密碼法正式發(fā)布，密碼安全性評(píng)估成為焦點(diǎn)

10月26日，《中華人民共和國(guó)密碼法》正式通過(guò)十三屆全國(guó)人大常委會(huì)第十四次會(huì)議表決，將自2020年1月1日起施行。從2014年12月起草至今，五年間密碼法多次面向社會(huì)公開(kāi)征求意見(jiàn)，經(jīng)過(guò)反復(fù)修改和調(diào)整，終于在今天下午正式發(fā)布。

那么，密碼法的發(fā)布將會(huì)對(duì)企事業(yè)單位帶來(lái)怎樣的影響呢?

密碼進(jìn)行分類(lèi)管理 需主動(dòng)進(jìn)行密碼安全評(píng)估

本次發(fā)布的密碼法適用于密碼技術(shù)的生產(chǎn)方、使用方以及監(jiān)督主管方，覆蓋密碼的科研、生產(chǎn)、經(jīng)營(yíng)、進(jìn)出口、檢測(cè)、認(rèn)證、使用和監(jiān)督管理等活動(dòng)。

密碼法中將密碼分類(lèi)為核心密碼、普通密碼與商用密碼，并明確要求對(duì)這三類(lèi)密碼實(shí)行分類(lèi)管理。其中“核心密碼”與“普通密碼”被用來(lái)保護(hù)國(guó)家秘密信息，涉密單位應(yīng)重點(diǎn)關(guān)注對(duì)于這兩類(lèi)密碼的管理。對(duì)這兩類(lèi)密碼，密碼法要求實(shí)行密碼“保密責(zé)任制”和“安全風(fēng)險(xiǎn)評(píng)估”機(jī)制。

而商用密碼被用于保護(hù)不屬于國(guó)家秘密的信息，公民、法人和其他組織可以依法使用商用密碼保護(hù)網(wǎng)絡(luò)與信息安全。一般來(lái)說(shuō)非涉密單位接觸到的密碼應(yīng)用，都屬于商用密碼，應(yīng)遵循國(guó)家密碼局商用密碼管理有關(guān)條例規(guī)定。

本次密碼法發(fā)布對(duì)于非涉密的企事業(yè)單位來(lái)說(shuō)，最大的影響就是必須要主動(dòng)進(jìn)行“密碼安全性評(píng)估”。根據(jù)《密碼法》要求，商用密碼產(chǎn)品及服務(wù)使用方應(yīng)按照國(guó)家密碼管理局有關(guān)規(guī)定，對(duì)商用密碼產(chǎn)品、密碼服務(wù)、密碼技術(shù)進(jìn)行安全性以及合規(guī)性認(rèn)證。而對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施，應(yīng)采用商用密碼進(jìn)行保護(hù)，并進(jìn)行密碼安全性評(píng)估，同時(shí)與關(guān)鍵信息基礎(chǔ)設(shè)施安全檢測(cè)評(píng)估、網(wǎng)絡(luò)安全等級(jí)測(cè)評(píng)制度密碼相關(guān)要求相銜接。

密碼安全性評(píng)估以GM/T0054標(biāo)準(zhǔn)為主要依據(jù)

當(dāng)前，我國(guó)密碼安全性評(píng)估主要依據(jù)是《GM∕T 0054-2018 信息系統(tǒng)密碼應(yīng)用基本要求》，其對(duì)信息系統(tǒng)的規(guī)劃、建設(shè)、運(yùn)行三個(gè)階段的密碼應(yīng)用情況安全性評(píng)估進(jìn)行了詳細(xì)的規(guī)定，主要集中在密碼算法、密碼技術(shù)、密碼產(chǎn)品和密碼服務(wù)四個(gè)方面。

在密碼算法方面，信息系統(tǒng)中使用的密碼算法應(yīng)當(dāng)符合法律、法規(guī)的規(guī)定和密碼相關(guān)國(guó)家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)的有關(guān)要求。如使用國(guó)家批準(zhǔn)的商用密碼算法SM2、SM3、SM4等;

在密碼技術(shù)方面，密碼技術(shù)中涉及的標(biāo)準(zhǔn)密碼協(xié)議應(yīng)符合國(guó)內(nèi)相關(guān)密碼標(biāo)準(zhǔn)，如果是自定義的密碼協(xié)議，設(shè)計(jì)要安全合理，同時(shí)遵循相關(guān)密碼標(biāo)準(zhǔn)。如針對(duì)SSL相關(guān)應(yīng)用，設(shè)計(jì)標(biāo)準(zhǔn)應(yīng)遵循《GM/T 0024-2014 SSL VPN 技術(shù)規(guī)范》;

在密碼產(chǎn)品方面，信息系統(tǒng)中使用的密碼產(chǎn)品與密碼模塊應(yīng)通過(guò)國(guó)家密碼管理部門(mén)核準(zhǔn)。如信息系統(tǒng)中使用的密碼模塊應(yīng)具備商密型號(hào)證書(shū);

在密碼服務(wù)方面，信息系統(tǒng)中使用的密碼服務(wù)應(yīng)通過(guò)國(guó)家密碼管理部門(mén)的許可。

騰訊安全云數(shù)據(jù)加密服務(wù)提供全生命周期的國(guó)密數(shù)據(jù)保護(hù)能力

在密碼服務(wù)及數(shù)據(jù)安全方向，騰訊安全打造了端到端的云數(shù)據(jù)全生命周期安全體系，以“云數(shù)據(jù)安全能力中臺(tái)”為中心，保障數(shù)據(jù)在識(shí)別、使用、消費(fèi)過(guò)程中的安全。在這套數(shù)據(jù)安全體系中，騰訊安全提供全數(shù)據(jù)生命周期、完整的云產(chǎn)品生態(tài)集成、以及完全符合國(guó)家密碼局標(biāo)準(zhǔn)的高性能?chē)?guó)密算法加密API/SDK服務(wù)。

(騰訊安全云數(shù)據(jù)安全能力中臺(tái)架構(gòu)圖)

在騰訊安全云數(shù)據(jù)安全能力中臺(tái)的架構(gòu)中，合規(guī)的密碼運(yùn)算(算法)、密碼技術(shù)、密碼產(chǎn)品以組件化、服務(wù)化方式輸出，用戶(hù)可便捷的將加密組件集成至云上業(yè)務(wù)系統(tǒng)中。典型云產(chǎn)品應(yīng)用包括密鑰管理系統(tǒng)KMS、云加密機(jī)CloudHSM、以及基于國(guó)密的SDK套件服務(wù)、基于國(guó)密KMS標(biāo)準(zhǔn)的憑據(jù)管理服務(wù)。

借助騰訊安全云數(shù)據(jù)加密服務(wù)中臺(tái)提供的極簡(jiǎn)化的加密API和SDK服務(wù)，用戶(hù)可以輕松的在各個(gè)業(yè)務(wù)環(huán)節(jié)中嵌入合規(guī)的加密及密碼技術(shù)，以及便捷的實(shí)現(xiàn)對(duì)現(xiàn)有業(yè)務(wù)的密碼應(yīng)用進(jìn)行合規(guī)化改造。

生成海報(bào)

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書(shū)面權(quán)利通知或不實(shí)情況說(shuō)明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開(kāi)相關(guān)鏈接。