落实《密码法》法定责任建强筑牢网络空间密码保障体系
8月11日,由公安部一所、三所共同主办的关键信息基础设施安全保护与网络安全等级保护论坛,在2020北京网络安全大会(BCS 2020)期间正式召开,国家密码管理局霍炜受邀参会并作“落实《密码法》法定责任 建强筑牢网络空间密码保障体系”的主题报告,从密码应用属于法定事项、密码保障重在体系应用、密码应用必需安全评估三个方面进行了解读。
密码应用属于法定事项
2019年10月26日,国家主席习近平签署第三十五号主席令,宣布《密码法》由中华人民共和国第十三届全国人大常委会第十四次会议正式通过,自2020年1月1日起施行。《密码法》第一条就明确为了规范密码应用和管理,促进密码事业发展,保障网络与信息安全,维护国家安全和社会公共利益,保护公民、法人和其他组织的合法权益,制定本法。《密码法》的颁布意味着规范密码应用和管理,保障网络与信息安全,已上升为国家法律。
1.密码应用有要求。《密码法》第二十七条规定:“法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码进行保护......关键信息基础设施的运营者采购涉及商用密码的网络产品和服务,可能影响国家安全的,应当通过国家有关部门组织的国家安全审查。”第三十七条对违规关键信息基础设施运营者及直接负责的主管人员做出相应处罚规定。
这里的直接负责的主管人员是指机关单位分管网络和信息系统运营的负责人,审查是国家网络安全审查的一部分,由国家网信办会同国家密码管理局共同组织开展。其核心目的是防止关键信息基础设施因使用的产品和服务存在安全缺陷或隐患而受到攻击、破坏,或者存储的数据资源被窃取、泄露,从而提高关键信息基础设施安全可控水平。
2.密码产品有要求。《密码法》第二十六条规定:“涉及国家安全、国计民生、社会公共利益的商用密码产品,应当依法列入网络关键设备和网络安全专用产品目录,由具备资格的机构检测认证合格后,方可销售或者提供。”第三十六条对违规行为作出相应处罚规定。贯彻落实《密码法》,建立完善商用密码产品认证体系,市场监管总局 国家密码管理局发布《商用密码产品认证目录(第一批)》与《商用密码产品认证规则》。
3.密码保护有要求。《密码法》第十二条规定:“任何组织或者个人不得窃取他人加密保护的信息或者非法侵入他人的密码保障系统。”第三十二条对违规行为作出相应处罚规定,并依照《网络安全法》和其他有关法律法规追究法律责任。
密码保障重在体系应用
密码保障是指采用密码技术、产品和服务集成建设的,对网络信息系统实现加密保护和安全认证功能的系统,在网络安全防护体系中位居核心和基础地位。
1.树立根本性核心技术理念。随着网络化、数字化、智能化的飞速发展,密码保护网络空间安全的根本性核心技术地位更加凸显,逐渐发展为实现数据确权,跨部门、跨系统和跨应用的数据交换和信息共享,实现数据的互操作和流程协同。密码是网络空间安全体系的基石,数字经济时代,网络空间应立足体系安全、系统安全、动态安全,打造集感知安全、传输安全、存储安全、计算安全、处理安全、应用安全于一体的“大安全体系”。
2.突出密码应用体系化关键。“大安全体系”具有战略性、体系性、同步性和动态性,密码应用置于其中使密码成为网络信息系统的内置基因,实现网络空间的内生安全。其核心是构建以密码技术为核心、多种技术相互融合的新网络安全体系;基于网络信息系统安全需求,站在整体角度设计密码应用方案,与网络深度融合;在网络信息系统建设之初,把密码融入到网络信息系统整体架构中,同步密码保障体系;密码应用应通过定期风险评估、密码应用安全性评估等手段,持续跟踪安全风险水平和密码应用有效性,适时采取措施。
3.坚持应用创新双驱动战略。以服务保障国家战略为导向,努力做到党和国家战略推进到哪里,密码就服务保障到哪里。焦聚金融、数据安全、基础设施网络、密码创新攻关、密码支撑能力建设五大重点方向,开展密码应用与创新示范。
密码应用必需安全评估
《密码法》第二十七及第三十七条规定,明确了商用密码应用安全性评估是网络安全等级保护和关键信息基础设施安全保护制度的重要内容和技术手段,而关键信息基础设施运营者是基础设施密码应用和安全性评估第一责任人。
7月30日,国家密码管理局发布《商用密码应用安全性评估试点机构目录》,准许24家机构扩大试点范围,同时积极开展第二批密评机构培育工作。
1.准确把握密评的核心要义
- 密码应用合规性是基本,密评判定网络信息系统使用的密码算法、技术是否符合法律法规和标准,密码产品和服务是否认证合格。
- 密码应用正确性是关键,密评要求信息系统集成商和运营者要严格按照密码相关标准以及产品/服务安全策略进行密码应用部署。
- 密码应用有效性是目的,密评判定信息系统中实现的密码保障系统是否发挥了实际效用,是否根据具体业务应用来梳理业务安全需求,进一步设计密码应用方案。
2.切实落实国务院57号文件要求
日前,国务院办公厅印发第57号文件《国家政务信息化项目建设管理办法》,对国家政务信息系统的规划、审批、建设、共享和监管作出规定。该办法自2020年2月1日起施行,提出政务信息化项目“同步规划、同步建设、同步运行密码保障系统并定期进行评估”的要求。
此外,《政务信息系统密码应用与安全性评估指引》规定建设单位要落实国办57号文件要求,同步规划、同步建设、同步运行密码保障系统并定期进行密码应用安全性评估,保障密码应用方案咨询与编制、密码保障系统建设与改造及密评等相关工作经费,并配备一定数量的密码保障系统管理和运维人员。
密码是网络空间安全体系的基石,没有密码,未来网络空间将没有未来,认真贯彻落实《密码法》,构建以密码技术为核心、多种技术相互融合的新网络安全体系,建设以密码基础设施为底层支撑的新网络安全环境,形成安全互信、开放共享的新网络安全文明。
来源:商密君