不可不知 | 密碼法，守護在你身邊的安全衛士

2020年1月1日，伴隨着元月的鐘聲，我國密碼領域的第一部法律——《中華人民共和國密碼法》正式施行！

密碼法旨在規範密碼應用和管理，促進密碼事業發展，保障網絡與信息安全，提升密碼管理科學化、規範化、法治化水平，是我國密碼領域的綜合性、基礎性法律。

密碼法的頒佈實施，是我國密碼發展史上具有里程碑意義，對維護我國網絡空間安全、促進信息化發展具有重要意義，也直接關係企業商業祕密的依法保護，關係社會公衆在網絡空間生活的安全和便利。

 

 

說到密碼，你能想到什麼 

密碼法的出臺，使神祕的密碼真正進入了公共視野。在網絡世界，密碼就像一個看不見的安全衛士，無時無刻不在守護着網絡與信息安全。

現實生活中人們通常認爲是計算機或手機開機、電子郵箱登錄“密碼”、銀行卡支付“密碼”等。這些“密碼”實際上是口令，是進入電子設備或賬號的“通行證”，是最簡易的密碼。

密碼法中的密碼，並非日常生活中由數字、字母和符號組成的登錄或支付密碼等，而是指使用特定變換對信息等進行加密保護或者安全認證的產品、技術和服務。密碼的主要功能有兩個：一個是加密保護，另一個是安全認證。

密碼的這兩大特殊功能，決定了密碼在網絡空間中身份識別、安全隔離、完整性保護、信息加密和抗抵賴性等方面，具有不可替代的重要作用。

 

例如：已部署SSL證書的HTTPS網站，實現了互聯網數據從用戶端到服務器端加密傳輸和網站身份認證的雙重安全保障，防劫持、防篡改、防監聽，有效防止各種數據泄露和數據濫用犯罪，作爲當今網絡數據加密的主要協議之一，SSL協議保證用戶之間在網上傳遞信息的安全性、真實性、可靠性、完整性和不可抵賴性，具有優秀的多用途、跨平臺性能，具有廣泛的適用性。

圖：亞洲誠信國密算法SSL證書

 

密碼是保障大數據安全的有效手段 

密碼是網絡空間安全的核心技術，保障大數據安全的有效手段，也是護航經濟發展的基礎支撐。在維護國家安全、促進經濟社會發展、保護公民、法人和社會組織合法權益方面發揮着重要作用。

隨着大數據的發展，密碼技術被賦予了更重要的內涵。密碼技術與核技術、航天技術一直被視作國家安全的三大支撐技術，在身份認證、安全隔離、信息加密等方面它有着獨特的、不可替代的作用，採用密碼技術對大數據進行安全保護大有用武之地。

 

核心密碼、普通密碼和商用密碼 

密碼分爲核心密碼、普通密碼和商用密碼。

其中，核心密碼和普通密碼用於保護國家祕密信息，商用密碼用於保護不屬於國家祕密的信息，公民、法人和其他組織可以依法使用商用密碼保護網絡與信息安全。

商用密碼的應用涵蓋多個重要領域，在維護國家安全、促進經濟社會發展、保護公民、法人和社會組織合法權益方面發揮着重要作用。

因此，商用密碼面臨着規範管理的問題。商用密碼檢測、認證機構應當在檢測認證中所知悉的國家祕密和商業祕密承擔保密義務。涉國家安全、公共利益等商用密碼經檢測認證合格方可銷售。

 

 

密碼法對商用密碼有哪些規定 

➡️ 規定國家鼓勵商用密碼技術的研究開發和應用，健全商用密碼市場體系，鼓勵和促進商用密碼產業發展；

➡️ 規定了商用密碼標準化制度；建立了商用密碼檢測認證制度，並鼓勵從業單位自願接受商用密碼檢測認證；對列入網絡關鍵設備和網絡安全專用產品目錄的商用密碼產品、用於網絡關鍵設備和網絡安全專用產品的商用密碼服務實行強制性檢測認證；

➡️ 規定關鍵信息基礎設施應當依法使用商用密碼、開展安全性評估及國家安全審查；對特定範圍的商用密碼實行進口許可和出口管制制度；

 

商用密碼與關鍵信息基礎設施保護 

在商用密碼的安全風險評估方面，草案二審稿規定，法律、行政法規和國家有關規定要求使用商用密碼進行保護的關鍵信息基礎設施，其運營者應當使用商用密碼進行保護，自行或者委託商用密碼檢測機構開展商用密碼應用安全性評估。商用密碼應用安全性評估應當與關鍵信息基礎設施安全檢測評估、網絡安全等級測評制度相銜接，避免重複評估、測評。

 

 

通過密碼安全性評估需要關注哪些 

當前，我國密碼安全性評估主要依據是《GM∕T 0054-2018 信息系統密碼應用基本要求》，其對信息系統的規劃、建設、運行三個階段的密碼應用情況安全性評估進行了詳細的規定：

◇ 在密碼算法方面，信息系統中使用的密碼算法應當符合法律、法規的規定和密碼相關國家標準、行業標準的有關要求。如使用國家批准的商用密碼算法SM2、SM3、SM4等。

◇ 在密碼技術方面，密碼技術中涉及的標準密碼協議應符合國內相關密碼標準，如果是自定義的密碼協議，設計要安全合理，同時遵循相關密碼標準。如針對SSL相關應用，設計標準應遵循《GM/T 0024-2014 SSL VPN 技術規範》。

◇ 在密碼產品方面，信息系統中使用的密碼產品與密碼模塊應通過國家密碼管理部門覈准。如信息系統中使用的密碼模塊應具備商密型號證書。

◇ 在密碼服務方面，信息系統中使用的密碼服務應通過國家密碼管理部門的許可。

 

圖：亞數HTTPS安全網關（簡稱“HSG”）

 

 

“沒有網絡安全就沒有國家安全”，密碼作爲網絡安全的核心技術和基礎支撐，是構建網絡信任體系的重要基石，也是網絡安全產業發展的基礎保障。密碼的普及使用也將提高我國的網絡安全防護能力。