密码知识与技术管理.doc

密码知识与技术管理密码知识与技术管理商用密码管理办公室技术管理处处长 谢永泉在生活中，密码已经被赋予了多重含义，例如“藏地密码”背后的唐代文明与藏獒智慧，“达芬奇密码”指向的巨额财富等。在密码学意义上，密码是指按约定规则，为隐藏消息原形而生成的一组具有随机特性的特定符号。而密码学是指研究密码与密码活动本质和规律，指导密码实践科学，主要探索密码编制、密码破译以及密码管理的一般规律的一门科学。密码学是结合数学、计算机科学、电子与通信、物理、生物等诸多学科于一身的交叉学科，发源并兴起于外交和军事，目前已经走向公开，它不仅具有保证信息机密性的信息加密功能， 而且具有数字签名、身份鉴别、秘密分存等功能，使用密码技术不仅可以保证信息的机密性，而且可以保证信息的完整性和确定性，防止信息被篡改、伪造和假冒。 密码技术、核技术和航天技术并称为国家安全的三大支撑技术，其中密码技术又称为信息安全的核心技术，广泛应用于国民经济各领域，在保障重要经济信息系统安全、维护国家网络空间安全中起着不可替代的作用。例如：电子商务中采用密码技术对交易双方的身份进行识别，预防“钓鱼”网站的欺诈行为，大大降低了安全风险。2013年6月，美国斯诺登爆料代号为“棱镜”的秘密监控项目，2007年开始，美国国家安全局和联邦调查局从思科、微软、雅虎、谷歌、Skype、Ytube、苹果9家公司的服务器中监控互联网活动，秘密收集电话记录，其中我国成为侦听重点，严重威胁我国国家安全，其在定位及通信中也广泛采用了密码技术。推广自主密码技术，保障国家信息安全，维护国家利益必要而急迫。按照会议安排，下面我介绍一下密码理论学习和技术管理工作的了解、积累的一些情况。主要是密码算法、密码行业标准和技术管理要点解析，供大家参考。一、密码技术是保障国家信息安全的核心技术1.关于商用密码。为满足国民经济发展对密码的应用需求，1993年党中央确定发展商用密码，称为“商用密码”，主要是为了与党、政、军所使用的密码进行区别，商用密码的定位是“对不涉及国家秘密内容的信息进行加密保护或者安全认证”。为保证商用密码健康有序发展，发挥好商用密码在我国信息化发展和社会经济建设中的作用，1996年党中央决定在我国大力发展商用密码，并确定了“统一领导，集中管理，定点研制，专控经营，满足使用”的管理原则。需要强调的是，“商用密码”这个名词是为了与保护国家秘密信息的密码进行区分而使用的，并不是狭义上商业才能采用的密码。密码技术是通用技术，是没有属性的，商用密码是一种分类概念。根据国家保守秘密法，国家秘密分为“绝密”、“机密”、“秘密”三级，商用密码保护的对象是非密敏感信息，也就是没有标注密级的信息，包括党政机关工作信息、企事业单位商业、财务人事信息，也包括公民日常生活信息等。换一个角度来说，保护定义为国家秘密的信息不能采用商用密码。有很多人并不是很清楚，工作中我们也碰到很多案例，比如说有的同志认为，采用商用密码随时可接入互联网应用，适用面广，万一丢失也不用承担法律责任，效果也不错，而采用其他密码管理责任大，用商用密码对涉密内容进行加密保护效果也很好，至少比“裸奔”强。商用密码只能用于保护不涉及国家秘密的信息，这是法律适用问题，请大家务必牢记。在工作中我们经常碰到另一个问题，商用密码不能用来保护国家秘密，那么商用密码是不是比其他的密码差呢，商用密码可靠吗？事实上，商用密码是应用最广，适应环境最复杂的一类算法，经国内最优秀的专家团队评估，目前我国推广使用的SM系列密码算法安全性达到国际先进水平，也就是说与国际上最先进的密码算法相当，这也是可以通过数学计算证明的，SM系列密码算法完全能够满足安全保障需求，我们可以非常自豪地推广这些算法。2.关于密码算法和密码协议首先，谈谈密码。我们身边充斥着密码，上网要输入密码、出差要带密码箱、高档一点的防盗门装密码锁，甚至在北京西便门附近一家理发店的名字就叫“流行密码”，近几年也出现了好几部关于密码的电影电视。这里面有哪些是密码，如何理解密码呢。根据GM/Z 00012013 密码术语，密码是指按约定规则，为隐藏消息原形而生成的一组具有随机特性的特定符号。密码学是指研究密码与密码活动本质和规律，指导密码实践科学，主要探索密码编制、密码破译以及密码管理的一般规律。密码技术是指密码学相关技术，主要是指研究密码编制、分析和破译的学科，包括密码算法、密码协议和密码系统等的设计与分析的原理、方法和工具。从定义可以看出，我们日常上网、密码箱、防盗门等用的“密码”主要是“口令”，不是密码学意义上的密码，更不是密码管理部门管理的对象。密码算法是指描述密码处理过程的一组运算规则或规程，一般是指基于复杂数学问题设计的一组运算。密码算法主要包括对称密码算法、公钥密码算法、密码杂凑算法和随机数生成算法。对称密码算法有时也叫秘密密钥算法或单密钥算法，主要包括分组密码算法、序列密码算法，数据发信方将明文和密钥一起经过密码算法处理后，使其变成复杂的加密密文发送出去；收信方收到密文后，使用密钥及算法的逆运算对密文进行解密，使其恢复成可读明文。公钥密码算法又称为“非对称密码算法”，主要包括RSA密码算法和椭圆曲线密码算法，1976年由Diffie和Hellman以及Merkle分别提出，要求密钥成对出现，一个为加密密钥，可以对外公开（又称为公钥），另一个为解密密钥，用户自己唯一拥有（称为私钥），两密钥之间存在相互依存关系,用其中任一个密钥加密的信息只能用另一个密钥进行解密，且不可能从其中一个推导出另一个。由对称密码算法和公钥密码算法定义可以看出，采用对称密码算法需要通信双方事先获得共享密钥，而采用公钥密码算法时，人人都可以通过收信者的公钥对文件进行加密，然后发给收信者；而有且只有收信者使用其私钥才能对文件进行解密，这使得通信双方无需事先交换密钥就可进行保密通信。非对称密码算法较对称密码算法处理速度慢，因此，通常把非对称密码算法与对称密码算法结合起来实现最佳性能，即用非对称密码算法在通信双方之间传送对称密钥，而用对称密码算法来对实际传输的数据加密解密。分组密码算法是将明密文分成固定长度分组，采用相同密钥对每一块加密，输出也是固定长度的密文的一种密码算法。比较有名的分组密码算法是上世纪70年代美国确立的数据加密标准DES算法，加密时把明文以64比特为单位分成块，而后通过运算把每一块明文转化成同样长度的密文块，DES的密钥长度是56比特。AES算法是上世纪末，美国为替换3DES算法，面向世界遴选、评估确定的高级加密标准算法，明密文分块是128比特，密钥长度128比特到256比特可选。比较有名的分组密码算法还有3DES算法，IDEA算法，TUOFISH算法等。我国商用密码领域主要推广使用SM1、SM4和SM7三个密码算法，其中SM1主要用于重要经济信息系统，SM4用于通用领域，而SM7主要用于门禁、电子标签等射频相关领域。序列密码算法主要原理是通过有限状态机产生性能优良的伪随机序列，使用该序列加密信息流得到密文序列。序列密码算法是军事和外交领域使用的主要密码技术之一，它的安全强度完全决定于它所产生的伪随机序列的好坏,产生好的序列密码的主要途径之一是利用移位寄存器产生伪随机序列。公钥密码算法主要包括RSA密码算法和ECC密码算法。结构图如下：RSA密码算法。1978年，美国麻省理工学院(MIT)的Rivest、Shamir和Adleman共同提出的一个密码算法，其安全性基于大整数素因子分解的困难性，至今没有有效的方法予以解决。举例来说很容易计算127×129？，但是倒过来，？×？29083 就很难计算了。目前，国际主要采用RSA_1024和RSA_2048，近年来，随着计算技术的进步和计算机运算性能的不断提高，RSA算法应用安全的危险性增大，根据国内外相关消息，RSA_1024已经被破解，世界各国都在积极推动采用椭圆曲线密码算法代替RSA算法。椭圆曲线密码算法（ECC密码算法）被国际公认为唯一成熟可替代RSA密码算法的公钥密码算法，基于有限域上的离散对数难解问题设计，从计算复杂度来看，256比特密钥的ECC算法安全强度与3072比特密钥RSA算法相当，所以相对来所，ECC算法具有资源占用少、运算效率高等优点。世界各国都在大力推广使用椭圆曲线密码算法，美国已经确定2010年起，全面推广应用椭圆曲线密码算法。我国已经研制并发布了具有自主知识产权的椭圆曲线密码算法SM2，组织研制了实现有SM2算法的算法芯片、智能密码钥匙、PCI密码卡、密码机等产品，并在电子认证、金融等领域大力推广应用。密码杂凑算法又称散列算法或哈希函数，是把任意长的输入消息串变化成固定长的输出串的一种函数，这个输出串称为该消息的杂凑值。一个安全的密码杂凑算法应该至少满足以下几个条件:输入长度是任意的，输出长度是固定的;对每一个给定的输入,计算输出即杂凑值是很容易的;给定密码杂凑算法的描述,找到两个不同的输入消息，使杂凑值相同是计算不可行的；给定密码杂凑算法的描述和一个随机选择的消息,找到另一个与该消息不同的消息使得它们杂凑到同一个值是计算上不可行的。随机数生成算法一般是指生成伪随机序列的算法,通常由随机数发生源和后续处理函数组成，随机数发生源用于提供随机种子，后续处理函数用于平衡随机数的质量。我国密码产品中采用的密钥要求用数字物理噪声源芯片等硬件生成，这些硬件中内部实现了随机数生成算法，输出的数据应能够符合GM/T 0005-2012随机性检测规范。密码协议。这里的协议是指两个或两个以上的参与者为了达到某种特定目的而采取的一系列步骤（Bruce Schneie应用密码学 协议、算法与C源程序，邱卫东等密码协议基础）。包含以下几层含义：规定了一系列有序执行的步骤，必须依次执行；必须有两个或两个以上的参与者；有明确的目的。协议有几个特点：协议中的每个人都必须了解协议，并且预先知道所要完成的所有步骤。协议中的每个人都必须同意并遵循这些步骤；协议必须是清楚的，每一步必须明确定义，并且不会引起误解；协议必须是完整的，对每种可能的情况必须规定具体的动作。如智能密码钥匙的内部认证、外部认证协议，IPSec VPN协议等。密码协议是使用密码技术的协议，密码协议包含某种密码算法，但通常密码协议的目的不是为了简单的实现数据传输的机密性，参与协议的各方可能是为了计算一个数值并进行共享、确认相互间的身份等。在协议中使用密码的主要目的是防止或发现窃听者。常用协议有密钥交换协议、IPSec VPN协议、SSL VPN协议等。二、大力加强商用密码标准化管理工作标准化管理是世界各国市场通行的管理规则，技术标准已经成为国际竞争的重要手段，也是商用密码依法管理的基础支撑。国家密码管理局一直高度重视密码标准管理工作，从2000年就开始组织相关规范的组织编写工作，先后用白皮书的形式发布了系列技术标准，规范了商用密码产品的研发与应用。2011年，经国标委批准设立了密码行业标准化技术委员会，标志着密码标准化工作正式纳入到国家标准管理体系中，国家密码管理局具备了独立组织制定、颁布密码标准的职能，这对提升密码管理工作的科学化、规范化水平，增强我国密码产业竞争力具有十分重要的意义。（1）标准化管理是依法管理的重要内容Ø 管理依据及标准定义。中华人民共和国标准化法，“标准”是指对重复性事物和概念所作的统一规定，它以科学、技术和实践经验的综合成果为基础，经有关方面协商一致，由主管机构批准，以特定形式发布，作为共同遵守的准则和依据。Ø 立法宗旨。为了发展社会主义商品经济，促进技术进步，改进产品质量，提高社会经济效益，维护国家和人民的利益，使标准化工作适应社会主义现代化建设和发展对外经济关系的需要。Ø 管理体制。统一管理与分工管理相结合。国务院标准化行政主管部门（国家标准化管理委员会）统一管理全国标准化工作，国务院有关行政主管部门分工管理本部门、本行业的标准化工作。Ø 标准层级。标准主要包括国家标准、行业标准、地方标准和企业标准。对需要在全国范围内统一的技术要求，应当制定国家标准，国家标准由国务院标准化行政主管部门制定。对没有国家标准而又需要在全国某个行业范围内统一的技术要求，可以制定行业标准。制定行业标准的项目由国务院标准化行政主管部门确定的行业标准主管部门确定。行业标准由国务院有关行政主管部门编制计划，组织草拟，统一审批、编号、发布，并报国务院标准化行政主管部门备案。在公布国家标准之后，该项行业标准即行废止。Ø 组织形式。标准管理部门应当组织由专家组成的标准化技术委员会，负责标准的草拟，参加标准草案的审查工作。标准化技术委员会应当由用户、生产单位、行业协会、科学技术研究机构、技术检验机构、学术团体及有关部门的专家组成。Ø 标准性质。国家标准、行业标准分为强制性标准和推荐性标准。保障人体健康，人身、财产安全的标准和法律、行政法规规定强制执行的标准是强制性标准。强制性标准主要包括药品标准，食品卫生标准，重要的涉及技术衔接的通用技术术语、符号、代号（含代码）、文件格式和制图方法；国家需要控制的通用的试验、检验方法标准；互换配合标准等。强制性标准，必须执行。不符合强制性标准的产品，禁止生产、销售和进口。在国内销售的一切产品（包括配套设备）不符合强制性标准要求的，不准生产和销售；专为出口而生产的产品（包括配套设备）不符合强制性标准要求的，不准在国内销售；不符合强制性标准要求的产品（包括配套设备），不准进口。强制性标准以外的标准是推荐性标准，国家鼓励企业自愿采用，并将采取优惠措施，鼓励企业采用推荐性标准。推荐性标准一旦纳入指令性文件，将具有相应的行政约束力。指导性标准，主要用于参考使用。Ø 标准认证。 “认证”是依据标准和相应要求，经认证机构确认并通过颁发认证证书和标志，以证明某一产品符合相应标准和要求的活动。认证工作由国务院标准化行政主管部门组织或国务院标准化行政主管部门授权的部门建立的行业认证机构实施。认证合格的，由认证部门授予认证证书，准许在产品或者其包装上使用规定的认证标志。不符合认证标准的产品或未经认证的产品，不得使用所规定的认证标志。 （2）标准化是商用密码规范化发展的内在要求。经过14年的快速发展，商用密码产业初具规模，目前已有451家商用密码产品生产定点单位，研发生产了1300多款产品，建立起了包括芯片、模块、终端、板卡、主机、系统等，体系完整、门类齐全、功能丰富、性能多样的产品体系，涵盖了商用密码产业各个节点，应用对产业链不同节点研发产品的协调性也提出了更高的要求，同时产业链各节点多家生产定点单位竞争的局面对产品研发生产的一致性也提出了很高的要求。没有规矩，不成方圆。商用密码事业发展需要对产业每个节点产品的研发、设计、定型、入市提出明确要求，需要建立健全一个系统完整、公开规范、运转高效的标准化发展机制。（3）商用密码标准化管理成效初显Ø 建立了商用密码标准化管理的组织机制和战略格局，培养了一批经验丰富、熟悉标准编写的队伍。Ø 研究明确了商用密码应用技术体系和标准体系。Ø 组织编制了一批基础性、应用急需性标准规范。主要包括基础类标准、设备类标准、服务类标准、基础设施类标准和应用类标准。目前，已经分两批发布了20个商用密码相关行业标准。Ø 2013年密标委将完成各工作组的组建工作，规章制度较为健全，发布一批密码行业标准，并重点组织开展58个行业标准制修订工作。三、依法规范商用密码技术管理工作商用密码技术管理主要包括算法管理、科研生产单位管理、产品管理、基金课题管理、科技评奖管理和重大项目管理等，其中产品管理和生产单位管理与省区市密码管理部门联系较为密切。根据商用密码管理条例，商用密码产品指定生产单位生产的商用密码产品的品种和型号，必须经国家密码管理机构批准，并不得超过批准范围生产商用密码产品。具体来说，如何理解商用密码产品的品种和型号，商用密码产品品种和型号审批要素、商用密码产品生产定点单位管理重点又是什么呢？1.关于商用密码产品品种和型号的含义根据商用密码产品品种和型号命名规则，商用密码产品品种和型号主要包括产品名称和产品型号两个部分，产品名称主要表现产品的用途和形态，力求科学合理、简洁明了、易懂易记，含义确切（如网络密码机、数字证书认证系统）；产品型号由代表商用密码标识、功能类别、表现形态的三个字母，代表审批年份和顺序号的4位数字，以及表示改进型号的一个字母组成。产品型号包括三节，组成标识如下：图1商用密码产品型号命名组成示意图第一节，包括三位字母，第一位是商用密码标识，用固定的大写汉语拼音字母“S”表示。第二位表示产品的类别，根据商用密码产品的功能进行划分，第三位表示产品的形态类别，按照产品的实现形态进行划分，第二位和第三位也分别用相应的大写汉语拼音字母表示。第二节，由四位数字组成。其中前两位表示年份（如2008年，则为“08”），后两位表示产品顺序号，用从“01”“99”顺序递增的自然数表示，顺序号按照同规格产品登记型号的先后顺序排列。第三节，第三节由一位字母组成，按A、B、C的顺序表示产品的改型次数或系列分别。改型次数是指在产品基型不变的情况下，有局部改变或升级的次数。若产品首次登记，不存在改型，则该位为空。 第二节与第三节之间用一短横线“-”隔开。当第三节为空时，则没有短横线。产品功能类别与形态的组合产品功能与形态的组合规则如下表所示：形态功能软件R芯片X模块M板卡K整机J系统T密码算法（S）数据加解密（J）认证鉴别（R）证书管理（Z）密钥管理（Y）密码防伪（F）综 合（H）2.关于商用密码产品品种和型号审批根据商用密码产品生产管理规定，生产定点单位应当在研制出产品样品后，通过属地密码管理机构向国家密码管理局申请产品品种和型号，提交完整的商用密码产品品种和型号申请材料，包括商用密码产品品种和型号申请书、技术工作总结报告（含附录）、安全性设计报告、用户手册及测试说明5个部分。格式要求：装订，采用A4版式，双面装订，胶装并带封皮和封底；5个部分应用彩页明显分隔开，单独编排目录和页码（技术工作总结报告的附录也应包含页码）；封皮及封面，页边距上4.5CM，下3.5CM，左3CM，右3CM；“商用密码产品品种和型号申请材料”为加粗黑体一号字，项目名称和申报单位为宋体三号字，落款日期为最新日期；各部分正文：页边距上2.5CM，下2CM，左2CM，右2CM；目录中节标题不超过三级，字体为宋体小四号，1.2倍行距；正文内容小四号字，1.5倍行距，节标题依次为一级标题黑体加粗三号，二级标题宋体加粗四号，三级标题宋体加粗小四号。文本具体内容要求前期已经下发，需要的可与技术处联系。在十多年的技术管理工作中，研发单位申报产品出现的主要问题和需要把握的关键点，主要可以分为以下几个方面：（1）密码算法应用不正确。密码算法应用管理是商用密码管理的核心和基础，密码算法自身安全才是密码产品的基础。部分单位在产品中使用了自己设计、编制的密码算法，安全性较差；许多单位的产品中采用了DES、3DES、AES、ECDSA等国际密码算法，带来了专利等许多问题，都不符合国家密码管理的相关要求。目前，我国许可并大力推广应用的通用密码算法是SM2椭圆曲线公钥密码算法、SM3密码杂凑算法和SM4分组密码算法。同时，在智能电网、居民健康卡、社会保障等领域允许使用SM1分组密码算法，在电子标签、重要门禁系统等领域采用SM7分组密码算法，在通信领域采用ZUC祖冲之密码算法。（2）密码应用实现不安全。商用密码管理条例明确要求国家密码管理部门指定的生产单位才能从事商用密码产品的研发、生产，这是因为商用密码产品研发专业性强，安全保障难度大，需要综合考虑密码算法、密码协议、技术路线、物理保障、网络防护等各种安全防护手段。在管理中经常遇到密码算法采用软件实现、密钥没有安全保护措施、身份认证措施薄弱等情况，轻则反复修改，重则退回，造成研发单位、管理部门和相关专家大量人力、物力和时间的浪费。（3）密码标准规范不符合。标准化战略是商用密码既定发展战略，国家密码管理局发布的20个行业标准，基本涵盖了从密码算法、密码芯片、密码设备到密码应用系统较为广阔的领域，对相关产品的体系架构、技术路线、安全协议、防护措施、对外接口及功能等提出了系列明确要求，并且请密码学会组织专家对全国商用密码产品生产定点单位分两次进行了专题培训。商用密码产品型号审批的重要依据是相关产品的检测报告，重点是标准符合性，请认真、深入研读标准，真实实现和落实标准，这样才能少走弯路，提高效率。（4）密钥安全措施不到位。现代密码学意义上的密码应用安全是建立在算法公开的密钥保密基础之上的，SM2/3/4和ZUC密码算法已经公开，要求密钥必须具有严格措施实现安全保密。从生成来说，密钥采用的随机数必须硬件噪声源生成，GM/T 0008-2012安全芯片密码检测准则中明确，安全芯片1级需要至少2个噪声源、2级之上4个、3级6个，输出数据必须能够满足GM/T 0005-2012随机性检测规范的相关要求。对于密码卡、密码机等服务端产品，在管理中要求密钥至少由2片数字物理噪声源芯片生成的数据符合生成。同时，要求研发的商用密码产品必须能够实现密钥整个生命周期的安全防护，例如必须硬件安全存放、具有访问控制机制、明文不出设备、具有掉电或开盖毁钥等防护措施，并且必须具备上电自检和应用自检等防护功能。（5）型号申报材料不规范。上报材料统一采用A4纸、胶装，具体要求前期已经发给各省，目前发现的主要问题包括字体字号、排版格式、呈报对象及文体不规范和提交材料目录结构不准确等低级错误，以及提交材料中体系架构不科学、重点不突出、密码协议不完整等深层次问题，暴露出一些定点单位密码技术基础较弱、不注重日常学习和积累等问题。另外，为进一步规范产品管理，更好地体现安全芯片的安全等级，同时借鉴其他信息安全产品有效期设置的通用方式，下一步拟调整商用密码产品品种型号证书模板，主要调整内容为：不再印发批复文件；明确申报产品名称；明确证书三年有效期；增加防伪二维码；增加标准符合性描述。3.大力加强已获审批产品的后续监管在工作中，我们经常听到一些消息，反映部分商用密码产品生产定点单位投入市场的产品与真正审批时的产品不一致，也就是大家经常说到的“挂羊头卖狗肉”问题，常见情况包括擅自变更采用的密码算法（含国际和国内未经准许使用的其他算法），擅自将硬件换为软件等设备配件变更、伪造生产定点单位证书和型号证书等。现在市场竞争已经比较激烈，国家密码管理局也接到并处理过有关举报，因为所有审批项目都有详细档案，相对来说查证是容易的，伪造的后果轻则吊销型号证书，重则吊销生产定点单位证书，并辅以其他行政及经济处罚。请大家高度重视这种情况，务必做好属地定点单位培训和管理工作，引导生产单位按照获得国家密码管理局商用密码产品型号证书的条件生产产品、进入市场销售。 4.商用密码产品生产定点单位管理根据商用密码管理有关规定，从事商用密码产品生产必须取得国家密码管理部门颁发的商用密码产品生产定点单位证书，有效期3年。新申请单位须经国家密码管理局实地考核，已经指定单位需通过属地密码管理部门的年度考核。目前，新申请生产资质单位的管理流程是：研发单位向属地密码管理部门提交申请材料，属地密码管理部门现场考核，通过的出具意见并转报国家密码管理局；国家密码管理局每年分两批进行实地核查，主要把握申请单位是否具备配套资金、场所、人员等产品研发条件；主要研发人员密码技术积累及产品研发经验；拟研发产品的主要特点及与同类产品的比较优势；资金及人员背景是否清晰、安全管理制度措施是否健全并有效落实等。在人员方面：拟从事密码产品研发人数不得少于15人，其中本科以上学历不少于80%，并应具备密码专业人才或有密码领域从业经历的人才。在资本方面：注册资金可根据本地区商用密码发展情况而定，注册资金越多相对可持续发展能力较强，一般情况下注册资金不少于300万元；在资本构成方面，对某些情况不明的投资方的资本性质应予查明，对于有外资入股/外籍人员参与经营管理或产品研发的情况酌情而定。此外还应关注技术方面的产品路线，市场方面的发展策略、市场优势，财务方面的盈亏状况等。请各省区市密码管理部门的各位领导加强新申请单位的指导和孵化工作，加强对商用密码政策法规、标准规范的认识与理解，加强人才队伍建设与产品研发能力培养，规范产品研发与生产管理，有效减少为投标而投机申请证书、只拿证不干事等情况的发生。对已经获得生产资质的单位要由属地密码管理部门进行年度考核，主要考察获得资质的单位在商用密码产品研发、生产等方面经费、人员投入情况，一年来商用密码产品研发、生产情况，主要管理和研发人员变动情况，下一步主要研发方向和面向的主要应用领域，安全管理制度措施建设和落实情况等。连续三年无产品通过审批、资本结构、主要经营管理和研发人员发生重大变更为及时上报的，发生重大事故的，原则上不得通过年度审核。年度考核的目的是了解情况、通报政策，帮助资质单位更快、更好地从事产业发展。已获得商用密码产品生产定点资质的单位，若发生单位名称变更、注册资本变化、地址或法人变更等情况，应及时报属地密码管理部门和国家密码管理局，以便于及时做好变更报备、及时更新发布信息等工作。对资质到期生产定点单位，按照“有进有出、动态管理”的管理原则，各地国家密码管理机构对本辖区资质到期单位应组织实地考察，要突出监督管理和业绩考核，重点考察该单位遵守商用密码管理政策规定的情况、资本结构变化情况、科研队伍保持稳定情况以及产品推广应用、项目研发进展情况，根据核实的内容，提出是否重新指定的意见。对存在以下情况的单位一般不再审批。有严重违反国家商用密码管理相关政策规定行为的；从未获得商用密码产品型号证书或3年内没有新产品申报审批的；已具有获得商用密码产品型号证书的产品，但连续3年未投产或没有实际应用的。自1999年商用密码管理条例发布实施以来，商用密码管理已经14年发展，管理机制较为稳定、法律法规较为健全、专家和产业队伍较为壮大、产业积累及产品系列较为丰富，较好地满足了应用需求，在信息安全相关领域具有了较强的话语权。同时，我们也很清醒地看到，与国家赋予我们的职责要求相比，技术管理工作在管理机制、管理手段、管理措施、管理人员等方面还存在很多不适应，对新技术、新领域商用密码产品形态多样化，集成化和嵌入化，外资外籍单位及人员带来的新问题、新挑战很不能很好应对。在今后的工作中，技术管理处在局、办领导下，团结依靠业内专家、各地密码管理部门领导和产业队伍，既要继承和完善来之不易的工作基础，优质高效开展日常规范化管理工作，又要积极应对面临的新机遇、新挑战，主动探索积累应对的新思路新办法，持续巩固和壮大商用密码技术保障信息安全、维护国家安全和经济社会稳定中的核心作用。