行業(yè)報告 | 我國商用密碼服務進展
密碼應用安全性評估加快落實
商用密碼應用安全性評估(以下簡稱密評),是指在采用商用密碼技術(shù)、產(chǎn)品和服務集成建設的網(wǎng)絡和信息系統(tǒng)中,對其密碼應用的合規(guī)性、正確性和有效性進行評估。一方面,開展密評工作是落實《密碼法》《計算機信息系統(tǒng)安全保護條例》和《信息安全等級保護管理辦法》等有關(guān)法律法規(guī)和標準規(guī)范的必然要求,是網(wǎng)絡安全運營者的法定責任和義務;另一方面,開展密評工作是商用密碼應用正確、合規(guī)、有效的重要保證,是檢驗網(wǎng)絡和信息系統(tǒng)安全性的重要手段,也是應對網(wǎng)絡安全嚴峻形勢的迫切需要。
《密碼法》第二十七條規(guī)定,法律、行政法規(guī)和國家有關(guān)規(guī)定要求使用商用密碼進行保護的關(guān)鍵信息基礎(chǔ)設施,其運營者應當使用商用密碼進行保護,自行或者委托商用密碼檢測機構(gòu)開展商用密碼應用安全性評估。《商用密碼應用安全性評估管理辦法(試行)》第三條、第二十條規(guī)定,涉及國家安全和社會公共利益的重要領(lǐng)域網(wǎng)絡和信息系統(tǒng)的建設、使用、管理單位應當健全密碼保障體系,實施商用密碼應用安全性評估。其中,重要領(lǐng)域網(wǎng)絡和信息系統(tǒng)包括基礎(chǔ)信息網(wǎng)絡、涉及國計民生和基礎(chǔ)信息資源的重要信息系統(tǒng)、重要工業(yè)控制系統(tǒng)、面向社會服務的政務信息系統(tǒng)、關(guān)鍵信息基礎(chǔ)設施、網(wǎng)絡安全等級保護第三級及以上信息系統(tǒng)等。
為規(guī)范密評工作,2017年9月,國家密碼管理局制定印發(fā)了《商用密碼應用安全性評估管理辦法(試行)》《商用密碼應用安全性測評機構(gòu)管理辦法(試行)》《商用密碼應用安全性測評機構(gòu)能力評審實施細則(試行)》等管理文件,對測評機構(gòu)、網(wǎng)絡與信息系統(tǒng)責任單位、管理部門提出要求,對評估程序、評估辦法、監(jiān)督管理等進行明確,對測評機構(gòu)審查認定工作提出要求,密評制度體系初步建立。2018年2月,國家密碼管理局發(fā)布并實施《GM/T0054-2018 信息系統(tǒng)密碼應用基本要求》標準,對信息系統(tǒng)的規(guī)劃、建設、運行三個階段的密碼應用情況進行安全性評估。2021年10月,國家市場監(jiān)管總局、國家標準化管理委員會在原有行業(yè)標準《GM/T0054-2018 信息系統(tǒng)密碼應用基本要求》的基礎(chǔ)上修訂完善,發(fā)布國家標準《GB/T39786-2021 信息安全技術(shù)信息系統(tǒng)密碼應用基本要求》。該標準相對之前的行業(yè)標準,內(nèi)容更加規(guī)范、要求更加明確、邏輯更加清晰,同時對于密評實際執(zhí)行過程中遇到的問題做了相應的修訂,隨之成為密評工作依據(jù)的主要標準。
密評的內(nèi)容主要涵蓋商用密碼應用安全的合規(guī)性、正確性和有效性。其中,商用密碼應用合規(guī)性評估主要是指判定網(wǎng)絡和信息系統(tǒng)使用的密碼算法、密碼協(xié)議、密鑰管理是否符合法律法規(guī)的規(guī)定和密碼相關(guān)國家標準、行業(yè)標準的有關(guān)要求。網(wǎng)絡和信息系統(tǒng)使用的密碼產(chǎn)品和密碼服務是否經(jīng)過國家密碼管理部門核準或由具備資格的機構(gòu)認證合格。商用密碼應用正確性評估主要是指判定密碼算法、密碼協(xié)議、密鑰管理、密碼產(chǎn)品和密碼服務是否使用正確,即系統(tǒng)中使用的密碼產(chǎn)品是否取得商用密碼產(chǎn)品認證證書,或者系統(tǒng)中采用的標準密碼算法、協(xié)議和密鑰管理機制是否按照相應的國家和行業(yè)密碼標準進行正確的設計和實現(xiàn);自定義密碼協(xié)議、密鑰管理機制的設計和實現(xiàn)是否正確,安全性是否滿足要求,密碼保障系統(tǒng)建設或改造過程中密碼產(chǎn)品和服務的部署和應用是否正確。商用密碼應用有效性評估主要是指判定網(wǎng)絡和信息系統(tǒng)中的密碼應用是否在網(wǎng)絡和信息系統(tǒng)運行過程中發(fā)揮了效用,是否滿足了信息系統(tǒng)的安全需求,是否有效解決了信息系統(tǒng)面臨的安全問題。
2017年4月,國家密碼管理局正式啟動密評試點工作。依據(jù)《密碼法》及商用密碼應用安全性評估有關(guān)管理規(guī)定,經(jīng)持續(xù)培育、實戰(zhàn)測評和綜合考察,2020年7月,國家密碼管理局正式公布了全國首批24家密評試點機構(gòu)目錄。2021年6月,國家密碼管理局公布了更新后的《商用密碼應用安全性評估試點機構(gòu)目錄》,單位已增至48家。
電子認證是密碼的典型應用,其在信息化及信息安全保障方面發(fā)揮著重要作用。隨著我國信息化程度的不斷加深,電子認證服務發(fā)展愈發(fā)規(guī)范,電子數(shù)據(jù)法律效力愈發(fā)受到重視。2021年3月,交通運輸部發(fā)布《關(guān)于加快推廣應用道路運輸電子證照提升數(shù)字化服務與監(jiān)管能力的通知》,明確指出要組織建設“電子印章”系統(tǒng),支撐電子證照印章簽署功能,確保電子證照來源的真實性、完整性以及簽署行為的不可否認性。4月,市場監(jiān)管總局等六部門發(fā)布《關(guān)于進一步加大改革力度不斷提升企業(yè)開辦服務水平的通知》,提到需不斷擴大電子營業(yè)執(zhí)照和電子印章同步發(fā)放和應用試點范圍,為企業(yè)提供全流程網(wǎng)上辦事支撐;鼓勵各地完善并推廣電子印章應用,大力推動企業(yè)開辦要素電子化。6月,最高人民法院在《人民法院在線訴訟規(guī)則》中明確電子合同是電子材料的一種表現(xiàn)形式,具備效力且可以直接在訴訟中使用;明確區(qū)塊鏈存證的效力范圍、區(qū)塊鏈存儲的數(shù)據(jù)上鏈后推定未經(jīng)篡改的效力以及區(qū)塊鏈存儲數(shù)據(jù)上鏈后、以及上鏈前的真實性審核規(guī)則,進一步規(guī)范了區(qū)塊鏈技術(shù)的司法應用,有效解決取證難、認證難問題,必將推動電子簽名法律效力的社會認可程度。7月,人力資源和社會保障部發(fā)布《電子勞動合同訂立指引》,指導用人單位和勞動者依法規(guī)范訂立電子勞動合同,確保電子勞動合同真實,完整、準確、不被篡改,電子勞動合同從“鼓勵采用”逐漸轉(zhuǎn)變?yōu)椤爸笇Ш炇稹薄?1月,國務院發(fā)布《關(guān)于開展營商環(huán)境創(chuàng)新試點工作的意見》,指出要推進電子證照、電子簽章在銀行開戶、貸款、貨物報關(guān)、項目申報、招投標等領(lǐng)域全面應用和互通互認。各行業(yè)主管部門將出臺更多相關(guān)政策以明確電子簽名的法律效力,進一步拓展電子簽名的適用范圍,促進電子簽名廣泛應用。
在《電子簽名法》的基礎(chǔ)上,《密碼法》的出臺進一步明確了對從事電子政務的電子認證服務機構(gòu)需進行管理,意味著國家對電子認證行業(yè)監(jiān)管在逐步深化。企業(yè)需要拿到國家密碼主管部門頒發(fā)的《電子認證服務使用密碼許可證》、國家信息化主管部門頒發(fā)的《電子認證服務許可證》和國家密碼主管部門頒發(fā)的《電子政務電子認證服務許可證》才能在全領(lǐng)域開展業(yè)務。行業(yè)主管部門未來將進一步落實《電子簽名法》《電子認證服務管理辦法》和國務院審改辦“雙隨機、一公開”要求,深化電子認證服務行業(yè)監(jiān)管。以CPS(電子認證業(yè)務規(guī)則)符合性評估為核心,通過信息公開手段加強對電子認證服務機構(gòu)的監(jiān)管。同時,大力推進信用體系建設,將電子認證檢查與《關(guān)于在電子認證服務行業(yè)實施守信聯(lián)合激勵和失信聯(lián)合懲戒的合作備忘錄》信用評價工作相結(jié)合,推動開展行業(yè)信用評價。
同時,為進一步優(yōu)化營商環(huán)境、降低企業(yè)負擔,全國一體化在線政務服務平臺實現(xiàn)了“一網(wǎng)通辦”,原有的單個領(lǐng)域、不同證書的模式將被打破,有效實現(xiàn)了數(shù)字證書全國范圍互通互認,電子政務領(lǐng)域證書市場需求大幅減少,促使電子認證服務機構(gòu)進行調(diào)整優(yōu)化、轉(zhuǎn)型升級,從單純發(fā)放證書向提供電子簽名服務轉(zhuǎn)型。2021年4月國務院頒布的《關(guān)鍵信息基礎(chǔ)設施安全保護條例》中明確提出安全保護措施應當與關(guān)鍵信息基礎(chǔ)設施同步規(guī)劃、同步建設、同步使用。在《數(shù)據(jù)安全法》正式實施以后,政府、企業(yè)用戶也愈發(fā)重視數(shù)據(jù)運營的安全性和合規(guī)性問題,利用區(qū)塊鏈技術(shù)、電子簽名技術(shù)、產(chǎn)品和服務保障數(shù)據(jù)安全的需求愈發(fā)旺盛。在政策環(huán)境與市場需求的共同作用下,電子認證服務將逐步深入并規(guī)范發(fā)展。
第三方電子簽名平臺服務可以為用戶提供身份認證、電子文件簽署、數(shù)據(jù)傳輸、電子文件存儲和管理等服務,應用于用戶間的買賣合同、企業(yè)間的交易合同、以及勞動合同等多方面。疫情催化下加速了遠程辦公趨勢興起,為在無接觸的情況下確保業(yè)務正常運行,線下應用場景迅速被線上化,大量特殊市場環(huán)境下的第三方電子簽名服務需求被催生,推動第三方電子簽名平臺相關(guān)產(chǎn)品和服務不斷豐富。
為提升管理效率、優(yōu)化用戶服務體驗,第三方電子簽名平臺提供從電子簽名到文檔歸檔管理、從存證保全到司法出證的全產(chǎn)業(yè)鏈服務。其中,第三方電子簽名平臺引入?yún)^(qū)塊鏈技術(shù)實時固化簽署過程中的電子數(shù)據(jù),實現(xiàn)所有環(huán)節(jié)數(shù)據(jù)可溯源、防抵賴和防篡改,提供各類業(yè)務場景的數(shù)據(jù)存證能力。提供存證服務及后續(xù)法律服務,可確保糾紛發(fā)生時,能夠提供響應的司法保障。同時,第三方電子簽名平臺與移動APP、微信、支付寶等移動終端集成,并提供標準化API接口,推動電子簽名企業(yè)管理、運營等多環(huán)節(jié)的應用。隨著電子簽名相關(guān)產(chǎn)品和服務不斷豐富,應用場景持續(xù)拓寬,目前電子簽名應用已延伸到金融、人力資源、房地產(chǎn)、政務、物流、醫(yī)療、醫(yī)療、教育等多個領(lǐng)域。
(來源:賽迪密碼信息安全 以上內(nèi)容節(jié)選自《2021-2022年度中國商用密碼行業(yè)發(fā)展報告》)
