10月26日,《中华人民共和国密码法》正式通过十三届全国人大常委会第十四次会议表决,将自2020年1月1日起施行。从2014年12月起草至今,五年间密码法多次面向社会公开征求意见,经过反复修改和调整,终于在今天下午正式发布。
那么,密码法的发布将会对企事业单位带来怎样的影响呢?
密码进行分类管理 需主动进行密码安全评估
本次发布的密码法适用于密码技术的生产方、使用方以及监督主管方,覆盖密码的科研、生产、经营、进出口、检测、认证、使用和监督管理等活动。
密码法中将密码分类为核心密码、普通密码与商用密码,并明确要求对这三类密码实行分类管理。其中“核心密码”与“普通密码”被用来保护国家秘密信息,涉密单位应重点关注对于这两类密码的管理。对这两类密码,密码法要求实行密码“保密责任制”和“安全风险评估”机制。
而商用密码被用于保护不属于国家秘密的信息,公民、法人和其他组织可以依法使用商用密码保护网络与信息安全。一般来说非涉密单位接触到的密码应用,都属于商用密码,应遵循国家密码局商用密码管理有关条例规定。
本次密码法发布对于非涉密的企事业单位来说,最大的影响就是必须要主动进行“密码安全性评估”。根据《密码法》要求,商用密码产品及服务使用方应按照国家密码管理局有关规定,对商用密码产品、密码服务、密码技术进行安全性以及合规性认证。而对关键信息基础设施,应采用商用密码进行保护,并进行密码安全性评估,同时与关键信息基础设施安全检测评估、网络安全等级测评制度密码相关要求相衔接。
密码安全性评估以GM/T0054标准为主要依据
当前,我国密码安全性评估主要依据是《GM∕T 0054-2018信息系统密码应用基本要求》,其对信息系统的规划、建设、运行三个阶段的密码应用情况安全性评估进行了详细的规定,主要集中在密码算法、密码技术、密码产品和密码服务四个方面。
在密码算法方面,信息系统中使用的密码算法应当符合法律、法规的规定和密码相关国家标准、行业标准的有关要求。如使用国家批准的商用密码算法SM2、SM3、SM4等;
在密码技术方面,密码技术中涉及的标准密码协议应符合国内相关密码标准,如果是自定义的密码协议,设计要安全合理,同时遵循相关密码标准。如针对SSL相关应用,设计标准应遵循《GM/T 0024-2014 SSL VPN 技术规范》;
在密码产品方面,信息系统中使用的密码产品与密码模块应通过国家密码管理部门核准。如信息系统中使用的密码模块应具备商密型号证书;
在密码服务方面,信息系统中使用的密码服务应通过国家密码管理部门的许可。
腾讯安全云数据加密服务提供全生命周期的国密数据保护能力
在密码服务及数据安全方向,腾讯安全打造了端到端的云数据全生命周期安全体系,以“云数据安全能力中台”为中心,保障数据在识别、使用、消费过程中的安全。在这套数据安全体系中,腾讯安全提供全数据生命周期、完整的云产品生态集成、以及完全符合国家密码局标准的高性能国密算法加密API/SDK服务。
(腾讯安全云数据安全能力中台架构图)
在腾讯安全云数据安全能力中台的架构中,合规的密码运算(算法)、密码技术、密码产品以组件化、服务化方式输出,用户可便捷的将加密组件集成至云上业务系统中。典型云产品应用包括密钥管理系统KMS、云加密机CloudHSM、以及基于国密的SDK套件服务、基于国密KMS标准的凭据管理服务。
借助腾讯安全云数据加密服务中台提供的极简化的加密API和SDK服务,用户可以轻松的在各个业务环节中嵌入合规的加密及密码技术,以及便捷的实现对现有业务的密码应用进行合规化改造。
|