在数字化浪潮席卷全球的今天，网络安(ān)全威胁日益复杂多(duō)变。据最新(xīn)数据披露，2024年6月，全球范围内共监测到41.71万次网络攻击，尽管整体(tǐ)攻击次数环比下降16.9%，但针对工(gōng)业企业的攻击仍高达391起，其中(zhōng)网络嗅探活动尤为(wèi)猖獗，占比显著增加。与此同时，勒索软件攻击如暗影般笼罩，不仅对企业运营构成直接威胁，更对工(gōng)业体(tǐ)系的安(ān)全稳定提出严峻挑战。在此背景下，采用(yòng)商(shāng)用(yòng)密码技(jì )术筑起工(gōng)业企业的网络和数据安(ān)全屏障，成为(wèi)了迫在眉睫的需求。

一、政策推动工(gōng)业商(shāng)用(yòng)密码应用(yòng)有(yǒu)序发展

近年来，我国(guó)已初步形成了以《网络安(ān)全法》《密码法》和《数据安(ān)全法》为(wèi)核心的法制体(tǐ)系，旨在规范我国(guó)商(shāng)用(yòng)密码产(chǎn)业的合理(lǐ)合规发展。2021 年发布的《关键信息基础设施安(ān)全保护条例》等文(wén)件为(wèi)密码管理(lǐ)等部门依法开展关键信息基础设施的网络安(ān)全检查工(gōng)作(zuò)提供了指导意见，引导使用(yòng)密码技(jì )术来保护重要数据和核心数据的安(ān)全。2023 年颁布的《商(shāng)用(yòng)密码管理(lǐ)条例》规定国(guó)家支持网络产(chǎn)品和服务(wù)使用(yòng)商(shāng)用(yòng)密码来提升安(ān)全性，同时支持并规范商(shāng)用(yòng)密码在信息领域的新(xīn)技(jì )术、新(xīn)业态、新(xīn)模式中(zhōng)的应用(yòng)。

二、工(gōng)业商(shāng)用(yòng)密码应用(yòng)存在诸多(duō)挑战

工(gōng)业商(shāng)用(yòng)密码的应用(yòng)之路并非坦途，面临着安(ān)全合规要求复杂化、管理(lǐ)不到位、应用(yòng)不规范及安(ān)全性不足等多(duō)重挑战。

1.商(shāng)用(yòng)密码安(ān)全合规要求严格

我国(guó)已形成较为(wèi)完善的商(shāng)用(yòng)密码标准体(tǐ)系，截至目前，已发布密码行业标准 144 项，密码国(guó)家标准 43 项，对工(gōng)业领域商(shāng)用(yòng)密码安(ān)全提出了更高的要求。

2. 商(shāng)用(yòng)密码管理(lǐ)不到位

用(yòng)户单位需要确保员工(gōng)使用(yòng)强密码来保护信息数据和资产(chǎn)，但很(hěn)多(duō)员工(gōng)往往会选择弱密码或者重复使用(yòng)密码，增加了密码泄露和入侵的风险。另外，不少信息系统尚未采用(yòng)密码技(jì )术进行保护，这一现状令人堪忧。

3. 商(shāng)用(yòng)密码应用(yòng)不规范

即便是在使用(yòng)了密码技(jì )术的系统中(zhōng)，不规范的应用(yòng)也屡见不鲜。在对重要领域信息系统的安(ān)全性测评中(zhōng)，不符合规范的比例曾高达85%，这直接威胁到信息系统的整体(tǐ)安(ān)全。

4.商(shāng)用(yòng)密码应用(yòng)不安(ān)全

现在仍有(yǒu)大量系统在使用(yòng)已被证明不安(ān)全的加密算法，如RSA1024、MD5等，这些“过时”的密码技(jì )术如同虚设的防线(xiàn)，难以抵御现代黑客的攻击。

5. 商(shāng)用(yòng)密码应用(yòng)成本高、难度大

密码产(chǎn)品繁多(duō)、系统改造困难且成本高昂，以及密码资源管理(lǐ)分(fēn)散、难以有(yǒu)效维护，使得信息安(ān)全形势更为(wèi)严峻。

三、多(duō)规管理(lǐ)融合实现全面合规

在数字化经济蓬勃发展的背景下，商(shāng)用(yòng)密码作(zuò)为(wèi)信息安(ān)全的基石，其重要性日益凸显，已经成为(wèi)保障工(gōng)业信息系统和数据安(ān)全不可(kě)或缺的基础设施。面对商(shāng)用(yòng)密码应用(yòng)的复杂环境，密评作(zuò)为(wèi)一项重要机制，正逐渐成为(wèi)商(shāng)用(yòng)密码合规管理(lǐ)的有(yǒu)力抓手。密评的实施，不仅促进了商(shāng)用(yòng)密码技(jì )术的规范化应用(yòng)，还增强了工(gōng)业领域对安(ān)全威胁的防御能(néng)力。

2023年7月1日起实施的《商(shāng)用(yòng)密码管理(lǐ)条例》明确规定密评、关保、等保应当加强衔接，避免重复评估、测评。随着众多(duō)政策要求多(duō)监管、强监管和日益严峻的安(ān)全风险，对运营单位网络安(ān)全提出了更高要求，满足监管的难度越来越大。不仅如此，运营单位还面临着一些运营单位存在着技(jì )术方法和管理(lǐ)措施不聚焦、无法形成动态管理(lǐ)机制、等保密码关保等合规验证工(gōng)作(zuò)重复、合规管理(lǐ)成本高等风险。

安(ān)全是整体(tǐ)，合规是基准。道普信息风险管控专家建议，可(kě)以借助专业的第三方风险管控服务(wù)，采取多(duō)规管理(lǐ)融合手段，基于网络安(ān)全责任制、等级保护、关基保护、密码应用(yòng)、数据安(ān)全、个人信息保护等监管要求，从“合规规划、合规实施、结果管理(lǐ)、合规跟踪”四个维度，开展等保、密码、关保测评等安(ān)全性评估，实现合规工(gōng)作(zuò)的规范化，降低合规管理(lǐ)成本，满足监管部门各项网络安(ān)全要求，保障信息化管理(lǐ)对象合规运行，减少监管部门的通报，实现工(gōng)业领域全面合规。

在网络安(ān)全态势日益严峻的今天，采用(yòng)商(shāng)用(yòng)密码技(jì )术来保障工(gōng)业企业的网络和数据安(ān)全，不仅是对当前挑战的积极应对，更是对未来安(ān)全需求的战略布局。随着技(jì )术的不断进步和政策的持续推动，商(shāng)用(yòng)密码技(jì )术将在工(gōng)业领域发挥更加重要的作(zuò)用(yòng)，为(wèi)各行业乃至国(guó)家安(ān)全提供坚实的支撑。我们期待着一个更加安(ān)全、可(kě)信、高效的工(gōng)业网络环境，助力我国(guó)工(gōng)业经济实现高质(zhì)量发展。