商用密碼迎來發(fā)展新機遇
國家信息安全工程技術(shù)研究中心 劉平
近日,國務(wù)院發(fā)布了修訂后的《商用密碼管理條例》(以下簡稱《條例》)。新修訂的《商用密碼管理條例》清晰界定了商用密碼管理范圍,合理設(shè)置了管理環(huán)節(jié),明確了管理條件和程序,寬嚴有度,規(guī)范到位,對促進商用密碼技術(shù)進步和商用密碼產(chǎn)業(yè)發(fā)展具有重要意義。
一、鼓勵密碼科技創(chuàng)新,促進密碼科技進步
《條例》第七條、第八條對促進商用密碼科學(xué)技術(shù)創(chuàng)新,開展商用密碼科技成果轉(zhuǎn)化及成果信息管理進行了規(guī)定;第九條對商用密碼技術(shù)審查鑒定進行了規(guī)定;第十條、第十一條對商用密碼標準的制定、實施、監(jiān)督、國際化以及法律效力進行了規(guī)定。
應(yīng)用需求是商用密碼科技創(chuàng)新的動力,不斷創(chuàng)新才能不斷進步。商用密碼用于保護不屬于國家秘密的信息,其應(yīng)用場景往往與國家關(guān)鍵信息基礎(chǔ)設(shè)施和人民群眾日常生活密切相關(guān),涵蓋金融、通信、公安、稅務(wù)、社保、交通、衛(wèi)生健康、能源、電子政務(wù)等重要領(lǐng)域,在維護國家安全,促進經(jīng)濟社會發(fā)展,保護公民、法人和其他組織合法權(quán)益等方面發(fā)揮著重要作用。國內(nèi)外日益嚴峻的網(wǎng)絡(luò)安全態(tài)勢,信息領(lǐng)域新技術(shù)、新業(yè)態(tài)、新模式的快速發(fā)展,引發(fā)了對商用密碼科技創(chuàng)新的迫切需求,為商用密碼科技創(chuàng)新提供了廣闊舞臺。
商用密碼標準是合規(guī)正確有效使用密碼的遵循依據(jù),創(chuàng)新成果成為標準才能廣泛推廣。商用密碼標準的作用是規(guī)范密碼技術(shù)的有效使用和密碼產(chǎn)品市場準入的檢測認證。所以,為合規(guī)正確有效使用商用密碼技術(shù),研發(fā)有市場競爭力的商用密碼產(chǎn)品,應(yīng)當遵循相關(guān)標準;為使商用密碼科技創(chuàng)新的成果廣泛推廣使用,應(yīng)當使其成為標準。
創(chuàng)新成果的應(yīng)用需求和創(chuàng)新成果沒有現(xiàn)成標準的矛盾,是商用密碼科技進步和產(chǎn)業(yè)化進程中始終存在的矛盾,解決矛盾的方法是促進矛盾雙方主次地位的相互轉(zhuǎn)化,而轉(zhuǎn)化的關(guān)鍵環(huán)節(jié)是商用密碼技術(shù)審查鑒定,審查鑒定的主體是國家密碼管理部門,審查鑒定的對象和內(nèi)容是“法律、行政法規(guī)和國家有關(guān)規(guī)定要求使用商用密碼進行保護的網(wǎng)絡(luò)與信息系統(tǒng)所使用的密碼算法、密碼協(xié)議、密鑰管理機制等商用密碼技術(shù)”。
二、建立商用密碼檢測認證體系,自愿檢測認證與強制檢測認證相結(jié)合
《條例》第十二條落實《密碼法》規(guī)定的推進商用密碼檢測認證體系建設(shè),鼓勵商用密碼從業(yè)單位自愿接受商用密碼檢測認證;第十三條至第十九條依法明確檢測、認證機構(gòu)資質(zhì)審批條件、程序及其從業(yè)規(guī)范;第十七條規(guī)定實行商用密碼產(chǎn)品、服務(wù)、管理體系的國家統(tǒng)一推行的自愿性認證制度;第二十條、第二十一條規(guī)定對涉及國家安全、國計民生、社會公共利益的商用密碼產(chǎn)品和服務(wù),實行強制性檢測認證。
密碼是保障信息安全的關(guān)鍵技術(shù),密碼發(fā)揮作用需各方參與。密碼供給方把密碼技術(shù)落到實處,為需求方實現(xiàn)密碼應(yīng)用提供密碼支撐;密碼需求方把密碼技術(shù)用到實處,解決信息系統(tǒng)的安全問題;密碼技術(shù)、密碼支撐和密碼應(yīng)用共同作用,保障信息系統(tǒng)安全。密碼產(chǎn)品和服務(wù)是指承載密碼技術(shù)、實現(xiàn)密碼功能、支撐信息系統(tǒng)使用密碼技術(shù)的實體,密碼需求方使用密碼產(chǎn)品和服務(wù),把密碼技術(shù)落實到應(yīng)用中,解決安全問題。
密碼產(chǎn)品和服務(wù)是保障安全的實體,保障安全的實體自身應(yīng)當安全。信息系統(tǒng)使用不安全的密碼產(chǎn)品和服務(wù),會比不使用帶來更大的安全問題。需求方如何確定采購的密碼產(chǎn)品和服務(wù)正確地實現(xiàn)了密碼技術(shù),正確地提供了密碼功能,自身安全達到了預(yù)期的安全等級?商用密碼從業(yè)單位不能自說自話,應(yīng)當出具商用密碼認證機構(gòu)頒發(fā)的認證合格的證書予以證明。
放寬準入與保障安全相結(jié)合,促進商用密碼產(chǎn)業(yè)有序健康發(fā)展。通常密碼從業(yè)單位可以自主決定是否接受商用密碼檢測認證。當商用密碼產(chǎn)品涉及國家安全、國計民生、社會公共利益,被列入網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品目錄,或商用密碼服務(wù)使用網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品,需要按照國家有關(guān)法律法規(guī)要求,由具備資格的檢測認證機構(gòu)檢測認證合格后方可銷售或者提供。
三、建立統(tǒng)一的電子認證信任機制,依法管理電子認證服務(wù)密碼使用
《條例》依據(jù)《密碼法》和《電子簽名法》,在第二十二條、第二十三條中明確電子認證服務(wù)機構(gòu)采用商用密碼技術(shù)提供電子認證服務(wù)應(yīng)具備相關(guān)條件和遵循相關(guān)法律和規(guī)范;在第二十四條至第二十八條中明確電子政務(wù)電子認證服務(wù)機構(gòu)的資質(zhì)申請、條件認定和從業(yè)規(guī)范等內(nèi)容;在第三十條中明確了政務(wù)活動中的電子簽名、電子印章、電子證照等的電子認證服務(wù)要求。
電子認證的基礎(chǔ)是信任,信任機制的實現(xiàn)靠密碼技術(shù)。《電子簽名法》明確“可靠的電子簽名與手寫簽名或者蓋章具有同等的法律效力”。公鑰密碼技術(shù)的實施需要一個大家都信任的權(quán)威機構(gòu),來為大家提供“證明公鑰屬于誰”的服務(wù),這個權(quán)威機構(gòu)稱為電子認證服務(wù)機構(gòu),不同的電子認證服務(wù)機構(gòu)之間需要互信互認,上下級的電子認證服務(wù)機構(gòu)需要有效管理,這個互信互認、有效管理的機制稱為電子認證信任機制。《條例》明確“國家建立統(tǒng)一的電子認證信任機制”,并且由“國家密碼管理部門負責電子認證信任源的規(guī)劃和管理”。
對電子認證服務(wù)使用密碼的行為依法實施管理,是《電子簽名法》賦予國家密碼管理部門的職能,電子認證服務(wù)機構(gòu)應(yīng)當按照法律、行政法規(guī)和電子認證服務(wù)密碼使用技術(shù)規(guī)范、規(guī)則,使用商用密碼提供電子認證服務(wù)。
從事電子政務(wù)電子認證服務(wù)的機構(gòu),應(yīng)當經(jīng)國家密碼管理部門認定。對電子政務(wù)電子認證服務(wù)使用密碼和提供服務(wù)的行為依法實施管理,是《密碼法》賦予國家密碼管理部門的職能,電子政務(wù)電子認證服務(wù)機構(gòu)應(yīng)當依法取得電子政務(wù)電子認證服務(wù)機構(gòu)資質(zhì),并應(yīng)當按照法律、行政法規(guī)和電子政務(wù)電子認證服務(wù)技術(shù)規(guī)范、規(guī)則,在批準范圍內(nèi)提供電子政務(wù)電子認證服務(wù)。
采用非證書機制的電子認證服務(wù),也應(yīng)依法納入管理。當前,電子認證服務(wù)使用的密碼技術(shù)規(guī)范,均是采用基于數(shù)字證書機制的技術(shù)規(guī)范,而隨著物聯(lián)網(wǎng)、車聯(lián)網(wǎng)、工業(yè)互聯(lián)網(wǎng)等新業(yè)態(tài)的密碼應(yīng)用需求,采用SM9標識密碼算法或基于SM2密碼算法的非證書機制的電子認證服務(wù)應(yīng)用也會不斷發(fā)展。隨著技術(shù)的不斷完善、相關(guān)標準的研制和發(fā)布,采用這類技術(shù)規(guī)范的電子認證服務(wù)的規(guī)范管理也應(yīng)提上日程。
四、促進密碼技術(shù)應(yīng)用,保障網(wǎng)絡(luò)與信息安全
《條例》突出促進應(yīng)用、保障安全的導(dǎo)向,第三十五條、第三十六條鼓勵公民、法人和其他組織依法使用商用密碼;第三十八條、第三十九條明確關(guān)鍵信息基礎(chǔ)設(shè)施商用密碼使用和安全性評估要求,同時第四十條明確關(guān)鍵信息基礎(chǔ)設(shè)施的商用密碼國家安全審查要求。
密碼應(yīng)用,是密碼需求方用密碼技術(shù)解決安全問題的過程。密碼無處不在,任何網(wǎng)絡(luò)與信息系統(tǒng)都可以使用密碼技術(shù)滿足機密性、真實性、完整性、不可否認性的安全需求。網(wǎng)絡(luò)與信息系統(tǒng)的運營者可以使用經(jīng)檢測認證合格的密碼產(chǎn)品和服務(wù),遵循密碼國家標準和行業(yè)標準,針對網(wǎng)絡(luò)與信息系統(tǒng)的安全需求,制定密碼應(yīng)用方案,按照“三同步一評估”原則,同步規(guī)劃、同步建設(shè)、同步運行密碼保障系統(tǒng),定期開展商用密碼應(yīng)用安全性評估。
密碼應(yīng)用方式,包括對業(yè)務(wù)應(yīng)用透明和非透明兩種。對業(yè)務(wù)應(yīng)用透明的密碼應(yīng)用方式,一般用于保護網(wǎng)絡(luò)與信息系統(tǒng)的物理環(huán)境、網(wǎng)絡(luò)環(huán)境、計算環(huán)境和存儲環(huán)境的安全,密碼應(yīng)用的重點是根據(jù)實際環(huán)境及安全需求,部署和管理密碼產(chǎn)品,使其發(fā)揮作用;對業(yè)務(wù)應(yīng)用非透明的密碼應(yīng)用方式,主要用于保障承載在計算環(huán)境上的業(yè)務(wù)應(yīng)用的安全,包括用戶和管理人員的身份真實性及行為的不可否認性、重要數(shù)據(jù)的機密性和完整性、重要業(yè)務(wù)流程和重要業(yè)務(wù)對象的安全性等,密碼應(yīng)用的特點是調(diào)用密碼功能,使用密碼技術(shù),解決業(yè)務(wù)應(yīng)用安全問題。
密碼內(nèi)生方式,包括密碼資源內(nèi)生和密碼應(yīng)用內(nèi)生兩種。內(nèi)生安全、密碼內(nèi)生,近來呼聲比較多,個人認為主要有兩種內(nèi)生方式:一是密碼資源內(nèi)生的方式,主要是在CPU、操作系統(tǒng)、數(shù)據(jù)庫、瀏覽器等信息化產(chǎn)品中,內(nèi)置密碼算法及相關(guān)密鑰管理等密碼資源,用于產(chǎn)品自身安全或?qū)崿F(xiàn)特定安全功能,該密碼資源是產(chǎn)品自己用的,一般不會透出為其他應(yīng)用服務(wù)。二是密碼應(yīng)用內(nèi)生的方式,主要是在業(yè)務(wù)系統(tǒng)研發(fā)期間就把密碼應(yīng)用集成在內(nèi),通過接口調(diào)用外部密碼資源提供的密碼功能,成為安全的業(yè)務(wù)系統(tǒng)。
密碼應(yīng)用安全性評估,是對商用密碼使用環(huán)節(jié)的監(jiān)管。密碼應(yīng)用安全性評估的對象是網(wǎng)絡(luò)與信息系統(tǒng)采用商用密碼技術(shù)、產(chǎn)品和服務(wù);評估的內(nèi)容是按照商用密碼管理政策和相關(guān)密碼標準,對其密碼應(yīng)用的合規(guī)性、正確性、有效性進行評估;對于關(guān)鍵信息基礎(chǔ)設(shè)施等重要網(wǎng)絡(luò)與信息系統(tǒng),評估通過后方可投入運行,運行后每年至少進行一次評估,評估情況報送國家密碼管理部門或者關(guān)鍵信息基礎(chǔ)設(shè)施所在地省、自治區(qū)、直轄市密碼管理部門備案;開展商用密碼應(yīng)用安全性評估的檢測機構(gòu)應(yīng)當經(jīng)國家密碼管理部門認定,依法取得商用密碼檢測機構(gòu)資質(zhì)。
五、結(jié)束語
《條例》的修訂發(fā)布和實施,是商用密碼發(fā)展史上的一件大事,對商用密碼的發(fā)展有深遠的意義。商用密碼從業(yè)單位應(yīng)認真研讀,仔細領(lǐng)會,嚴格遵守。
(來源:國家密碼管理局網(wǎng)站)
