“我”读密码法

发布时间 2019-10-28
《中华人民共和国密码法》已由中华人民共和国第十三届全国人民代表大会常务委员会第十四次会议于2019年10月26日通过审议,将于2020年1月1日起正式施行。


密码是国家的重要战备资源,是国之重器。
密码是保护网络安全的核心技术和最基础的支撑。
密码工作也是党和国家的一项特殊重要的工作,它直接关系国家政治安全、经济安全、国防安全和信息安全,在我国的各个历史时期,密码都发挥了不可替代的作用。

立法的过程

 
立法的原则



立法的意义



密码法法律框架


密码法是国家安全法律体系的重要组成部分,也是一部技术性、专业性较强的专门法律,密码法分为五章四十四条。

第一章总则部分,规定了本法的立法目的、密码工作的基本原则、领导和管理体制、密码发展促进和保障措施。

第二章核心密码、普通密码部分,规定了核心密码、普通密码使用要求、安全管理制度以及国家加强核心密码、普通密码工作的一系列特殊保障制度和措施。

第三章商用密码部分,规定了商用密码标准化制度、检测认证制度、市场准入管理制度、使用要求、进出口管理制度、电子政务电子认证服务管理制度以及商用密码事中事后监管制度。

第四章法律责任部分,规定了违反本法相关规定应当承担的相应的法律后果。

第五章附则部分,规定了国家密码管理部门的规章制定权,解放军和武警部队密码立法事宜以及本法的施行日期。

密码分类管理

密码法明确了密码的分类要求,将密码分为核心密码、普通密码和商用密码,并实行分类管理。根据三类密码保护的对象不同,对其进行明确划分,确保密码安全保密及科学的管理。

“核心密码”与“普通密码”被用来保护国家秘密信息,涉密单位应重点关注对于这两类密码的管理。对这两类密码,《密码法》要求实行密码“保密责任制”和“安全风险评估”机制。

商用密码被用于保护不属于国家秘密的信息,公民、法人和其他组织可以依法使用商用密码保护网络与信息安全。一般来说非涉密单位接触到的密码应用,都属于商用密码,应遵循国家密码局商用密码管理有关条例规定。

密码与关键信息基础设施、网络安全等级保护三位一体

《网络安全法》对密码的要求:《网络安全法》第二十一条规定,国家实行网络安全等级保护制度。其安全保护义务第4条明确采取数据分类、重要数据备份和加密等措施;第三十一条明确在关键信息基础设施网络安全等级保护制度的基础上,实行重点保护。

《密码法》:密码法针对关键信息基础设施与网络安全等级保护,多处明确其关联关系及厉害关系,涉及条款二十六条、二十七条和三十七条等。

密码法第二十七条明确规定,法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码进行保护,自行或者委托商用密码检测机构开展商用密码应用安全性评估。商用密码应用安全性评估应当与关键信息基础设施安全检测评估、网络安全等级测评制度相衔接,避免重复评估、测评。

《网络安全等级保护基本要求》(GB/T22239-2019):以三级为例,涉及安全通信网络中通信传输;安全区域边界中身份鉴别、数据完整性、数据保密性;安全建设管理中安全方案设计、产品采购和使用、测试验证;安全运维管理中密码管理;云计算安全扩展要求中镜像和快照保护、移动互联安全扩展要求访问控制等安全点,均对采用密码技术有明确要求。

《关键信息基础设施安全保护条例》(征求意见稿):明确要求关键信息基础设施中的密码使用和管理,还应当遵守密码法律、行政法规的规定。

《网络安全等级保护条例》(征求意见稿):确定密码要求,国家密码管理部门根据网络的安全保护等级、涉密网络的密级和保护等级,确定密码的配备、使用、管理和应用安全性评估要求,制定网络安全等级保护密码标准规范,同时明确涉密网络密码保护要求、非涉密网络密码保护要求及密码安全管理责任等。

密码安全性评估注意要点

当前,我国密码安全性评估主要依据是《GM∕T0054-2018信息系统密码应用基本要求》,其对信息系统的规划、建设、运行三个阶段的密码应用情况安全性评估进行了详细的规定:


启明星辰响应措施

一直以来,启明星辰积极响应国家密码管理的相关规定,持续推出商用密码产品和涉密信息系统产品:防火墙/下一代防火墙、加密机、SSL VPN安全接入网关、IPSecVPN、网络安全审计/数据库审计、数据防泄漏、文档加密系统等系列安全防护产品,全面支持商用密码,符合国家密码协议的相关密码标准,为涉密网及关键信息基础设施领域的用户主动提供产品及服务。未来,启明星辰也将持续加大投入,融合密码技术发展,推动安全技术全面发展,帮助用户业务提升全生命周期的安全能力。