落實《密碼法》法定責任建強筑牢網絡空間密碼保障體系
8月11日,由公安部一所、三所共同主辦的關鍵信息基礎設施安全保護與網絡安全等級保護論壇,在2020北京網絡安全大會(BCS 2020)期間正式召開,國家密碼管理局霍煒受邀參會并作“落實《密碼法》法定責任 建強筑牢網絡空間密碼保障體系”的主題報告,從密碼應用屬于法定事項、密碼保障重在體系應用、密碼應用必需安全評估三個方面進行了解讀。
密碼應用屬于法定事項
2019年10月26日,國家主席習近平簽署第三十五號主席令,宣布《密碼法》由中華人民共和國第十三屆全國人大常委會第十四次會議正式通過,自2020年1月1日起施行。《密碼法》第一條就明確為了規范密碼應用和管理,促進密碼事業發展,保障網絡與信息安全,維護國家安全和社會公共利益,保護公民、法人和其他組織的合法權益,制定本法。《密碼法》的頒布意味著規范密碼應用和管理,保障網絡與信息安全,已上升為國家法律。
1.密碼應用有要求。《密碼法》第二十七條規定:“法律、行政法規和國家有關規定要求使用商用密碼進行保護的關鍵信息基礎設施,其運營者應當使用商用密碼進行保護......關鍵信息基礎設施的運營者采購涉及商用密碼的網絡產品和服務,可能影響國家安全的,應當通過國家有關部門組織的國家安全審查。”第三十七條對違規關鍵信息基礎設施運營者及直接負責的主管人員做出相應處罰規定。
這里的直接負責的主管人員是指機關單位分管網絡和信息系統運營的負責人,審查是國家網絡安全審查的一部分,由國家網信辦會同國家密碼管理局共同組織開展。其核心目的是防止關鍵信息基礎設施因使用的產品和服務存在安全缺陷或隱患而受到攻擊、破壞,或者存儲的數據資源被竊取、泄露,從而提高關鍵信息基礎設施安全可控水平。
2.密碼產品有要求。《密碼法》第二十六條規定:“涉及國家安全、國計民生、社會公共利益的商用密碼產品,應當依法列入網絡關鍵設備和網絡安全專用產品目錄,由具備資格的機構檢測認證合格后,方可銷售或者提供。”第三十六條對違規行為作出相應處罰規定。貫徹落實《密碼法》,建立完善商用密碼產品認證體系,市場監管總局 國家密碼管理局發布《商用密碼產品認證目錄(第一批)》與《商用密碼產品認證規則》。
3.密碼保護有要求。《密碼法》第十二條規定:“任何組織或者個人不得竊取他人加密保護的信息或者非法侵入他人的密碼保障系統。”第三十二條對違規行為作出相應處罰規定,并依照《網絡安全法》和其他有關法律法規追究法律責任。
密碼保障重在體系應用
密碼保障是指采用密碼技術、產品和服務集成建設的,對網絡信息系統實現加密保護和安全認證功能的系統,在網絡安全防護體系中位居核心和基礎地位。
1.樹立根本性核心技術理念。隨著網絡化、數字化、智能化的飛速發展,密碼保護網絡空間安全的根本性核心技術地位更加凸顯,逐漸發展為實現數據確權,跨部門、跨系統和跨應用的數據交換和信息共享,實現數據的互操作和流程協同。密碼是網絡空間安全體系的基石,數字經濟時代,網絡空間應立足體系安全、系統安全、動態安全,打造集感知安全、傳輸安全、存儲安全、計算安全、處理安全、應用安全于一體的“大安全體系”。
2.突出密碼應用體系化關鍵。“大安全體系”具有戰略性、體系性、同步性和動態性,密碼應用置于其中使密碼成為網絡信息系統的內置基因,實現網絡空間的內生安全。其核心是構建以密碼技術為核心、多種技術相互融合的新網絡安全體系;基于網絡信息系統安全需求,站在整體角度設計密碼應用方案,與網絡深度融合;在網絡信息系統建設之初,把密碼融入到網絡信息系統整體架構中,同步密碼保障體系;密碼應用應通過定期風險評估、密碼應用安全性評估等手段,持續跟蹤安全風險水平和密碼應用有效性,適時采取措施。
3.堅持應用創新雙驅動戰略。以服務保障國家戰略為導向,努力做到黨和國家戰略推進到哪里,密碼就服務保障到哪里。焦聚金融、數據安全、基礎設施網絡、密碼創新攻關、密碼支撐能力建設五大重點方向,開展密碼應用與創新示范。
密碼應用必需安全評估
《密碼法》第二十七及第三十七條規定,明確了商用密碼應用安全性評估是網絡安全等級保護和關鍵信息基礎設施安全保護制度的重要內容和技術手段,而關鍵信息基礎設施運營者是基礎設施密碼應用和安全性評估第一責任人。
7月30日,國家密碼管理局發布《商用密碼應用安全性評估試點機構目錄》,準許24家機構擴大試點范圍,同時積極開展第二批密評機構培育工作。
1.準確把握密評的核心要義
- 密碼應用合規性是基本,密評判定網絡信息系統使用的密碼算法、技術是否符合法律法規和標準,密碼產品和服務是否認證合格。
- 密碼應用正確性是關鍵,密評要求信息系統集成商和運營者要嚴格按照密碼相關標準以及產品/服務安全策略進行密碼應用部署。
- 密碼應用有效性是目的,密評判定信息系統中實現的密碼保障系統是否發揮了實際效用,是否根據具體業務應用來梳理業務安全需求,進一步設計密碼應用方案。
2.切實落實國務院57號文件要求
日前,國務院辦公廳印發第57號文件《國家政務信息化項目建設管理辦法》,對國家政務信息系統的規劃、審批、建設、共享和監管作出規定。該辦法自2020年2月1日起施行,提出政務信息化項目“同步規劃、同步建設、同步運行密碼保障系統并定期進行評估”的要求。
此外,《政務信息系統密碼應用與安全性評估指引》規定建設單位要落實國辦57號文件要求,同步規劃、同步建設、同步運行密碼保障系統并定期進行密碼應用安全性評估,保障密碼應用方案咨詢與編制、密碼保障系統建設與改造及密評等相關工作經費,并配備一定數量的密碼保障系統管理和運維人員。
密碼是網絡空間安全體系的基石,沒有密碼,未來網絡空間將沒有未來,認真貫徹落實《密碼法》,構建以密碼技術為核心、多種技術相互融合的新網絡安全體系,建設以密碼基礎設施為底層支撐的新網絡安全環境,形成安全互信、開放共享的新網絡安全文明。
來源:商密君
