深入貫徹《商用密碼管理?xiàng)l例》��,以商用密碼為關(guān)鍵信息基礎(chǔ)設(shè)施保駕護(hù)航
文 | 北京威廉希尔股份有限公司 林雪焰 王 晗 夏魯寧
密碼是黨和國(guó)家的“命門”和“命脈”����,是國(guó)家重要戰(zhàn)略資源。商用密碼是社會(huì)應(yīng)用最廣泛���、與數(shù)字經(jīng)濟(jì)發(fā)展��、人民群眾利益關(guān)系最為密切的一類密碼�。1999 年���,國(guó)務(wù)院頒布并實(shí)施了《商用密碼管理?xiàng)l例》(以下簡(jiǎn)稱《條例》)��,開啟了我國(guó)商用密碼事業(yè)的發(fā)展�����。2019 年�,《中華人民共和國(guó)密碼法》(以下簡(jiǎn)稱《密碼法》)頒布����,對(duì)商用密碼管理制度進(jìn)行了結(jié)構(gòu)性重塑。在此背景下���,為了貫徹落實(shí)《密碼法》����,國(guó)家密碼管理部門會(huì)同相關(guān)部門���,對(duì) 1999 年《條例》進(jìn)行了全面修訂����。2023 年 4月 27 日�����,國(guó)務(wù)院總理李強(qiáng)簽署了第 760 號(hào)國(guó)務(wù)院令予以公布���,自 2023 年 7 月 1 日起施行����。新修訂的《條例》適應(yīng)習(xí)近平新時(shí)代中國(guó)特色社會(huì)主義建設(shè),強(qiáng)化了黨管密碼根本原則�����,調(diào)整完善了商用密碼管理體制���,為保障網(wǎng)絡(luò)與信息安全���、特別是關(guān)鍵信息基礎(chǔ)設(shè)施安全,提供了堅(jiān)實(shí)有力的法律保障����。
一、《條例》是完善我國(guó)密碼法律法規(guī)體系建設(shè)的重大成果����,也是推動(dòng)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)向深向?qū)嵃l(fā)展的重要舉措
密碼是維護(hù)國(guó)家 安全最重要的技術(shù)保障之一,也是保障網(wǎng)絡(luò)空間安全的核心技術(shù)和基礎(chǔ)支撐��。隨著數(shù)字經(jīng)濟(jì)浪潮席卷全球��,商用密碼應(yīng)用已經(jīng)傳導(dǎo)滲透至網(wǎng)絡(luò)設(shè)施和信息系統(tǒng)的方方面面�,對(duì)于加強(qiáng)關(guān)鍵信息基礎(chǔ)設(shè)施和數(shù)據(jù)要素安全保護(hù)的核心地位愈發(fā)凸顯����。修訂后的《條例》成為貫徹落實(shí)《密碼法》的重要舉措����,吸納舊版《條例》實(shí)施以來的成功實(shí)踐經(jīng)驗(yàn)���,進(jìn)一步完善密碼法律法規(guī)體系和管理制度���,有效細(xì)化關(guān)鍵信息基礎(chǔ)設(shè)施商用密碼應(yīng)用的法治化管理要求,對(duì)構(gòu)建以商用密碼技術(shù)為核心底座����、多種安全保護(hù)技術(shù)協(xié)同的關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)體系具有重大意義。
二���、《條例》深化對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施的商用密碼應(yīng)用管理要求����,是強(qiáng)化關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)的重要抓手
關(guān)鍵信息基礎(chǔ)設(shè)施是國(guó)家經(jīng)濟(jì)發(fā)展運(yùn)行的重要樞紐���,全局性���、戰(zhàn)略性地位凸顯�����。世界主要國(guó)家廣泛采用密碼技術(shù)����、產(chǎn)品和服務(wù)來保障關(guān)鍵信息基礎(chǔ)設(shè)施安全��。當(dāng)前���,商用密碼也已廣泛應(yīng)用于我國(guó)多個(gè)關(guān)鍵信息基礎(chǔ)設(shè)施領(lǐng)域�����,發(fā)揮了不可替代的重要作用�����。近期���,多個(gè)與關(guān)鍵信息基礎(chǔ)設(shè)施相關(guān)的行業(yè)領(lǐng)域主管部門也紛紛提出加強(qiáng)密碼應(yīng)用。國(guó)家發(fā)改委發(fā)布《“十四五”推進(jìn)國(guó)家政務(wù)信息化規(guī)劃》�����,提出推進(jìn)國(guó)產(chǎn)密碼應(yīng)用;交通運(yùn)輸部發(fā)布《交通領(lǐng)域科技創(chuàng)新中長(zhǎng)期發(fā)展規(guī)劃綱要(2021—2035 年)》�����,提出推動(dòng)交通運(yùn)輸領(lǐng)域商用密碼創(chuàng)新應(yīng)用���;國(guó)家能源局發(fā)布《“十四五”現(xiàn)代能源體系規(guī)劃》,提出加快推進(jìn)電力信息系統(tǒng)密碼基礎(chǔ)設(shè)施建設(shè)工程�。
對(duì)于運(yùn)營(yíng)者來說,使用密碼進(jìn)行關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)更是法定義務(wù)和要求�。已實(shí)施的《密碼法》《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》等均對(duì)使用密碼保護(hù)關(guān)鍵信息基礎(chǔ)設(shè)施安全提出相應(yīng)要求?�!稐l例》在上述法律法規(guī)的基礎(chǔ)上���,細(xì)化和完善了針對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施在商用密碼應(yīng)用方案�����、商用密碼保障系統(tǒng)�、商用密碼應(yīng)用安全性評(píng)估���、使用的商用密碼產(chǎn)品和服務(wù)以及資金和專業(yè)人員保障等方面的要求����,并加快推動(dòng)商用密碼在新技術(shù)、新業(yè)態(tài)���、新模式中的應(yīng)用��。
具體來說��,一是進(jìn)一步壓實(shí)運(yùn)營(yíng)者使用商用密碼保護(hù)關(guān)鍵信息基礎(chǔ)設(shè)施的主體責(zé)任���。主要包括提出運(yùn)營(yíng)者使用商用密碼保護(hù)關(guān)鍵信息基礎(chǔ)設(shè)施時(shí)需要制定商用密碼應(yīng)用方案;配備必要的資金和專業(yè)人員�����;落實(shí)關(guān)鍵信息基礎(chǔ)設(shè)施密碼應(yīng)用的“三同步一評(píng)估”�;對(duì)正在運(yùn)行的關(guān)鍵信息基礎(chǔ)設(shè)施提出每年至少進(jìn)行一次商用密碼應(yīng)用安全性評(píng)估的要求。
二是對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施中使用的商用密碼技術(shù)����、產(chǎn)品、服務(wù)的安全合規(guī)性提出了明確要求���。主要包括要求關(guān)鍵信息基礎(chǔ)設(shè)施使用的商用密碼產(chǎn)品��、服務(wù)應(yīng)當(dāng)經(jīng)檢測(cè)認(rèn)證合格��,使用的密碼算法���、密碼協(xié)議���、密鑰管理機(jī)制等商用密碼技術(shù)應(yīng)當(dāng)通過國(guó)家密碼管理部門審查鑒定;運(yùn)營(yíng)者采購(gòu)涉及商用密碼的網(wǎng)絡(luò)產(chǎn)品和服務(wù)���,可能影響國(guó)家安全的,應(yīng)當(dāng)依法通過有關(guān)部門組織的國(guó)家安全審查等����。
三是統(tǒng)籌規(guī)定關(guān)鍵信息基礎(chǔ)設(shè)施相關(guān)安全測(cè)評(píng)與評(píng)估工作的銜接性要求。具體提出商用密碼應(yīng)用安全性評(píng)估�、關(guān)鍵信息基礎(chǔ)設(shè)施安全檢測(cè)評(píng)估、網(wǎng)絡(luò)安全等級(jí)測(cè)評(píng)應(yīng)當(dāng)加強(qiáng)銜接�����,避免重復(fù)評(píng)估����、測(cè)評(píng)�����。運(yùn)營(yíng)者和測(cè)評(píng)機(jī)構(gòu)需要系統(tǒng)性地開展相關(guān)工作����,提質(zhì)增效���,合力提升關(guān)鍵信息基礎(chǔ)設(shè)施綜合安全防護(hù)水平����。四是加快推動(dòng)商用密碼在信息領(lǐng)域新技術(shù)���、新業(yè)態(tài)�����、新模式中的應(yīng)用�。
當(dāng)前����,以 5G�����、大數(shù)據(jù)����、云計(jì)算�、人工智能等為代表的新技術(shù)新應(yīng)用在數(shù)字經(jīng)濟(jì)時(shí)代深度融入關(guān)鍵信息基礎(chǔ)設(shè)施。這種新技術(shù)����、新應(yīng)用場(chǎng)景、多領(lǐng)域的融合交叉引發(fā)新的網(wǎng)絡(luò)安全和數(shù)據(jù)安全風(fēng)險(xiǎn)���,亟需商用密碼的創(chuàng)新應(yīng)用“破局”。針對(duì)這一局面��,《條例》提出“國(guó)家支持并規(guī)范商用密碼在信息領(lǐng)域新技術(shù)�����、新業(yè)態(tài)��、新模式中的應(yīng)用”,鼓勵(lì)商用密碼創(chuàng)新與應(yīng)用的有機(jī)結(jié)合���。由此可見�����,《條例》聚焦于落實(shí)《密碼法》的相關(guān)條款�,對(duì)于關(guān)鍵信息基礎(chǔ)設(shè)施商用密碼應(yīng)用提出明確�����、具體的要求����,成為采用商用密碼強(qiáng)化關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)的重要指引。
三����、企業(yè)貫徹落實(shí)《條例》中針對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施商用密碼應(yīng)用管理要求的相關(guān)探索與實(shí)踐
(一)牽頭密碼行業(yè)標(biāo)準(zhǔn)《關(guān)鍵信息基礎(chǔ)設(shè)施密碼應(yīng)用要求》編制��,以系統(tǒng)性視角強(qiáng)化關(guān)鍵信息基礎(chǔ)設(shè)施密碼應(yīng)用體系化防護(hù)
為了貫徹落實(shí)《條例》的要求�����,北京威廉希尔股份有限公司(以下簡(jiǎn)稱“威廉希尔”)根據(jù)密碼行業(yè)標(biāo)準(zhǔn)委員會(huì)的指示,作為牽頭單位開展密碼行業(yè)標(biāo)準(zhǔn)《關(guān)鍵信息基礎(chǔ)設(shè)施密碼應(yīng)用要求》的編制工作���。為了確保標(biāo)準(zhǔn)能夠兼顧規(guī)范性和可落地性,威廉希尔廣泛邀請(qǐng)具備行業(yè)代表性的關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)單位和建設(shè)單位、熟悉關(guān)鍵信息基礎(chǔ)設(shè)施識(shí)別認(rèn)定���、安全保護(hù)���、檢測(cè)評(píng)估的研究機(jī)構(gòu)和測(cè)評(píng)機(jī)構(gòu)以及密碼產(chǎn)業(yè)單位���,共同參與標(biāo)準(zhǔn)的編制。關(guān)鍵信息基礎(chǔ)設(shè)施是更加體系化�����、復(fù)雜龐大又彼此緊密關(guān)聯(lián)的綜合性大型系統(tǒng)或全局系統(tǒng),有必要提出更系統(tǒng)甚至更嚴(yán)格的安全保護(hù)要求���。針對(duì)這個(gè)特點(diǎn)��,威廉希尔與編制組各成員單位充分考慮關(guān)鍵信息基礎(chǔ)設(shè)施與單個(gè)網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)對(duì)象的差異性�,對(duì)使用商用密碼保護(hù)關(guān)鍵信息基礎(chǔ)設(shè)施安全進(jìn)行體系化、協(xié)同化設(shè)計(jì)����,重點(diǎn)考慮整個(gè)關(guān)鍵信息基礎(chǔ)設(shè)施內(nèi)部的整體和協(xié)同防護(hù)����,加強(qiáng)針對(duì)跨網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)對(duì)象的安全保護(hù)力度,有力保障關(guān)鍵業(yè)務(wù)穩(wěn)定運(yùn)行及數(shù)據(jù)安全��。
(二)面向關(guān)鍵信息基礎(chǔ)設(shè)施的建設(shè)和運(yùn)維特點(diǎn)����,著力探索挖掘商用密碼應(yīng)用和供給新模式
從《條例》可以看出,商用密碼應(yīng)用創(chuàng)新應(yīng)當(dāng)與應(yīng)用有機(jī)結(jié)合�����,才能發(fā)揮出更大的作用。威廉希尔針對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施的建設(shè)和運(yùn)維特點(diǎn)���,以保障關(guān)鍵信息基礎(chǔ)設(shè)施的安全穩(wěn)定運(yùn)行為目標(biāo),從密碼應(yīng)用方式和密碼應(yīng)用供給模式兩個(gè)方面開展創(chuàng)新工作���,加快推動(dòng)商用密碼與新技術(shù)融合發(fā)展����。
一方面���,深度融合利用好 ICT 新技術(shù),推出創(chuàng)新的密碼應(yīng)用�����,提高關(guān)鍵信息基礎(chǔ)設(shè)施安全防護(hù)水平�����。例如�,便民政務(wù)業(yè)務(wù)辦理終端��、銀行 ATM 機(jī)等海量邊緣節(jié)點(diǎn)的傳統(tǒng)密碼應(yīng)用方式通常是部署密碼卡或密碼機(jī)��,邊緣節(jié)點(diǎn)設(shè)備相較于機(jī)房設(shè)備受控性減弱�����,面臨潛在安全風(fēng)險(xiǎn)�。同時(shí),對(duì)邊緣節(jié)點(diǎn)的密鑰分發(fā)、算法升級(jí)等實(shí)施難度較大���,需要耗費(fèi)大量人力成本�����。通過部署基于機(jī)密計(jì)算架構(gòu)的新型密碼算力平臺(tái)���,能夠有效解決現(xiàn)有場(chǎng)景中密碼算力分散引發(fā)的運(yùn)維管理難題,有效解決邊緣設(shè)備與密碼算力間由于距離導(dǎo)致的安全風(fēng)險(xiǎn)��、帶寬資源消耗等問題����,為邊緣節(jié)點(diǎn)提供可統(tǒng)一管控的分布式內(nèi)生安全計(jì)算能力。
另一方面��,通過完善和創(chuàng)新商用密碼供給形態(tài)��、應(yīng)用模式���、服務(wù)水平��,支撐數(shù)字化轉(zhuǎn)型大背景下�����,工業(yè)互聯(lián)網(wǎng)�、物聯(lián)網(wǎng)、車聯(lián)網(wǎng)等新興場(chǎng)景和領(lǐng)域的關(guān)鍵信息基礎(chǔ)設(shè)施安全穩(wěn)定運(yùn)行����。例如,在車聯(lián)網(wǎng)環(huán)境下�,高速行駛的汽車必須快速完成與各類實(shí)體的認(rèn)證,對(duì)證書編碼格式����、傳輸帶寬�����、交互時(shí)延都提出了極高要求�����,這種資源受限環(huán)境下的密碼應(yīng)用問題愈發(fā)突出����。將數(shù)字證書應(yīng)用于車聯(lián)網(wǎng)領(lǐng)域��,為 V2X 車輛與路側(cè)設(shè)施提供證書和密碼安全模塊�����,保障車與車載單元(OBU)和路側(cè)單元(RSU)之間的安全通信����,面向車聯(lián)網(wǎng)中泛在化的信任主體�����,實(shí)現(xiàn)信任建立的實(shí)時(shí)性��、匿名性��、隨遇接入能力�����,實(shí)現(xiàn)對(duì)車輛位置軌跡和身份的隱私保護(hù)等安全能力���。
(一)關(guān)鍵信息基礎(chǔ)設(shè)施密碼應(yīng)用的總體發(fā)展趨勢(shì)是從分散走向集約,從外掛走向內(nèi)生未來���,需要持續(xù)促進(jìn)關(guān)鍵信息基礎(chǔ)設(shè)施在頂層設(shè)計(jì)時(shí)同步考慮密碼技術(shù)保護(hù)的實(shí)施機(jī)制���,以系統(tǒng)架構(gòu)、場(chǎng)景等要素為依據(jù)和考量��,在架構(gòu)����、流程、形態(tài)上一體化統(tǒng)籌設(shè)計(jì)構(gòu)建配套的密碼保護(hù)機(jī)制�,成為內(nèi)嵌安全能力。內(nèi)生密碼保護(hù)機(jī)制適應(yīng)性強(qiáng)�����、擴(kuò)展性好���,依據(jù)系統(tǒng)組成要素的自身特性進(jìn)行全方位保護(hù),實(shí)現(xiàn)“無處不在”的加密保護(hù)與安全認(rèn)證��。長(zhǎng)遠(yuǎn)看來��,以“內(nèi)生”方式實(shí)現(xiàn)的密碼保護(hù)機(jī)制,才是確保安全保護(hù)得以充分實(shí)現(xiàn)的關(guān)鍵思路和發(fā)展方向����。
(二)關(guān)鍵信息基礎(chǔ)設(shè)施應(yīng)提早考慮和規(guī)劃密碼技術(shù)向后量子密碼時(shí)代的遷移隨著量子計(jì)算向?qū)嵱没焖傺葸M(jìn),傳統(tǒng)的公鑰密碼體制面臨被顛覆的風(fēng)險(xiǎn)�����,迫切需要提前部署密碼替換進(jìn)程��,包括積極開展適用于我國(guó)的抗量子密碼算法研究以及抗量子密碼算法的評(píng)選及標(biāo)準(zhǔn)化工作�����,重點(diǎn)選擇典型的關(guān)鍵信息基礎(chǔ)設(shè)施前沿陣地����,試點(diǎn)后量子密碼算法的敏捷遷移過程,以試點(diǎn)示范效應(yīng)加快推動(dòng)整個(gè)關(guān)鍵信息基礎(chǔ)設(shè)施領(lǐng)域的后量子密碼算法遷移工作�����,確保在后量子時(shí)代到來之際關(guān)鍵信息基礎(chǔ)設(shè)施仍然具備持續(xù)的安全防護(hù)能力�����。
(三)積極推動(dòng)開展關(guān)鍵信息基礎(chǔ)設(shè)施商用密碼應(yīng)用安全性評(píng)估可以預(yù)見,未來多個(gè)行業(yè)領(lǐng)域?qū)⒃贕B/T 39786-2021《信息安全技術(shù) 信息系統(tǒng)密碼應(yīng)用基本要求》的基礎(chǔ)上推出更加契合行業(yè)特色需求的標(biāo)準(zhǔn)規(guī)范��,助力更好地開展商用密碼應(yīng)用安全性評(píng)估工作���。同時(shí)�,亟需針對(duì)應(yīng)用云計(jì)算等新技術(shù)新模式構(gòu)建的關(guān)鍵信息基礎(chǔ)設(shè)施�����,逐步制定特色化�����、差異化的密評(píng)細(xì)化要求�����,依法依規(guī)開展新領(lǐng)域的商用密碼應(yīng)用安全性評(píng)估���,保障關(guān)鍵信息基礎(chǔ)設(shè)施安全穩(wěn)定運(yùn)行�,持續(xù)加強(qiáng)商用密碼在新技術(shù)�、新業(yè)態(tài)�����、新模式下的大規(guī)模推廣和泛在化應(yīng)用。
本文刊登于《中國(guó)信息安全》2023年第七期總第164期
圖標(biāo)鏈接/photos/csc_logo_white.png){kind=logo}
圖標(biāo)鏈接/photos/WebTrust for CA-10413.jpg)
圖標(biāo)鏈接/photos/BR SSL-10414.jpg)
圖標(biāo)鏈接/photos/EV SSL-10415.jpg)
圖標(biāo)鏈接/photos/webtrust-csb-seal_副本.jpg)
