出台历程
- 2018年9月7日,十三届全国人大常委会公布立法规划(共116件),《中华人民共和国密码法》属于第一类项目:条件比较成熟、任期内拟提请审议的法律草案。
- 2019年6月25日,《密码法》草案提请第十三届全国人大常委会第十一次会议审议。
- 2019年10月26日,第十三届全国人大常委会第十四次会议表决通过《密码法》。
- 2020年1月1日,正式施行《密码法》。
法规解读
1、什么是密码?
第二条 本法所称密码,是指采用特定变换的方法对信息等进行加密保护、安全认证的技术、产品和服务。
《密码法》第二条非常明确地定义了"密码",也就是说,不包括通常俗称的"银行卡密码"、"登录密码"以及人脸识别、指纹识别、声纹识别等,这些密码正式叫法为"口令",是由数字、字母和特殊符号组成的一串字母,用于身份认证。
2、核心密码、普通密码和商用密码分别指什么?
第六条 国家对密码实行分类管理。
密码分为核心密码、普通密码和商用密码。
第七条 核心密码、普通密码用于保护国家秘密信息,核心密码保护信息的最高密级为绝密级,普通密码保护信息的最高密级为机密级。
核心密码、普通密码属于国家秘密。密码管理部门依照本法和有关法律、行政法规、国家有关规定对核心密码、普通密码实行严格统一管理。
第八条 商用密码用于保护不属于国家秘密的信息。
公民、法人和其他组织可以依法使用商用密码保护网络与信息安全。
3、是否必须进行密码安全性评估?
第二十七条 法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码进行保护,自行或者委托商用密码检测机构开展商用密码应用安全性评估。商用密码应用安全性评估应当与关键信息基础设施安全检测评估、网络安全等级测评制度相衔接,避免重复评估、测评。
关键信息基础设施的运营者采购涉及商用密码的网络产品和服务,可能影响国家安全的,应当按照《中华人民共和国网络安全法》的规定,通过国家网信部门会同国家密码管理部门等有关部门组织的国家安全审查。
第三十七条 关键信息基础设施的运营者违反本法第二十七条第一款规定,未按照要求使用商用密码,或者未按照要求开展商用密码应用安全性评估的,由密码管理部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处十万元以上一百万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款。
关键信息基础设施的运营者违反本法第二十七条第二款规定,使用未经安全审查或者安全审查未通过的产品或者服务的,由有关主管部门责令停止使用,处采购金额一倍以上十倍以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
本次《密码法》发布对于非涉密的企事业单位来说,最大的影响就是必须要主动进行“密码安全性评估”。
4、与其他法规的衔接
- 《网络安全法》第4条规定:采取数据分类、重要数据备份和加密等措施维护网络运行安全。
- 等级保护2.0规定:第三级以上信息系统应当采用密码保护,并使用国家密码管理部门认可的密码技术、产品和服务;应进行上线前的安全性测试,并出具安全测试报告, 安全测试报告应包含密码应用安全性测试相关内容。
- 《网络安全等级保护基本要求》(GB/T22239-2019):以三级为例,涉及安全通信网络中通信传输;安全区域边界中身份鉴别、数据完整性、数据保密性;安全建设管理中安全方案设计、产品采购和使用、测试验证;安全运维管理中密码管理;云计算安全扩展要求中镜像和快照保护、移动互联安全扩展要求访问控制等安全点,均对采用密码技术有明确要求。
- 国家密码管理局的《GM/T 0054-2018信息系统密码应用基本要求》提出,等级保护第三级信息系统要求应采用符合《GM/T 0039-2015密码模块安全检测要求》和《GM/T 0028-2014密码模块安全技术要求》中相应等级密码模块或通过国家密码管理部门核准的硬件密码产品实现密码运算和密钥管理等。
应对措施
加密系统一般由三个部分组成:
- 数据:要加密的对象,数据的位置对加密方案有很大影响
- 加密引擎:实际处理加解密操作,对安全性和性能要求最高
- 密钥管理:处理密钥,传递给加密引擎
三个部分如何组合决定了最终的安全性,是很多加密方案常见错误。实际应用中会把这三个部分解耦,比如加密引擎是在应用里,数据在DB,密钥是专用设施管理。又或者DB里用的是TDE(透明加密),引擎和数据在一个系统,但密钥在其他地方。
阿里云密钥管理服务:密钥管理服务-阿里云帮助中心
1、密码保护
所有的数据做加密都是由数据所在位置来决定的: 应用、数据库、文件、存储
- 小量数据加解密:适用于小于4KB的数据加密和解密
- 信封加密:综合利用对称加密和非对称加密技术的加密方案,目的是利用对称加密的高性能和非对称加密的易管理。数据在存储或通信的过程中使用数据密钥(DEK)以对称加密的方式加密,而DEK 又通过主密钥(CMK)采用非对称加密方式加密保护,而解密时,发送方将数据密文和DEK 密文一起传输,接收方先解密出DEK 明文,然后通过DEK解密出数据明文。
直接使用KMS对小量数据进行加密/解密
使用信封加密技术对大量数据执行本地加密/解密
2、密钥管理
密钥管理 == 密钥的生命周期(产生、授权、分发、使用、存储、更新、备份、销毁)和权限管理
| 对象 | 数据 | 需求 | 解决 |
| 对象 | 数据 | 需求 | 解决 |
| 网站或应用开发 | 证书、密钥 | 我的程序需要使用密钥、证书用于加密或者签名,我希望密钥管理的功能是安全且独立的。不论我的应用部署在哪里,都能安全的访问到密钥。我绝不接受把明文的密钥到处部署,这太危险了。 | 使用信封加密技术,主密钥存放在KMS服务中,只部署加密后的数据密钥,仅在需要使用时调用KMS服务解密数据密钥。 |
| 后台服务开发 | 密码、登录密钥、配置 | 我不想承担客户密钥、数据的安全责任。我希望用户自己管理他的密钥;在拥有授权的情况下,我会使用用户指定的密钥加密他的数据。这样,我就能专注于服务功能的开发。 | 基于信封加密技术以及KMS开放的API,服务能够集成KMS,使用用户指定的主密钥完成数据密钥的加解密,能够轻松的实现明文不落盘的要求,也不用为管理用户的密钥而犯愁。 |
| CSO |
| 我希望公司的密钥管理能满足合规需求。我需要确保密钥都被合理的授权,任何使用密钥的情况都必须被审计 | KMS服务接入RAM服务实现统一的授权管理 |
3、密码安全性评估
当前,我国密码安全性评估主要依据是《GM/T 0054-2018信息系统密码应用基本要求》,其对信息系统的规划、建设、运行三个阶段的密码应用情况安全性评估进行了详细的规定:
- 在密码算法方面,信息系统中使用的密码算法应当符合法律、法规的规定和密码相关国家标准、行业标准的有关要求。如使用国家批准的商用密码算法SM2、SM3、SM4等。
- 在密码技术方面,密码技术中涉及的标准密码协议应符合国内相关密码标准,如果是自定义的密码协议,设计要安全合理,同时遵循相关密码标准。如针对SSL相关应用,设计标准应遵循《GM/T 0024-2014 SSL VPN 技术规范》。
- 在密码产品方面,信息系统中使用的密码产品与密码模块应通过国家密码管理部门核准。如信息系统中使用的密码模块应具备商密型号证书。
- 在密码服务方面,信息系统中使用的密码服务应通过国家密码管理部门的许可。
4、其他替代方案
- Tokenization:用随机片段数据替换敏感数据。真正的敏感数据和token映射存在另外一个严格受控的数据库里,不敏感的token可以在整个系统中流转。
- Data Masking:用随机数据取代敏感数据,和Tokenization不同,这两个数据并不存储对照。Masking可以是单向的,用在测试环境,也可用在动态Masking,基于权限的特定字段。
- FPE:格式保留加密,混淆敏感信息,数据不可读。
5、决策树
3919
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
