首頁 > 關于我們 > 新聞動態 > 深度解讀

“我”讀密碼法

發布時間 2019-10-28
《中華人民共和國密碼法》已由中華人民共和國第十三屆全國人民代表大會常務委員會第十四次會議于2019年10月26日通過審議,將于2020年1月1日起正式施行。


密碼是國家的重要戰備資源,是國之重器。
密碼是保護網絡安全的核心技術和最基礎的支撐。
密碼工作也是黨和國家的一項特殊重要的工作,它直接關系國家政治安全、經濟安全、國防安全和信息安全,在我國的各個歷史時期,密碼都發揮了不可替代的作用。

立法的過程

 
立法的原則



立法的意義



密碼法法律框架


密碼法是國家安全法律體系的重要組成部分,也是一部技術性、專業性較強的專門法律,密碼法分為五章四十四條。

第一章總則部分,規定了本法的立法目的、密碼工作的基本原則、領導和管理體制、密碼發展促進和保障措施。

第二章核心密碼、普通密碼部分,規定了核心密碼、普通密碼使用要求、安全管理制度以及國家加強核心密碼、普通密碼工作的一系列特殊保障制度和措施。

第三章商用密碼部分,規定了商用密碼標準化制度、檢測認證制度、市場準入管理制度、使用要求、進出口管理制度、電子政務電子認證服務管理制度以及商用密碼事中事后監管制度。

第四章法律責任部分,規定了違反本法相關規定應當承擔的相應的法律后果。

第五章附則部分,規定了國家密碼管理部門的規章制定權,解放軍和武警部隊密碼立法事宜以及本法的施行日期。

密碼分類管理

密碼法明確了密碼的分類要求,將密碼分為核心密碼、普通密碼和商用密碼,并實行分類管理。根據三類密碼保護的對象不同,對其進行明確劃分,確保密碼安全保密及科學的管理。

“核心密碼”與“普通密碼”被用來保護國家秘密信息,涉密單位應重點關注對于這兩類密碼的管理。對這兩類密碼,《密碼法》要求實行密碼“保密責任制”和“安全風險評估”機制。

商用密碼被用于保護不屬于國家秘密的信息,公民、法人和其他組織可以依法使用商用密碼保護網絡與信息安全。一般來說非涉密單位接觸到的密碼應用,都屬于商用密碼,應遵循國家密碼局商用密碼管理有關條例規定。

密碼與關鍵信息基礎設施、網絡安全等級保護三位一體

《網絡安全法》對密碼的要求:《網絡安全法》第二十一條規定,國家實行網絡安全等級保護制度。其安全保護義務第4條明確采取數據分類、重要數據備份和加密等措施;第三十一條明確在關鍵信息基礎設施網絡安全等級保護制度的基礎上,實行重點保護。

《密碼法》:密碼法針對關鍵信息基礎設施與網絡安全等級保護,多處明確其關聯關系及厲害關系,涉及條款二十六條、二十七條和三十七條等。

密碼法第二十七條明確規定,法律、行政法規和國家有關規定要求使用商用密碼進行保護的關鍵信息基礎設施,其運營者應當使用商用密碼進行保護,自行或者委托商用密碼檢測機構開展商用密碼應用安全性評估。商用密碼應用安全性評估應當與關鍵信息基礎設施安全檢測評估、網絡安全等級測評制度相銜接,避免重復評估、測評。

《網絡安全等級保護基本要求》(GB/T22239-2019):以三級為例,涉及安全通信網絡中通信傳輸;安全區域邊界中身份鑒別、數據完整性、數據保密性;安全建設管理中安全方案設計、產品采購和使用、測試驗證;安全運維管理中密碼管理;云計算安全擴展要求中鏡像和快照保護、移動互聯安全擴展要求訪問控制等安全點,均對采用密碼技術有明確要求。

《關鍵信息基礎設施安全保護條例》(征求意見稿):明確要求關鍵信息基礎設施中的密碼使用和管理,還應當遵守密碼法律、行政法規的規定。

《網絡安全等級保護條例》(征求意見稿):確定密碼要求,國家密碼管理部門根據網絡的安全保護等級、涉密網絡的密級和保護等級,確定密碼的配備、使用、管理和應用安全性評估要求,制定網絡安全等級保護密碼標準規范,同時明確涉密網絡密碼保護要求、非涉密網絡密碼保護要求及密碼安全管理責任等。

密碼安全性評估注意要點

當前,我國密碼安全性評估主要依據是《GM∕T0054-2018信息系統密碼應用基本要求》,其對信息系統的規劃、建設、運行三個階段的密碼應用情況安全性評估進行了詳細的規定:


啟明星辰響應措施

一直以來,啟明星辰積極響應國家密碼管理的相關規定,持續推出商用密碼產品和涉密信息系統產品:防火墻/下一代防火墻、加密機、SSL VPN安全接入網關、IPSecVPN、網絡安全審計/數據庫審計、數據防泄漏、文檔加密系統等系列安全防護產品,全面支持商用密碼,符合國家密碼協議的相關密碼標準,為涉密網及關鍵信息基礎設施領域的用戶主動提供產品及服務。未來,啟明星辰也將持續加大投入,融合密碼技術發展,推動安全技術全面發展,幫助用戶業務提升全生命周期的安全能力。

上一篇 下一篇