在人類歷史發(fā)展的長河中，密碼始終如影隨形。

?

從最早用于軍事情報傳遞，到后來成為國家機密信息的載體，再到如今銀行轉(zhuǎn)賬、網(wǎng)上交易、在線證書等應用的技術(shù)支撐，密碼已滲透到國計民生的方方面面，在保障網(wǎng)絡實體身份真實，保護數(shù)據(jù)免遭非授權(quán)的泄露和篡改，以及確保網(wǎng)絡實體行為的不可抵賴等方面，一直默默發(fā)揮著“守衛(wèi)者”的角色。????

?

北京威廉希尔股份有限公司（簡稱：威廉希尔）首席科學家、研究院院長夏魯寧結(jié)合《密碼法》等國家政策要求，闡述了如何正確使用密碼，才能保障信息系統(tǒng)安全，實現(xiàn)合法、合規(guī)。

01 《密碼法》：明確商用密碼產(chǎn)業(yè)的市場化屬性

2020年1月1日，《密碼法》正式實施，這意味著我國密碼事業(yè)發(fā)展進入有法可依時代，密碼管理、科研、產(chǎn)業(yè)、應用、檢測等環(huán)節(jié)均正式步入法制化軌道?！睹艽a法》進一步明確了商用密碼產(chǎn)業(yè)的市場化屬性，指出要建立“健全統(tǒng)一、開放、競爭、有序的商用密碼市場體系”，平等對待商用密碼所有從業(yè)單位，通過市場競爭促進產(chǎn)業(yè)能力和產(chǎn)品質(zhì)量的持續(xù)提升。

《密碼法》從法律層面對密碼概念做出了明確定義。根據(jù)《密碼法》，密碼是采用特定變換的方法對信息等進行加密保護、安全認證的技術(shù)、產(chǎn)品和服務，分為核心密碼、普通密碼和商用密碼，前兩者用于國家秘密信息保護，后者用于保護不屬于國家秘密的信息。商用密碼技術(shù)不僅可以實現(xiàn)對數(shù)據(jù)的加密保護，還可以實現(xiàn)實體身份和信息來源的安全認證等，如今已廣泛應用于國民經(jīng)濟發(fā)展和社會生產(chǎn)生活的各個方面。

?02 列入目錄的密碼產(chǎn)品 需經(jīng)檢測認證后才可銷售與應用?

《密碼法》對密碼產(chǎn)品管理和使用進行了明確規(guī)范。

《密碼法》第26條規(guī)定，“涉及國家安全、國計民生、社會公共利益的商用密碼產(chǎn)品，應當依法列入網(wǎng)絡關(guān)鍵設備和網(wǎng)絡安全專用產(chǎn)品目錄，由具備資格的機構(gòu)檢測認證合格后，方可銷售或者提供。”

?

第27條，“法律、行政法規(guī)和國家有關(guān)規(guī)定要求使用商用密碼進行保護的關(guān)鍵信息基礎設施，其運營者應當使用商用密碼進行保護，自行或者委托商用密碼檢測機構(gòu)開展商用密碼應用安全性評估。”

?

綜合以上兩條，對于關(guān)鍵信息基礎設施運營者來說，使用密碼技術(shù)保護信息系統(tǒng)安全不再是一道可有可無的選擇題，而是一道必做題；而在關(guān)鍵信息基礎設施建設和運營中，如果商用密碼產(chǎn)品的應用涉及國家安全、國計民生、社會公共利益，則必須自上述兩個目錄中選取，且經(jīng)由檢測合格后才能使用。國家互聯(lián)網(wǎng)信息辦公室正在抓緊制定《關(guān)鍵信息基礎設施安全保護條例》，該條例將明確關(guān)鍵信息基礎設施涵蓋的范圍。

?

03 核心應用領域的密碼應用布局

?

要切實實現(xiàn)密碼在網(wǎng)絡安全中的核心支撐作用，前提是密碼技術(shù)得到合規(guī)、正確、有效的使用。實際應用中，因各種原因未用、誤用、亂用密碼技術(shù)的現(xiàn)象仍屢見不鮮；一些不合規(guī)、不安全的密碼產(chǎn)品和工程實現(xiàn)還會給攻擊者帶來可乘之機，造成比不用密碼更嚴重的安全問題。

?

2018年，國家相關(guān)部門印發(fā)2018-2022年密碼發(fā)展規(guī)劃，全面布局了密碼在數(shù)字經(jīng)濟、信息惠民、民生保障等領域的應用，并明確提出新時代密碼應用的目標：構(gòu)建以密碼技術(shù)為核心、多種技術(shù)相互融合的新網(wǎng)絡安全體系；建設以密碼基礎設施為支撐的新網(wǎng)絡安全環(huán)境；實現(xiàn)安全互信、開放共享的新網(wǎng)絡安全文明。

?

04 行業(yè)標準助推密碼應用“合規(guī)”

?

2018年2月8日，國家密碼管理局發(fā)布密碼行業(yè)標準《GM/T 0054-2018 信息系統(tǒng)密碼應用基本要求》，從技術(shù)和管理兩個方面，明確提出密碼在信息系統(tǒng)中的應用要求。2020年，結(jié)合GM/T 0054-2018和兩年以來密碼應用實踐所編制的國家標準《信息安全技術(shù) 信息系統(tǒng)密碼應用基本要求》（以下簡稱“0054國標”）已經(jīng)正式報批，即將發(fā)布。

?

0054國標從物理環(huán)境、網(wǎng)絡通信、設備計算、應用數(shù)據(jù)四個層面，分為一至五級對信息系統(tǒng)密碼應用提出要求。以第三級要求為例，0054國標對保障用戶身份真實性、訪問控制、重要數(shù)據(jù)傳輸、存儲、以及重要信息資源安全標記等方面都給出了密碼應用要求，并規(guī)定所使用的密碼產(chǎn)品應達到GB/T 37092二級及以上安全標準。

?

?

實際上，在2019年12月1日起開始實施的國家標準《信息安全技術(shù) 網(wǎng)絡安全等級保護基本要求》（以下簡稱“等保2.0”）中即對密碼應用提出了明確的要求，這些要求與0054國標的要求是銜接和協(xié)調(diào)的。仍以等保三級系統(tǒng)為例，等保2.0對密碼在通信傳輸、身份鑒別、數(shù)據(jù)完整性、數(shù)據(jù)保密性四個方面提出要求，比如在身份鑒別領域，提出“應采用口令、密碼技術(shù)、生物技術(shù)等兩種或兩種以上組合的鑒別技術(shù)對用戶進行身份鑒別，且其中一種鑒別技術(shù)至少應使用密碼技術(shù)來實現(xiàn)”。

??

05 “三同步一評估”確保密碼應用全生命周期安全?

密碼是保護信息系統(tǒng)安全的“生命線”。對于關(guān)系國計民生的政務系統(tǒng)而言，密碼是否被正確應用、是否發(fā)揮了其作為網(wǎng)絡安全核心技術(shù)和基礎支撐的作用顯得尤為重要。

2019年12月30日，國務院辦公廳印發(fā)了《國家政務信息化項目建設管理辦法(國辦發(fā)〔2019〕57號)》（以下簡稱《辦法》），對國家政務信息系統(tǒng)在規(guī)劃、建設、運營和監(jiān)管中的密碼應用做出規(guī)定。

根據(jù)《辦法》第15、25、28及30條，“項目建設單位應落實國家密碼管理有關(guān)法律法規(guī)和標準規(guī)范的要求，同步規(guī)劃、同步建設、同步運行密碼保障系統(tǒng)并定期進行評估。對于不符合密碼應用和網(wǎng)絡安全要求，或者存在重大安全隱患的政務信息系統(tǒng)，不安排運行維護經(jīng)費，項目建設單位不得新建、改建、擴建政務信息系統(tǒng)?！?/span>

?

這意味著，對于一個新建的政務信息系統(tǒng)，在規(guī)劃、建設和運行三個階段，都應同步進行密碼應用方案設計、系統(tǒng)實施和定期評估。“三同步一評估”是貫穿政務信息系統(tǒng)生命周期的安全保障活動，其目的是通過持續(xù)的管理過程，確保密碼應用有效性始終達到相應級別的要求，進而助力信息系統(tǒng)的安全風險水平始終處于可控范圍之內(nèi)。

?

《密碼法》標志著商用密碼應用和發(fā)展走入新時代，重要行業(yè)領域使用密碼保護信息系統(tǒng)成為法定義務，密碼應用安全性評估則是保障商用密碼正確有效使用的手段。未來，“應用促創(chuàng)新、規(guī)模促迭代”是商用密碼發(fā)展的主思路。密碼產(chǎn)業(yè)也將隨著政策和技術(shù)的不斷升級，邁入一個快速騰飛的新空間。

上一篇：威廉希尔入選“中國網(wǎng)絡安全能力100強”領軍者行列 下一篇：威廉希尔參與4項網(wǎng)絡安全國家標準正式發(fā)布

關(guān)閉