2019年10月26日,十三届全国人大常委会第十四次会议表决通过《中华人民共和国密码法》,即将于2020年1月1日起正式施行。
如同《网络安全法》给整个网络安全行业的合规定调一样,《密码法》的出台,也势必给网络安全行业的根基——密码的使用定下基调,配套法案、具体要求会陆续出现。
一、《密码法》的重要意义
“法律”和“法规”是两个不同的概念,二者的立法权限和法律效力各有不同,不可混淆。“法律”,在我国,是专门指由全国人民代表大会及其常委会依照立法程序制定,由国家主席签署公布的规范性文件,其法律效力仅次于宪法,一般均以“法”字配称,如《刑法》、《民法》、《婚姻法》、《公民出入境管理法》等。
“法规”是法律效力相对低于宪法和法律的规范性文件。“法规”主要有如下三种形式,一是由国务院及其所属政府部门根据宪法和法律规定而制定和颁布的行政法规,也称行政规章;二是由省、自治区、直辖市的人大及其常委会根据本行政区域的具体情况和实际需要制定和颁布的地方性法规;三是较大的市(省会、首府)的人大及其常委会制定的地方性法规(须报省、自治区人大常委会批准后施行)。
由此可见《密码法》的层级之高,与《网络安全法》是同一个层级的,从《密码法》第四条“坚持中国共产党对密码工作的领导”,可见一斑,密码安全已上升到国家高度。
另外,笔者发现一个很有意思的情况。从国家密码管理局官网最下面“各省级密码管理局”去找各省级密码管理局官网时,有一些待完善的地方,比如:
(1)选择广西密码管理局、山东省密码管理局时,会直接跳转到了总局官网的某个页面,应该表示的是这些省份没有单独建立网站的意思。但其实你在百度里面搜索,山东省密码管理局是有独立站点的。
(2)选择甘肃省密码管理局、河南省密码管理局时,会报错。但其实你在百度里面搜索,河南省密码管理局是有独立站点的。但这个站点年久失修,“政策法规”栏目连《密码法》都没更新进去,最近一次更新还停留在2016年。
根据《密码法》第五条规定,“国家密码管理部门负责管理全国的密码工作。县级以上地方各级密码管理部门负责管理本行政区域的密码工作。”,作为管理工作中宣传公示工作的主阵营,后续这些网站估计少不了一顿整改。
二、都有哪些密码相关的合规要求
根据时间顺序,笔者整理出以下与密码使用、管理相关的法律法规要求。从法律法规的相关内容来看,主要体现出两个趋势:
一是密码工作越来越得到重视,行标《GM/T 0028-2014密码模块安全技术要求》升级为国标《GB/T37092-2018 信息安全技术 密码模块安全要求》,甚至出台了《密码法》,从法律层面提出要求。
二是等保测评、密评工作的交叉渗透越来越多,《密码法》第二十七条规定“商用密码应用安全性评估应当与关键信息基础设施安全检测评估、网络安全等级测评制度相衔接,避免重复评估、测评。”,《网络安全等级保护条例(征求意见稿)》第四十条规定“第三级以上网络运营者应在网络规划、建设和运行阶段,按照密码应用安全性评估管理办法和相关标准,委托密码应用安全性测评机构开展密码应用安全性评估。网络通过评估后,方可上线运行,并在投入运行后,每年至少组织一次评估。”
目前取得开展商用密码应用安全性评估试点资质的机构有信息产业信息安全测评中心、Testin云测、亨达集团信息安全技术有限公司、中国电科院等26家(2018年7月份的数字)。信息产业信息安全测评中心、亨达也都具备等级保护测评资质,一些中小企业为了省事,很可能倾向于选择具备上述两种服务资质的测评机构。
对于企业来讲,则需要根据自己所处领域对照国密局细分的要求去落实。国密局会在通知公告中公布近期制定的标准。例如:
http://www.oscca.gov.cn/sca/xwdt/2019-07/12/content_1052621.shtml
三、关于国密的要求
国密是国产密码的简称,根据《密码法》分类,属于商用密码。根据1999年10月7日国务院发布实施的《商用密码管理条例》第一章第二条规定:“本条例所称商用密码,是指对不涉及国家秘密内容的信息进行加密保护或者安全认证所使用的密码技术和密码产品”。由此可以看出,国密是用于非国家秘密领域加密、认证的技术和产品的统称。
1、政策推广进展
密码算法是保障信息安全的核心技术,密码算法和密码产品的自主可控是确保我国信息安全的重中之重。《国家安全法》第二十五条明确规定,“实现网络和信息核心技术、关键基础设施和重要领域信息系统及数据的安全可控”。
从2011年开始,政府持续推进国产密码落地工作,因为涉及到密码设备、密码服务接口、应用等全链条的改造,所以国产密码在推广起来难度非常之大。2020年是一个关键节点,金融领域要在这一年全面应用国产密码。
(1)2010年底,国家密码管理局公布了我国自主研制的“椭圆曲线公钥密码算法”(SM2算法)。密码算法相继问世。
(2)为保障重要经济系统密码应用安全,国家密码管理局于2011年发布了《关于做好公钥密码算法升级工作的通知》,要求“自2011年3月1日起,在建和拟建公钥密码基础设施电子认证系统和密钥管理系统应使用国密算法。自2011年7月1日起,投入运行并使用公钥密码的信息系统,应使用SM2算法。”至此,打响了国密算法推广的第一*。
(3)2012年成立了“金融领域国产密码推进工作”协调小组,2014年发布的《国务院办公厅转发密码局等部门关于金融领域密码应用指导意见的通知》(国办发[2014]6号文件)明确提出,要力争2015年初步实现国产密码在金融IC卡(集成电路卡)、网上银行、移动支付、网上证券、电子保单等重点领域中的广泛应用,到2020年实现国产密码在金融领域中的全面应用。
(4)2014年3月,证监会发布了《关于加强证券期货领域国产密码应用推进工作的通知》,通知提出“2015年初步实现国产密码在网上证券的广泛应用”,“2020年实现国产密码在证券期货领域中的全面应用。”
(5)2015年的《电子签名法》、2018年的《政务信息系统政府采购管理办法》均包含落实国家密码管理局相关要求的内容。
(6)国家质量监督总局和国标委在2017年发布、2018年实施的《公共安全视频监控联网信息安全技术要求》中则明确规定国产密码算法的使用:
国家密码局上可以查询支持国密算法、拿到产品证书的商密产品目录,http://www.oscca.gov.cn/app-zxfw/cpxx/symmcp1.jsp?manuscript_id=1000026。随着国产密码标准化、产品化、技术服务化等工作的进一步推进,自主可控的要求将会得到逐步落实,密码应用、推广的要求也会随之落地,并慢慢扩展应用到所有领域。
2、市场需要
目前国产密码在性能上、安全性上已经足以媲美国际算法,如基于ECC的SM2算法证书普遍采用256位密钥长度,加密强度等同于3072位RSA证书。
密码技术目前已经广泛应用于金融IC卡、网上银行、网上证券、移动支付、电子保单等多类金融业务系统中。从参与主体来说,金融领域密码应用涉及国家主管部门,行业监管部门,银行、证券、保险金融机构,支付清算机构,应用系统提供商,密码设备、密码基础设施供应商,客户、商户等主体;从涉及的安全目标来说,包括确保金融数据的机密性、交易参与方身份认证(抗抵赖性)、交易数据的完整性、交易的不可否认性;从密码应用的具体支撑来看,包括密码算法支持、密码设备产品支持、密码基础设施支持、终端和机具支持、应用系统支持等。
国密算法已经走向国际化,祖冲之算法已经成为3GPP标准(3GPP是一个由通信强国/地区的通信标准化机构组成的联盟,具有很强的影响力),SM2、SM3、SM4、SM9算法已经纳入ISO/IEC国际标准审核阶段或发布阶段。
后续,随着5G、物联网的发展,身份认证、传输加密、敏感数据保护将成为安全标配,特别是在工业控制、网络基础设施建设等安全可信要求较高的领域,国产密码将迎来带大量市场需求,这个市场将持续蓬勃发展。
3、国密改造举例
下面我们以一个具体系统为例子,看看网上银行这项具体业务究竟涉及多少改造的点。
浏览器与网银安全网关之间通过建立SSL加密通道的方式确保数据传输过程中的安全性。在密钥协商和通信传输过程中使用了非对称密码算法和对称密码算法;通过客户、服务器建立双向认证机制,数字证书生成、用户身份认证环节使用了非对称密码算法;在对客户提交信息进行签名验签的过程中使用了非对称密码算法和杂凑算法。
综上,网银系统中密码算法的应用共有数字证书生成、身份认证、通信协商、签名验签四个场景。
(1)安全基础设施改造
安全网关改造:升级为支持SM4算法网关设备,能够与客户端建立双向SSL加密链路。
签名验签服务器改造:升级为支持国产SM系列算法的签名验签服务器,为应用服务器提供硬件密码生成和校验服务。
(2)电子认证(CA)系统改造
网银系统一般采用第三方CA系统签发的数字证书,对CA改造的目标是实现支持国密算法SM2签发的数字证书。银行应选择具有电子认证服务使用密码许可资质的单位合作,建设基于国密算法的证书认证系统。
(3)网银应用系统改造
密码服务中间件改造:将签名验签、数据加解密过程采用中间件进行封装,由密码服务中间件同时连接新旧算法的密码设备,自动判断报文所用的加密算法并进行相应的解密。旧的密码体系会发送RSA算法签发的数字证书认证信息和SHA-1算法签名的客户交易信息,新的密码体系会发送SM2算法签发的数字证书认证信息和SM3算法签名的客户交易信息。
客户端硬件改造:新的客户端硬件设备需要内置国密算法,同时该设备作为数字证书的载体需要兼容国密算法的数字证书。
客户端软件改造:核心内容是实现浏览器、签名控件、U盾等对国密算法的支持。目前SM2算法尚未被Windows系统和IE浏览器兼容,导致SM2算法证书无法直接应用在现有的客户端环境中。为了规避这一情况,目前大多数采用混合方案,即采用浏览器支持的通用算法(RSA、AES)用于会话协商和证书认证,需要签名时,再调用SM2算法对证书进行签名。当然,也可以采用专用浏览器,彻底支持SM系列算法,但需要对专用浏览器进行安装推广。
(4)系统上线和推广
新旧系统的并行过渡期:为降低技术复杂度和对现有生产系统运行的影响,可以采用新增国密算法系统前端网络入口的方式,将国密算法的网银系统web层服务器再独立部署一套,一是启用新的国密网银系统域名,便于区分网络流量和用户群体,二是配置独立的国密SSL安全网关,对新的密码算法体系下的客户建立国密安全通道并完成身份认证。
新系统的推广应用:一是周密部署,制定详细的推广工作方案,逐层分解推广任务,设定目标和考核机制;二是采用短信通知、电话热线、网站提示等多种服务渠道加强宣传,积极引导客户主动升级;三是对重点客户采用上门服务支持的方式,由客户经理会同信息科技人员现场升级。
来源:freebuf.com 2019-12-12 09:09:08 by: q11132o0
请登录后发表评论
注册