行业报告 | 我国商用密码服务进展 -尊龙棋牌
密码应用安全性评估加快落实
商用密码应用安全性评估(以下简称密评),是指在采用商用密码技术、产品和服务集成建设的网络和信息系统中,对其密码应用的合规性、正确性和有效性进行评估。一方面,开展密评工作是落实《密码法》《计算机信息系统安全保护条例》和《信息安全等级保护管理办法》等有关法律法规和标准规范的必然要求,是网络安全运营者的法定责任和义务;另一方面,开展密评工作是商用密码应用正确、合规、有效的重要保证,是检验网络和信息系统安全性的重要手段,也是应对网络安全严峻形势的迫切需要。
《密码法》第二十七条规定,法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码进行保护,自行或者委托商用密码检测机构开展商用密码应用安全性评估。《商用密码应用安全性评估管理办法(试行)》第三条、第二十条规定,涉及国家安全和社会公共利益的重要领域网络和信息系统的建设、使用、管理单位应当健全密码保障体系,实施商用密码应用安全性评估。其中,重要领域网络和信息系统包括基础信息网络、涉及国计民生和基础信息资源的重要信息系统、重要工业控制系统、面向社会服务的政务信息系统、关键信息基础设施、网络安全等级保护第三级及以上信息系统等。
为规范密评工作,2017年9月,国家密码管理局制定印发了《商用密码应用安全性评估管理办法(试行)》《商用密码应用安全性测评机构管理办法(试行)》《商用密码应用安全性测评机构能力评审实施细则(试行)》等管理文件,对测评机构、网络与信息系统责任单位、管理部门提出要求,对评估程序、评估办法、监督管理等进行明确,对测评机构审查认定工作提出要求,密评制度体系初步建立。2018年2月,国家密码管理局发布并实施《gm/t0054-2018 信息系统密码应用基本要求》标准,对信息系统的规划、建设、运行三个阶段的密码应用情况进行安全性评估。2021年10月,国家市场监管总局、国家标准化管理委员会在原有行业标准《gm/t0054-2018 信息系统密码应用基本要求》的基础上修订完善,发布国家标准《gb/t39786-2021 信息安全技术信息系统密码应用基本要求》。该标准相对之前的行业标准,内容更加规范、要求更加明确、逻辑更加清晰,同时对于密评实际执行过程中遇到的问题做了相应的修订,随之成为密评工作依据的主要标准。
密评的内容主要涵盖商用密码应用安全的合规性、正确性和有效性。其中,商用密码应用合规性评估主要是指判定网络和信息系统使用的密码算法、密码协议、密钥管理是否符合法律法规的规定和密码相关国家标准、行业标准的有关要求。网络和信息系统使用的密码产品和密码服务是否经过国家密码管理部门核准或由具备资格的机构认证合格。商用密码应用正确性评估主要是指判定密码算法、密码协议、密钥管理、密码产品和密码服务是否使用正确,即系统中使用的密码产品是否取得商用密码产品认证证书,或者系统中采用的标准密码算法、协议和密钥管理机制是否按照相应的国家和行业密码标准进行正确的设计和实现;自定义密码协议、密钥管理机制的设计和实现是否正确,安全性是否满足要求,密码保障系统建设或改造过程中密码产品和服务的部署和应用是否正确。商用密码应用有效性评估主要是指判定网络和信息系统中的密码应用是否在网络和信息系统运行过程中发挥了效用,是否满足了信息系统的安全需求,是否有效解决了信息系统面临的安全问题。
2017年4月,国家密码管理局正式启动密评试点工作。依据《密码法》及商用密码应用安全性评估有关管理规定,经持续培育、实战测评和综合考察,2020年7月,国家密码管理局正式公布了全国首批24家密评试点机构目录。2021年6月,国家密码管理局公布了更新后的《商用密码应用安全性评估试点机构目录》,单位已增至48家。
电子认证是密码的典型应用,其在信息化及信息安全保障方面发挥着重要作用。随着我国信息化程度的不断加深,电子认证服务发展愈发规范,电子数据法律效力愈发受到重视。2021年3月,交通运输部发布《关于加快推广应用道路运输电子证照提升数字化服务与监管能力的通知》,明确指出要组织建设“电子印章”系统,支撑电子证照印章签署功能,确保电子证照来源的真实性、完整性以及签署行为的不可否认性。4月,市场监管总局等六部门发布《关于进一步加大改革力度不断提升企业开办服务水平的通知》,提到需不断扩大电子营业执照和电子印章同步发放和应用试点范围,为企业提供全流程网上办事支撑;鼓励各地完善并推广电子印章应用,大力推动企业开办要素电子化。6月,最高人民法院在《人民法院在线诉讼规则》中明确电子合同是电子材料的一种表现形式,具备效力且可以直接在诉讼中使用;明确区块链存证的效力范围、区块链存储的数据上链后推定未经篡改的效力以及区块链存储数据上链后、以及上链前的真实性审核规则,进一步规范了区块链技术的司法应用,有效解决取证难、认证难问题,必将推动电子签名法律效力的社会认可程度。7月,人力资源和社会保障部发布《电子劳动合同订立指引》,指导用人单位和劳动者依法规范订立电子劳动合同,确保电子劳动合同真实,完整、准确、不被篡改,电子劳动合同从“鼓励采用”逐渐转变为“指导签署”。11月,国务院发布《关于开展营商环境创新试点工作的意见》,指出要推进电子证照、电子签章在银行开户、贷款、货物报关、项目申报、招投标等领域全面应用和互通互认。各行业主管部门将出台更多相关政策以明确电子签名的法律效力,进一步拓展电子签名的适用范围,促进电子签名广泛应用。
在《电子签名法》的基础上,《密码法》的出台进一步明确了对从事电子政务的电子认证服务机构需进行管理,意味着国家对电子认证行业监管在逐步深化。企业需要拿到国家密码主管部门颁发的《电子认证服务使用密码许可证》、国家信息化主管部门颁发的《电子认证服务许可证》和国家密码主管部门颁发的《电子政务电子认证服务许可证》才能在全领域开展业务。行业主管部门未来将进一步落实《电子签名法》《电子认证服务管理办法》和国务院审改办“双随机、一公开”要求,深化电子认证服务行业监管。以cps(电子认证业务规则)符合性评估为核心,通过信息公开手段加强对电子认证服务机构的监管。同时,大力推进信用体系建设,将电子认证检查与《关于在电子认证服务行业实施守信联合激励和失信联合惩戒的合作备忘录》信用评价工作相结合,推动开展行业信用评价。
同时,为进一步优化营商环境、降低企业负担,全国一体化在线政务服务平台实现了“一网通办”,原有的单个领域、不同证书的模式将被打破,有效实现了数字证书全国范围互通互认,电子政务领域证书市场需求大幅减少,促使电子认证服务机构进行调整优化、转型升级,从单纯发放证书向提供电子签名服务转型。2021年4月国务院颁布的《关键信息基础设施安全保护条例》中明确提出安全保护措施应当与关键信息基础设施同步规划、同步建设、同步使用。在《数据安全法》正式实施以后,政府、企业用户也愈发重视数据运营的安全性和合规性问题,利用区块链技术、电子签名技术、产品和服务保障数据安全的需求愈发旺盛。在政策环境与市场需求的共同作用下,电子认证服务将逐步深入并规范发展。
第三方电子签名平台服务可以为用户提供身份认证、电子文件签署、数据传输、电子文件存储和管理等服务,应用于用户间的买卖合同、企业间的交易合同、以及劳动合同等多方面。疫情催化下加速了远程办公趋势兴起,为在无接触的情况下确保业务正常运行,线下应用场景迅速被线上化,大量特殊市场环境下的第三方电子签名服务需求被催生,推动第三方电子签名平台相关产品和服务不断丰富。
为提升管理效率、优化用户服务体验,第三方电子签名平台提供从电子签名到文档归档管理、从存证保全到司法出证的全产业链服务。其中,第三方电子签名平台引入区块链技术实时固化签署过程中的电子数据,实现所有环节数据可溯源、防抵赖和防篡改,提供各类业务场景的数据存证能力。提供存证服务及后续法律服务,可确保纠纷发生时,能够提供响应的司法保障。同时,第三方电子签名平台与移动app、微信、支付宝等移动终端集成,并提供标准化api接口,推动电子签名企业管理、运营等多环节的应用。随着电子签名相关产品和服务不断丰富,应用场景持续拓宽,目前电子签名应用已延伸到金融、人力资源、房地产、政务、物流、医疗、医疗、教育等多个领域。
(来源:赛迪密码信息安全 以上内容节选自《2021-2022年度中国商用密码行业发展报告》)
