公司新闻
数字认证首席科学家夏鲁宁:用密码保护关键信息基础设施安全是法定义务-pg电子官方
在人类历史发展的长河中,密码始终如影随形。
从最早用于军事情报传递,到后来成为国家机密信息的载体,再到如今银行转账、网上交易、在线证书等应用的技术支撑,密码已渗透到国计民生的方方面面,在保障网络实体身份真实,保护数据免遭非授权的泄露和篡改,以及确保网络实体行为的不可抵赖等方面,一直默默发挥着“守卫者”的角色。
北京数字认证股份有限公司(简称:数字认证)首席科学家、研究院院长夏鲁宁结合《密码法》等国家政策要求,阐述了如何正确使用密码,才能保障信息系统安全,实现合法、合规。
01 《密码法》:明确商用密码产业的市场化属性
2020年1月1日,《密码法》正式实施,这意味着我国密码事业发展进入有法可依时代,密码管理、科研、产业、应用、检测等环节均正式步入法制化轨道。《密码法》进一步明确了商用密码产业的市场化属性,指出要建立“健全统一、开放、竞争、有序的商用密码市场体系”,平等对待商用密码所有从业单位,通过市场竞争促进产业能力和产品质量的持续提升。
《密码法》从法律层面对密码概念做出了明确定义。根据《密码法》,密码是采用特定变换的方法对信息等进行加密保护、安全认证的技术、产品和服务,分为核心密码、普通密码和商用密码,前两者用于国家秘密信息保护,后者用于保护不属于国家秘密的信息。商用密码技术不仅可以实现对数据的加密保护,还可以实现实体身份和信息来源的安全认证等,如今已广泛应用于国民经济发展和社会生产生活的各个方面。
02 列入目录的密码产品 需经检测认证后才可销售与应用
《密码法》对密码产品管理和使用进行了明确规范。
《密码法》第26条规定,“涉及国家安全、国计民生、社会公共利益的商用密码产品,应当依法列入网络关键设备和网络安全专用产品目录,由具备资格的机构检测认证合格后,方可销售或者提供。”
第27条,“法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码进行保护,自行或者委托商用密码检测机构开展商用密码应用安全性评估。”
综合以上两条,对于关键信息基础设施运营者来说,使用密码技术保护信息系统安全不再是一道可有可无的选择题,而是一道必做题;而在关键信息基础设施建设和运营中,如果商用密码产品的应用涉及国家安全、国计民生、社会公共利益,则必须自上述两个目录中选取,且经由检测合格后才能使用。国家互联网信息办公室正在抓紧制定《关键信息基础设施安全保护条例》,该条例将明确关键信息基础设施涵盖的范围。
03 核心应用领域的密码应用布局
要切实实现密码在网络安全中的核心支撑作用,前提是密码技术得到合规、正确、有效的使用。实际应用中,因各种原因未用、误用、乱用密码技术的现象仍屡见不鲜;一些不合规、不安全的密码产品和工程实现还会给攻击者带来可乘之机,造成比不用密码更严重的安全问题。
2018年,国家相关部门印发2018-2022年密码发展规划,全面布局了密码在数字经济、信息惠民、民生保障等领域的应用,并明确提出新时代密码应用的目标:构建以密码技术为核心、多种技术相互融合的新网络安全体系;建设以密码基础设施为支撑的新网络安全环境;实现安全互信、开放共享的新网络安全文明。
04 行业标准助推密码应用“合规”
2018年2月8日,国家密码管理局发布密码行业标准《gm/t 0054-2018 信息系统密码应用基本要求》,从技术和管理两个方面,明确提出密码在信息系统中的应用要求。2020年,结合gm/t 0054-2018和两年以来密码应用实践所编制的国家标准《信息安全技术 信息系统密码应用基本要求》(以下简称“0054国标”)已经正式报批,即将发布。
0054国标从物理环境、网络通信、设备计算、应用数据四个层面,分为一至五级对信息系统密码应用提出要求。以第三级要求为例,0054国标对保障用户身份真实性、访问控制、重要数据传输、存储、以及重要信息资源安全标记等方面都给出了密码应用要求,并规定所使用的密码产品应达到gb/t 37092二级及以上安全标准。
实际上,在2019年12月1日起开始实施的国家标准《信息安全技术 网络安全等级保护基本要求》(以下简称“等保2.0”)中即对密码应用提出了明确的要求,这些要求与0054国标的要求是衔接和协调的。仍以等保三级系统为例,等保2.0对密码在通信传输、身份鉴别、数据完整性、数据保密性四个方面提出要求,比如在身份鉴别领域,提出“应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现”。
05 “三同步一评估”确保密码应用全生命周期安全
密码是保护信息系统安全的“生命线”。对于关系国计民生的政务系统而言,密码是否被正确应用、是否发挥了其作为网络安全核心技术和基础支撑的作用显得尤为重要。
2019年12月30日,国务院办公厅印发了《国家政务信息化项目建设管理办法(国办发〔2019〕57号)》(以下简称《办法》),对国家政务信息系统在规划、建设、运营和监管中的密码应用做出规定。
根据《办法》第15、25、28及30条,“项目建设单位应落实国家密码管理有关法律法规和标准规范的要求,同步规划、同步建设、同步运行密码保障系统并定期进行评估。对于不符合密码应用和网络安全要求,或者存在重大安全隐患的政务信息系统,不安排运行维护经费,项目建设单位不得新建、改建、扩建政务信息系统。”
这意味着,对于一个新建的政务信息系统,在规划、建设和运行三个阶段,都应同步进行密码应用方案设计、系统实施和定期评估。“三同步一评估”是贯穿政务信息系统生命周期的安全保障活动,其目的是通过持续的管理过程,确保密码应用有效性始终达到相应级别的要求,进而助力信息系统的安全风险水平始终处于可控范围之内。
《密码法》标志着商用密码应用和发展走入新时代,重要行业领域使用密码保护信息系统成为法定义务,密码应用安全性评估则是保障商用密码正确有效使用的手段。未来,“应用促创新、规模促迭代”是商用密码发展的主思路。密码产业也将随着政策和技术的不断升级,迈入一个快速腾飞的新空间。