重磅 | 我國《密碼法》正式頒佈，解讀密碼分類與密碼設備管理

《密碼法》的產生

● 2019年6月25日，十三屆全國人大常委會第十一次會議，初次審議“密碼法”草案；

● 2019年10月26日，十三屆全國人大常委會第十四次會議表決通過《密碼法》；

● 2020年1月1日，正式施行《密碼法》。其中，明確規定“密碼分爲核心密碼、普通密碼和商用密碼，實行密碼分類管理，特定範圍的商用密碼實行進口許可和出口管制”。

《密碼法》的正式頒佈和實施，標誌着密碼將成爲保障我國網絡空間安全的核心技術和位於網絡安全的核心地位，讓信息和網絡安全有法可依。

管理及保護哪些“密碼”

現實生活中提到“密碼”一詞，人們通常以爲是“賬戶登錄密碼”、“郵箱登錄密碼”、“銀行卡支付密碼”等。其實，這些生活中的“密碼”實際上是“口令”，它是一種簡單、初級的身份認證手段，是賬號的“通行證”。

《密碼法》旨在規範密碼應用和管理。其所指的密碼是使用特定變換對信息等進行加密保護或安全認證的產品、技術和服務。密碼主要有兩個功能，加密保護+安全認證。最常見的如網銀USB Key。

加密保護是指使用數學變換，將原來可讀的信息變成不能識別的符號序列，簡單說，就是將明文變成密文。安全認證是指使用數學變換，確認信息是否被篡改、是否來自可靠信息源以及確認行爲是否真實，即確認主體和信息的真實可靠性。

我們瀏覽國家政務的網站，有時會在地址欄的最左端看到“不安全”字樣。

那這裏的“不安全”指的是什麼呢？會有什麼影響呢？其實，這就是該HTTP網站沒有部署SSL證書，數據從用戶端（瀏覽器）到服務器端的傳輸是未加密的明文形式且未經過安全身份認證的意思，可能造成的影響有：通過該網站瀏覽的各種數據非常容易被非法竊取和非法篡改，網站的真實身份很有可能是釣魚網站，從而蒙受形象損害或經濟損失等。

那麼只要使用SSL證書就安全了嗎？不完全是。據統計，我國政府網站系統和重要信息基礎設施網站使用HTTPS加密部署比例不到1%。而這不到1%部署了SSL證書的網站也仍舊存在安全風險，因爲它們基本上都部署了國外CA簽發的RSA加密算法SSL證書，極有可能由於政治、經濟和貿易糾紛等各種原因吊銷和斷供這些SSL證書，而導致我國的各種重要信息基礎設施系統無法正常提供服務。

而這次出臺的《密碼法》中就明確要求我國的關鍵信息基礎設施運營者應當使用商用密碼進行保護。也就是說，我國的政府網站和各種政務服務系統必須採用國產密碼算法的HTTPS加密，實現我國互聯網數據從用戶端到服務器端都是密文傳輸的，有效防止各種數據泄露和數據濫用犯罪。這時選擇正確的SSL證書是關鍵，讓我們看一下已部署國密算法SSL證書的HTTPS網站的正確打開姿勢。

對企事業單位的影響

密碼是國之重寶，是國家的重要戰略資源，是保護網絡與信息安全的基礎、核心和支撐。

密碼管理局相關負責人解釋，密碼是保障網絡與信息安全的核心技術和基礎支撐，是解決網絡與信息安全問題最有效、最可靠、最經濟的手段。

密碼按保護信息種類，可分爲核心密碼、普通密碼和商用密碼。核心密碼和普通密碼是用於保護國家密級信息的密碼。商用密碼是公民、法人和其他組織均可依法使用。特別是商用密碼，廣泛應用於國民經濟發展和社會生產生活方方面面，涵蓋金融和通信、公安、稅務、社保、交通、衛生健康、能源、電子政務等重要領域，在維護國家安全、促進經濟社會發展、保護公民、法人和社會組織合法權益方面發揮着重要作用。

通過研讀《密碼法》，我們從中就商用密碼部分的內容進行詳解：

解讀01 商用密碼產品應取得相關機構認證資質

第三章第26條明確指出涉及國家安全、國計民生、社會公共利益的商用密碼產品，由具備資格的機構檢測認證合格後，方可銷售或者提供。就是說，爲了保證產品的安全可靠，從正規渠道購買商用密碼產品，可最大化獲得產品保障及優質服務。亞洲誠信是一家專業的互聯網安全產品與服務供應商，支持國家商用密碼算法，針對不同場景提供定製化服務，旗下TrustAsia 品牌SSL證書在中國市場一直保持領先地位，完全貼合本土化要求，是你國密算法證書的不二選擇。

解讀02 使用商用密碼保護的設施應進行安全性評估

第三章第27條要求運營者應當使用商用密碼進行保護，自行或委託商用密碼檢測機構開展商用密碼應用安全型評估。這意味着，採購涉及商用密碼的網絡產品和服務，須通過商密測評及國家安全審覈。亞洲誠信自主研發的亞數HTTPS安全網關（簡稱“HSG”）是一款使用商用密碼保護的網關設施，其中包含的密碼模塊符合GM/T0028-2014《密碼模塊安全技術要求》安全等級要求、支持SM2國密算法。因此，結合亞數HSG設備可助力您的企業通過國家商密測評，並可應用於電商、金融、綜合、政府政務、教育、能源、工控、雲、大數據中心等領域。

在其他領域的安全性使用

在網絡與信息時代，每天都有海量信息產生，全網裸奔和大數據濫用屢見不鮮，嚴重威脅國家祕密信息、企業商業密碼與公民個人隱私保護。

亞數信息科技（上海）有限公司多年深耕密碼技術，注重國家商用密碼算法的研究和應用，已爲各領域提供了全方位的產品及安全解決方案，爲推進我國互聯網健康環境的建設提供支撐和保障，爲《密碼法》的實施與普及提供助力。