《中华人民共和国密码法》已经于2019年10月26日由第十三届全国人大常委会第十四次会议通过,并将于2020年1月1日起施行。《密码法》确立的商用密码法律制度,相较于1999年颁布的《商用密码管理条例》有着非常大的变化和十分明显的进步。2017年下半年国家密码管理局发布的几个商用密码监管文件已经对《商用密码管理条例》作了不小的修改,例如取消了商用密码产品的“商用密码科研定点单位证书”、“商用密码产品生产定点单位证书”、“商用密码产品销售许可证”、“使用境外生产的密码产品准用证”等;除此之外,《密码法》还对商用密码在以下几个方面作出重要的实质性规定:
一、商用密码标准
1、除国家标准和行业标准外,还可以制定商用密码团体标准和企业标准,《密码法》第二十二条规定,“国家支持社会团体、企业利用自主创新技术制定高于国家标准、行业标准相关技术要求的商用密码团体标准、企业标准。”
2、中国商用密码标准与国外商用密码标准之间的关系
第二十三条规定,“国家推动参与商用密码国际标准化活动,参与制定商用密码国际标准,推进商用密码中国标准与国外标准之间的转化运用”。我们知道,中国的商密算法SM2、SM3、SM4、SM9等在成为国际算法标准(ISO标准)中已经取得显著的成绩,国外的一些信息技术标准已经接纳了中国的商密算法,如TCG(Trusted Computing Group)的TPM(Trusted Platform Module)标准。第二十三条也意味着同时推进将国外或者国际包括密码算法在内的商用密码标准转化为中国商用密码标准,或者在中国标准中采用国外或者国际标准,这为中国企业或者中国跨国企业把支持国密算法和国际算法的密码产品推向国际市场铺平了道路,也给支持国密算法和国际算法密码产品的外国企业进入中国市场提供了机会。
二、商用密码产品的监管与市场准入制度
按照目前实施的《商用密码管理条例》及相关的规定,所有密码产品都必须经指定密码检测机构的检测合格,并且获得密码产品型号证书后,才能销售到市场、提供给用户。《密码法》第二十六条规定,“涉及国家安全、国计民生、社会公共利益的商用密码产品,应当依法列入网络关键设备和网络安全专用产品目录,由具备资格的机构检测认证合格后,方可销售或者提供。”即,重要的密码产品会列入到“网络关键设备和网络安全专用产品目录”,按该目录对应的监管制度或者市场准入制度通过检测认证合格后才能销售;而没有列入该目录的商用密码产品则不要求经过此检测认证即可销售,但第二十五条“鼓励商用密码从业单位自愿接受商用密码检测认证”,商用密码产品厂商可以按照自己的意愿或者为满足具体用户的需求,自愿送检产品。
三、商用密码产品的定义与“核心功能”
《商用密码管理条例》没有明确规定怎样就算是“密码产品”,为此国家密码管理局于2000年3月发文《关于商用密码管理的有关问题》予以澄清:“纳入本条例管理范围的“密码产品及含有密码技术的设备”,只限于以加密解密操作为核心功能的专用硬件、软件,其他如无线手机、Windows软件、浏览器软件等都不在这个范围之内。”但是,“核心功能”的解释又众说纷纭,难下结论。《密码法》完美地终结了这一纠结,即凡列入“网络关键设备和网络安全专用产品目录”的密码产品都实行“强制性”检测认证,所有不在此目录内的,无论你是否称其为密码产品,都可以自愿申请检测认证或者不去检测认证。
四、作为密码产品检测认证与作为网络关键设备和网络安全专用产品(或者信息安全产品)检测认证
在现法律环境下,商用密码产品厂商往往将其产品,例如金融密码机,送密码产品检测机构检测认证,获得密码产品型号证书,同时也送检信息安全产品检测认证机构,获得计算机信息系统安全专用产品销售许可证或者信息安全产品强制性认证证书。按《密码法》这只需一次送检,并且按现网络关键设备和网络安全专用产品检测认证有关规定,产品检测认证合格后将在网站上公布,而不需要或者不一定需要证书或者许可证。但是,现密码产品检测认证时主要测试产品的加解密功能部分而非其他信息技术方面,而“信息安全产品”检测认证中不检测采用的密码技术组件,《密码法》实行后,相关的检测认证流程、检测认证标准和规范可能需要作较大调整。另外,现网络关键设备和网络安全专用产品或者信息安全产品检测认证机构往往没有密码产品或者密码技术的检测认证资格,按现行有关法规规定,采用密码技术的网络关键设备和网络安全专用产品或者信息安全产品(注意不是密码产品),必须再送到密码产品检测机构对其密码部分或者密码组件进行检测,合格后,才可能完成网络关键设备和网络安全专用产品或者信息安全产品的检测认证流程。《密码法》的实行将可能解决这一问题,使产品生产厂商送检一次产品即可。
五、进口商用密码产品
按《商用密码管理条例》以及有关规定,国外/境外厂商生产的商用密码产品,如要提供给国内用户使用,必须获得相应的进口许可,并且只能提供给在中国的外资企业、境外机构和个人。《密码法》第二十八条规定:“国务院商务主管部门、国家密码管理部门依法对涉及国家安全、社会公共利益且具有加密保护功能的商用密码实施进口许可,……商用密码进口许可清单……由国务院商务主管部门会同国家密码管理部门和海关总署制定并公布。大众消费类产品所采用的商用密码不实行进口许可和出口管制制度。”可见,凡是列入商用密码进口许可清单的产品,都可以在获得许可后进口,并且《密码法》没有进口商用密码产品使用者的限制,看来中资企业和外资企业都可以使用进口商用密码产品。看来,凡是没有列入商用密码进口许可清单的商用密码(技术、产品和服务),都不再需要进口许可。
六、密码产品的源代码
按中国现行法规,生产厂商在送检商用密码产品时,必须向密码产品检测认证机构提交(如光盘)产品的源代码,这引起国外厂商的忧虑。我们知道,在国际上和美国进行密码产品FIPS 140-2检测认证时,必须向检测认证机构提供密码产品的源代码。外国机构和外国企业往往认为,实施FIPS检测认证的第三方实验室都是独立的,而中国的密码产品检测认证机构都有很强的政府背景,有将产品源代码提供给政府的风险。《密码法》第三十一条规定,“密码管理部门和有关部门及其工作人员不得要求商用密码从业单位和商用密码检测、认证机构向其披露源代码等密码相关专有信息,并对其在履行职责中知悉的商业秘密和个人隐私严格保密,不得泄露或者非法向他人提供。”这样,就用法律的形式在政府部门及其工作人员与密码检测认证机构之间竖立起“源代码等密码相关专有信息”屏障,应该可以打消国外厂商的这一忧虑。
密评七大基础问题解答
Q1:运营单位怎么判定是否需要开展商用密码应用安全性评估?
1)《密码法》第二十七条法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码进行保护,自行或者委托商用密码检测机构开展商用密码应用安全性评估。2)《商用密码应用安全性评估管理办法(试行)》第三条、第二十条涉及国家安全和社会公共利益的重要领域网络和信息系统的建设、使用、管理单位(以下简称责任单位)应当健全密码保障体系,实施商用密码应用安全性评估。重要领域网络和信息系统包括:基础信息网络、涉及国计民生和基础信息资源的重要信息系统、重要工业控制 系统、面向社会服务的政务信息系统,以及关键信息基础设施、网络安全等级保护第三级及以上信息系统。第三条规定范围之外的其他网络和信息系统,其责任单位可以参考本办法自愿开展商用密码应用安全性评估。
Q2:重要领域网络和信息系统有哪些?
基础信息网络:电信网、广播电视网、互联网。重要信息系统:能源、教育、公安、测绘地理信息、社保、交通、卫生计生、金融等涉及国计民生和基础信息资源的重要信息系统。重要工业控制系统:核设施、航空航天、先进制造、石油石化、油气管网、电力系统、交通运输、水利枢纽、城市设施等重要工业控制系统。面向社会服务的政务信息系统:党政机关和使用财政性资金的事业单位和团体组织使用的面向社会服务的信息系统。
Q3:不做密评或测评结果不合格有什么影响?
《密码法》第三十七条第一款规定:关键信息基础设施的运营者违反本法第二十七条第一款规定,未按照要求使用商用密码,或者未按照要求开展商用密码应用安全性评估的,由密码管理部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处十万元以上一百万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款。《国家政务信息化项目建设管理办法》第二十八条第三款规定:对于不符合密码应用和网络安全要求,或者存在重大安全隐患的政务信息系统,不安排运行维护经费,项目建设单位不得新建、改建、扩建政务信息系统。《商用密码应用安全性评估管理办法(试行)》第二章第十条规定:关键信息基础设施、网络安全等级保护第三级及以上信息系统,每年至少评估一次。
Q4:刚接触商密并不熟,系统要进行商密改造,到底怎么改,有参考的标准或依据吗?
目前参考的标准和依据主要是GM/T0054《信息系统密码应用基本要求》,其他新建和改造方案要求和指导文件正在制定中。如果刚接触商密并不熟,可委托第三方进行方案设计,方案完成后需经过专家论证或者测评机构评审。方案应包含密码应用设计方案、实施方案和应急方案三部分。
Q5:信息系统密评如何定级?实施流程怎么样?
目前密评系统的定级参照等级保护的系统定级。实施流程主要包括:前期准备,主要是责任单位信息收集和系统自查,具体时间要根据被测单位准备进度来定;现场测评,测评方案由测评机构根据信息采集表内容在入场前制定完成,测评方案将于前期准备同步进行。责任单位越重视,负责层级越高,配合程度越高,时间越短;反之,越长。系统规模越大,时间越长;反之,越短。
Q6:取得了商用密码应用安全性评估报告后应向哪些部门和机构进行备案?
根据现有规定,责任单位取得报告后,被测单位自行上报主管部门及所在地区(部门)密码管理部门备案,测评机构上报国密局备案;等保三级及以上信息系统,评估报告还需由被测单位上报至所在地区公安部门备案。
Q7:那么从技术角度,即应用服务构成和开发运营角度,密码应用会涉及到哪些具体方面?
在开发运营过程,开发、测试、集成/交付、生产/运营,都存在数据泄露的风险,链路长管控难,其中我们需要重点关注两大内容:敏感凭据,包括云访问账号、配置文件、系统账号、源代码、数据加密密钥等;数据,包括生产数据、测试数据、运营数据等。从应用服务的构成来看,以一个CS结构的服务为例,涉及客户端本地数据存储,客户端和服务端的通信,服务端各种配置文件,服务端相关的存储中间件交互保存数据,应用上还会涉及到金融支付相关服务,对安全性要求比较高;另外,不同的客户端可能还需要数据的传输和分享。
在典型的场景中,数据从产生、传输、存储、处理,到共享展示,涉及多个数据安全保障的点:本地敏感数据存储安全、网络通道的安全、配置文件和硬编码敏感信息的安全、密钥的安全管理、云上数据的存储安全、金融支付等敏感应用的安全合规问题、数据的共享、展示脱敏的问题等等。
针对各行业用户在密码技术应用,以及合规性设计上的建议:
1、 按照规划、建设、运营模型实施密码应用,保证合规性与数据安全性;
2、对于应用系统,检视是否使用了密码,是否合规,以及能否起到防护作用;
3、 对于云用户,应充分利用云平台提供的密码产品基础设施,构建合规化密码服务;
