密碼相關要求的解讀及推進情況

隨著密碼法的發布,密碼安全上升到國家高度,密碼要求及國密推進工作加緊落實,本文介紹了密碼相關的要求并進行了解讀,并對國密當前落地情況展開敘述。

2019年10月26日,十三屆全國人大常委會第十四次會議表決通過《中華人民共和國密碼法》,即將于2020年1月1日起正式施行。

IMG_256

如同《網絡安全法》給整個網絡安全行業的合規定調一樣,《密碼法》的出臺,也勢必給網絡安全行業的根基——密碼的使用定下基調,配套法案、具體要求會陸續出現。

?

一、《密碼法》的重要意義

“法律”和“法規”是兩個不同的概念,二者的立法權限和法律效力各有不同,不可混淆。“法律”,在我國,是專門指由全國人民代表大會及其常委會依照立法程序制定,由國家主席簽署公布的規范性文件,其法律效力僅次于憲法,一般均以“法”字配稱,如《刑法》、《民法》、《婚姻法》、《公民出入境管理法》等。

“法規”是法律效力相對低于憲法和法律的規范性文件。“法規”主要有如下三種形式,一是由國務院及其所屬政府部門根據憲法和法律規定而制定和頒布的行政法規,也稱行政規章;二是由省、自治區、直轄市的人大及其常委會根據本行政區域的具體情況和實際需要制定和頒布的地方性法規;三是較大的市(省會、首府)的人大及其常委會制定的地方性法規(須報省、自治區人大常委會批準后施行)。

https://ss2.bdstatic.com/70cFvnSh_Q1YnxGkpoWK1HF6hhy/it/u=697611457,3136953637&fm=26&gp=0.jpg

由此可見《密碼法》的層級之高,與《網絡安全法》是同一個層級的,從《密碼法》第四條“堅持中國共產黨對密碼工作的領導”,可見一斑,密碼安全已上升到國家高度。

另外,筆者發現一個很有意思的情況。從國家密碼管理局官網最下面“各省級密碼管理局”去找各省級密碼管理局官網時,有一些待完善的地方,比如:

(1)選擇廣西密碼管理局、山東省密碼管理局時,會直接跳轉到了總局官網的某個頁面,應該表示的是這些省份沒有單獨建立網站的意思。但其實你在百度里面搜索,山東省密碼管理局是有獨立站點的。

1576112633_5df191f9cbe9d.png!small

(2)選擇甘肅省密碼管理局、河南省密碼管理局時,會報錯。但其實你在百度里面搜索,河南省密碼管理局是有獨立站點的。但這個站點年久失修,“政策法規”欄目連《密碼法》都沒更新進去,最近一次更新還停留在2016年。

1576112650_5df1920a176fe.png!small?? 1576112673_5df192217441d.png!small

1576112684_5df1922c0f053.png!small

根據《密碼法》第五條規定,“國家密碼管理部門負責管理全國的密碼工作。縣級以上地方各級密碼管理部門負責管理本行政區域的密碼工作。”,作為管理工作中宣傳公示工作的主陣營,后續這些網站估計少不了一頓整改。

?

二、都有哪些密碼相關的合規要求

根據時間順序,筆者整理出以下與密碼使用、管理相關的法律法規要求。從法律法規的相關內容來看,主要體現出兩個趨勢:

一是密碼工作越來越得到重視,行標《GM/T 0028-2014密碼模塊安全技術要求》升級為國標《GB/T37092-2018 信息安全技術 密碼模塊安全要求》,甚至出臺了《密碼法》,從法律層面提出要求。

二是等保測評、密評工作的交叉滲透越來越多,《密碼法》第二十七條規定“商用密碼應用安全性評估應當與關鍵信息基礎設施安全檢測評估、網絡安全等級測評制度相銜接,避免重復評估、測評。”,《網絡安全等級保護條例(征求意見稿)》第四十條規定“第三級以上網絡運營者應在網絡規劃、建設和運行階段,按照密碼應用安全性評估管理辦法和相關標準,委托密碼應用安全性測評機構開展密碼應用安全性評估。網絡通過評估后,方可上線運行,并在投入運行后,每年至少組織一次評估。”

目前取得開展商用密碼應用安全性評估試點資質的機構有信息產業信息安全測評中心、Testin云測、亨達集團信息安全技術有限公司、中國電科院等26家(2018年7月份的數字)。信息產業信息安全測評中心、亨達也都具備等級保護測評資質,一些中小企業為了省事,很可能傾向于選擇具備上述兩種服務資質的測評機構。

1576112697_5df192392277c.png!small

對于企業來講,則需要根據自己所處領域對照國密局細分的要求去落實。國密局會在通知公告中公布近期制定的標準。例如:

http://www.oscca.gov.cn/sca/xwdt/2019-07/12/content_1052621.shtml

1576112718_5df1924e8822e.png!small

三、關于國密的要求

國密是國產密碼的簡稱,根據《密碼法》分類,屬于商用密碼。根據1999年10月7日國務院發布實施的《商用密碼管理條例》第一章第二條規定:“本條例所稱商用密碼,是指對不涉及國家秘密內容的信息進行加密保護或者安全認證所使用的密碼技術和密碼產品”。由此可以看出,國密是用于非國家秘密領域加密、認證的技術和產品的統稱。

1、政策推廣進展

密碼算法是保障信息安全的核心技術,密碼算法和密碼產品的自主可控是確保我國信息安全的重中之重。《國家安全法》第二十五條明確規定,“實現網絡和信息核心技術、關鍵基礎設施和重要領域信息系統及數據的安全可控”。

從2011年開始,政府持續推進國產密碼落地工作,因為涉及到密碼設備、密碼服務接口、應用等全鏈條的改造,所以國產密碼在推廣起來難度非常之大。2020年是一個關鍵節點,金融領域要在這一年全面應用國產密碼。

1576112737_5df19261b878a.png!small

(1)2010年底,國家密碼管理局公布了我國自主研制的“橢圓曲線公鑰密碼算法”(SM2算法)。密碼算法相繼問世。

(2)為保障重要經濟系統密碼應用安全,國家密碼管理局于2011年發布了《關于做好公鑰密碼算法升級工作的通知》,要求“自2011年3月1日起,在建和擬建公鑰密碼基礎設施電子認證系統和密鑰管理系統應使用國密算法。自2011年7月1日起,投入運行并使用公鑰密碼的信息系統,應使用SM2算法。”至此,打響了國密算法推廣的第一*。

1576112746_5df1926a7b49e.png!small

(3)2012年成立了“金融領域國產密碼推進工作”協調小組,2014年發布的《國務院辦公廳轉發密碼局等部門關于金融領域密碼應用指導意見的通知》(國辦發[2014]6號文件)明確提出,要力爭2015年初步實現國產密碼在金融IC卡(集成電路卡)、網上銀行、移動支付、網上證券、電子保單等重點領域中的廣泛應用,到2020年實現國產密碼在金融領域中的全面應用。

(4)2014年3月,證監會發布了《關于加強證券期貨領域國產密碼應用推進工作的通知》,通知提出“2015年初步實現國產密碼在網上證券的廣泛應用”,“2020年實現國產密碼在證券期貨領域中的全面應用。”

(5)2015年的《電子簽名法》、2018年的《政務信息系統政府采購管理辦法》均包含落實國家密碼管理局相關要求的內容。

(6)國家質量監督總局和國標委在2017年發布、2018年實施的《公共安全視頻監控聯網信息安全技術要求》中則明確規定國產密碼算法的使用:

1576112785_5df192915eaed.png!small

國家密碼局上可以查詢支持國密算法、拿到產品證書的商密產品目錄,http://www.oscca.gov.cn/app-zxfw/cpxx/symmcp1.jsp?manuscript_id=1000026。隨著國產密碼標準化、產品化、技術服務化等工作的進一步推進,自主可控的要求將會得到逐步落實,密碼應用、推廣的要求也會隨之落地,并慢慢擴展應用到所有領域。

?2、市場需要

目前國產密碼在性能上、安全性上已經足以媲美國際算法,如基于ECC的SM2算法證書普遍采用256位密鑰長度,加密強度等同于3072位RSA證書。

密碼技術目前已經廣泛應用于金融IC卡、網上銀行、網上證券、移動支付、電子保單等多類金融業務系統中。從參與主體來說,金融領域密碼應用涉及國家主管部門,行業監管部門,銀行、證券、保險金融機構,支付清算機構,應用系統提供商,密碼設備、密碼基礎設施供應商,客戶、商戶等主體;從涉及的安全目標來說,包括確保金融數據的機密性、交易參與方身份認證(抗抵賴性)、交易數據的完整性、交易的不可否認性;從密碼應用的具體支撐來看,包括密碼算法支持、密碼設備產品支持、密碼基礎設施支持、終端和機具支持、應用系統支持等。

1576112853_5df192d5aef83.png!small

國密算法已經走向國際化,祖沖之算法已經成為3GPP標準(3GPP是一個由通信強國/地區的通信標準化機構組成的聯盟,具有很強的影響力),SM2、SM3、SM4、SM9算法已經納入ISO/IEC國際標準審核階段或發布階段。

1576112864_5df192e0e3ea5.png!small

1576112875_5df192eb5d806.png!small

后續,隨著5G、物聯網的發展,身份認證、傳輸加密、敏感數據保護將成為安全標配,特別是在工業控制、網絡基礎設施建設等安全可信要求較高的領域,國產密碼將迎來帶大量市場需求,這個市場將持續蓬勃發展。

1576112887_5df192f73939a.png!small

?

3、國密改造舉例

下面我們以一個具體系統為例子,看看網上銀行這項具體業務究竟涉及多少改造的點。

瀏覽器與網銀安全網關之間通過建立SSL加密通道的方式確保數據傳輸過程中的安全性。在密鑰協商和通信傳輸過程中使用了非對稱密碼算法和對稱密碼算法;通過客戶、服務器建立雙向認證機制,數字證書生成、用戶身份認證環節使用了非對稱密碼算法;在對客戶提交信息進行簽名驗簽的過程中使用了非對稱密碼算法和雜湊算法。

綜上,網銀系統中密碼算法的應用共有數字證書生成、身份認證、通信協商、簽名驗簽四個場景。

(1)安全基礎設施改造

安全網關改造:升級為支持SM4算法網關設備,能夠與客戶端建立雙向SSL加密鏈路。

簽名驗簽服務器改造:升級為支持國產SM系列算法的簽名驗簽服務器,為應用服務器提供硬件密碼生成和校驗服務。

(2)電子認證(CA)系統改造

網銀系統一般采用第三方CA系統簽發的數字證書,對CA改造的目標是實現支持國密算法SM2簽發的數字證書。銀行應選擇具有電子認證服務使用密碼許可資質的單位合作,建設基于國密算法的證書認證系統。

(3)網銀應用系統改造

密碼服務中間件改造:將簽名驗簽、數據加解密過程采用中間件進行封裝,由密碼服務中間件同時連接新舊算法的密碼設備,自動判斷報文所用的加密算法并進行相應的解密。舊的密碼體系會發送RSA算法簽發的數字證書認證信息和SHA-1算法簽名的客戶交易信息,新的密碼體系會發送SM2算法簽發的數字證書認證信息和SM3算法簽名的客戶交易信息。

客戶端硬件改造:新的客戶端硬件設備需要內置國密算法,同時該設備作為數字證書的載體需要兼容國密算法的數字證書。

客戶端軟件改造:核心內容是實現瀏覽器、簽名控件、U盾等對國密算法的支持。目前SM2算法尚未被Windows系統和IE瀏覽器兼容,導致SM2算法證書無法直接應用在現有的客戶端環境中。為了規避這一情況,目前大多數采用混合方案,即采用瀏覽器支持的通用算法(RSA、AES)用于會話協商和證書認證,需要簽名時,再調用SM2算法對證書進行簽名。當然,也可以采用專用瀏覽器,徹底支持SM系列算法,但需要對專用瀏覽器進行安裝推廣。

1576112917_5df19315969bd.png!small

1576112929_5df1932101be8.jpg!small

(4)系統上線和推廣

新舊系統的并行過渡期:為降低技術復雜度和對現有生產系統運行的影響,可以采用新增國密算法系統前端網絡入口的方式,將國密算法的網銀系統web層服務器再獨立部署一套,一是啟用新的國密網銀系統域名,便于區分網絡流量和用戶群體,二是配置獨立的國密SSL安全網關,對新的密碼算法體系下的客戶建立國密安全通道并完成身份認證。

新系統的推廣應用:一是周密部署,制定詳細的推廣工作方案,逐層分解推廣任務,設定目標和考核機制;二是采用短信通知、電話熱線、網站提示等多種服務渠道加強宣傳,積極引導客戶主動升級;三是對重點客戶采用上門服務支持的方式,由客戶經理會同信息科技人員現場升級。

1

發表評論

已有 1 條評論

取消
Loading...

填寫個人信息

姓名
電話
郵箱
公司
行業
職位
css.php 微信上那些说赚钱是真的吗