行業資訊

密碼法背景下的商用密碼應用及挑戰

發布時間：2021-12-14 18:47 瀏覽次數：2063

《商用密碼管理條例》于1999年10月7日施行，至今已逾二十年。對于一部技術導向的管控型立法而言確屬高齡，期間密碼技術發展、密碼產品應用已發生翻天覆地的變化，商用密碼管理有關部門先后放開商用密碼產品生產單位審批、商用密碼產品銷售單位許可等前置性的市場準入要求。可以說，當前密碼法的制定和頒布恰逢其時，整個科技行業翹首以待。

密(mi)碼法根據國(guo)際國(guo)內網絡(luo)與信息安全(quan)法治與實踐環(huan)境的新(xin)(xin)變化(hua)、密(mi)碼工作的新(xin)(xin)情況，對密(mi)碼管理(li)、應(ying)用(yong)(yong)、安全(quan)、發展及促進(jin)等(deng)問題進(jin)行了專門(men)規定，為更好地落實密(mi)碼法的要求，以(yi)下從(cong)產(chan)業的視角(jiao)理(li)解其出臺背(bei)景、商(shang)用(yong)(yong)密(mi)碼管理(li)創新(xin)(xin)及其對商(shang)用(yong)(yong)密(mi)碼應(ying)用(yong)(yong)的影響(xiang)。

一

全球視野(ye)下(xia)的(de)商(shang)用密(mi)碼(ma)管理(li)變革

商用密碼產品的普及，是順應信息技術革命的必然結果，保障安全成為信息產品和信息服務的基本需求，密碼技術作為不可或缺的重要手段，密碼應用將不斷深入和拓展。隨著全球大數據、云計算、互聯網、物聯網等信息技術的發展，以密碼算法、數據加解密、認證鑒別、密碼管理、密碼防偽等為核心功能的商用密碼產品實現了從“不好用、很少用”到“方便用、普遍用”的技術突破，迎來爆發式增長的新高潮。

同時，密碼技術的發(fa)展(zhan)(zhan)也(ye)對經(jing)濟(ji)發(fa)展(zhan)(zhan)、社會進步乃至國際政治(zhi)經(jing)濟(ji)格局等(deng)方面(mian)產生重(zhong)大(da)而深(shen)遠的影響。典型的如(ru)以(yi)非(fei)對稱加(jia)密算法為核心要素的區塊鏈技術為各國經(jing)濟(ji)社會發(fa)展(zhan)(zhan)帶(dai)來新(xin)機(ji)遇，但(dan)(dan)也(ye)來了一系列(lie)挑戰，特別是(shi)對金(jin)融市場而言;先進加(jia)密技術的應用可以(yi)有效保護(hu)隱私，但(dan)(dan)是(shi)執法部門在行政調查中也(ye)面(mian)臨解密困境。

國(guo)(guo)家利益(yi)的(de)動態發(fa)展變化，引發(fa)了商用(yong)密(mi)(mi)(mi)碼(ma)(ma)(ma)管(guan)制(zhi)(zhi)法律(lv)理念的(de)更新。國(guo)(guo)際上自上世紀90年代開始發(fa)達國(guo)(guo)家和發(fa)展中國(guo)(guo)家先后開始推進放(fang)松國(guo)(guo)內密(mi)(mi)(mi)碼(ma)(ma)(ma)管(guan)制(zhi)(zhi)，放(fang)開本國(guo)(guo)居民生產、使用(yong)、銷售密(mi)(mi)(mi)碼(ma)(ma)(ma)的(de)限制(zhi)(zhi)，放(fang)松對加密(mi)(mi)(mi)產品(pin)和加密(mi)(mi)(mi)技術控(kong)制(zhi)(zhi)。1997年，經合(he)組織發(fa)布《密(mi)(mi)(mi)碼(ma)(ma)(ma)政策指南》呼吁放(fang)松對密(mi)(mi)(mi)碼(ma)(ma)(ma)技術的(de)控(kong)制(zhi)(zhi)，開發(fa)基于市場、使用(yong)者驅動的(de)密(mi)(mi)(mi)碼(ma)(ma)(ma)產品(pin)和服務。

在(zai)商用密碼(ma)的出口(kou)管制(zhi)領域(yu)，則問題相對更為復雜，且受政治(zhi)因素影響非(fei)常(chang)大。密碼(ma)技(ji)術的應用領域(yu)廣泛，對國(guo)(guo)家信息安全(quan)起著(zhu)重要(yao)的支(zhi)撐作用，各(ge)個國(guo)(guo)家政府按照政策法律對密碼(ma)技(ji)術實行出口(kou)管制(zhi)是必然(ran)選擇。然(ran)而，在(zai)中國(guo)(guo)為代表(biao)的主要(yao)發展中國(guo)(guo)家密碼(ma)研發與創新能力(li)不斷(duan)取得突破，以及美歐(ou)密碼(ma)產(chan)品出口(kou)沖動的內(nei)因驅動下，國(guo)(guo)際上以“瓦森納(na)協議”為代表(biao)的限(xian)制(zhi)密碼(ma)自由化的政策，也(ye)在(zai)呈現(xian)整體動態放松(song)、聚焦(jiao)重點(dian)管控的態勢。

可以說，密(mi)(mi)(mi)碼(ma)法(fa)的出(chu)臺(tai)，是(shi)適應全球商用密(mi)(mi)(mi)碼(ma)管理變革，落實(shi)中(zhong)(zhong)國(guo)密(mi)(mi)(mi)碼(ma)管理職能轉變的必(bi)然，也是(shi)中(zhong)(zhong)國(guo)統(tong)一、開放、競(jing)爭、有序的密(mi)(mi)(mi)碼(ma)市(shi)場體(ti)系(xi)建設的里程碑，是(shi)中(zhong)(zhong)國(guo)密(mi)(mi)(mi)碼(ma)技術(shu)與密(mi)(mi)(mi)碼(ma)產業開始(shi)邁向(xiang)更高質量發展的新開始(shi)。

二

密碼法對(dui)商用密碼管理(li)的創新(xin)

密碼法重塑了全新的具有中國特色的商用密碼管理體系。當前的法律科學地回答了兩個重要問題，一是面對國內外日益嚴峻的網絡安全態勢，如何進一步創新商用密碼管理體系，加強商用密碼應用事中事后管理，特別是關鍵信息基礎設施的商用密碼保護;二是面對數字經濟的飛速發展，如何推進商用密碼產品管理的放管服，以釋放商用密碼市場活力，進一步激勵商用密碼產業發展。在商用密碼管理上密碼法實現了3個重要創新:

一是創新商用密碼使用環節監管，提出商用密碼應用安全性評估。

當前數(shu)據及其承載的(de)(de)(de)信(xin)息(xi)系(xi)統(tong)(tong)的(de)(de)(de)安(an)全性(xing)、完整性(xing)和保密(mi)(mi)(mi)性(xing)已經(jing)成(cheng)為(wei)網絡運(yun)營(ying)者的(de)(de)(de)基(ji)本需求，商(shang)(shang)(shang)用(yong)(yong)密(mi)(mi)(mi)碼技術在其中發(fa)揮不可替代的(de)(de)(de)作(zuo)用(yong)(yong)。鑒(jian)于商(shang)(shang)(shang)用(yong)(yong)密(mi)(mi)(mi)碼應(ying)(ying)用(yong)(yong)場景的(de)(de)(de)多樣性(xing)、復(fu)雜性(xing)，密(mi)(mi)(mi)碼法創設了商(shang)(shang)(shang)用(yong)(yong)密(mi)(mi)(mi)碼應(ying)(ying)用(yong)(yong)安(an)全性(xing)評(ping)估(gu)(gu)制(zhi)度，且明確(que)要求與網絡安(an)全等(deng)級保護測評(ping)、關(guan)鍵信(xin)息(xi)基(ji)礎設施安(an)全保護評(ping)估(gu)(gu)中的(de)(de)(de)商(shang)(shang)(shang)用(yong)(yong)密(mi)(mi)(mi)碼安(an)全評(ping)估(gu)(gu)機(ji)制(zhi)相銜(xian)接。商(shang)(shang)(shang)用(yong)(yong)密(mi)(mi)(mi)碼應(ying)(ying)用(yong)(yong)安(an)全性(xing)評(ping)估(gu)(gu)對(dui)規(gui)范商(shang)(shang)(shang)用(yong)(yong)密(mi)(mi)(mi)碼應(ying)(ying)用(yong)(yong)，提高網絡運(yun)營(ying)者商(shang)(shang)(shang)用(yong)(yong)密(mi)(mi)(mi)碼應(ying)(ying)用(yong)(yong)的(de)(de)(de)前瞻性(xing)、統(tong)(tong)籌(chou)性(xing)、嚴謹性(xing)有重要意義。

二是統籌考慮商用密碼管理的市場導向與國家安全保障需要，實行商用密碼檢測認證自愿與強制相結合的雙軌機制。

通常密碼(ma)從業單(dan)位(wei)可以從市場(chang)競爭的角度自主決定是否接受商(shang)用(yong)密碼(ma)檢測認證(zheng)。當商(shang)用(yong)密碼(ma)的應(ying)(ying)用(yong)涉及(ji)涉及(ji)國(guo)(guo)家安(an)(an)全(quan)、國(guo)(guo)計民生、社會公共利益(yi)，被列入網絡關(guan)鍵設備和網絡安(an)(an)全(quan)專用(yong)產(chan)品目錄的，需要按(an)照相關(guan)國(guo)(guo)家標準(zhun)的強制性要求，由具備資格的機構安(an)(an)全(quan)認證(zheng)合(he)格后方(fang)可銷售。這樣(yang)的制度安(an)(an)排既尊(zun)重了市場(chang)在商(shang)用(yong)密碼(ma)應(ying)(ying)用(yong)領(ling)域(yu)的基(ji)礎(chu)性作(zuo)用(yong)，也符合(he)WTO的國(guo)(guo)家安(an)(an)全(quan)例外原則。

三是進一步推動商用密碼市場高水平開放，保護外資合法權益，促進內外資企業公平競爭。

《國務院關于取消一批(pi)行政(zheng)許可(ke)事(shi)(shi)項的決定》(國發(fa)〔2017〕46號)已經取消了(le)外(wai)(wai)(wai)商(shang)(shang)投(tou)資企業使用(yong)境外(wai)(wai)(wai)生產(chan)的密(mi)碼(ma)(ma)產(chan)品(pin)、境外(wai)(wai)(wai)組織和個人使用(yong)密(mi)碼(ma)(ma)產(chan)品(pin)或(huo)者含(han)有(you)密(mi)碼(ma)(ma)技術(shu)的設備(bei)的事(shi)(shi)前審批(pi)。密(mi)碼(ma)(ma)法進一步將(jiang)需要(yao)取得(de)商(shang)(shang)用(yong)密(mi)碼(ma)(ma)進口(kou)許可(ke)的范圍從《商(shang)(shang)用(yong)密(mi)碼(ma)(ma)管理(li)條(tiao)例》中的“密(mi)碼(ma)(ma)產(chan)品(pin)以及含(han)有(you)密(mi)碼(ma)(ma)技術(shu)的設備(bei)”限縮為“對(dui)涉及國家安全、社會(hui)公共利益且具有(you)加密(mi)保(bao)護功能的商(shang)(shang)用(yong)密(mi)碼(ma)(ma)”。同時，法律明確要(yao)求各級(ji)人民(min)政(zheng)府及其(qi)有(you)關部(bu)門遵(zun)循非歧(qi)視原(yuan)則(ze)，依法平等對(dui)待外(wai)(wai)(wai)商(shang)(shang)投(tou)資企業，不得(de)利用(yong)行政(zheng)手段強制外(wai)(wai)(wai)商(shang)(shang)投(tou)資企業轉讓商(shang)(shang)用(yong)密(mi)碼(ma)(ma)技術(shu)。上述要(yao)求，彰顯了(le)中國主動開放商(shang)(shang)用(yong)密(mi)碼(ma)(ma)市場的堅定意(yi)志和決心(xin)。

三(san)

密碼法對商用密碼應(ying)用的主要影響(xiang)

密碼法的實施，有利于進一步推動商用密碼應用的法治化、科學化、規范化，對建立以商用密碼從業單位為主體、商用密碼市場為導向、產學研深度融合的密碼技術創新體系有著重要促進作用。但是由于配套的網絡安全法律法規與國家標準、行業標準仍在陸續完善過程中，《商用密碼管理條例》尚未完成修訂工作，密碼法在實施過程中可能也需要更加關注以下方面的問題:

一是在網絡產品(pin)與信(xin)息服務的(de)規劃、建設(she)階段，網絡運營者可參照密(mi)碼應用(yong)安(an)全性評(ping)(ping)估相關規則進行設(she)計，但是商(shang)用(yong)密(mi)碼應用(yong)安(an)全評(ping)(ping)估機制不能異化為對網絡運營者的(de)事(shi)前審查機制。從制度統籌性的(de)角(jiao)度，可以(yi)考慮將商用(yong)密碼安全性的(de)自評(ping)估(gu)或(huo)(huo)者第(di)三方評(ping)估(gu)，作為(wei)一個獨(du)立的(de)評(ping)估(gu)模塊，在網絡(luo)運營者網絡(luo)安全等級保護測評(ping)，以(yi)及關鍵信(xin)息基礎設施運營者每年自行或(huo)(huo)者委托第(di)三方評(ping)估(gu)中加以(yi)引用(yong)。

二(er)是網(wang)絡安全新形(xing)勢下的商用密碼產品應(ying)用還(huan)處于起步階段，網(wang)絡運營者尚在規則(ze)換擋(dang)的磨合(he)適應(ying)期，相關規則(ze)的解釋(shi)與執行需要結合(he)實際應(ying)用情況及時調(diao)整。當(dang)前網(wang)絡安(an)(an)全等(deng)級保護2.0系列(lie)標(biao)準(zhun)對(dui)安(an)(an)全通信(xin)網(wang)絡中通信(xin)傳(chuan)輸要(yao)求使用(yong)加密(mi)技術(shu)，安(an)(an)全計(ji)算環境(jing)中身份鑒別(bie)、數(shu)(shu)據(ju)完整(zheng)性、數(shu)(shu)據(ju)保密(mi)性使用(yong)密(mi)碼技術(shu)，保證傳(chuan)輸和存(cun)儲的(de)加密(mi)，安(an)(an)全建設管(guan)理和安(an)(an)全運維(wei)管(guan)理中包括安(an)(an)全測試(shi)報(bao)告應(ying)包含(han)密(mi)碼應(ying)用(yong)安(an)(an)全性測試(shi)相關內容等(deng)。

由于前期非涉密(mi)(mi)單位的網(wang)(wang)絡(luo)運營(ying)者(zhe)并無明(ming)確強制性(xing)的密(mi)(mi)碼(ma)應(ying)(ying)用(yong)(yong)安(an)全要(yao)求，網(wang)(wang)絡(luo)運營(ying)者(zhe)面對(dui)陸續(xu)制定的國(guo)家密(mi)(mi)碼(ma)管(guan)(guan)理規(gui)(gui)定，可能會面臨(lin)觀念、管(guan)(guan)理、技術、成本(ben)等各種(zhong)磨(mo)合(he)適應(ying)(ying)，密(mi)(mi)碼(ma)管(guan)(guan)理部(bu)門及(ji)相關網(wang)(wang)絡(luo)安(an)全管(guan)(guan)理部(bu)門需要(yao)根據實際(ji)商用(yong)(yong)密(mi)(mi)碼(ma)應(ying)(ying)用(yong)(yong)情況(kuang)，對(dui)具體規(gui)(gui)則的解釋與(yu)執行(xing)及(ji)時進(jin)行(xing)必要(yao)調整。

三是商用(yong)(yong)密碼(ma)應用(yong)(yong)需要(yao)納入網絡(luo)(luo)運營(ying)者(zhe)的網絡(luo)(luo)安全(quan)總體工(gong)作統籌(chou)考慮(lv)。由于各種(zhong)原因，網絡運營(ying)者(zhe)關于商(shang)用(yong)密(mi)碼應(ying)用(yong)的決策有可(ke)能分散在具體(ti)網絡安全實踐的多個環節，商(shang)用(yong)密(mi)碼的應(ying)用(yong)缺乏統籌安排，體(ti)系性(xing)不強。商(shang)用(yong)密(mi)碼應(ying)用(yong)的部署具有一(yi)定周期性(xing)，無法(fa)一(yi)蹴而(er)就。

對此，網(wang)絡(luo)運(yun)(yun)營者應(ying)(ying)當盡快(kuai)根據密碼法(fa)(fa)(fa)以及相關網(wang)絡(luo)安(an)全法(fa)(fa)(fa)律法(fa)(fa)(fa)規和標(biao)準的(de)(de)要求(qiu)(qiu)，審慎判斷(duan)(duan)自(zi)身的(de)(de)網(wang)絡(luo)安(an)全態勢(shi)與風險，判斷(duan)(duan)網(wang)絡(luo)設施需要具備的(de)(de)安(an)全安(an)全能力(li)，進而規劃(hua)足夠的(de)(de)人(ren)力(li)物(wu)力(li)財(cai)力(li)，配置(zhi)符(fu)合法(fa)(fa)(fa)律要求(qiu)(qiu)與自(zi)身需求(qiu)(qiu)的(de)(de)商用密碼產品。同時，鑒于國際形勢(shi)的(de)(de)不(bu)穩定性(xing)不(bu)確定性(xing)更加突出，網(wang)絡(luo)運(yun)(yun)營者應(ying)(ying)當充分考慮全球供應(ying)(ying)鏈安(an)全問題，包括(kuo)密碼技術、密碼產品供應(ying)(ying)鏈可靠性(xing)。

四是當前商(shang)(shang)用(yong)(yong)密碼科技創新(xin)能力顯(xian)著提升，突破一(yi)批商(shang)(shang)用(yong)(yong)密碼重大基礎理論和關鍵核心技術，但是商(shang)(shang)用(yong)(yong)密碼產品性能仍然有待提升。具有(you)商用密碼(ma)產(chan)品(pin)研發與創新能力的(de)(de)企業要抓住機會，特別是要適應云計算(suan)、大(da)數(shu)據(ju)的(de)(de)運(yun)行環境與快速迭代發展(zhan)趨(qu)勢(shi)，加快提升密碼(ma)產(chan)品(pin)的(de)(de)安(an)(an)全(quan)性能和加密速度(du)，為(wei)數(shu)字經濟多元場景提供(gong)更(geng)靈活、更(geng)可(ke)控的(de)(de)密碼(ma)安(an)(an)全(quan)解決方案。

四(si)

結語

5G的(de)到來將(jiang)開啟(qi)全(quan)新(xin)的(de)物聯網(wang)時代，5G與大數據，云計算，人(ren)工智能(neng)等諸多創新(xin)技(ji)術(shu)的(de)新(xin)一輪(lun)耦合(he)勢必將(jiang)會對網(wang)絡(luo)產品與信息服務提出更(geng)高的(de)安(an)全(quan)性能(neng)要(yao)(yao)求，商用(yong)密(mi)(mi)碼(ma)應用(yong)水(shui)(shui)平(ping)將(jiang)成為衡量(liang)各網(wang)絡(luo)運營(ying)者網(wang)絡(luo)安(an)全(quan)能(neng)力的(de)重要(yao)(yao)指(zhi)標。網(wang)絡(luo)運營(ying)者應當(dang)抓住(zhu)當(dang)前(qian)的(de)技(ji)術(shu)換擋(dang)窗口(kou)期，加(jia)緊落實密(mi)(mi)碼(ma)相關法律法規及(ji)國家標準的(de)要(yao)(yao)求，統籌安(an)排商用(yong)密(mi)(mi)碼(ma)應用(yong)，筑牢自身網(wang)絡(luo)安(an)全(quan)防線，提高網(wang)絡(luo)安(an)全(quan)保(bao)障水(shui)(shui)平(ping)。

（來源：國家密碼管理(li)局網 作(zuo)者顧偉，阿里巴(ba)(ba)巴(ba)(ba)集(ji)團(tuan)法務部法律研究中心）

上一篇：首屆全國商用密碼應用優秀案例專家評審會順利召開

下一篇：我國主導提出的國際標準ISO/IEC 27070《信息技術安全技術虛擬信任根建立要求》正式發布

刚到房间门口就热吻扔衣服,臭氧老化试验箱,做爰视频,性色av网站,床震吃胸膜奶免费视频

密碼法背景下的商用密碼應用及挑戰