不可不知 | 密码法,守护在你身边的安全卫士
2020-01-08 15:44:04 Author: www.secpulse.com(查看原文) 阅读量:291 收藏

2020年1月1日,伴随着元月的钟声,我国密码领域的第一部法律——《中华人民共和国密码法》正式施行!

1578289738265166.jpeg

密码法旨在规范密码应用和管理,促进密码事业发展,保障网络与信息安全,提升密码管理科学化、规范化、法治化水平,是我国密码领域的综合性、基础性法律。

密码法的颁布实施,是我国密码发展史上具有里程碑意义,对维护我国网络空间安全、促进信息化发展具有重要意义,也直接关系企业商业秘密的依法保护,关系社会公众在网络空间生活的安全和便利。

说到密码,你能想到什么 

1578289782580562.gif

密码法的出台,使神秘的密码真正进入了公共视野。在网络世界,密码就像一个看不见的安全卫士,无时无刻不在守护着网络与信息安全。

现实生活中人们通常认为是计算机或手机开机、电子邮箱登录“密码”、***支付“密码”等。这些“密码”实际上是口令,是进入电子设备或账号的“通行证”,是最简易的密码。

密码法中的密码,并非日常生活中由数字、字母和符号组成的登录或支付密码等,而是指使用特定变换对信息等进行加密保护或者安全认证的产品、技术和服务。密码的主要功能有两个:一个是加密保护,另一个是安全认证。

密码的这两大特殊功能,决定了密码在网络空间中身份识别、安全隔离、完整性保护、信息加密和抗抵赖性等方面,具有不可替代的重要作用。

例如:已部署SSL证书的HTTPS网站,实现了互联网数据从用户端到服务器端加密传输和网站身份认证的双重安全保障,防劫持、防篡改、防监听,有效防止各种数据泄露和数据滥用犯罪,作为当今网络数据加密的主要协议之一,SSL协议保证用户之间在网上传递信息的安全性、真实性、可靠性、完整性和不可抵赖性,具有优秀的多用途、跨平台性能,具有广泛的适用性。

1578289878336988.jpg

图:亚洲诚信国密算法SSL证书

密码是保障大数据安全的有效手段 

密码是网络空间安全的核心技术,保障大数据安全的有效手段,也是护航经济发展的基础支撑。在维护国家安全、促进经济社会发展、保护公民、法人和社会组织合法权益方面发挥着重要作用。

随着大数据的发展,密码技术被赋予了更重要的内涵。密码技术与核技术、航天技术一直被视作国家安全的三大支撑技术,在身份认证、安全隔离、信息加密等方面它有着独特的、不可替代的作用,采用密码技术对大数据进行安全保护大有用武之地。

1578290062370210.jpg

核心密码、普通密码和商用密码 

密码分为核心密码、普通密码和商用密码

其中,核心密码和普通密码用于保护国家秘密信息,商用密码用于保护不属于国家秘密的信息,公民、法人和其他组织可以依法使用商用密码保护网络与信息安全。

商用密码的应用涵盖多个重要领域,在维护国家安全、促进经济社会发展、保护公民、法人和社会组织合法权益方面发挥着重要作用。

因此,商用密码面临着规范管理的问题。商用密码检测、认证机构应当在检测认证中所知悉的国家秘密和商业秘密承担保密义务。涉国家安全、公共利益等商用密码经检测认证合格方可销售。

密码法对商用密码有哪些规定 

➡️ 规定国家鼓励商用密码技术的研究开发和应用,健全商用密码市场体系,鼓励和促进商用密码产业发展;

➡️ 规定了商用密码标准化制度;建立了商用密码检测认证制度,并鼓励从业单位自愿接受商用密码检测认证;对列入网络关键设备和网络安全专用产品目录的商用密码产品、用于网络关键设备和网络安全专用产品的商用密码服务实行强制性检测认证;

➡️ 规定关键信息基础设施应当依法使用商用密码、开展安全性评估及国家安全审查;对特定范围的商用密码实行进口许可和出口管制制度;

商用密码与关键信息基础设施保护 

在商用密码的安全风险评估方面,草案二审稿规定,法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码进行保护,自行或者委托商用密码检测机构开展商用密码应用安全性评估。商用密码应用安全性评估应当与关键信息基础设施安全检测评估、网络安全等级测评制度相衔接,避免重复评估、测评。

通过密码安全性评估需要关注哪些 

当前,我国密码安全性评估主要依据是《GM∕T 0054-2018 信息系统密码应用基本要求》,其对信息系统的规划、建设、运行三个阶段的密码应用情况安全性评估进行了详细的规定:

◇ 在密码算法方面,信息系统中使用的密码算法应当符合法律、法规的规定和密码相关国家标准、行业标准的有关要求。如使用国家批准的商用密码算法SM2、SM3、SM4等。

◇ 在密码技术方面,密码技术中涉及的标准密码协议应符合国内相关密码标准,如果是自定义的密码协议,设计要安全合理,同时遵循相关密码标准。如针对SSL相关应用,设计标准应遵循《GM/T 0024-2014 SSL VPN 技术规范》。

◇ 在密码产品方面,信息系统中使用的密码产品与密码模块应通过国家密码管理部门核准。如信息系统中使用的密码模块应具备商密型号证书。

◇ 在密码服务方面,信息系统中使用的密码服务应通过国家密码管理部门的许可。

1578290194572108.jpg

“没有网络安全就没有国家安全”,密码作为网络安全的核心技术和基础支撑,是构建网络信任体系的重要基石,也是网络安全产业发展的基础保障。密码的普及使用也将提高我国的网络安全防护能力。

本文作者:TrustAsia亚洲诚信

本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/121810.html


文章来源: https://www.secpulse.com/archives/121810.html
如有侵权请联系:admin#unsafe.sh