近日,国家密码管理局会同国家互联网信息办公室以及公安部联合发布了《关键信息基础设施商用密码使用管理规定》,将于2025年8月1日起实施。
根据《关键信息基础设施安全保护条例》,关键信息基础设施是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。关键信息基础设施是经济社会运行的神经中枢,是国家网络安全工作的重中之重。我国关键信息基础设施等重要保护对象涉及领域广、数量规模大、应用类型多、地域分布广,境内外敌对势力、黑客组织针对我国关键信息基础设施的网络攻击呈加剧之势,安全形势严峻复杂。
目前,关键信息基础设施运营者已开展商用密码使用相关工作,但由于缺乏管理法规制度的具体指导和约束,部分网络与信息系统建设未深入分析商用密码使用需求并体系化加以解决,机械堆叠商用密码产品,或者简单实施外挂式、补丁式改造,商用密码应用的合规性、正确性、有效性难以保证;个别网络与信息系统仍然使用未经检测认证合格的商用密码产品、服务或者未经审查鉴定的商用密码技术,存在较大安全隐患。
《中华人民共和国网络安全法》对关键信息基础设施的网络安全保护进行了顶层设计。依据《网络安全法》制定的《关键信息基础设施安全保护条例》建立了以国家网信部门、国务院公安部门、关键信息基础设施保护工作部门、关键信息基础设施运营者为主体的三层架构的关键信息基础设施安全综合保护责任体系。其中第五十条规定,“关键信息基础设施中的密码使用和管理,还应当遵守相关法律、行政法规的规定”。《中华人民共和国密码法》规定,“法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码进行保护,自行或者委托商用密码检测机构开展商用密码应用安全性评估”的要求。依据《密码法》制定的《商用密码管理条例》进一步明确关键信息基础设施“同步规划、同步建设、同步运行商用密码保障系统”,以及依法依规使用商用密码技术、产品、服务等要求。
《关键信息基础设施商用密码使用管理规定》细化了《中华人民共和国密码法》、《商用密码管理条例》关于关键信息基础设施商用密码使用管理的基础性、原则性要求,明确划分密码管理部门、网信部门、公安机关以及保护工作部门、运营者的职权义务,明确规划、建设、运行等各阶段的规范要求,明确制度、人员、经费等方面的保障措施,将关键信息基础设施商用密码使用管理各方面、各环节的要求以法定形式固化下来,指导关键信息基础设施运营者按照密码管理相关法律法规要求开展商用密码使用工作。
《规定》明确了关键信息基础设施商用密码使用的具体要求。一是明确商用密码技术、产品、服务使用要求。规定关键信息基础设施使用的商用密码产品、服务应当经检测认证合格,使用的密码算法、密码协议、密钥管理机制等商用密码技术应当通过国家密码管理部门审查鉴定。二是明确数据安全保护、个人信息保护要求。强调关键信息基础设施应当使用商用密码对其存储、使用、传输的核心数据、重要数据和个人信息进行保护。三是细化规划、建设、运行等阶段商用密码使用要求以及过渡安排、商用密码应用安全性评估要求,从而建立起关键信息基础设施商用密码使用的程序闭环。
除此之外,从2025年7月1日起实施的密码行业标准GM/T 0133—2024《关键信息基础设施密码应用要求》规定了关键信息基础设施密码应用实施要求、密码应用技术和管理要求以及密码运行安全保障要求,为《规定》落地实施提供了技术支撑。关键信息基础设施运营者在开展密码应用工作时,应在遵循GB/T 39786《信息安全技术 信息系统密码应用基本要求》的基础上,重点考虑关键业务在稳定性、业务持续性方面的保障要求,从整体视角出发分析识别关键业务所面临的安全风险,落实该标准所提出的对关键信息基础设施实施重点保护所需的要求,切实保障关键信息基础设施安全稳定运行。
飞天诚信在身份认证领域深耕二十余年,构建了“云、端、芯”全链条自主知识产权的技术体系。我们认为,保障身份的真实性是保障实现数字化转型的关键。我们将安全软件嵌入设备和物体中,跨不同网络保护和加密数据;我们在安全可信的硬件平台上运行安全软件,对人和物进行验证。
安全、合规是飞天诚信产品的特点。飞天诚信、、动态口令令牌等全系列身份认证产品均已获得商用密码产品安全二级证书(特别是,拥有该品类截至目前唯一的二级证),不仅能够有效支撑关键信息基础设施密码应用,还能够作为关键部件助力门禁系统系统、密钥管理系统等系统类密码产品顺利通过商用密码产品认证,并在关键信息基础设施合规应用。
关键信息基础设施是国家网络安全保护的重中之重。飞天诚信作为身份认证领域的深耕者,将一如既往地秉持安全、合规的理念,以“云、端、芯”全链条自主知识产权的技术体系为支撑,为关键信息基础设施的身份认证提供坚实保障。我们坚信,在国家政策的引领下,在各方的共同努力下,我国关键信息基础设施的安全防护将更加坚固,数字化转型将更加稳健。
——THE END——
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...