这两天商用密码圈一篇名为《商用密码产业的黄粱一梦》的文章引起了众多从业者的思考和热烈探讨,众多朋友也纷纷向我来征询看法。作者在以往众多文章中都一再强调密码技术意义重大、密码产业前景广阔,但,现实却并不是这样的,商用密码产业当前的发展远远没有当时设想的那么OK,问题到底出在哪呢?以作者看来,这个问题大家一起研究分析一下是十分必要的。本文就以《商用密码产业的黄粱一梦》为引子,对商用密码产业的发展做尝试性分析,希望能给从业者一点提示,也能使得大家对商用密码产业的发展有个更为客观的认识。
首先阐述作者观点:商用密码产业,只有从业者和从业单位积极奋进,因势利导才能好梦成真,因循守旧、短势狭隘,终将是黄粱一梦。是梦不是梦,关键还在从业者和从业单位自身,其他都是客观因素。
国家对商用密码产业保持谨慎态度,这是必然的,
“密码技术是网络安全的核心技术和基础支撑”,这是国家对密码技术的定位,这充分反映密码技术的重要意义。对于这么重要的技术为何在相关落实性政策性文件中表现出谨慎的态度(国家密码管理局2020年8月20日公布的《商用密码管理条例(修订草案征求意见稿》中,规定“非涉密的关键信息基础设施、网络安全等级保护第三级以上网络、国家政务信息系统等网络与信息系统,其运营者应当使用商用密码进行保护”,而今年实行的正式版本中规定“法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码进行保护”)?以作者看来,主管单位有这样的态度是必然的,毕竟有不少前车之鉴,其中PKI/CA就是最具代表性的一个产业应用。
翻开PKI/CA的发展史,不难发现,在最初国家对其应用落地是很谨慎的,并没准备进行商业化落地,但由于一些其他原因,PKI/CA最终还是被推向了商业化的道路,区域CA、行业CA。。。形式多样的CA很快就遍地开花,在过程中国家主管单位也先后发布了很多政策进行帮扶。这些CA在为网络安全建设发挥了重要作用的同时,也产生了诸如兼容性、经济性等方面的问题,这些问题随着我国政府职能的持续优化、政府和市场之间关系的清晰明确日渐突出,产生了不少社会性问题,影响还是很不好的。随着认识的提高,国家主管单位对PKI/CA的商业化应用在政策层面从2016年以来一直保持非常谨慎的态度,甚至在一些重要的政策性文件中已经不再提及PKI/CA,取而代之的则是密码技术(请参见《必须从发展的角度认识密码技术和数字证书,才能给出客观的评价》)。
鉴于密码技术和密码落地应用的特殊性,结合众多商用落地经历,再结合当前产业形势,主管单位对商用密码应用保持谨慎态度是必然的。
主管单位对商用密码落地保持谨慎态度,必然影响商用密码产业发展,这是一定的,但,这也从侧面给商用密码产业发展规避了很多风险,最少不会再有PKI/CA那些落地问题。
所以,商用密码产业的从业人员,要客观地认识国家主管单位对商用密码落地的谨慎态度,毕竟站在全局考虑密码技术落地涉及范围太大了,作者所提及的前车之鉴也仅是一个方面而已。
阐述一个观点:政策和产业永远是相辅相成的,任何偏颇都会两败俱伤。所以,商用密码产业的相关政策的谨慎,也反映了商用密码产业自身发展乏力、自创新能力严重不足。
密码技术作为网络安全核心技术和基础支撑的定位,对产业化落地是机遇更是挑战
密码技术被定位为网络安全的核心技术和基础支撑,这样的定位可以理解为“有网络安全的地方,就应该有密码应用”,如果是这样的话,密码应用落地岂不是一件很容易的事情。但,事情往往不是这样的,上述定位还有一种理解就是“有网络安全的地方,就可以有密码应用”,如果是这样的话,密码应用落地还是要依靠自身能力,毕竟可以有,也可以理解为没有也暂时OK。
定位高,不代表万事OK,很多的落地事宜还是要考验自身能力的,机遇有了,但是随之而来的挑战会更大。看当下的商用密码产业单位,还依然存在众多只看到机遇没看到挑战的情况,受到一些现实打击那是一定的。
当前,商用密码产业自身还存在诸多问题尚需解决
政策也好、定位也罢,要想取得商业上的成功,自身的商业能力才是关键。纵观当下的商用密码产业,好的方面比比皆是,这不是本文的重点,本文更关注相关问题,特别是反映商业能力短缺的问题,以作者看来重点体现在如下几点:
1、商业模式落后,“盒子、盒子”着实会丧失更多机会,也阻碍了产业长远发展。“种子、种子”值得从业者好好思考,作者在此不做说明
2、场景创新不够,“完整性、保密性、不可否认性”,这样的功能提倡已经很久了,虽然很重要很基础,但在商业落地上还是缺乏场景层面的创新性。是需要从功能提供向场景服务提供进行转变了
3、产业对政策有较多的误导性,要做到产业健康和长远发展,产业和主管单位须把立场都统一到正确的产业方向上,彼此保有立场、方向不统一,彼此误导、牵制只能耗费产业发展机遇,对大家都没有任何好处。由产业、主管单位、应用单位、关联单位等组成产业协同才是相对有效的,杜绝少数决定多数的狭隘立场行为。
4、开放性、融合度存在差距,清高、神秘在商业层面不是褒义词而是大大的贬义,而这恰恰就是商用密码产业当下的现状,一切都在一个相对封闭的圈圈里搞,很神秘、很高级。现在人家信创都在做大范围适配融合了,密码产业也是需要这样做的,也是非常需要搞生态链的,毕竟这是商业所需
5、实验室、创新中心有名无实,获取支持都很短视,商用密码产业中成立了不少所谓的实验室、创新中心等形式的机构,旨在做基础、长效的工作,但,以作者看其实都是在做形式上的工作,都在追求短期效益,能踏踏实实做的少的可怜。这一点,作者没有什么好说的,毕竟发展中的问题也许都是这个样子吧
6、从业人员的心智和认知还存在差距,关于这一点,作者在以往众多文章中都有过说明,无论产业好坏、机会大小,有众多杰出从业者参与的产业一定不会差。所以,从业者才是决定产业未来的核心要素。就目前商用密码产业而言,还需要更多的杰出从业者。
总之,纵有机会千千万,纵有困难万万千,保障自身有水平才是关键。
有一个比较突出的问题,需要商用密码产业从业者给予充分重视
密码技术是核心、是基础,就代表了密码技术本身的显性属性要差得多,而显性需求恰恰是商业化最重要的环节,也就是对那些看得见、摸得着的东西更愿意买单。这个话题作者在以往的文章中也反复提及,本处再次提及如下几点希望所有的从业者给予充分重视:
1、需要把抽象的、底层的、技术型的东西做到形象化、场景化,能好记好传颂
2、能找到有效的手段把密码应用前后的效果给出充分对比展示,要把价值显性化
3、密码毕竟是基础薄弱且小众化,须在平民化思路上做出众多的设计和铺垫
4、要充分借助安全理论、信息化理论等其他相对广泛的东西做思维设计,保障可接受
最后要说:
本文作者啰哩啰嗦一大堆,其实主旨思想总结如下:
提高产业认知层次、调整商业模式、改变商业打法、扩大商业格局、选好前线阵地、提升业务能力,商用密码产业是可以帮你实现梦想的。做到这些,就目前的商用密码产业单位而言还有很长的路要走,就从把《商用密码产业的黄粱一梦》一文作为一个警示开始改变自己即可
作者关于商用密码产业的相关思路和观点已经很多很多了,有兴趣的可自行查阅
【注:以上仅是作者肤浅认识,仅供参考!】
来源:与智慧做朋友
作者:李志勇 ( 微信号:qichelaba )
声明:文章中部分图例来源于网络,版权并不属于作者
