行業資訊
密碼應用(yòng)安(ān)全性評估加快落實
商(shāng)用(yòng)密碼應用(yòng)安(ān)全性評估(以下簡稱密評),是指在采用(yòng)商(shāng)用(yòng)密碼技(jì )術、産(chǎn)品和服務(wù)集成建設的網絡和信息系統中(zhōng),對其密碼應用(yòng)的合規性、正确性和有(yǒu)效性進行評估。一方面,開展密評工(gōng)作(zuò)是落實《密碼法》《計算機信息系統安(ān)全保護條例》和《信息安(ān)全等級保護管理(lǐ)辦(bàn)法》等有(yǒu)關法律法規和标準規範的必然要求,是網絡安(ān)全運營者的法定責任和義務(wù);另一方面,開展密評工(gōng)作(zuò)是商(shāng)用(yòng)密碼應用(yòng)正确、合規、有(yǒu)效的重要保證,是檢驗網絡和信息系統安(ān)全性的重要手段,也是應對網絡安(ān)全嚴峻形勢的迫切需要。
《密碼法》第二十七條規定,法律、行政法規和國(guó)家有(yǒu)關規定要求使用(yòng)商(shāng)用(yòng)密碼進行保護的關鍵信息基礎設施,其運營者應當使用(yòng)商(shāng)用(yòng)密碼進行保護,自行或者委托商(shāng)用(yòng)密碼檢測機構開展商(shāng)用(yòng)密碼應用(yòng)安(ān)全性評估。《商(shāng)用(yòng)密碼應用(yòng)安(ān)全性評估管理(lǐ)辦(bàn)法(試行)》第三條、第二十條規定,涉及國(guó)家安(ān)全和社會公(gōng)共利益的重要領域網絡和信息系統的建設、使用(yòng)、管理(lǐ)單位應當健全密碼保障體(tǐ)系,實施商(shāng)用(yòng)密碼應用(yòng)安(ān)全性評估。其中(zhōng),重要領域網絡和信息系統包括基礎信息網絡、涉及國(guó)計民(mín)生和基礎信息資源的重要信息系統、重要工(gōng)業控制系統、面向社會服務(wù)的政務(wù)信息系統、關鍵信息基礎設施、網絡安(ān)全等級保護第三級及以上信息系統等。
為(wèi)規範密評工(gōng)作(zuò),2017年9月,國(guó)家密碼管理(lǐ)局制定印發了《商(shāng)用(yòng)密碼應用(yòng)安(ān)全性評估管理(lǐ)辦(bàn)法(試行)》《商(shāng)用(yòng)密碼應用(yòng)安(ān)全性測評機構管理(lǐ)辦(bàn)法(試行)》《商(shāng)用(yòng)密碼應用(yòng)安(ān)全性測評機構能(néng)力評審實施細則(試行)》等管理(lǐ)文(wén)件,對測評機構、網絡與信息系統責任單位、管理(lǐ)部門提出要求,對評估程序、評估辦(bàn)法、監督管理(lǐ)等進行明确,對測評機構審查認定工(gōng)作(zuò)提出要求,密評制度體(tǐ)系初步建立。2018年2月,國(guó)家密碼管理(lǐ)局發布并實施《GM/T0054-2018 信息系統密碼應用(yòng)基本要求》标準,對信息系統的規劃、建設、運行三個階段的密碼應用(yòng)情況進行安(ān)全性評估。2021年10月,國(guó)家市場監管總局、國(guó)家标準化管理(lǐ)委員會在原有(yǒu)行業标準《GM/T0054-2018 信息系統密碼應用(yòng)基本要求》的基礎上修訂完善,發布國(guó)家标準《GB/T39786-2021 信息安(ān)全技(jì )術信息系統密碼應用(yòng)基本要求》。該标準相對之前的行業标準,内容更加規範、要求更加明确、邏輯更加清晰,同時對于密評實際執行過程中(zhōng)遇到的問題做了相應的修訂,随之成為(wèi)密評工(gōng)作(zuò)依據的主要标準。
密評的内容主要涵蓋商(shāng)用(yòng)密碼應用(yòng)安(ān)全的合規性、正确性和有(yǒu)效性。其中(zhōng),商(shāng)用(yòng)密碼應用(yòng)合規性評估主要是指判定網絡和信息系統使用(yòng)的密碼算法、密碼協議、密鑰管理(lǐ)是否符合法律法規的規定和密碼相關國(guó)家标準、行業标準的有(yǒu)關要求。網絡和信息系統使用(yòng)的密碼産(chǎn)品和密碼服務(wù)是否經過國(guó)家密碼管理(lǐ)部門核準或由具(jù)備資格的機構認證合格。商(shāng)用(yòng)密碼應用(yòng)正确性評估主要是指判定密碼算法、密碼協議、密鑰管理(lǐ)、密碼産(chǎn)品和密碼服務(wù)是否使用(yòng)正确,即系統中(zhōng)使用(yòng)的密碼産(chǎn)品是否取得商(shāng)用(yòng)密碼産(chǎn)品認證證書,或者系統中(zhōng)采用(yòng)的标準密碼算法、協議和密鑰管理(lǐ)機制是否按照相應的國(guó)家和行業密碼标準進行正确的設計和實現;自定義密碼協議、密鑰管理(lǐ)機制的設計和實現是否正确,安(ān)全性是否滿足要求,密碼保障系統建設或改造過程中(zhōng)密碼産(chǎn)品和服務(wù)的部署和應用(yòng)是否正确。商(shāng)用(yòng)密碼應用(yòng)有(yǒu)效性評估主要是指判定網絡和信息系統中(zhōng)的密碼應用(yòng)是否在網絡和信息系統運行過程中(zhōng)發揮了效用(yòng),是否滿足了信息系統的安(ān)全需求,是否有(yǒu)效解決了信息系統面臨的安(ān)全問題。
2017年4月,國(guó)家密碼管理(lǐ)局正式啓動密評試點工(gōng)作(zuò)。依據《密碼法》及商(shāng)用(yòng)密碼應用(yòng)安(ān)全性評估有(yǒu)關管理(lǐ)規定,經持續培育、實戰測評和綜合考察,2020年7月,國(guó)家密碼管理(lǐ)局正式公(gōng)布了全國(guó)首批24家密評試點機構目錄。2021年6月,國(guó)家密碼管理(lǐ)局公(gōng)布了更新(xīn)後的《商(shāng)用(yòng)密碼應用(yòng)安(ān)全性評估試點機構目錄》,單位已增至48家。
電(diàn)子認證是密碼的典型應用(yòng),其在信息化及信息安(ān)全保障方面發揮着重要作(zuò)用(yòng)。随着我國(guó)信息化程度的不斷加深,電(diàn)子認證服務(wù)發展愈發規範,電(diàn)子數據法律效力愈發受到重視。2021年3月,交通運輸部發布《關于加快推廣應用(yòng)道路運輸電(diàn)子證照提升數字化服務(wù)與監管能(néng)力的通知》,明确指出要組織建設“電(diàn)子印章”系統,支撐電(diàn)子證照印章簽署功能(néng),确保電(diàn)子證照來源的真實性、完整性以及簽署行為(wèi)的不可(kě)否認性。4月,市場監管總局等六部門發布《關于進一步加大改革力度不斷提升企業開辦(bàn)服務(wù)水平的通知》,提到需不斷擴大電(diàn)子營業執照和電(diàn)子印章同步發放和應用(yòng)試點範圍,為(wèi)企業提供全流程網上辦(bàn)事支撐;鼓勵各地完善并推廣電(diàn)子印章應用(yòng),大力推動企業開辦(bàn)要素電(diàn)子化。6月,最高人民(mín)法院在《人民(mín)法院在線(xiàn)訴訟規則》中(zhōng)明确電(diàn)子合同是電(diàn)子材料的一種表現形式,具(jù)備效力且可(kě)以直接在訴訟中(zhōng)使用(yòng);明确區(qū)塊鏈存證的效力範圍、區(qū)塊鏈存儲的數據上鏈後推定未經篡改的效力以及區(qū)塊鏈存儲數據上鏈後、以及上鏈前的真實性審核規則,進一步規範了區(qū)塊鏈技(jì )術的司法應用(yòng),有(yǒu)效解決取證難、認證難問題,必将推動電(diàn)子簽名(míng)法律效力的社會認可(kě)程度。7月,人力資源和社會保障部發布《電(diàn)子勞動合同訂立指引》,指導用(yòng)人單位和勞動者依法規範訂立電(diàn)子勞動合同,确保電(diàn)子勞動合同真實,完整、準确、不被篡改,電(diàn)子勞動合同從“鼓勵采用(yòng)”逐漸轉變為(wèi)“指導簽署”。11月,國(guó)務(wù)院發布《關于開展營商(shāng)環境創新(xīn)試點工(gōng)作(zuò)的意見》,指出要推進電(diàn)子證照、電(diàn)子簽章在銀行開戶、貸款、貨物(wù)報關、項目申報、招投标等領域全面應用(yòng)和互通互認。各行業主管部門将出台更多(duō)相關政策以明确電(diàn)子簽名(míng)的法律效力,進一步拓展電(diàn)子簽名(míng)的适用(yòng)範圍,促進電(diàn)子簽名(míng)廣泛應用(yòng)。
在《電(diàn)子簽名(míng)法》的基礎上,《密碼法》的出台進一步明确了對從事電(diàn)子政務(wù)的電(diàn)子認證服務(wù)機構需進行管理(lǐ),意味着國(guó)家對電(diàn)子認證行業監管在逐步深化。企業需要拿(ná)到國(guó)家密碼主管部門頒發的《電(diàn)子認證服務(wù)使用(yòng)密碼許可(kě)證》、國(guó)家信息化主管部門頒發的《電(diàn)子認證服務(wù)許可(kě)證》和國(guó)家密碼主管部門頒發的《電(diàn)子政務(wù)電(diàn)子認證服務(wù)許可(kě)證》才能(néng)在全領域開展業務(wù)。行業主管部門未來将進一步落實《電(diàn)子簽名(míng)法》《電(diàn)子認證服務(wù)管理(lǐ)辦(bàn)法》和國(guó)務(wù)院審改辦(bàn)“雙随機、一公(gōng)開”要求,深化電(diàn)子認證服務(wù)行業監管。以CPS(電(diàn)子認證業務(wù)規則)符合性評估為(wèi)核心,通過信息公(gōng)開手段加強對電(diàn)子認證服務(wù)機構的監管。同時,大力推進信用(yòng)體(tǐ)系建設,将電(diàn)子認證檢查與《關于在電(diàn)子認證服務(wù)行業實施守信聯合激勵和失信聯合懲戒的合作(zuò)備忘錄》信用(yòng)評價工(gōng)作(zuò)相結合,推動開展行業信用(yòng)評價。
同時,為(wèi)進一步優化營商(shāng)環境、降低企業負擔,全國(guó)一體(tǐ)化在線(xiàn)政務(wù)服務(wù)平台實現了“一網通辦(bàn)”,原有(yǒu)的單個領域、不同證書的模式将被打破,有(yǒu)效實現了數字證書全國(guó)範圍互通互認,電(diàn)子政務(wù)領域證書市場需求大幅減少,促使電(diàn)子認證服務(wù)機構進行調整優化、轉型升級,從單純發放證書向提供電(diàn)子簽名(míng)服務(wù)轉型。2021年4月國(guó)務(wù)院頒布的《關鍵信息基礎設施安(ān)全保護條例》中(zhōng)明确提出安(ān)全保護措施應當與關鍵信息基礎設施同步規劃、同步建設、同步使用(yòng)。在《數據安(ān)全法》正式實施以後,政府、企業用(yòng)戶也愈發重視數據運營的安(ān)全性和合規性問題,利用(yòng)區(qū)塊鏈技(jì )術、電(diàn)子簽名(míng)技(jì )術、産(chǎn)品和服務(wù)保障數據安(ān)全的需求愈發旺盛。在政策環境與市場需求的共同作(zuò)用(yòng)下,電(diàn)子認證服務(wù)将逐步深入并規範發展。
第三方電(diàn)子簽名(míng)平台服務(wù)可(kě)以為(wèi)用(yòng)戶提供身份認證、電(diàn)子文(wén)件簽署、數據傳輸、電(diàn)子文(wén)件存儲和管理(lǐ)等服務(wù),應用(yòng)于用(yòng)戶間的買賣合同、企業間的交易合同、以及勞動合同等多(duō)方面。疫情催化下加速了遠(yuǎn)程辦(bàn)公(gōng)趨勢興起,為(wèi)在無接觸的情況下确保業務(wù)正常運行,線(xiàn)下應用(yòng)場景迅速被線(xiàn)上化,大量特殊市場環境下的第三方電(diàn)子簽名(míng)服務(wù)需求被催生,推動第三方電(diàn)子簽名(míng)平台相關産(chǎn)品和服務(wù)不斷豐富。
為(wèi)提升管理(lǐ)效率、優化用(yòng)戶服務(wù)體(tǐ)驗,第三方電(diàn)子簽名(míng)平台提供從電(diàn)子簽名(míng)到文(wén)檔歸檔管理(lǐ)、從存證保全到司法出證的全産(chǎn)業鏈服務(wù)。其中(zhōng),第三方電(diàn)子簽名(míng)平台引入區(qū)塊鏈技(jì )術實時固化簽署過程中(zhōng)的電(diàn)子數據,實現所有(yǒu)環節數據可(kě)溯源、防抵賴和防篡改,提供各類業務(wù)場景的數據存證能(néng)力。提供存證服務(wù)及後續法律服務(wù),可(kě)确保糾紛發生時,能(néng)夠提供響應的司法保障。同時,第三方電(diàn)子簽名(míng)平台與移動APP、微信、支付寶等移動終端集成,并提供标準化API接口,推動電(diàn)子簽名(míng)企業管理(lǐ)、運營等多(duō)環節的應用(yòng)。随着電(diàn)子簽名(míng)相關産(chǎn)品和服務(wù)不斷豐富,應用(yòng)場景持續拓寬,目前電(diàn)子簽名(míng)應用(yòng)已延伸到金融、人力資源、房地産(chǎn)、政務(wù)、物(wù)流、醫(yī)療、醫(yī)療、教育等多(duō)個領域。
(來源:賽迪密碼信息安(ān)全 以上内容節選自《2021-2022年度中(zhōng)國(guó)商(shāng)用(yòng)密碼行業發展報告》)
