《密码法》的产生
● 2019年6月25日,十三届全国人大常委会第十一次会议,初次审议《中华人民共和国密码法》(简称“密码法”)草案;
● 2019年10月26日,十三届全国人大常委会第十四次会议表决通过《密码法》;
● 2020年1月1日,正式施行《密码法》。其中,明确规定“密码分为核心密码、普通密码和商用密码,实行密码分类管理,特定范围的商用密码实行进口许可和出口管制”。
《密码法》的正式颁布和实施,标志着密码将成为保障我国网络空间安全的核心技术和位于网络安全的核心地位,让信息和网络安全有法可依。
管理及保护哪些“密码”
现实生活中提到“密码”一词,人们通常以为是“账户登录密码”、“邮箱登录密码”、“银行卡支付密码”等。其实,这些生活中的“密码”实际上是“口令”,它是一种简单、初级的身份认证手段,是账号的“通行证”。
《密码法》旨在规范密码应用和管理。其所指的密码是使用特定变换对信息等进行加密保护或安全认证的产品、技术和服务。密码主要有两个功能,加密保护+安全认证。最常见的如网银USB Key。
加密保护是指使用数学变换,将原来可读的信息变成不能识别的符号序列,简单说,就是将明文变成密文。安全认证是指使用数学变换,确认信息是否被篡改、是否来自可靠信息源以及确认行为是否真实,即确认主体和信息的真实可靠性。
那这里的“不安全”指的是什么呢?会有什么影响呢?其实,这就是该HTTP网站没有部署SSL证书,数据从用户端(浏览器)到服务器端的传输是未加密的明文形式且未经过安全身份认证的意思,可能造成的影响有:通过该网站浏览的各种数据非常容易被非法窃取和非法篡改,网站的真实身份很有可能是钓鱼网站,从而蒙受形象损害或经济损失等。
那么只要使用SSL证书就安全了吗?不完全是。据统计,我国政府网站系统和重要信息基础设施网站使用HTTPS加密部署比例不到1%。而这不到1%部署了SSL证书的网站也仍旧存在安全风险,因为它们基本上都部署了国外CA签发的RSA加密算法SSL证书,极有可能由于政治、经济和贸易纠纷等各种原因吊销和断供这些SSL证书,而导致我国的各种重要信息基础设施系统无法正常提供服务。
而这次出台的《密码法》中就明确要求我国的关键信息基础设施运营者应当使用商用密码进行保护。也就是说,我国的政府网站和各种政务服务系统必须采用国产密码算法的HTTPS加密,实现我国互联网数据从用户端到服务器端都是密文传输的,有效防止各种数据泄露和数据滥用犯罪。这时选择正确的SSL证书是关键,让我们看一下已部署国密算法SSL证书的HTTPS网站的正确打开姿势。
对企事业单位的影响
密码是国之重宝,是国家的重要战略资源,是保护网络与信息安全的基础、核心和支撑。
国家密码管理局相关负责人解释,密码是保障网络与信息安全的核心技术和基础支撑,是解决网络与信息安全问题最有效、最可靠、最经济的手段。
密码按保护信息种类,可分为核心密码、普通密码和商用密码。核心密码和普通密码是用于保护国家密级信息的密码。商用密码是公民、法人和其他组织均可依法使用。特别是商用密码,广泛应用于国民经济发展和社会生产生活方方面面,涵盖金融和通信、公安、税务、社保、交通、卫生健康、能源、电子政务等重要领域,在维护国家安全、促进经济社会发展、保护公民、法人和社会组织合法权益方面发挥着重要作用。
通过研读《密码法》,我们从中就商用密码部分的内容进行详解:
解读01 商用密码产品应取得相关机构认证资质
第三章第26条明确指出涉及国家安全、国计民生、社会公共利益的商用密码产品,由具备资格的机构检测认证合格后,方可销售或者提供。就是说,为了保证产品的安全可靠,从正规渠道购买商用密码产品,可最大化获得产品保障及优质服务。亚洲诚信是一家专业的互联网安全产品与服务供应商,支持国家商用密码算法,针对不同场景提供定制化服务,旗下TrustAsia 品牌SSL证书在中国市场一直保持领先地位,完全贴合本土化要求,是你国密算法证书的不二选择。
解读02 使用商用密码保护的设施应进行安全性评估
第三章第27条要求运营者应当使用商用密码进行保护,自行或委托商用密码检测机构开展商用密码应用安全型评估。这意味着,采购涉及商用密码的网络产品和服务,须通过商密测评及国家安全审核。亚洲诚信自主研发的亚数HTTPS安全网关(简称“HSG”)是一款使用商用密码保护的网关设施,其中包含的密码模块符合GM/T0028-2014《密码模块安全技术要求》安全等级要求、支持SM2国密算法。因此,结合亚数HSG设备可助力您的企业通过国家商密测评,并可应用于电商、金融、综合、政府政务、教育、能源、工控、云、大数据中心等领域。