《密碼法》的產生
● 2019年6月25日,十三屆全國人大常委會第十一次會議,初次審議《中華人民共和國密碼法》(簡稱“密碼法”)草案;
● 2019年10月26日,十三屆全國人大常委會第十四次會議表決通過《密碼法》;
● 2020年1月1日,正式施行《密碼法》。其中,明確規定“密碼分為核心密碼、普通密碼和商用密碼,實行密碼分類管理,特定範圍的商用密碼實行進口許可和出口管制”。
《密碼法》的正式頒佈和實施,標誌著密碼將成為保障我國網路空間安全的核心技術和位於網路安全的核心地位,讓資訊和網路安全有法可依。
管理及保護哪些“密碼”
現實生活中提到“密碼”一詞,人們通常以為是“賬戶登入密碼”、“郵箱登入密碼”、“銀行卡支付密碼”等。其實,這些生活中的“密碼”實際上是“口令”,它是一種簡單、初級的身份認證手段,是賬號的“通行證”。
《密碼法》旨在規範密碼應用和管理。其所指的密碼是使用特定變換對資訊等進行加密保護或安全認證的產品、技術和服務。密碼主要有兩個功能,加密保護+安全認證。最常見的如網銀USB Key。
加密保護是指使用數學變換,將原來可讀的資訊變成不能識別的符號序列,簡單說,就是將明文變成密文。安全認證是指使用數學變換,確認資訊是否被篡改、是否來自可靠資訊源以及確認行為是否真實,即確認主體和資訊的真實可靠性。
我們瀏覽國家政務的網站,有時會在位址列的最左端看到“不安全”字樣。
那這裡的“不安全”指的是什麼呢?會有什麼影響呢?其實,這就是該HTTP網站沒有部署SSL證書,資料從使用者端(瀏覽器)到伺服器端的傳輸是未加密的明文形式且未經過安全身份認證的意思,可能造成的影響有:通過該網站瀏覽的各種資料非常容易被非法竊取和非法篡改,網站的真實身份很有可能是釣魚網站,從而蒙受形象損害或經濟損失等。
那麼只要使用SSL證書就安全了嗎?不完全是。據統計,我國政府網站系統和重要資訊基礎設施網站使用HTTPS加密部署比例不到1%。而這不到1%部署了SSL證書的網站也仍舊存在安全風險,因為它們基本上都部署了國外CA簽發的RSA加密演算法SSL證書,極有可能由於政治、經濟和貿易糾紛等各種原因吊銷和斷供這些SSL證書,而導致我國的各種重要資訊基礎設施系統無法正常提供服務。
而這次出臺的《密碼法》中就明確要求我國的關鍵資訊基礎設施運營者應當使用商用密碼進行保護。也就是說,我國的政府網站和各種政務服務系統必須採用國產密碼演算法的HTTPS加密,實現我國網際網路資料從使用者端到伺服器端都是密文傳輸的,有效防止各種資料洩露和資料濫用犯罪。這時選擇正確的SSL證書是關鍵,讓我們看一下已部署國密演算法SSL證書的HTTPS網站的正確開啟姿勢。
對企事業單位的影響
密碼是國之重寶,是國家的重要戰略資源,是保護網路與資訊保安的基礎、核心和支撐。
國家密碼管理局相關負責人解釋,密碼是保障網路與資訊保安的核心技術和基礎支撐,是解決網路與資訊保安問題最有效、最可靠、最經濟的手段。
密碼按保護資訊種類,可分為核心密碼、普通密碼和商用密碼。核心密碼和普通密碼是用於保護國家密級資訊的密碼。商用密碼是公民、法人和其他組織均可依法使用。特別是商用密碼,廣泛應用於國民經濟發展和社會生產生活方方面面,涵蓋金融和通訊、公安、稅務、社保、交通、衛生健康、能源、電子政務等重要領域,在維護國家安全、促進經濟社會發展、保護公民、法人和社會組織合法權益方面發揮著重要作用。
通過研讀《密碼法》,我們從中就商用密碼部分的內容進行詳解:
解讀01 商用密碼產品應取得相關機構認證資質
第三章第26條明確指出涉及國家安全、國計民生、社會公共利益的商用密碼產品,由具備資格的機構檢測認證合格後,方可銷售或者提供。就是說,為了保證產品的安全可靠,從正規渠道購買商用密碼產品,可最大化獲得產品保障及優質服務。亞洲誠信是一家專業的網際網路安全產品與服務供應商,支援國家商用密碼演算法,針對不同場景提供定製化服務,旗下TrustAsia 品牌SSL證書在中國市場一直保持領先地位,完全貼合本土化要求,是你國密演算法證書的不二選擇。
解讀02 使用商用密碼保護的設施應進行安全性評估
第三章第27條要求運營者應當使用商用密碼進行保護,自行或委託商用密碼檢測機構開展商用密碼應用安全型評估。這意味著,採購涉及商用密碼的網路產品和服務,須通過商密測評及國家安全稽核。亞洲誠信自主研發的亞數HTTPS安全閘道器(簡稱“HSG”)是一款使用商用密碼保護的閘道器設施,其中包含的密碼模組符合GM/T0028-2014《密碼模組安全技術要求》安全等級要求、支援SM2國密演算法。因此,結合亞數HSG裝置可助力您的企業通過國家商密測評,並可應用於電商、金融、綜合、政府政務、教育、能源、工控、雲、大資料中心等領域。
在其他領域的安全性使用
在網路與資訊時代,每天都有海量資訊產生,全網裸奔和大資料濫用屢見不鮮,嚴重威脅國家祕密資訊、企業商業密碼與公民個人隱私保護。
亞數資訊科技(上海)有限公司多年深耕密碼技術,注重國家商用密碼演算法的研究和應用,已為各領域提供了全方位的產品及安全解決方案,為推進我國網際網路健康環境的建設提供支撐和保障,為《密碼法》的實施與普及提供助力。
想要了解
提供身份認證及資料加密的S/MIME郵件簽名證書?
保障電子文件合法性的文件簽名證書?
實現網際網路資料從端到端加密傳輸的全站HTTPS加密解決方案?
歡迎訪問亞洲誠信官網www.trustasia.com尋找答案吧。