专家解读|刘平:商用密码迎来发展新机遇
近日,国务院发布了修订后的《商用密码管理条例》(以下简称《条例》)。新修订的《商用密码管理条例》清晰界定了商用密码管理范围,合理设置了管理环节,明确了管理条件和程序,宽严有度,规范到位,对促进商用密码技术进步和商用密码产业发展具有重要意义。
一、鼓励密码科技创新,促进密码科技进步
《条例》第七条、第八条对促进商用密码科学技术创新,开展商用密码科技成果转化及成果信息管理进行了规定;第九条对商用密码技术审查鉴定进行了规定;第十条、第十一条对商用密码标准的制定、实施、监督、国际化以及法律效力进行了规定。
应用需求是商用密码科技创新的动力,不断创新才能不断进步。商用密码用于保护不属于国家秘密的信息,其应用场景往往与国家关键信息基础设施和人民群众日常生活密切相关,涵盖金融、通信、公安、税务、社保、交通、卫生健康、能源、电子政务等重要领域,在维护国家安全,促进经济社会发展,保护公民、法人和其他组织合法权益等方面发挥着重要作用。国内外日益严峻的网络安全态势,信息领域新技术、新业态、新模式的快速发展,引发了对商用密码科技创新的迫切需求,为商用密码科技创新提供了广阔舞台。
商用密码标准是合规正确有效使用密码的遵循依据,创新成果成为标准才能广泛推广。商用密码标准的作用是规范密码技术的有效使用和密码产品市场准入的检测认证。所以,为合规正确有效使用商用密码技术,研发有市场竞争力的商用密码产品,应当遵循相关标准;为使商用密码科技创新的成果广泛推广使用,应当使其成为标准。
二、建立商用密码检测认证体系,自愿检测认证与强制检测认证相结合
《条例》第十二条落实《密码法》规定的推进商用密码检测认证体系建设,鼓励商用密码从业单位自愿接受商用密码检测认证;第十三条至第十九条依法明确检测、认证机构资质审批条件、程序及其从业规范;第十七条规定实行商用密码产品、服务、管理体系的国家统一推行的自愿性认证制度;第二十条、第二十一条规定对涉及国家安全、国计民生、社会公共利益的商用密码产品和服务,实行强制性检测认证。
密码是保障信息安全的关键技术,密码发挥作用需各方参与。密码供给方把密码技术落到实处,为需求方实现密码应用提供密码支撑;密码需求方把密码技术用到实处,解决信息系统的安全问题;密码技术、密码支撑和密码应用共同作用,保障信息系统安全。密码产品和服务是指承载密码技术、实现密码功能、支撑信息系统使用密码技术的实体,密码需求方使用密码产品和服务,把密码技术落实到应用中,解决安全问题。
密码产品和服务是保障安全的实体,保障安全的实体自身应当安全。信息系统使用不安全的密码产品和服务,会比不使用带来更大的安全问题。需求方如何确定采购的密码产品和服务正确地实现了密码技术,正确地提供了密码功能,自身安全达到了预期的安全等级?商用密码从业单位不能自说自话,应当出具商用密码认证机构颁发的认证合格的证书予以证明。
电子认证的基础是信任,信任机制的实现靠密码技术。《电子签名法》明确“可靠的电子签名与手写签名或者盖章具有同等的法律效力”。公钥密码技术的实施需要一个大家都信任的权威机构,来为大家提供“证明公钥属于谁”的服务,这个权威机构称为电子认证服务机构,不同的电子认证服务机构之间需要互信互认,上下级的电子认证服务机构需要有效管理,这个互信互认、有效管理的机制称为电子认证信任机制。《条例》明确“国家建立统一的电子认证信任机制”,并且由“国家密码管理部门负责电子认证信任源的规划和管理”。
对电子认证服务使用密码的行为依法实施管理,是《电子签名法》赋予国家密码管理部门的职能,电子认证服务机构应当按照法律、行政法规和电子认证服务密码使用技术规范、规则,使用商用密码提供电子认证服务。
三、建立统一的电子认证信任机制,依法管理电子认证服务密码使用
《条例》依据《密码法》和《电子签名法》,在第二十二条、第二十三条中明确电子认证服务机构采用商用密码技术提供电子认证服务应具备相关条件和遵循相关法律和规范;在第二十四条至第二十八条中明确电子政务电子认证服务机构的资质申请、条件认定和从业规范等内容;在第三十条中明确了政务活动中的电子签名、电子印章、电子证照等的电子认证服务要求。
电子认证的基础是信任,信任机制的实现靠密码技术。《电子签名法》明确“可靠的电子签名与手写签名或者盖章具有同等的法律效力”。公钥密码技术的实施需要一个大家都信任的权威机构,来为大家提供“证明公钥属于谁”的服务,这个权威机构称为电子认证服务机构,不同的电子认证服务机构之间需要互信互认,上下级的电子认证服务机构需要有效管理,这个互信互认、有效管理的机制称为电子认证信任机制。《条例》明确“国家建立统一的电子认证信任机制”,并且由“国家密码管理部门负责电子认证信任源的规划和管理”。
对电子认证服务使用密码的行为依法实施管理,是《电子签名法》赋予国家密码管理部门的职能,电子认证服务机构应当按照法律、行政法规和电子认证服务密码使用技术规范、规则,使用商用密码提供电子认证服务。
四、促进密码技术应用,保障网络与信息安全
《条例》突出促进应用、保障安全的导向,第三十五条、第三十六条鼓励公民、法人和其他组织依法使用商用密码;第三十八条、第三十九条明确关键信息基础设施商用密码使用和安全性评估要求,同时第四十条明确关键信息基础设施的商用密码国家安全审查要求。
密码应用,是密码需求方用密码技术解决安全问题的过程。密码无处不在,任何网络与信息系统都可以使用密码技术满足机密性、真实性、完整性、不可否认性的安全需求。网络与信息系统的运营者可以使用经检测认证合格的密码产品和服务,遵循密码国家标准和行业标准,针对网络与信息系统的安全需求,制定密码应用方案,按照“三同步一评估”原则,同步规划、同步建设、同步运行密码保障系统,定期开展商用密码应用安全性评估。
密码应用方式,包括对业务应用透明和非透明两种。对业务应用透明的密码应用方式,一般用于保护网络与信息系统的物理环境、网络环境、计算环境和存储环境的安全,密码应用的重点是根据实际环境及安全需求,部署和管理密码产品,使其发挥作用;对业务应用非透明的密码应用方式,主要用于保障承载在计算环境上的业务应用的安全,包括用户和管理人员的身份真实性及行为的不可否认性、重要数据的机密性和完整性、重要业务流程和重要业务对象的安全性等,密码应用的特点是调用密码功能,使用密码技术,解决业务应用安全问题。
五、结束语
《条例》的修订发布和实施,是商用密码发展史上的一件大事,对商用密码的发展有深远的意义。商用密码从业单位应认真研读,仔细领会,严格遵守。
文章来源:国家密码管理局
国家信息安全工程技术研究中心 刘平
