《密码法》的产生
● 2019年6月25日,十三届全国人大常委会第十一次会议,初次审议“密码法”草案;
● 2019年10月26日,十三届全国人大常委会第十四次会议表决通过《密码法》;
● 2020年1月1日,正式施行《密码法》。其中,明确规定“密码分为核心密码、普通密码和商用密码,实行密码分类管理,特定范围的商用密码实行进口许可和出口管制”。
《密码法》的正式颁布和实施,标志着密码将成为保障我国网络空间安全的核心技术和位于网络安全的核心地位,让信息和网络安全有法可依。管理及保护哪些“密码”
现实生活中提到“密码”一词,人们通常以为是“账户登录密码”、“邮箱登录密码”、“银行卡支付密码”等。其实,这些生活中的“密码”实际上是“口令”,它是一种简单、初级的身份认证手段,是账号的“通行证”。
《密码法》旨在规范密码应用和管理。其所指的密码是使用特定变换对信息等进行加密保护或安全认证的产品、技术和服务。密码主要有两个功能,加密保护+安全认证。最常见的如网银USB Key。
加密保护是指使用数学变换,将原来可读的信息变成不能识别的符号序列,简单说,就是将明文变成密文。安全认证是指使用数学变换,确认信息是否被篡改、是否来自可靠信息源以及确认行为是否真实,即确认主体和信息的真实可靠性。
我们浏览国家政务的网站,有时会在地址栏的最左端看到“不安全”字样。
那这里的“不安全”指的是什么呢?会有什么影响呢?其实,这就是该HTTP网站没有部署SSL证书,数据从用户端(浏览器)到服务器端的传输是未加密的明文形式且未经过安全身份认证的意思,可能造成的影响有:通过该网站浏览的各种数据非常容易被非法窃取和非法篡改,网站的真实身份很有可能是钓鱼网站,从而蒙受形象损害或经济损失等。
那么只要使用SSL证书就安全了吗?不完全是。据统计,我国政府网站系统和重要信息基础设施网站使用HTTPS加密部署比例不到1%。而这不到1%部署了SSL证书的网站也仍旧存在安全风险,因为它们基本上都部署了国外CA签发的RSA加密算法SSL证书,极有可能由于政治、经济和贸易纠纷等各种原因吊销和断供这些SSL证书,而导致我国的各种重要信息基础设施系统无法正常提供服务。
而这次出台的《密码法》中就明确要求我国的关键信息基础设施运营者应当使用商用密码进行保护。也就是说,我国的政府网站和各种政务服务系统必须采用国产密码算法的HTTPS加密,实现我国互联网数据从用户端到服务器端都是密文传输的,有效防止各种数据泄露和数据滥用犯罪。这时选择正确的SSL证书是关键,让我们看一下已部署国密算法SSL证书的HTTPS网站的正确打开姿势。
对企事业单位的影响
密码是国之重宝,是国家的重要战略资源,是保护网络与信息安全的基础、核心和支撑。
密码管理局相关负责人解释,密码是保障网络与信息安全的核心技术和基础支撑,是解决网络与信息安全问题最有效、最可靠、最经济的手段。
密码按保护信息种类,可分为核心密码、普通密码和商用密码。核心密码和普通密码是用于保护国家密级信息的密码。商用密码是公民、法人和其他组织均可依法使用。特别是商用密码,广泛应用于国民经济发展和社会生产生活方方面面,涵盖金融和通信、公安、税务、社保、交通、卫生健康、能源、电子政务等重要领域,在维护国家安全、促进经济社会发展、保护公民、法人和社会组织合法权益方面发挥着重要作用。