深信服|國內首部密碼法正式發布,企事業單位需要了解哪些?
2019-10-29 10:50:07
來源:深信服科技
2019年10月26日,十三屆全國人大常委會第十四次會議通過《中華人民共和國密碼法》(以下簡稱“密碼法”),并自2020年1月1日起施行。密碼法旨在規范密碼應用和管理,促進密碼事業發展,保障網絡與信息安全,提升密碼管理科學化、規范化、法治化水平,是我國密碼領域的綜合性、基礎性法律。
那么密碼法的正式發布,對企事業單位有什么影響,企事業單位又需要了解哪些內容?本文梳理如下內容:
剛發布的密碼法,有哪些點值得關注
1、密碼定義
談到密碼,很多人會想到 “銀行卡密碼”“社交賬號密碼”“登錄密碼”,但這些“密碼”實際上是一種簡單、初級的身份認證手段。而密碼法中明確密碼的定義為:采用特定變換的方法對信息等進行加密保護、安全認證的技術、產品和服務。根據定義,按照功能形態,密碼分為密碼技術,密碼產品和密碼服務。密碼技術,是指采用特定變換的方法對信息等進行加密保護,安全認證的技術。密碼產品是承載密碼技術,實現密碼功能的實體。密碼服務是基于密碼技術和產品,實現密碼功能的行為。
2、密碼分類管理
國家對密碼實行分類管理,將密碼分為核心密碼、普通密碼和商用密碼。其中,核心密碼、普通密碼用于保護國家秘密信息,屬于國家秘密。商用密碼用于保護不屬于國家秘密的信息,公民、法人和其他組織可以依法使用商用密碼保護網絡與信息安全。
3、關鍵信息基礎設施的商用密碼要求
密碼法進一步明確法律、行政法規和國家有關規定要求使用商用密碼進行保護的關鍵信息基礎設施,其運營者應當使用商用密碼進行保護,同時規定運營者應當自行或者委托商用密碼檢測機構開展商用密碼應用安全性評估。如未按照要求使用商用密碼,或者未按照要求開展商用密碼應用安全性評估的,將承擔相應的法律后果。
4、部分商用密碼產品實行強制性檢測認證制度
密碼法在貫徹落實黨中央、國務院放管服改革有關精神的前提下,規定涉及國家安全、國計民生、社會公共利益的商用密碼產品,應當依法列入網絡關鍵設備和網絡安全專用產品目錄,由具備資格的機構檢測認證合格后,方可銷售或者提供。同時,商用密碼服務使用網絡關鍵設備和網絡安全專用產品的,應當經商用密碼認證機構對該商用密碼服務認證合格。
密碼法對企事業單位有哪些影響
1、針對涉密企事業單位
對涉及國家秘密的信息,涉密企事業單位應當使用核心密碼、普通密碼進行保護,并按照法律、行政法規、國家有關規定以及核心密碼、普通密碼標準的要求,建立健全安全管理、監督和審查制度,采取嚴格的保密措施和保密責任制,確保核心密碼、普通密碼的安全,配合密碼管理部門的指導、監督和檢查工作。如發現核心密碼、普通密碼泄密或者影響核心密碼、普通密碼安全的重大問題、風險隱患的,應當立即采取應對措施,并及時向保密行政管理部門、密碼管理部門報告,并在保密行政管理部門、密碼管理部門的指導下及時消除安全隱患。
2、針對非涉密企事業單位
非涉密企事業單位可選擇使用商用密碼保護網絡和信息安全。如非涉密企事業單位作為關鍵信息基礎設施的運營者,應當使用商用密碼對于關鍵信息基礎設施進行保護,并自行或者委托商用密碼檢測機構開展商用密碼應用安全性評估。同時,關鍵信息基礎設施的運營者如采購涉及商用密碼的網絡產品和服務,可能影響國家安全的,還應當按照《中華人民共和國網絡安全法》的規定,通過國家網信部門會同國家密碼管理部門等有關部門組織的國家安全審查。
一直以來,深信服積極響應國家密碼管理的相關規定,持續推出商用密碼產品和涉密信息系統產品:IPSec/SSL VPN綜合安全網關、SSL VPN安全網關、IPSec VPN安全網關、涉密網網絡安全審計、涉密防火墻、涉密sCloud服務器虛擬化系統,為涉密及關鍵信息基礎設施領域的用戶主動提供產品及服務。
與此同時,深信服持續開展商用密碼與前沿技術及創新應用的探索,包括探索云安全相關技術及產品融入商用密碼,為云環境密碼安全提供保障;探索相關數據脫敏技術,實現對敏感隱私數據的可靠保護;探索對密文和加密流量的檢測和識別、探索對加密應用進行識別、分類和管控的技術等等。未來,深信服也將持續加大投入,融合密碼技術發展,推動安全技術全面發展,幫助用戶業務提升全生命周期的安全能力。
附:《中華人民共和國密碼法》全文
