今天十三届全国人大十四次会议表决通过了密码法,从2020年1月1日起执行,听闻消息,喜大普奔,作为了一名信息安全从业者,有着多年的密码技术的行业经验,对密码技术有着深入的感情。今天结合密码法的要求,在此谈谈我的理解。首次在简书上发文,欢迎拍砖。
一 密码定义
首先谈一下密码的定义,很多人可能认为银行卡密码、手机密码、支付宝密码就是密码,非也,此密码非彼密码。在密码法中有明确定义:密码是指使用特定变换对信息等进行加密保护或者安全认证的产品、技术和服务。人们常说的密码是一种口令,用于进入计算机、手机等,这只是一种初级的认证手段。
二 密码分类
密码法中明确将密码分为核心密码、普通密码和商用密码。其中核心密码和商用密码用于保护国家秘密信息,核心密码保护绝密级,普通密码保护机密级。商用密码用于保护不属于国家秘密的信息,公民、企业和其他组织均可以使用商用密码保护网络和信息安全。
三 商用密码
目前我国商用密码已经已经发布了国密SM1/SM2/SM3/SM4/SM7/SM9/祖冲之算法等等。国家密码管理局也建立了商用密码监测中心负责对商用密码产品的检测。
在密码法中明确提出设计国家安全、国计民生、社会公共利益的商用密码产品列入网络关键是和被和网络安全专用产品,应当经过检验机构认证合格和安全加测后才可以进行销售。
四 密码评估
密码是保护网络安全的核心技术和基础支撑,密码法中明确提出运营者需要开展商用密码应用安全性评估,说明商用密码不仅仅要使用还要履行评估的义务,建立监测预警机制。保障密码的有效性。
涉及国家安全、国计民生、社会公共利益的商用密码产品列入网络关键设备和网络安全专用产品目录,由具备资格的机构安全认证合格或者安全检测符合要求后,方可销售或者提供。
用于网络关键设备和网络安全专用产品的商用密码服务,应当由商用密码认证、检测机构安全认证合格或者安全检测符合要求后,方可提供。
