專家解讀|劉平:商用密碼迎來發展新機遇 
        國家信息安全工程技術研究中心 劉平

        發布日期:2023-06-03來源:
        【字體: 打印

        近日,國務院發布了修訂后的《商用密碼管理條例》(以下簡稱《條例》)。新修訂的《商用密碼管理條例》清晰界定了商用密碼管理范圍,合理設置了管理環節,明確了管理條件和程序,寬嚴有度,規范到位,對促進商用密碼技術進步和商用密碼產業發展具有重要意義。

        一、鼓勵密碼科技創新,促進密碼科技進步

        《條例》第七條、第八條對促進商用密碼科學技術創新,開展商用密碼科技成果轉化及成果信息管理進行了規定;第九條對商用密碼技術審查鑒定進行了規定;第十條、第十一條對商用密碼標準的制定、實施、監督、國際化以及法律效力進行了規定。

        應用需求是商用密碼科技創新的動力,不斷創新才能不斷進步。商用密碼用于保護不屬于國家秘密的信息,其應用場景往往與國家關鍵信息基礎設施和人民群眾日常生活密切相關,涵蓋金融、通信、公安、稅務、社保、交通、衛生健康、能源、電子政務等重要領域,在維護國家安全,促進經濟社會發展,保護公民、法人和其他組織合法權益等方面發揮著重要作用。國內外日益嚴峻的網絡安全態勢,信息領域新技術、新業態、新模式的快速發展,引發了對商用密碼科技創新的迫切需求,為商用密碼科技創新提供了廣闊舞臺。

        商用密碼標準是合規正確有效使用密碼的遵循依據,創新成果成為標準才能廣泛推廣。商用密碼標準的作用是規范密碼技術的有效使用和密碼產品市場準入的檢測認證。所以,為合規正確有效使用商用密碼技術,研發有市場競爭力的商用密碼產品,應當遵循相關標準;為使商用密碼科技創新的成果廣泛推廣使用,應當使其成為標準。

        創新成果的應用需求和創新成果沒有現成標準的矛盾,是商用密碼科技進步和產業化進程中始終存在的矛盾,解決矛盾的方法是促進矛盾雙方主次地位的相互轉化,而轉化的關鍵環節是商用密碼技術審查鑒定,審查鑒定的主體是國家密碼管理部門,審查鑒定的對象和內容是“法律、行政法規和國家有關規定要求使用商用密碼進行保護的網絡與信息系統所使用的密碼算法、密碼協議、密鑰管理機制等商用密碼技術”。

        二、建立商用密碼檢測認證體系,自愿檢測認證與強制檢測認證相結合

        《條例》第十二條落實《密碼法》規定的推進商用密碼檢測認證體系建設,鼓勵商用密碼從業單位自愿接受商用密碼檢測認證;第十三條至第十九條依法明確檢測、認證機構資質審批條件、程序及其從業規范;第十七條規定實行商用密碼產品、服務、管理體系的國家統一推行的自愿性認證制度;第二十條、第二十一條規定對涉及國家安全、國計民生、社會公共利益的商用密碼產品和服務,實行強制性檢測認證。

        密碼是保障信息安全的關鍵技術,密碼發揮作用需各方參與。密碼供給方把密碼技術落到實處,為需求方實現密碼應用提供密碼支撐;密碼需求方把密碼技術用到實處,解決信息系統的安全問題;密碼技術、密碼支撐和密碼應用共同作用,保障信息系統安全。密碼產品和服務是指承載密碼技術、實現密碼功能、支撐信息系統使用密碼技術的實體,密碼需求方使用密碼產品和服務,把密碼技術落實到應用中,解決安全問題。

        密碼產品和服務是保障安全的實體,保障安全的實體自身應當安全。信息系統使用不安全的密碼產品和服務,會比不使用帶來更大的安全問題。需求方如何確定采購的密碼產品和服務正確地實現了密碼技術,正確地提供了密碼功能,自身安全達到了預期的安全等級?商用密碼從業單位不能自說自話,應當出具商用密碼認證機構頒發的認證合格的證書予以證明。

        放寬準入與保障安全相結合,促進商用密碼產業有序健康發展。通常密碼從業單位可以自主決定是否接受商用密碼檢測認證。當商用密碼產品涉及國家安全、國計民生、社會公共利益,被列入網絡關鍵設備和網絡安全專用產品目錄,或商用密碼服務使用網絡關鍵設備和網絡安全專用產品,需要按照國家有關法律法規要求,由具備資格的檢測認證機構檢測認證合格后方可銷售或者提供。

        三、建立統一的電子認證信任機制,依法管理電子認證服務密碼使用

        《條例》依據《密碼法》和《電子簽名法》,在第二十二條、第二十三條中明確電子認證服務機構采用商用密碼技術提供電子認證服務應具備相關條件和遵循相關法律和規范;在第二十四條至第二十八條中明確電子政務電子認證服務機構的資質申請、條件認定和從業規范等內容;在第三十條中明確了政務活動中的電子簽名、電子印章、電子證照等的電子認證服務要求。

        電子認證的基礎是信任,信任機制的實現靠密碼技術。《電子簽名法》明確“可靠的電子簽名與手寫簽名或者蓋章具有同等的法律效力”。公鑰密碼技術的實施需要一個大家都信任的權威機構,來為大家提供“證明公鑰屬于誰”的服務,這個權威機構稱為電子認證服務機構,不同的電子認證服務機構之間需要互信互認,上下級的電子認證服務機構需要有效管理,這個互信互認、有效管理的機制稱為電子認證信任機制。《條例》明確“國家建立統一的電子認證信任機制”,并且由“國家密碼管理部門負責電子認證信任源的規劃和管理”。

        對電子認證服務使用密碼的行為依法實施管理,是《電子簽名法》賦予國家密碼管理部門的職能,電子認證服務機構應當按照法律、行政法規和電子認證服務密碼使用技術規范、規則,使用商用密碼提供電子認證服務。

        從事電子政務電子認證服務的機構,應當經國家密碼管理部門認定。對電子政務電子認證服務使用密碼和提供服務的行為依法實施管理,是《密碼法》賦予國家密碼管理部門的職能,電子政務電子認證服務機構應當依法取得電子政務電子認證服務機構資質,并應當按照法律、行政法規和電子政務電子認證服務技術規范、規則,在批準范圍內提供電子政務電子認證服務。

        采用非證書機制的電子認證服務,也應依法納入管理。當前,電子認證服務使用的密碼技術規范,均是采用基于數字證書機制的技術規范,而隨著物聯網、車聯網、工業互聯網等新業態的密碼應用需求,采用SM9標識密碼算法或基于SM2密碼算法的非證書機制的電子認證服務應用也會不斷發展。隨著技術的不斷完善、相關標準的研制和發布,采用這類技術規范的電子認證服務的規范管理也應提上日程。

        四、促進密碼技術應用,保障網絡與信息安全

        《條例》突出促進應用、保障安全的導向,第三十五條、第三十六條鼓勵公民、法人和其他組織依法使用商用密碼;第三十八條、第三十九條明確關鍵信息基礎設施商用密碼使用和安全性評估要求,同時第四十條明確關鍵信息基礎設施的商用密碼國家安全審查要求。

        密碼應用,是密碼需求方用密碼技術解決安全問題的過程。密碼無處不在,任何網絡與信息系統都可以使用密碼技術滿足機密性、真實性、完整性、不可否認性的安全需求。網絡與信息系統的運營者可以使用經檢測認證合格的密碼產品和服務,遵循密碼國家標準和行業標準,針對網絡與信息系統的安全需求,制定密碼應用方案,按照“三同步一評估”原則,同步規劃、同步建設、同步運行密碼保障系統,定期開展商用密碼應用安全性評估。

        密碼應用方式,包括對業務應用透明和非透明兩種。對業務應用透明的密碼應用方式,一般用于保護網絡與信息系統的物理環境、網絡環境、計算環境和存儲環境的安全,密碼應用的重點是根據實際環境及安全需求,部署和管理密碼產品,使其發揮作用;對業務應用非透明的密碼應用方式,主要用于保障承載在計算環境上的業務應用的安全,包括用戶和管理人員的身份真實性及行為的不可否認性、重要數據的機密性和完整性、重要業務流程和重要業務對象的安全性等,密碼應用的特點是調用密碼功能,使用密碼技術,解決業務應用安全問題。

        密碼內生方式,包括密碼資源內生和密碼應用內生兩種。內生安全、密碼內生,近來呼聲比較多,個人認為主要有兩種內生方式:一是密碼資源內生的方式,主要是在CPU、操作系統、數據庫、瀏覽器等信息化產品中,內置密碼算法及相關密鑰管理等密碼資源,用于產品自身安全或實現特定安全功能,該密碼資源是產品自己用的,一般不會透出為其他應用服務。二是密碼應用內生的方式,主要是在業務系統研發期間就把密碼應用集成在內,通過接口調用外部密碼資源提供的密碼功能,成為安全的業務系統。

        密碼應用安全性評估,是對商用密碼使用環節的監管。密碼應用安全性評估的對象是網絡與信息系統采用商用密碼技術、產品和服務;評估的內容是按照商用密碼管理政策和相關密碼標準,對其密碼應用的合規性、正確性、有效性進行評估;對于關鍵信息基礎設施等重要網絡與信息系統,評估通過后方可投入運行,運行后每年至少進行一次評估,評估情況報送國家密碼管理部門或者關鍵信息基礎設施所在地省、自治區、直轄市密碼管理部門備案;開展商用密碼應用安全性評估的檢測機構應當經國家密碼管理部門認定,依法取得商用密碼檢測機構資質。

        五、結束語

        《條例》的修訂發布和實施,是商用密碼發展史上的一件大事,對商用密碼的發展有深遠的意義。商用密碼從業單位應認真研讀,仔細領會,嚴格遵守。

         


        責任編輯:
        相關稿件