重磅 | 我國《密碼法》正式頒布，解讀密碼分類與密碼設(shè)備管理

《密碼法》的產(chǎn)生

● 2019年6月25日，十三屆全國人大常委會第十一次會議，初次審議“密碼法”草案；

● 2019年10月26日，十三屆全國人大常委會第十四次會議表決通過《密碼法》；

● 2020年1月1日，正式施行《密碼法》。其中，明確規(guī)定“密碼分為核心密碼、普通密碼和商用密碼，實行密碼分類管理，特定范圍的商用密碼實行進口許可和出口管制”。

《密碼法》的正式頒布和實施，標(biāo)志著密碼將成為保障我國網(wǎng)絡(luò)空間安全的核心技術(shù)和位于網(wǎng)絡(luò)安全的核心地位，讓信息和網(wǎng)絡(luò)安全有法可依。

管理及保護哪些“密碼”

現(xiàn)實生活中提到“密碼”一詞，人們通常以為是“賬戶登錄密碼”、“郵箱登錄密碼”、“銀行卡支付密碼”等。其實，這些生活中的“密碼”實際上是“口令”，它是一種簡單、初級的身份認(rèn)證手段，是賬號的“通行證”。

《密碼法》旨在規(guī)范密碼應(yīng)用和管理。其所指的密碼是使用特定變換對信息等進行加密保護或安全認(rèn)證的產(chǎn)品、技術(shù)和服務(wù)。密碼主要有兩個功能，加密保護+安全認(rèn)證。最常見的如網(wǎng)銀USB Key。

加密保護是指使用數(shù)學(xué)變換，將原來可讀的信息變成不能識別的符號序列，簡單說，就是將明文變成密文。安全認(rèn)證是指使用數(shù)學(xué)變換，確認(rèn)信息是否被篡改、是否來自可靠信息源以及確認(rèn)行為是否真實，即確認(rèn)主體和信息的真實可靠性。

我們?yōu)g覽國家政務(wù)的網(wǎng)站，有時會在地址欄的最左端看到“不安全”字樣。

那這里的“不安全”指的是什么呢？會有什么影響呢？其實，這就是該HTTP網(wǎng)站沒有部署SSL證書，數(shù)據(jù)從用戶端（瀏覽器）到服務(wù)器端的傳輸是未加密的明文形式且未經(jīng)過安全身份認(rèn)證的意思，可能造成的影響有：通過該網(wǎng)站瀏覽的各種數(shù)據(jù)非常容易被非法竊取和非法篡改，網(wǎng)站的真實身份很有可能是釣魚網(wǎng)站，從而蒙受形象損害或經(jīng)濟損失等。

那么只要使用SSL證書就安全了嗎？不完全是。據(jù)統(tǒng)計，我國政府網(wǎng)站系統(tǒng)和重要信息基礎(chǔ)設(shè)施網(wǎng)站使用HTTPS加密部署比例不到1%。而這不到1%部署了SSL證書的網(wǎng)站也仍舊存在安全風(fēng)險，因為它們基本上都部署了國外CA簽發(fā)的RSA加密算法SSL證書，極有可能由于政治、經(jīng)濟和貿(mào)易糾紛等各種原因吊銷和斷供這些SSL證書，而導(dǎo)致我國的各種重要信息基礎(chǔ)設(shè)施系統(tǒng)無法正常提供服務(wù)。

而這次出臺的《密碼法》中就明確要求我國的關(guān)鍵信息基礎(chǔ)設(shè)施運營者應(yīng)當(dāng)使用商用密碼進行保護。也就是說，我國的政府網(wǎng)站和各種政務(wù)服務(wù)系統(tǒng)必須采用國產(chǎn)密碼算法的HTTPS加密，實現(xiàn)我國互聯(lián)網(wǎng)數(shù)據(jù)從用戶端到服務(wù)器端都是密文傳輸?shù)模行Х乐垢鞣N數(shù)據(jù)泄露和數(shù)據(jù)濫用犯罪。這時選擇正確的SSL證書是關(guān)鍵，讓我們看一下已部署國密算法SSL證書的HTTPS網(wǎng)站的正確打開姿勢。

對企事業(yè)單位的影響

密碼是國之重寶，是國家的重要戰(zhàn)略資源，是保護網(wǎng)絡(luò)與信息安全的基礎(chǔ)、核心和支撐。

密碼管理局相關(guān)負(fù)責(zé)人解釋，密碼是保障網(wǎng)絡(luò)與信息安全的核心技術(shù)和基礎(chǔ)支撐，是解決網(wǎng)絡(luò)與信息安全問題最有效、最可靠、最經(jīng)濟的手段。

密碼按保護信息種類，可分為核心密碼、普通密碼和商用密碼。核心密碼和普通密碼是用于保護國家密級信息的密碼。商用密碼是公民、法人和其他組織均可依法使用。特別是商用密碼，廣泛應(yīng)用于國民經(jīng)濟發(fā)展和社會生產(chǎn)生活方方面面，涵蓋金融和通信、公安、稅務(wù)、社保、交通、衛(wèi)生健康、能源、電子政務(wù)等重要領(lǐng)域，在維護國家安全、促進經(jīng)濟社會發(fā)展、保護公民、法人和社會組織合法權(quán)益方面發(fā)揮著重要作用。

通過研讀《密碼法》，我們從中就商用密碼部分的內(nèi)容進行詳解：

解讀01 商用密碼產(chǎn)品應(yīng)取得相關(guān)機構(gòu)認(rèn)證資質(zhì)

第三章第26條明確指出涉及國家安全、國計民生、社會公共利益的商用密碼產(chǎn)品，由具備資格的機構(gòu)檢測認(rèn)證合格后，方可銷售或者提供。就是說，為了保證產(chǎn)品的安全可靠，從正規(guī)渠道購買商用密碼產(chǎn)品，可最大化獲得產(chǎn)品保障及優(yōu)質(zhì)服務(wù)。亞洲誠信是一家專業(yè)的互聯(lián)網(wǎng)安全產(chǎn)品與服務(wù)供應(yīng)商，支持國家商用密碼算法，針對不同場景提供定制化服務(wù)，旗下TrustAsia 品牌SSL證書在中國市場一直保持領(lǐng)先地位，完全貼合本土化要求，是你國密算法證書的不二選擇。

解讀02 使用商用密碼保護的設(shè)施應(yīng)進行安全性評估

第三章第27條要求運營者應(yīng)當(dāng)使用商用密碼進行保護，自行或委托商用密碼檢測機構(gòu)開展商用密碼應(yīng)用安全型評估。這意味著，采購涉及商用密碼的網(wǎng)絡(luò)產(chǎn)品和服務(wù)，須通過商密測評及國家安全審核。亞洲誠信自主研發(fā)的亞數(shù)HTTPS安全網(wǎng)關(guān)（簡稱“HSG”）是一款使用商用密碼保護的網(wǎng)關(guān)設(shè)施，其中包含的密碼模塊符合GM/T0028-2014《密碼模塊安全技術(shù)要求》安全等級要求、支持SM2國密算法。因此，結(jié)合亞數(shù)HSG設(shè)備可助力您的企業(yè)通過國家商密測評，并可應(yīng)用于電商、金融、綜合、政府政務(wù)、教育、能源、工控、云、大數(shù)據(jù)中心等領(lǐng)域。

在其他領(lǐng)域的安全性使用

在網(wǎng)絡(luò)與信息時代，每天都有海量信息產(chǎn)生，全網(wǎng)裸奔和大數(shù)據(jù)濫用屢見不鮮，嚴(yán)重威脅國家秘密信息、企業(yè)商業(yè)密碼與公民個人隱私保護。

亞數(shù)信息科技（上海）有限公司多年深耕密碼技術(shù)，注重國家商用密碼算法的研究和應(yīng)用，已為各領(lǐng)域提供了全方位的產(chǎn)品及安全解決方案，為推進我國互聯(lián)網(wǎng)健康環(huán)境的建設(shè)提供支撐和保障，為《密碼法》的實施與普及提供助力。