结合技术、生态、产业、政策多维度,分短期落地、中期攻坚、长期自立三层,给出可落地的解决方案,聚焦彻底降低乃至摆脱开源依赖、提升自主可控能力。
一、短期:存量加固,风险隔离(0-1年)
核心目标:不全面重构,先切断高危依赖、补齐安全短板,守住现有业务防线。
1. 开源组件筛查与替换
全面梳理现有国密组件清单,区分强依赖境外开源库的模块;优先替换未通过国密认证、维护停滞、漏洞频发的第三方开源国密包,改用国内合规商用密码组件。
对必须保留的开源底座(如OpenSSL衍生库)做代码裁剪、漏洞加固、后门审计,剔除冗余高危模块,建立私有补丁分支,不直接同步上游版本。
2. 安全管控与权限隔离
搭建开源代码准入、检测流水线,集成代码审计、漏洞扫描、恶意代码检测工具,所有引入的开源国密代码上线前完成全量安全检测。
网络层面隔离密码运算服务,限制外部访问,防止利用开源漏洞横向渗透。
3. 规范算法与协议使用
停用非标准私有补丁、自定义通信协议,统一采用国标TLCP协议+认证国密算法实现;统一参数配置、随机数生成、密钥管理规则,规避因实现差异带来的安全漏洞。
二、中期:技术自研,生态替代(1-3年)
核心目标:打造自主技术底座,逐步替代境外开源体系,构建国产软硬件适配生态。
(一)研发全自主国密基础软件栈
1. 打造国家级自主密码基础库
联合政企、高校、科研院所联合研发完全自主代码、不基于境外开源二次开发的国密基础密码库,对标OpenSSL能力,覆盖SM2/SM3/SM4/SM9等全系列国密算法、密码协议、证书解析、密钥管理能力。
同步推进商用密码认证、安全测评,形成可商用、可通用的标准底座。
2. 补齐编程语言原生国密支持
针对Java、Python、Go、Rust等主流语言,开发**原生国密标准库**,替代BouncyCastle、pycryptodome等开源第三方库;向国内发行版、语言社区提交自研代码,实现原生内置,从根源减少依赖。
3. 自主实现密码协议与中间件
自研国密SSL/TLS、TLCP完整协议栈,脱离境外协议框架;打造自主密码网关、加密中间件、SSL终端,覆盖服务端、客户端、嵌入式多场景。
(二)软硬协同,突破硬件依赖
1. 自研国产密码IP核与专用芯片
基于RISC-V、国产指令集研发自主密码加速IP、专用密码芯片、加密卡,摆脱境外芯片架构、指令集绑定;实现算法硬件加速全自研,配套自主固件、驱动程序。
2. 统一硬件适配标准
制定国产密码硬件接口规范,推动国密软件库与国产密码芯片、安全芯片、MCU全适配,形成“自主软件+自主硬件”闭环。
(三)建立本土开源治理体系
1. 依托国内开源基金会(开放原子、木兰等)托管自主国密项目,组建专职运维、安全、开发团队,保障持续迭代、漏洞快速修复。
2. 建立社区规范,统一代码风格、接口标准、测试用例,解决碎片化问题;开放合规社区,引导国内企业、开发者共建,提升项目活跃度。
三、长期:标准引领,生态自立(3年以上)
核心目标:掌握技术、标准、生态话语权,形成独立且可对外输出的国密体系。
1. 推动国标走向国际,争夺标准话语权
持续推动国密算法、TLCP协议纳入国际密码、网络安全标准体系,不再依附境外TLS/SSL生态;以自主技术定义规则,从“被动适配”转为“主动引领”。
2. 全产业链深度协同
打通芯片-操作系统-基础库-中间件-上层应用全链条国密适配,在信创、政务、金融、能源等关键领域全面落地自主国密体系;建立产业链联合测试、联合迭代机制。
3. 构建人才与技术储备体系
高校增设密码学、国产密码技术相关课程,培养底层密码研发、安全审计人才;设立专项研发基金,支持前沿密码技术、抗量子国密算法预研,形成技术代际储备。
4. 建立长效安全与迭代机制
搭建国家级密码漏洞预警、应急响应平台,针对自主国密体系建立常态化安全攻防、渗透测试机制;形成“研发-测试-认证-运维-升级”全生命周期管理体系。
四、配套政策与保障措施
1. 政策强制引导
落实《密码法》、密评、等保要求,关键信息基础设施领域禁止使用未认证境外开源密码组件,明确自主国密技术替换时间表。
2. 资金与项目扶持
设立专项科研经费,扶持自主国密基础库、芯片、协议栈研发;将国密自主化纳入信创、网络安全专项项目优先名录。
3. 行业统一规范
发布行业技术指南,明确国密组件选型、开发、运维标准,杜绝企业各自为政、重复造轮子。
五、 精简落地优先级(快速执行版)
1. 先做存量开源代码审计、高危组件替换,守住安全底线;
2. 集中力量攻坚自主国密基础库+主流语言原生支持两大核心底座;
3. 同步推进国产密码硬件+固件自研适配;
4. 依托国内开源社区运营+政策约束,完成全生态替代。
