商用密码应用与安全性评估

商用密码应用与安全性评估

导语

密码是国之重器，是网络空间安全体系的基石，在网络安全防护中具有不可替代的重要作用。但密码技术只有得到合规、正确、有效应用，才能发挥安全支撑作用。而在实际应用中，密码技术可能被弃用、乱用、误用，导致应用系统的安全性得不到有效保障，甚至一些不合规、不安全的密码产品和实现还会遭受攻击者的入侵和破坏，造成比不用密码技术更广泛、更严重的安全问题。商用密码应用安全性评估（简称“密评”）正是为了避免或纠正密码应用过程中可能出现的安全性问题。密评是指在采用商用密码技术、产品和服务集成建设的网络与信息系统中，对其密码应用的合规性、正确性、有效性等进行评估。如同风险评估是信息安全管理过程的重要组成部分一样，密评也是密码应用管理过程的重要组成部分和不可缺失的环节。密评的重要性和必要性还在于：密评是商用密码检测认证体系建设的重要组成部分，是衡量商用密码应用是否合规、正确、有效的重要抓手。建立完善密评制度，开展密评工作，是贯彻落实密码法、维护网络空间安全、规范商用密码应用的客观要求，是深化商用密码“放管服”改革的重要手段，是商用密码管理的基础性和开创性工作，也是重要领域网络与信息系统运营者和主管部门必须承担的法定责任。

一、对商用密码的管理

商用密码产品是指采用商用密码技术实现加密解密或安全认证操作等功能的专用硬件、软件。

1、密码的分类

根据《中华人民共和国密码法》第6、7、8条：密码分为核心密码、普通密码、商用密码。

•核心密码、普通密码：

用于保护国家秘密信息。

核心密码保护信息的最高密级为绝密级，普通密码保护信息的最高密级为机密级。

•商用密码用于保护不属于国家秘密的信息。

由上述密码分类方式知，大众消费类产品所采用的密码，也属于商用密码。

2、旧条例对商用密码的专控管理

对于商用密码产品的管理，我印象非常深刻的是：1999年发布的《商用密码管理条例》规定国家对商用密码产品的研发、生产、销售和使用实行专控管理，规定“商用密码产品，必须经国家密码管理机构指定的产品质量检测机构检测合格”，“任何单位或个人只能使用经国家密码管理机构认可的商用密码产品，不得使用自行研制的或者境外生产的密码产品”。当初的这条规定，意味着所有的商用密码产品都要受到专门控制，包括大众消费类产品所采用的商用密码。比如说，某个人想使用自编的小加密程序，来加密自己的隐私数据，也需经过国家密码管理机构的认可。这在实际操作中完全是不可行的。对此，笔者一直非常困惑。

3、新密码法对商用密码的管理

2020年开始施行的《密码法》显然更加务实，也终于消除了笔者的上述困惑。根据《密码法》第26条：涉及国家安全、国计民生、社会公共利益的商用密码产品，应当依法列入网络关键设备和网络安全专用产品目录，由具备资格的机构检测认证合格后，方可销售或者提供。

那么反过来看，大众消费类产品所采用的商用密码（未涉及国家安全、国计民生、社会公共利益），无需列入网络关键设备和网络安全专用产品目录，也无需由具备资格的机构检测认证。根据《密码法》第25条：国家推进商用密码检测认证体系建设，制定商用密码检测认证技术规范、规则，鼓励商用密码从业单位自愿接受商用密码检测认证，提升市场竞争力。这是很一条关键的法条，意味着：商用密码产品的管理方式发生了很大转变，即将原来的行政审批模式转变为检测认证方式，并针对不同情况细化明确了自愿和强制性检测认证的情形。为落实《密码法》有关立法精神，《商用密码管理条例》修订将充分体现国家“放管服”改革要求，取消对科研、生产、销售单位等的行政许可事项，强化密码应用要求，突出对关键信息基础设施和网络安全等级保护第三级及以上信息系统的密码应用监管，并实施商用密码应用安全性评估和安全审查制度。

二、密码的作用、应用和安全问题

1、密码在网络空间的重要作用

密码是保障网络安全的核心技术，是构建网络信任的基石。利用密码在安全认证、加密保护、信任传递等方面的重要作用，能够有效消除或控制潜在的“安全危机”，实现被动防御向主动免疫的战略转变。

（1）密码支撑构建网络空间安全防护综合体。