2020年1月1日,伴隨著元月的鐘聲,我國密碼領域的第一部法律——《中華人民共和國密碼法》正式施行!
密碼法旨在規範密碼應用和管理,促進密碼事業發展,保障網路與資訊保安,提升密碼管理科學化、規範化、法治化水平,是我國密碼領域的綜合性、基礎性法律。
密碼法的頒佈實施,是我國密碼發展史上具有里程碑意義,對維護我國網路空間安全、促進資訊化發展具有重要意義,也直接關係企業商業祕密的依法保護,關係社會公眾在網路空間生活的安全和便利。
說到密碼,你能想到什麼
密碼法的出臺,使神祕的密碼真正進入了公共視野。在網路世界,密碼就像一個看不見的安全衛士,無時無刻不在守護著網路與資訊保安。
現實生活中人們通常認為是計算機或手機開機、電子郵箱登入“密碼”、銀行卡支付“密碼”等。這些“密碼”實際上是口令,是進入電子裝置或賬號的“通行證”,是最簡易的密碼。
密碼法中的密碼,並非日常生活中由數字、字母和符號組成的登入或支付密碼等,而是指使用特定變換對資訊等進行加密保護或者安全認證的產品、技術和服務。密碼的主要功能有兩個:一個是加密保護,另一個是安全認證。
密碼的這兩大特殊功能,決定了密碼在網路空間中身份識別、安全隔離、完整性保護、資訊加密和抗抵賴性等方面,具有不可替代的重要作用。
例如:已部署SSL證書的HTTPS網站,實現了網際網路資料從使用者端到伺服器端加密傳輸和網站身份認證的雙重安全保障,防劫持、防篡改、防監聽,有效防止各種資料洩露和資料濫用犯罪,作為當今網路資料加密的主要協議之一,SSL協議保證使用者之間在網上傳遞資訊的安全性、真實性、可靠性、完整性和不可抵賴性,具有優秀的多用途、跨平臺效能,具有廣泛的適用性。
密碼是保障大資料安全的有效手段
密碼是網路空間安全的核心技術,保障大資料安全的有效手段,也是護航經濟發展的基礎支撐。在維護國家安全、促進經濟社會發展、保護公民、法人和社會組織合法權益方面發揮著重要作用。
隨著大資料的發展,密碼技術被賦予了更重要的內涵。密碼技術與核技術、航天技術一直被視作國家安全的三大支撐技術,在身份認證、安全隔離、資訊加密等方面它有著獨特的、不可替代的作用,採用密碼技術對大資料進行安全保護大有用武之地。
核心密碼、普通密碼和商用密碼
密碼分為核心密碼、普通密碼和商用密碼。
其中,核心密碼和普通密碼用於保護國家祕密資訊,商用密碼用於保護不屬於國家祕密的資訊,公民、法人和其他組織可以依法使用商用密碼保護網路與資訊保安。
商用密碼的應用涵蓋多個重要領域,在維護國家安全、促進經濟社會發展、保護公民、法人和社會組織合法權益方面發揮著重要作用。
因此,商用密碼面臨著規範管理的問題。商用密碼檢測、認證機構應當在檢測認證中所知悉的國家祕密和商業祕密承擔保密義務。涉國家安全、公共利益等商用密碼經檢測認證合格方可銷售。
密碼法對商用密碼有哪些規定
➡️ 規定國家鼓勵商用密碼技術的研究開發和應用,健全商用密碼市場體系,鼓勵和促進商用密碼產業發展;
➡️ 規定了商用密碼標準化制度;建立了商用密碼檢測認證制度,並鼓勵從業單位自願接受商用密碼檢測認證;對列入網路關鍵裝置和網路安全專用產品目錄的商用密碼產品、用於網路關鍵裝置和網路安全專用產品的商用密碼服務實行強制性檢測認證;
➡️ 規定關鍵資訊基礎設施應當依法使用商用密碼、開展安全性評估及國家安全審查;對特定範圍的商用密碼實行進口許可和出口管制制度;
商用密碼與關鍵資訊基礎設施保護
在商用密碼的安全風險評估方面,草案二審稿規定,法律、行政法規和國家有關規定要求使用商用密碼進行保護的關鍵資訊基礎設施,其運營者應當使用商用密碼進行保護,自行或者委託商用密碼檢測機構開展商用密碼應用安全性評估。商用密碼應用安全性評估應當與關鍵資訊基礎設施安全檢測評估、網路安全等級測評制度相銜接,避免重複評估、測評。
通過密碼安全性評估需要關注哪些
當前,我國密碼安全性評估主要依據是《GM∕T 0054-2018 資訊系統密碼應用基本要求》,其對資訊系統的規劃、建設、執行三個階段的密碼應用情況安全性評估進行了詳細的規定:
◇ 在密碼演算法方面,資訊系統中使用的密碼演算法應當符合法律、法規的規定和密碼相關國家標準、行業標準的有關要求。如使用國家批准的商用密碼演算法SM2、SM3、SM4等。
◇ 在密碼技術方面,密碼技術中涉及的標準密碼協議應符合國內相關密碼標準,如果是自定義的密碼協議,設計要安全合理,同時遵循相關密碼標準。如針對SSL相關應用,設計標準應遵循《GM/T 0024-2014 SSL VPN 技術規範》。
◇ 在密碼產品方面,資訊系統中使用的密碼產品與密碼模組應通過國家密碼管理部門核准。如資訊系統中使用的密碼模組應具備商密型號證書。
◇ 在密碼服務方面,資訊系統中使用的密碼服務應通過國家密碼管理部門的許可。
圖:亞數HTTPS安全閘道器(簡稱“HSG”)深耕密碼技術,捍衛網路安全
“沒有網路安全就沒有國家安全”,密碼作為網路安全的核心技術和基礎支撐,是構建網路信任體系的重要基石,也是網路安全產業發展的基礎保障。密碼的普及使用也將提高我國的網路安全防護能力。
亞洲誠信多年深耕密碼技術,注重國家商用密碼演算法的研究和應用,已為電商、金融、綜合、政府政務、教育、能源、工控、雲、大資料中心等領域提供了全方位的產品及安全解決方案。未來,亞洲誠信將持續以自主創新為源動力,為推進我國網際網路健康環境的建設提供支撐和保障,為大力貫徹落實《中華人民共和國密碼法》的實施與普及提供助力。