2.1 网络空间安全形势
词条 | 内容 |
十八大以来的发展 | 在法治化、规范化基础上,向科学化、体系化方向迈进。 |
密码应用和密评 | 是保障网络空间安全的迫切需要,是促进密码创新发展、发挥密码功能性的必然选择,开展商用密码应用安全性评估是发挥密码作用的必要手段。 |
网络空间 | 成为陆地、海洋、天空、太空之外的第五空间。 |
国际网络空间安全 | 网络空间安全纳入国际战略。2016年发布《国家网络空间安全战略》,推出网络空间“和平、安全、开放、合作、有序”的战略发展目标。四项原则:尊重维护网络空间主权、和平利用网络空间、依法治理网络空间、统筹网络安全与发展” 网络攻击在国家对抗中深度应用 网络攻击已逐步深入网络底层固件 |
国内网络空间安全 | 核心技术受制于人的局面没有得到根本性改变,信息产品存在巨大安全隐患,关键信息基础设施安全防护能力仍然薄弱。 |
密码在网络空间中的重要作用 | (1)支撑构造网络空间安全防护综合体;(2)打造网络空间数据共享价值链;(3)推动形成网络空间安全协同生态圈;(4)激发网络空间安全发展创造力。 |
商用密码由来 | 1996年7月,中央政治局常委会专题研究“商用密码”成为专有名词。 |
密码应用的问题 | (1)不广泛,(2)不规范,(3)不安全(MD5、SHA-1、RSA-512、RSA-1024、DES) |
密评必要性 | 是商用密码检测认证体系建设的重要组成部分,是衡量商用密码应用是否合规、正确、有效的重要抓手。
针对网络安全等级保护第三级及以上信息系统、关键信息系统基础设施开展密评,是网络运营者和主管部门的法定责任。 |
《密码法》 | 2019年10月26日通过,2020年1月1日实施。根本原则“党管密码”,要求密码工作坚持总体国家安全观,遵循“统一领导、分级负责,创新发展、服务大局,依法管理、保障安全”的原则。 |
商用密码管理条例 | 1999年,我国第一部密码领域行政法规。2个原则:党管密码、依法行政。 |
密码法前法律法规体系 | 一部法律《电子签名法》、一部行政法规《商用密码管理条例》、8个专项管理规定及若干规范性文件。 |
国家密码管理局 | 2005年国家密码管理委员会办公室正式更名为国家密码管理局,2008年列入国务院序列,主管全国的商用密码管理工作。2018年,国家密码管理局与中央密码工作领导小组办公室,一个机构两块牌子,列入中共中央直属机关的下属机构序列。 |
《密码法》立法目的 | (1)贯彻根本原则“党管密码”,落实中央指示精神;(2)规范密码应用和管理,促进密码事业发展;(3)保障网络和信息安全,维护国家安全和社会公共利益,保护公民、法人和其他组织的合法权益。 |
《密码法》立法精神 | (1)党管密码和依法管理统一,(2)创新发展和确保安全统一,(3)坚持简政放权和加强监督统一。 |
《密码法》主要内容 | 共5章44条。比《商用密码管理条例》立法程序更严、效力位阶更高、适用范围更广。 |
《密码法》后商用密码管理法律法规体系的调整 | (1)夯实基础、落实情况,(2)鼓励创新、促进合作,(3)简政放权、转变方式,(4)注重安全、重点管控,(5)行业自律、强化监管。 |
《密码法》-密码应用要求 | (1)国家积极规范和促进密码应用,(2)建立商用密码检测认证体系,鼓励从业单位自愿接受商用密码检测认证。涉及国家安全、国计民生、社会公共利益的商用密码产品,应当列入网络关键设备和网络安全专用产品目录,由具备资质的机构检测认证合格后方可销售或提供。(3)明确关键信息基础设施使用密码和进行密评的要求。(4)建立安全审查机制。(5)国际密码管理部门对电子政务电子认证服务的机构进行认定。 |
《网络安全法》 | 对网络运营者应该履行的安全保护义务做出明确规定。 |
《商用密码管理条例》 | 落实《密码法》有关立法精神,取消对科研、生产、销售单位等的行政许可事项,突出对关键信息基础设施和网络安全等级保护第三级及以上信息系统的密码应用监管,并实施密评和安全审查制度。 |
《关键信息基础设施安全保护条例》 | 2021年9月1日修改后实施,为开展密评提供了强有力的支撑。 关键信息基础设施:是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防 科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。 |
《网络安全等级保护条例》 | 第五章 密码管理。第三级以上网络应当采用密码保护,并使用国家密码管理部门认可的密码技术、产品和服务。网络通过密评后,方可上线运行。 |
《信息安全等级保护商用密码管理办法》 | |
《电子认证服务密码管理办法》 | |
《政务信息系统政府采购管理暂行办法》 | |
《国家政务信息化项目建设管理办法》 | |
2.2 密评发展
词条 | 内容 |
制度奠基期 | 2007-2016年,2007年从《信息安全等级保护商用密码管理办法》,2009年国际密码管理局印发管理办法实施意见,进一步明确密评要求。 |
再次集结期 | 2016-2017年,《商用密码应用安全性评估管理办法(试行)》,2017年正式印发《关于开展密码应用安全性评估试点工作的通知》,在七省五行业密评试点。 |
体系建设期 | 2017年5月-9月成立密评领导小组,确定密评体系总体架构:2层7大要素。 第一层:(1)法律法规制度,(2)支撑平台-四类数据平台和发布宣传平台 第二层:(1)机构、(2)人员、(3)测评、(4)报告、(5)风控。 |
试点开展期 | 2017年10月开始。2019年上半年第一批,2019年10月第二批。在评测机构的培育认定上,坚持“总量控制、科学布局、择优选取、培育辅导、行政许可”的总体思路。机构认定上采用“严进”,日常监督上“严管”。 |