商(shāng)用(yòng)密碼迎來發展新(xīn)機遇
發布時間:2023-06-08 11:16 浏覽次數:1336
國(guó)家信息安(ān)全工(gōng)程技(jì )術研究中(zhōng)心 劉平
近日,國(guó)務(wù)院發布了修訂後的《商(shāng)用(yòng)密碼管理(lǐ)條例》(以下簡稱《條例》)。新(xīn)修訂的《商(shāng)用(yòng)密碼管理(lǐ)條例》清晰界定了商(shāng)用(yòng)密碼管理(lǐ)範圍,合理(lǐ)設置了管理(lǐ)環節,明确了管理(lǐ)條件和程序,寬嚴有(yǒu)度,規範到位,對促進商(shāng)用(yòng)密碼技(jì )術進步和商(shāng)用(yòng)密碼産(chǎn)業發展具(jù)有(yǒu)重要意義。
一、鼓勵密碼科(kē)技(jì )創新(xīn),促進密碼科(kē)技(jì )進步
《條例》第七條、第八條對促進商(shāng)用(yòng)密碼科(kē)學(xué)技(jì )術創新(xīn),開展商(shāng)用(yòng)密碼科(kē)技(jì )成果轉化及成果信息管理(lǐ)進行了規定;第九條對商(shāng)用(yòng)密碼技(jì )術審查鑒定進行了規定;第十條、第十一條對商(shāng)用(yòng)密碼标準的制定、實施、監督、國(guó)際化以及法律效力進行了規定。
應用(yòng)需求是商(shāng)用(yòng)密碼科(kē)技(jì )創新(xīn)的動力,不斷創新(xīn)才能(néng)不斷進步。商(shāng)用(yòng)密碼用(yòng)于保護不屬于國(guó)家秘密的信息,其應用(yòng)場景往往與國(guó)家關鍵信息基礎設施和人民(mín)群衆日常生活密切相關,涵蓋金融、通信、公(gōng)安(ān)、稅務(wù)、社保、交通、衛生健康、能(néng)源、電(diàn)子政務(wù)等重要領域,在維護國(guó)家安(ān)全,促進經濟社會發展,保護公(gōng)民(mín)、法人和其他(tā)組織合法權益等方面發揮着重要作(zuò)用(yòng)。國(guó)内外日益嚴峻的網絡安(ān)全态勢,信息領域新(xīn)技(jì )術、新(xīn)業态、新(xīn)模式的快速發展,引發了對商(shāng)用(yòng)密碼科(kē)技(jì )創新(xīn)的迫切需求,為(wèi)商(shāng)用(yòng)密碼科(kē)技(jì )創新(xīn)提供了廣闊舞台。
商(shāng)用(yòng)密碼标準是合規正确有(yǒu)效使用(yòng)密碼的遵循依據,創新(xīn)成果成為(wèi)标準才能(néng)廣泛推廣。商(shāng)用(yòng)密碼标準的作(zuò)用(yòng)是規範密碼技(jì )術的有(yǒu)效使用(yòng)和密碼産(chǎn)品市場準入的檢測認證。所以,為(wèi)合規正确有(yǒu)效使用(yòng)商(shāng)用(yòng)密碼技(jì )術,研發有(yǒu)市場競争力的商(shāng)用(yòng)密碼産(chǎn)品,應當遵循相關标準;為(wèi)使商(shāng)用(yòng)密碼科(kē)技(jì )創新(xīn)的成果廣泛推廣使用(yòng),應當使其成為(wèi)标準。
創新(xīn)成果的應用(yòng)需求和創新(xīn)成果沒有(yǒu)現成标準的矛盾,是商(shāng)用(yòng)密碼科(kē)技(jì )進步和産(chǎn)業化進程中(zhōng)始終存在的矛盾,解決矛盾的方法是促進矛盾雙方主次地位的相互轉化,而轉化的關鍵環節是商(shāng)用(yòng)密碼技(jì )術審查鑒定,審查鑒定的主體(tǐ)是國(guó)家密碼管理(lǐ)部門,審查鑒定的對象和内容是“法律、行政法規和國(guó)家有(yǒu)關規定要求使用(yòng)商(shāng)用(yòng)密碼進行保護的網絡與信息系統所使用(yòng)的密碼算法、密碼協議、密鑰管理(lǐ)機制等商(shāng)用(yòng)密碼技(jì )術”。
二、建立商(shāng)用(yòng)密碼檢測認證體(tǐ)系,自願檢測認證與強制檢測認證相結合
《條例》第十二條落實《密碼法》規定的推進商(shāng)用(yòng)密碼檢測認證體(tǐ)系建設,鼓勵商(shāng)用(yòng)密碼從業單位自願接受商(shāng)用(yòng)密碼檢測認證;第十三條至第十九條依法明确檢測、認證機構資質(zhì)審批條件、程序及其從業規範;第十七條規定實行商(shāng)用(yòng)密碼産(chǎn)品、服務(wù)、管理(lǐ)體(tǐ)系的國(guó)家統一推行的自願性認證制度;第二十條、第二十一條規定對涉及國(guó)家安(ān)全、國(guó)計民(mín)生、社會公(gōng)共利益的商(shāng)用(yòng)密碼産(chǎn)品和服務(wù),實行強制性檢測認證。
密碼是保障信息安(ān)全的關鍵技(jì )術,密碼發揮作(zuò)用(yòng)需各方參與。密碼供給方把密碼技(jì )術落到實處,為(wèi)需求方實現密碼應用(yòng)提供密碼支撐;密碼需求方把密碼技(jì )術用(yòng)到實處,解決信息系統的安(ān)全問題;密碼技(jì )術、密碼支撐和密碼應用(yòng)共同作(zuò)用(yòng),保障信息系統安(ān)全。密碼産(chǎn)品和服務(wù)是指承載密碼技(jì )術、實現密碼功能(néng)、支撐信息系統使用(yòng)密碼技(jì )術的實體(tǐ),密碼需求方使用(yòng)密碼産(chǎn)品和服務(wù),把密碼技(jì )術落實到應用(yòng)中(zhōng),解決安(ān)全問題。
密碼産(chǎn)品和服務(wù)是保障安(ān)全的實體(tǐ),保障安(ān)全的實體(tǐ)自身應當安(ān)全。信息系統使用(yòng)不安(ān)全的密碼産(chǎn)品和服務(wù),會比不使用(yòng)帶來更大的安(ān)全問題。需求方如何确定采購(gòu)的密碼産(chǎn)品和服務(wù)正确地實現了密碼技(jì )術,正确地提供了密碼功能(néng),自身安(ān)全達到了預期的安(ān)全等級?商(shāng)用(yòng)密碼從業單位不能(néng)自說自話,應當出具(jù)商(shāng)用(yòng)密碼認證機構頒發的認證合格的證書予以證明。
放寬準入與保障安(ān)全相結合,促進商(shāng)用(yòng)密碼産(chǎn)業有(yǒu)序健康發展。通常密碼從業單位可(kě)以自主決定是否接受商(shāng)用(yòng)密碼檢測認證。當商(shāng)用(yòng)密碼産(chǎn)品涉及國(guó)家安(ān)全、國(guó)計民(mín)生、社會公(gōng)共利益,被列入網絡關鍵設備和網絡安(ān)全專用(yòng)産(chǎn)品目錄,或商(shāng)用(yòng)密碼服務(wù)使用(yòng)網絡關鍵設備和網絡安(ān)全專用(yòng)産(chǎn)品,需要按照國(guó)家有(yǒu)關法律法規要求,由具(jù)備資格的檢測認證機構檢測認證合格後方可(kě)銷售或者提供。
三、建立統一的電(diàn)子認證信任機制,依法管理(lǐ)電(diàn)子認證服務(wù)密碼使用(yòng)
《條例》依據《密碼法》和《電(diàn)子簽名(míng)法》,在第二十二條、第二十三條中(zhōng)明确電(diàn)子認證服務(wù)機構采用(yòng)商(shāng)用(yòng)密碼技(jì )術提供電(diàn)子認證服務(wù)應具(jù)備相關條件和遵循相關法律和規範;在第二十四條至第二十八條中(zhōng)明确電(diàn)子政務(wù)電(diàn)子認證服務(wù)機構的資質(zhì)申請、條件認定和從業規範等内容;在第三十條中(zhōng)明确了政務(wù)活動中(zhōng)的電(diàn)子簽名(míng)、電(diàn)子印章、電(diàn)子證照等的電(diàn)子認證服務(wù)要求。
電(diàn)子認證的基礎是信任,信任機制的實現靠密碼技(jì )術。《電(diàn)子簽名(míng)法》明确“可(kě)靠的電(diàn)子簽名(míng)與手寫簽名(míng)或者蓋章具(jù)有(yǒu)同等的法律效力”。公(gōng)鑰密碼技(jì )術的實施需要一個大家都信任的權威機構,來為(wèi)大家提供“證明公(gōng)鑰屬于誰”的服務(wù),這個權威機構稱為(wèi)電(diàn)子認證服務(wù)機構,不同的電(diàn)子認證服務(wù)機構之間需要互信互認,上下級的電(diàn)子認證服務(wù)機構需要有(yǒu)效管理(lǐ),這個互信互認、有(yǒu)效管理(lǐ)的機制稱為(wèi)電(diàn)子認證信任機制。《條例》明确“國(guó)家建立統一的電(diàn)子認證信任機制”,并且由“國(guó)家密碼管理(lǐ)部門負責電(diàn)子認證信任源的規劃和管理(lǐ)”。
對電(diàn)子認證服務(wù)使用(yòng)密碼的行為(wèi)依法實施管理(lǐ),是《電(diàn)子簽名(míng)法》賦予國(guó)家密碼管理(lǐ)部門的職能(néng),電(diàn)子認證服務(wù)機構應當按照法律、行政法規和電(diàn)子認證服務(wù)密碼使用(yòng)技(jì )術規範、規則,使用(yòng)商(shāng)用(yòng)密碼提供電(diàn)子認證服務(wù)。
從事電(diàn)子政務(wù)電(diàn)子認證服務(wù)的機構,應當經國(guó)家密碼管理(lǐ)部門認定。對電(diàn)子政務(wù)電(diàn)子認證服務(wù)使用(yòng)密碼和提供服務(wù)的行為(wèi)依法實施管理(lǐ),是《密碼法》賦予國(guó)家密碼管理(lǐ)部門的職能(néng),電(diàn)子政務(wù)電(diàn)子認證服務(wù)機構應當依法取得電(diàn)子政務(wù)電(diàn)子認證服務(wù)機構資質(zhì),并應當按照法律、行政法規和電(diàn)子政務(wù)電(diàn)子認證服務(wù)技(jì )術規範、規則,在批準範圍内提供電(diàn)子政務(wù)電(diàn)子認證服務(wù)。
采用(yòng)非證書機制的電(diàn)子認證服務(wù),也應依法納入管理(lǐ)。當前,電(diàn)子認證服務(wù)使用(yòng)的密碼技(jì )術規範,均是采用(yòng)基于數字證書機制的技(jì )術規範,而随着物(wù)聯網、車(chē)聯網、工(gōng)業互聯網等新(xīn)業态的密碼應用(yòng)需求,采用(yòng)SM9标識密碼算法或基于SM2密碼算法的非證書機制的電(diàn)子認證服務(wù)應用(yòng)也會不斷發展。随着技(jì )術的不斷完善、相關标準的研制和發布,采用(yòng)這類技(jì )術規範的電(diàn)子認證服務(wù)的規範管理(lǐ)也應提上日程。
四、促進密碼技(jì )術應用(yòng),保障網絡與信息安(ān)全
《條例》突出促進應用(yòng)、保障安(ān)全的導向,第三十五條、第三十六條鼓勵公(gōng)民(mín)、法人和其他(tā)組織依法使用(yòng)商(shāng)用(yòng)密碼;第三十八條、第三十九條明确關鍵信息基礎設施商(shāng)用(yòng)密碼使用(yòng)和安(ān)全性評估要求,同時第四十條明确關鍵信息基礎設施的商(shāng)用(yòng)密碼國(guó)家安(ān)全審查要求。
密碼應用(yòng),是密碼需求方用(yòng)密碼技(jì )術解決安(ān)全問題的過程。密碼無處不在,任何網絡與信息系統都可(kě)以使用(yòng)密碼技(jì )術滿足機密性、真實性、完整性、不可(kě)否認性的安(ān)全需求。網絡與信息系統的運營者可(kě)以使用(yòng)經檢測認證合格的密碼産(chǎn)品和服務(wù),遵循密碼國(guó)家标準和行業标準,針對網絡與信息系統的安(ān)全需求,制定密碼應用(yòng)方案,按照“三同步一評估”原則,同步規劃、同步建設、同步運行密碼保障系統,定期開展商(shāng)用(yòng)密碼應用(yòng)安(ān)全性評估。
密碼應用(yòng)方式,包括對業務(wù)應用(yòng)透明和非透明兩種。對業務(wù)應用(yòng)透明的密碼應用(yòng)方式,一般用(yòng)于保護網絡與信息系統的物(wù)理(lǐ)環境、網絡環境、計算環境和存儲環境的安(ān)全,密碼應用(yòng)的重點是根據實際環境及安(ān)全需求,部署和管理(lǐ)密碼産(chǎn)品,使其發揮作(zuò)用(yòng);對業務(wù)應用(yòng)非透明的密碼應用(yòng)方式,主要用(yòng)于保障承載在計算環境上的業務(wù)應用(yòng)的安(ān)全,包括用(yòng)戶和管理(lǐ)人員的身份真實性及行為(wèi)的不可(kě)否認性、重要數據的機密性和完整性、重要業務(wù)流程和重要業務(wù)對象的安(ān)全性等,密碼應用(yòng)的特點是調用(yòng)密碼功能(néng),使用(yòng)密碼技(jì )術,解決業務(wù)應用(yòng)安(ān)全問題。
密碼内生方式,包括密碼資源内生和密碼應用(yòng)内生兩種。内生安(ān)全、密碼内生,近來呼聲比較多(duō),個人認為(wèi)主要有(yǒu)兩種内生方式:一是密碼資源内生的方式,主要是在CPU、操作(zuò)系統、數據庫、浏覽器等信息化産(chǎn)品中(zhōng),内置密碼算法及相關密鑰管理(lǐ)等密碼資源,用(yòng)于産(chǎn)品自身安(ān)全或實現特定安(ān)全功能(néng),該密碼資源是産(chǎn)品自己用(yòng)的,一般不會透出為(wèi)其他(tā)應用(yòng)服務(wù)。二是密碼應用(yòng)内生的方式,主要是在業務(wù)系統研發期間就把密碼應用(yòng)集成在内,通過接口調用(yòng)外部密碼資源提供的密碼功能(néng),成為(wèi)安(ān)全的業務(wù)系統。
密碼應用(yòng)安(ān)全性評估,是對商(shāng)用(yòng)密碼使用(yòng)環節的監管。密碼應用(yòng)安(ān)全性評估的對象是網絡與信息系統采用(yòng)商(shāng)用(yòng)密碼技(jì )術、産(chǎn)品和服務(wù);評估的内容是按照商(shāng)用(yòng)密碼管理(lǐ)政策和相關密碼标準,對其密碼應用(yòng)的合規性、正确性、有(yǒu)效性進行評估;對于關鍵信息基礎設施等重要網絡與信息系統,評估通過後方可(kě)投入運行,運行後每年至少進行一次評估,評估情況報送國(guó)家密碼管理(lǐ)部門或者關鍵信息基礎設施所在地省、自治區(qū)、直轄市密碼管理(lǐ)部門備案;開展商(shāng)用(yòng)密碼應用(yòng)安(ān)全性評估的檢測機構應當經國(guó)家密碼管理(lǐ)部門認定,依法取得商(shāng)用(yòng)密碼檢測機構資質(zhì)。
五、結束語
《條例》的修訂發布和實施,是商(shāng)用(yòng)密碼發展史上的一件大事,對商(shāng)用(yòng)密碼的發展有(yǒu)深遠(yuǎn)的意義。商(shāng)用(yòng)密碼從業單位應認真研讀,仔細領會,嚴格遵守。
(來源:國(guó)家密碼管理(lǐ)局網站)
