关注兰花豆，探讨网络安全

2020年1月1日，《中华人民共和国密码法》开始施行，在第一章总则中，说明了国家密码管理部门负责管理全国的密码工作，国家对密码实行分类管理，密码分为核心密码、普通密码和商用密码，核心密码、普通密码用于保护国家秘密信息，核心密码保护信息的最高密级为绝密级，普通密码保护信息的最高密级为机密级，核心密码、普通密码属于国家秘密；商用密码用于保护不属于国家秘密的信息。

国产密码算法是由国家密码研究相关机构自主研发的，也就是上文中的商用密码。《密码法》中第二十七条中明确指出，法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施，其运营者应当使用商用密码进行保护，自行或者委托商用密码检测机构开展商用密码应用安全性评估。商用密码应用安全性评估应当与关键信息基础设施安全检测评估、网络安全等级测评制度相衔接，避免重复评估、测评。商用密码主要包括SM１、SM２、SM３、SM４、SM７、SM９、ZUC，具体介绍如下表所示：

其中SM２、SM３、SM４、SM９、ZUC已经成为ISO/IEC国际标准，作为网络安全从业人员，特别是密码相关的厂商及测评公司人员，更应当熟悉国产密码，了解密码管理政策、密钥管理方法、密码测评等。

其中商用密码应用安全性评估从业人员考核已于2023年1月开始施行，最新的《商用密码管理条例》已于2023年7月1日开始实施，《商用密码检测机构管理办法》和《商用密码应用安全性评估管理办法》已于2023年11月1日开始实施，《商用密码检测机构(商用密码应用安全性评估业务)目录》已于2024年11月11日对外发布，商用密码应用安全性评估试点工作正式结束，商用密码正式进入大规模建设和测评阶段。2024年11月15日，国家密码管理局发布关于《关键信息基础设施商用密码使用管理规定（征求意见稿）》公开征求意见的通知，也说明了关基需要重视商用密码的使用，最快可能明年3月份开始实施，进一步说明了商用密码政策及相关配套措施已全部就位，商用密码建设将进入春天，给网络安全行业注入一丝活力，各大安全厂商都准备好了吗？