别较低的密码系统去保护信息敏感程度很高的信息系统及关键基础设施就完全是安全上的错误设计。密码标准和规范千千万，不明了分级分类特征没法管。就像上期举例过的军用网络系统适用的密码规范和开源软件适用的密码规范，如果不首先从分级分类原则上区分，一定会是只见树木不见森林，眉毛胡子一把抓。

在学习密码管理规范与政策时，需要注意它具有高度的抽象概括性，不论是标准规范还是政策法规，学习理解时感觉到“知其然而不知其所以然”是一种常态，因为它的文本写作要求就是如此，否则也就不需要各项标准法规的编制说明等辅助材料的编写和宣传贯彻等活动的组织了。这就要求我们对其涉及的领域和业务具有一定的了解，对其编制背景、贯彻方法细则等各类辅助信息具有较全面的掌握，才能真正理解掌握、灵活运用，要不然只是对着“惜字如金”的标准文本学标准，一定是只理解了字面意思，只能事倍功半。

在运用时需要注意，密码标准规范和政策法规具有高度的专业性和技术性，它只能指挥我们怎么唱“密码歌”，密码业务之外的东西它解释和规范不了，可千万别自己“发挥”和“引申”，这句话说来有点拗口和难于理解，举个例子大家就明白了。明文的业务数据怎么产生、怎么流转、乃至是什么格式，这些都是由应用系统而不是密码来决定的，深究起来，这里体现的是密码服务于信息系统的理念。再例如，业务应用的安全问题，不是完全能由密码系统解决的，安全责任的划分，密码只能负责它自己的部分，没有哪部密码规范和政策会去要覆盖整个信息系统安全的范畴。注意了这一点，密码与业务就不容易“打架”，干密码系统的活就能更顺畅、更顺利。

下期，我们会从抽象走向具体，一起聊聊我国密码标准规范和政策法规的显著特点。

康老师 简介

深耕信息安全领域二十余年，从事安全增强系统、密码应用系统及通用软件系统开发、信息安全理论研究、标准规范编研及开发团队管理。参与多项国家863、973、核高基专项等重大科研项目，作为主要完成人编研完成国家/军用标准多项，发表学术论文二十余篇。