互联网是把双刃剑,用得好,它是阿里巴巴的宝库;用不好,它就是潘多拉的魔盒,小可杀人于无形,大可颠覆国家政权。推动互联网安全互联需要发挥密码的基础支撑作用。密码是互联网的基础设施,是安全互联互通的前提。人、机、物的可信互认、安全互通均依赖于密码。在我国,密码分为核心密码、普通密码、商用密码。其中,商用密码用于对不涉及国家秘密内容的信息进行加密保护或者安全认证,包括密码技术、密码产品和密码服务。商用密码技术是商用密码的核心,是信息化时代社会团体、组织、企事业单位和个人用于保护自身权益的重要工具。
商用密码广泛用于金融、电子政务、通信、能源、交通等关键信息基础设施的网络和信息系统,用途非常广泛,直接关系国家安全、社会公共利益以及公民、法人和其他组织的合法权益,应当依法进行管理。我国在互联网发展初期就开始出台相关法律法规以加强商用密码管理。1999年10月,国务院颁布了我国密码领域的第一部行政法规《商用密码管理条例》,它首次以国家行政法规形式明确了商用密码定义、管理机构和管理体制,同时对商用密码科研、生产、销售、使用、安全保密等方面做出了规定。
为了规范电子签名行为,确立电子签名的法律效力,维护有关各方的合法权益,2004年8月28日全国人大常务委员会会议通过了《中华人民共和国电子签名法》,该法赋权国家密码管理局对电子认证服务使用密码的行为依法实施管理,明确规定“可靠的电子签名与手写签名或者盖章具有同等的法律效力”,为我国信息化建设提供了重要的法律制度保障。
随后,为了完善《中华人民共和国电子签名法》,2015年4月24日第十二届全国人民代表大会常务委员会第十四次会议对《中华人民共和国电子签名法》做出修正,将第十七条“提供电子认证服务,应当具备下列条件:”增加一项,作为第一项:“(一)取得企业法人资格”,这从源头上就对电子认证服务进行规范和保障,确保该企业机构具有一定能力来办理电子认证以及保障电子签名的安全;我国电子认证机构的设立和管理是政府主导型,所以删去第十八条第二款:“申请人应当持电子认证许可证书依法向工商行政管理部门办理企业登记手续”。
2019年4月23日第十三届全国人民代表大会常务委员会第十次会议再次对《中华人民共和国电子签名法》做出修正,删去第三条第三款第二项:“涉及土地、房屋等不动产权益转让的”;将第三项改为第二项,修改为:“(二)涉及停止供水、供热、供气等公用事业服务的”。房屋买卖产权转让是要在房管部门双方当面签订书面合同为准,该书面合同不能以“数据电文”为表现形式,故“涉及土地、房屋等不动产权益转让的”不适用“电子签名、数据电文”,将此项废除。
为贯彻实施《电子签名法》,正确履行《电子签名法》赋予的密码管理职责,方便电子认证服务提供者申请同意使用密码的证明文件,规范电子认证服务提供者使用密码行为,特制定《电子认证服务密码管理办法》,对相关事项做出明确规定。2005年3月国家密码管理局发布《电子认证服务密码管理办法》,主要规定面向社会公众提供电子认证服务应当使用商用密码,明确了申请电子认证服务使用密码许可应当具备的基本条件和程序,对电子认证服务系统的运行和技术改造等做出了规定。同时要求电子认证服务系统要由具有商用密码产品生产和密码服务能力的单位,按照GM/T 0034-2014《基于SM2密码算法的证书认证系统密码及其相关安全技术规范》的要求承建,并通过国家密码管理局组织的安全性审查。
为了进一步规范电子认证服务使用密码行为,2009年10月28日国家密码管理局公布新修订的《电子认证服务密码管理办法》,自2009年12月1日起施行,2005年3月31日国家密码管理局发布的《电子认证服务密码管理办法》同时废止。
新修订的《电子认证服务密码管理办法》修正和完善的内容比较多,主要分为两大类:一是对电子认证服务机构进行评估,是否具有商用密码产品生产资质,以及要求承建单位提供安全性审查相关技术材料、互联互通测试相关技术材料、物理环境符合电磁屏蔽、消防安全有关要求的证明文件、使用的信息安全产品符合有关法律规定的证明文件等更细化的要求,以规范电子认证服务系统;二是国家密码管理局对电子认证服务系统进行安全性审查、互联互通测试、信息技术变更、有效期限、监督检查等具体管理条例进行了细化。新修订的条例都是为了更好的规范电子认证服务,保障信息、密码安全。对于新修订法条施行前已经取得《电子认证服务使用密码许可证》的电子认证服务提供者,也作出了相应的对策。
根据2009年《电子认证服务密码管理办法》的实践效果,2017年国家密码管理局再次对《电子认证服务密码管理办法》进行修订。2017年12月6日公布的新版《电子认证服务密码管理办法》,增加了国家密码管理局作为受理申请材料的机构,并对受理时间做出改动,使得该法在实施过程中更灵活。
为加快推进信息安全等级保护,规范信息安全等级保护管理,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设,2007年6月22日,公安部、国家保密局、国家密码管理局、原国务院信息化工作办公室联合印发了《信息安全等级保护管理办法》。
《信息安全等级保护管理办法》将信息系统的安全保护等级分为五级,第1、2级都是一般信息系统,第3-5级适用于涉及国家安全、社会秩序和公共利益的重要信息系统。将信息分成不同等级,按等级的影响程度做出相应的管理政策,保障国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益。
为规范信息安全等级保护中的密码管理,国家密码管理部门根据被保护对象在国家安全、社会稳定、经济建设中的作用和重要程度,被保护对象的安全防护要求和涉密程度,被保护对象被破坏后的危害程度以及密码使用部门的性质,确定密码的等级保护准则。信息系统运营单位必须采用经国家密码管理部门批准使用的密码产品进行安全保护,不得使用国外引进或者擅自研制的密码产品。“信息系统中的密码及密码设备的测评工作由国家密码管理局认可的测评机构承担”,“在监督检查过程中,发现存在安全隐患或者违反密码管理相关规定或者未达到密码相关标准要求的,应当按照国家密码管理的相关规定进行处置。”这些制度都表现了国家密码局对密码管理的重视,除了系统自身设计、实施、使用、运行维护和日常管理,还需要第三方由国家密码局认定的测评机构来评测和监控,解除安全隐患。
为规范信息安全等级保护中使用商用密码的行为,2007年11月27日国家密码管理局依据《商用密码管理条例》和《信息安全等级保护管理办法》制定了《信息安全等级保护商用密码管理办法》,明确了“各级信息系统使用商用密码应当符合《信息安全等级保护商用密码技术要求》”,“信息系统运营、使用单位应当按照《商用密码产品目录》选用商用密码产品”等要求。随后,为配合《信息安全等级保护商用密码管理办法》的实施,进一步规范信息安全等级保护商用密码工作,2009年10月29日国家密码管理局印发《信息安全等级保护商用密码管理办法实施意见》,规定“第三级及以上信息系统的商用密码应用系统建设方案应当通过密码管理部门组织的评审后方可实施”,“第三级及以上信息系统的商用密码应用系统,应当通过国家密码管理部门指定测评机构的密码测评后方可投入运行。密码测评包括资料审查、系统分析、现场测评、综合评估等”,《实施意见》更加深入地明确了信息安全等级保护第三级及以上信息系统的商用密码应用要求。
为了推进网络基础设施建设和互联互通,鼓励网络技术创新和应用,培养网络安全人才,建立健全网络安全保障体系,我国制定并不断完善网络安全战略,2016年11月7日,全国人民代表大会常务委员会通过《中华人民共和国网络安全法》,自2017年6月1日起施行。
《网络安全法》提出制定网络安全战略,明确网络空间治理目标,提高了我国网络安全政策的透明度;进一步明确了政府各部门的职责权限,完善了网络安全监管体制;强化了网络运行安全,重点保护关键信息基础设施;完善了网络安全义务和责任,加大了违法惩处力度;将监测预警与应急处置措施制度化、法制化。《网络安全法》对网络运营者应该履行的安全保护义务做出了明确要求,而维护网络数据的完整性、保密性、真实性及不可否认性,都需要发挥密码技术的核心支撑作用。
2017年7月11日发布《关键信息基础设施安全保护条例(征求意见稿)》。作为《网络安全法》的重要配套法规,《关键信息基础设施安全保护条例(征求意见稿)》明确了关键信息基础设施的密码应用要求,压实了网络安全运营者和主管部门有关密码应用和密码安全的主体责任,为密码管理部门开展网络空间密码保护工作,尤其是网络安全检查和安全审查等工作提供了法律依据,同时也为开展密码测评工作提供了强有力的支撑。
2021年8月17日,国务院总理李克强签署国务院令,《关键信息基础设施安全保护条例》正式公布。《关键信息基础设施安全保护条例》明确了关键信息基础设施范围和保护工作原则目标、监督管理体制、运营者责任义务、保障和促进措施、法律责任,完善了关键信息基础设施认定机制。
为了推进政务信息系统政府采购工作规范高效开展,2017年12月26日,财政部印发的《政务信息系统政府采购管理暂行办法》,从源头上明确了政务信息系统的密码应用要求,其施行有力推动密码在政务信息系统中的应用,有效提升政务信息系统的安全防护能力。
经过二十多年的发展,我国于1994年确立的计算机信息系统实行安全等级保护制度逐渐成熟,有力地保障了国家信息安全。前文提到的《中华人民共和国网络安全法》,将国家网络安全等级保护制度上升为法律要求。2018年6月27日,公安部发布《网络安全等级保护条例(征求意见稿)》。作为《网络安全法》的重要配套法规,《网络安全等级保护条例(征求意见稿)》对网络安全等级保护的适用范围、各监管部门的职责、网络运营者的安全保护义务以及网络安全等级保护建设提出了更加具体、操作性也更强的要求,为开展等级保护工作提供了重要的法律支撑。
《网络安全等级保护条例(征求意见稿)》设置了密码管理专章,体现了密码管理在网络安全等级保护工作中的重要作用,明确了网络安全等级保护密码管理的主要思路、方式和手段,强调了网络安全等级保护三级及以上系统使用密码进行保护的义务,突出了商用密码应用安全性评估作为等级保护密码管理主要抓手的地位和作用,强化了密码管理部门在等级保护技术标准制定、监督检查、密码应用安全性评估工作开展等方面的职权。
为规范重要领域网络和信息系统商用密码应用安全性评估工作,发挥密码在保障网络安全中的核心支持作用,国家密码管理局颁布《商用密码应用安全性评估管理办法(试行)》,自2017年4月22日起施行,根据《中华人民共和国网络安全法》、《商用密码管理条例》以及国家关于网络安全等级保护和重要领域密码应用的有关要求制定。
密码工作是党和国家的一项特殊重要工作,直接关系国家政治安全、经济安全、国防安全和信息安全,在我国革命、建设、改革各个历史时期,都发挥了不可替代的重要作用。进入新时代,密码工作面临着许多新的机遇和挑战,担负着更加繁重的保障和管理任务,制定一部密码领域综合性、基础性法律十分必要,2019年10月26日十三届全国人大常委会第十四次会议表决通过《中华人民共和国密码法》,这标志着我国在密码的应用和管理等方面有了专门性的法律保障。
《密码法》按照中央确定的密码管理原则和应用政策,规定了密码应用的主要制度和要求。其中明确了关键信息基础设施使用密码和进行密码应用安全性评估的要求,并规定使用商用密码进行保护的关键信息基础设施,其运营者应当自行或者委托商用密码检测机构开展商用密码应用安全性评估。
《密码法》共五章四十四条,重点规范了三点内容:什么是密码、谁来管密码、怎么管密码。其中关于商用密码的主要管理制度,包括商用密码标准化制度、检测认证制度、市场准入管理制度、使用要求、进出口管理制度、电子政务电子认证服务管理制度以及商用密码事中事后监管制度等。明确规定国家鼓励商用密码技术的研究开发、学术交流、成果转化和推广应用,健全统一、开放、竞争、有序的商用密码市场体系,鼓励和促进商用密码产业发展。
为规范国家政务信息化建设管理,推动政务信息系统跨部门跨层级互联互通、信息共享和业务协同,强化政务信息系统应用绩效考核,根据《国务院关于印发政务信息资源共享管理暂行办法的通知》等有关规定,2019年12月30日,国务院办公厅发布了《国家政务信息化项目建设管理办法》,对国家政务信息系统的规划、审批、建设、共享和监管做出规定。其中明确了多项密码应用有关要求。政务信息化项目建设单位“应同步规划、同步建设、同步运行密码保障系统并定期进行评估”;按要求向发展和改革委员会备案的备案文件应当包括密码应用方案和密码应用安全性评估报告;项目的密码应用和安全审查情况应当作为项目验收的重要内容之一,密码应用安全性评估报告应当作为提交验收申请的必要材料;“对于不符合密码应用和网络安全要求的政务信息系统,不安排运行维护经费,项目建设单位不得新建、改建、扩建政务信息系统”;国务院有关部门对密码应用情况实施监督管理,如有违规操作,责令整改还不作为的,“项目审批部门可以对其进行通报批评、暂缓安排投资计划、暂停项目建设直至终止项目”;国务院各部门要严格“按要求采用密码技术,并定期开展密码应用安全性评估”,落实密码安全性应用才能确保政务信息系统运行安全和政务信息资源共享交换的数据安全。
由于《密码法》对商用密码管理制度进行了结构性重塑,现行《商用密码管理条例》已无法适应《密码法》的要求,2020年8月20日,国家密码管理局发布《商用密码管理条例(修订草案征求意见稿)》,对1999年发布并生效的《商用密码管理条例》进行全面修订。
《条例(征求意见稿)》重点规定的检测认证、电子认证、进出口管理制度也与《密码法》相关内容相互呼应,进一步落实了《密码法》的管理要求。在管理体制上,沿袭《密码法》,实际上确定了“四级管理+专项管理”的体制。在商用密码范围界定上,沿袭《密码法》的立法思路,不仅规制“商用密码技术和商用密码产品”,也将“商用密码服务”纳入规制范围。《条例(征求意见稿)》规定了电子认证服务和电子政务电子认证服务的相关内容,还进一步强调“进口《商用密码进口许可清单》或者出口《商用密码出口管制清单》中的商用密码,应当向国务院商务主管部门申请领取两用物项进出口许可证”,与我国目前正在制定的《出口管制法》相互呼应。《条例(征求意见稿)》规定运营者应履行使用商用密码进行保护、开展商用密码应用安全性评估、使用列入商用密码技术指导目录的商用密码技术、采购网络产品和服务的国家安全审查等义务,强化密码应用要求,突出对关键信息基础设施和网络安全等级保护第三级及以上信息系统的密码应用监管,并实施商用密码应用安全性评估和安全审查制度。
当前已经进入万物互联的时代,信息安全变得越来越重要,网络安全与信息安全向全域安全发展,强信任、强安全、强可控、强防护成为必然要求,而密码是解决网络安全与信息安全最可靠、最有效的核心手段,随着商用密码相关政策法规的逐步完善,随着商用密码应用在各行各业的大力推进,随着商用密码应用安全性评估的全面普及,终将构建起坚实可靠的网络空间安全密码屏障。