《密码法》颁布的意义及行业趋势

更新时间:2019-10-28 10:55:00

来源:admin

提到“密码”,人们通常以为是我们每天接触的计算机或手机开机密码、银行卡支付密码等。生活中的这些“密码”实际上是口令,是一种简单、初级的身份认证手段,是最简易的密码。而密码法草案中的“密码”,是指使用特定变换对信息等进行加密保护或者安全认证的产品、技术和服务。密码是保障网络与信息安全的核心技术和基础支撑,是解决网络与信息安全问题最有效、最可靠、最经济的手段。密码的主要功能有两个,一个是加密保护,另一个是安全认证。

密码技术是保障网络安全的核心技术,密码算法和密码产品的自主可控是确保我国信息安全的重中之重。当前我国大多采用国外制定的加密算法,存在着大量的不可控因素,一旦被不法分子利用攻击,所产生的损失将不可估量。实现密码产品自主可控软硬件全国产化替换,是防止后门漏洞的最有效方法,是保障网络安全的终极举措。国密算法具备自主知识产权,符合国家信息产品国产化战略。我们认为随着国产替代趋势的进一步加强,存量市场上,国密算法将有望实现对RSA等国际算法的加速替代。


国家将密码分为核心密码、普通密码、商用密码,实行分类管理。

以商用密码SM2算法为例,SM2拥有更高的安全性能和更快加密速度。目前主流的RSA算法是基于大整数因子分解数学难题(IFP)进行设计,其数学原理相对简单,单位安全强度相对较低。SM2是基于ECC,单位安全强度相对较高。基于ECC的SM2证书普遍采用256位密钥长度,加密强度等同于3072位RSA证书,高于业界普遍采用的2048位RSA证书。更长的密钥意味着必须来回发送更多的数据以验证连接,产生更大的性能损耗和时间延迟。SM2算法能够以较小的密钥和较少的数据传递建立HTTPS连接,在确保相同安全强度的前提下提升连接速度。

应网络安全形式、国家网络战略及密码领域法律建设所需,建立国产自主商用密码体系迫在眉睫。随着商用密码技术不断创新,我国商用密码产业蓬勃发展,预计到2020年商密行业规模可突破400亿。PKI(公钥基础设Public Key Infrastructure)相关领域作为国产商用密码体系中的重要组成部分,在国产通用算法全面推广的关键时期,未来有望进一步应用于“云大物智移”等新兴领域。

密码法分总则,核心密码、普通密码,商用密码,法律责任,附则五章四十四条。对密码分类、商用密码制度、密码发展促进和保障措施、相应的法律责任等方面作出规定,旨在通过立法提升密码管理科学化、规范化、法治化水平,促进我国密码事业稳步健康发展。


提升密码工作法治化保障水平

密码法明确对密码实行分类管理原则。按照保护信息的种类这一分类标准,明确规定密码分为核心密码、普通密码和商用密码,实行分类管理。

核心密码、普通密码用于保护国家秘密信息,核心密码保护信息的最高密级为绝密级,普通密码保护信息的最高密级为机密级;核心密码、普通密码属于国家秘密,由密码管理部门依法实行严格统一管理。商用密码用于保护不属于国家秘密的信息;公民、法人和其他组织均可依法使用商用密码保护网络与信息安全。

在核心密码、普通密码方面,深入贯彻总体国家安全观,将现行有效的基本制度、特殊管理政策及保障措施法治化;在商用密码方面,明确公民、法人和其他组织均可依法使用。

为贯彻落实职能转变和“放管服”改革要求,规范和促进商用密码产业发展,密码法规定了商用密码的主要制度:规定国家鼓励商用密码技术的研究开发和应用,健全商用密码市场体系,鼓励和促进商用密码产业发展;规定了商用密码标准化制度;建立了商用密码检测认证制度,并鼓励从业单位自愿接受商用密码检测认证;对列入网络关键设备和网络安全专用产品目录的商用密码产品、用于网络关键设备和网络安全专用产品的商用密码服务实行强制性检测认证;规定关键信息基础设施应当依法使用商用密码、开展安全性评估及国家安全审查;对特定范围的商用密码实行进口许可和出口管制制度;规定了电子政务电子认证服务管理制度;支持商用密码行业协会积极发挥作用,加强行业自律,促进行业健康发展;规定了密码管理部门和有关部门建立商用密码事中事后监管制度。

在密码发展促进和保障措施方面,按照规定,国家鼓励和支持密码科学技术研究、交流,依法保护密码知识产权,促进密码科学技术进步和创新,建立密码工作表彰奖励制度;国家加强密码宣传教育,任何组织或者个人不得窃取他人的加密信息,不得非法侵入他人的密码保障系统,不得利用密码从事危害国家安全、社会公共利益、他人合法权益的活动或者其他违法犯罪活动。


密码转换中的“降密、解密”问题

常委会会议对密码法草案进行分组审议审议时,部分与会人员谈到了核心密码、普通密码和商用密码的转换问题。密码是一种技术产品,现在是核心密码,过一段时间随着技术的进步,可能已经不能满足核心密码的要求,就会降密了。再比如,某一台服务器设置的密码,本来是商用密码,但是用到核心密码的空间,或者普通密码的空间以后,就不能再按照商用密码来管理,而是要按照普通密码甚至核心密码来管理,因为它已成为一个体系的一部分。密码不管是核心密码、普通密码还是商用密码,都有一个特点,就是时间、空间上会转换。密码法应把握和处理好核心密码、普通密码、商用密码的关系和转化问题。有些核心密码、普通密码随着时间的推移和形势的发展会解密,什么时候解密,要及时向社会公布,便于大家共享。

密码法的制定还应准确把握和处理好国家秘密的保护与商用秘密和个人信息保护的关系。现在随着信息社会的发展,特别是互联网的发展,商业秘密越来越多。在国家安全和商业秘密以及个人信息保护发生冲突的情况下,怎样处理好这种关系?法律上怎样去界定?这是密码法制定中需要很好考虑和把握的问题。不然的话,两种情况都可能出现:一种是以保护商业秘密、保护个人信息为由危害到国家安全;另一种是个别部门以国家安全为由对互联网公司和个人信息保护造成侵害。这方面也涉及一些应当征求网信部门或者密码部门的鉴定和认证的情况,在密码法制定中还要考虑得更具体和细致一些。


生物特征密码应纳入密码法监管范围

关于密码形式,早期基本上都是数字加密,现在密码的形式已经多种多样了,包括指纹识别、人脸识别、虹膜识别等,有很多种方法,建议在密码法里给予规定。生物特征密码指的是将指纹、人脸、虹膜等人体生物特征进行抽象表达,提取出密码字符串,实现了人体自身与密码的绑定,用户无需再记忆密码口令或携带认证证件,从而减少了传统密码手段存在的泄露盗用等问题。生物特征密码技术在近20年得到了蓬勃发展,该技术既可以保护人体生物特征模板的安全与隐私,也可以在生物特征中提取密码,是一种具备更高安全性的密码生成、管理技术。但涉及的人体生物特征安全性需要得到重视。人体生物特征是特别敏感的隐私信息,可能会在使用与存储的过程中泄露,并且一旦泄露无法撤销和更新,严重影响用户的数据隐私。

行业主管部门应在生物密码相关领域加大技术投入,对形式多样的生物密码技术进行安全性分析,建立安全性检测标准,并对生物密码应用进行监管。新技术的发展会促进密码技术与密码系统的改进与完善,同时密码管理部门也需要支持新型密码技术的发展应用,推进相关新型密码技术的标准化工作,完善密码检测认证体系以及新型密码技术的推广应用。

另外,“App收集个人信息”“解码软件”“网上支付安全”等互联网领域存在的问题。现在密码市场上有很多解码软件,如盾;解码属于矛,是鼓励还是不鼓励?对市场上解码软件如何管理需要研究。密码法应对推动商用密码的应用或者强制应用作出规定,现在很多App都在收集个人信息,要求权限,不给就用不了。谁来管这个事?这样的App企业至少应该使用商用密码,谁来管、谁来监督这个事都是非常重要的。作为密码法应该在商用密码一节里规定一些必须使用的范围,如除了重大基础设施以外,能不能增加涉及收集公民个人信息的应该使用商用密码的规定?


PKI应用及密码行业大有可为

PKI系统构建网络安全防线。在网络安全中,身份认证作为第一道,甚至是最重要的一道防线。身份认证就是在网络系统中通过某种手段确认操作者身份的过程,其目的在于判明和确认通信双方和信息内容的真实性。基于公共密钥的认证机制拥有Kerberos的认证机制的优点,同时使用非对称加密技术,拥有极高的安全性,也解决了用户过多时密钥管理的问题,是目前应用中最为安全可靠的方法,但是实现起来较为复杂,需要建设相应的配套设施,目前较为流行和完善的是以PKI为核心的一套信息安全系统。当前网络技术快速升级迭代,建设基于PKI的网络安全系统是网络安全面临的一项紧迫任务。

受益等保2.0,PKI应用领域将得到极大推广,在物联网时代极具市场前景。PKI中核心载体为数字证书,即由具有公信力的机构(CA)为个人颁发的身份证明,其可看作个人在虚拟网络世界的身份证。PKI产品广泛应用于平时生活中,使用PKI技术的应用包括安全认证网管关(保证远程连接安全)、网银(Usb Key证书或文件证书)、安全电子交易(数字签名和验签)等。目前,国内设计高等级安全性应用的相关领域,均不同程度的采用了PKI技术。受益等保2.0,在金融领域、移动支付领域、云计算领域、电子政务领域都对PKI技术有强需求。且未来物联网有巨大市场空间,密码应用产业将是一片蓝海。

密码应用大有可为,密码相关企业将充分受益。卫士通作为我国网络安全国家队,深耕密码行业,已经围绕密码体系构建了非常完整的安全系统。新任董事长卿昱上任后管理风格变化明显,目前已经与各业务线主管签订年度目标责任书,提出奋战二季度。格尔软件作为PKI系统基础设施提供商,为我国政府多个部门提供产品,是PKI行业领军企业。数字认证作为PKI系统应用方,是电子认证技术优势企业,可提供一体化的电子认证解决方案,充分受益电子认证行业快速发展。




内容来源转载自:互联网;原作者保留相关权利。

版权声明:文章不构成投资建议,观点不代表Ecoin立场,尊重版权,如有疑问请联系我们。