您当前的位置是:  首页 > 技术 > 企业通信 > 资讯 >
当前位置:首页 > 技术 > 企业通信 > 资讯 > 万物皆可加密?华为安全带你解读《密码法》

万物皆可加密?华为安全带你解读《密码法》

2019-10-30 14:03:40   作者:   来源:CTI论坛   评论:0  点击:


  十三届全国人大常委会第十四次会议在2019年10月26日下午表决通过《密码法》,将自2020年1月1日起施行。《密码法》旨在规范密码应用和管理,促进密码事业的发展,保障网络安全,是我国密码领域首部专业性、综合性和基础性的法律。
  什么是密码?
  人们在现实生活中,一提到“密码”,通常会想到就是每天接触的计算机开机“密码”、邮箱登录需要输入“密码”、登录QQ需要“密码”、转账付款需要支付“密码”等等场景。但其实,生活中的这些“密码”实际上只是“口令”,只是进入个人计算机、手机、电子邮箱或者银行账户的“通行证”,是最初级的身份认证方式。而《密码法》中的“密码”,是指“采用特定变换的方法对信息等进行加密保护、安全认证的技术、产品和服务”。“密码”的主要功能有两个:一个是加密保护,另一个是安全认证。
  什么是密码?
  中国古人早已经利用“密码”技术来应用在各个生活场景中,譬如古代商人创建的“票号”,是一种专门经营汇兑业务的金融机构。票号每天都要签发大量的汇票到全国各地,票号的客户只需要拿着这些汇票就可以到对应的钱庄去提款。于是,如何识别假汇票,如何鉴别汇票上的数字是否被篡改,就成为票号需要解决的重要问题。(下图为晋商票号的代表,日升昌。)
  如何解决这个问题呢?“密码”技术就派上了用场,所有的年月日和数字、银两单位,都会通过“密码”来加密。只有理解这套加密方式的双方(写汇票的人和兑汇票的人)才能交流信息,既起到了认证的作用,又能对日期、金额信息进行加密。
  举下面这个例子,可以看出,明文信息“10月27日汇银500两”中的关键内容,包括日期和金额,都被票号内部约定的密码规则进行了替换,变成了看起来毫不相关的几个汉字,但分号进行兑汇的人,熟悉理解这套规则,可以破译出里面的真实含义来。
  密码的分类
  • 按照被保护信息的重要性差异,“密码”分为核心密码、普通密码和商用密码:
  • 核心密码,是用于保护国家绝密级、机密级、秘密级信息的密码。
  • 普通密码,是用于保护国家机密级、秘密级信息的密码。
  这两种密码,等级较高,用于保护国家秘密信息和涉密信息系统,有力地保障了中央政令军令安全,为维护国家网络空间主权、安全和发展利益构筑起牢不可破的密码屏障。
  商用密码,是用于保护不属于国家秘密的信息的密码,公民、法人和其他组织可以依法使用。它广泛应用于国民经济发展和社会生活的各个方面。比如在金融,使用商用密码的金融芯片卡,可以遏制伪造银行卡、网上交易身份仿冒等活动。在税收领域,增值税防伪税控系统采用商用密码,杜绝了篡改发票信息进行偷漏税等行为。在社会管理方面,公安部已累计发放使用商用密码芯片的第二代居民身份证超过18亿张,给人民生活带来便利的同时,阻止了伪造身份证进行违法犯罪活动的行为。
  《密码法》的主要内容是什么?
  《密码法》共五章四十四条,围绕“怎么用密码、谁来管密码、怎么管密码”,重点规范了以下内容:
  • 第一章“总则”部分,规定了本法的立法目的、密码工作的基本原则、密码工作的领导和管理体制,并对核心密码、普通密码和商用密码在发展促进和保障措施方面的共性内容作了规定。
  • 第二章“核心密码、普通密码”部分,规定了核心密码、普通密码的主要管理制度、使用要求、安全管理制度以及国家加强核心密码、普通密码工作的一系列保障措施。
  • 第三章“商用密码”部分,规定了商用密码的主要制度,包括商用密码的标准化制度、检测认证制度、市场准入管理制度、使用要求、进出口管理制度、电子政务电子认证服务管理制度以及商用密码事中事后监管制度。
  • 第四章“法律责任”部分,规定了违反本法相关规定应当承担的相应的法律后果。
  • 第五章“附则”部分,规定了国家密码管理部门的规章制定权,及本法的施行日期。
  与其他法规的衔接
  关键信息基础设施的行业单位,其运营者应当使用商用密码进行对信息系统的保护,自行或者委托商用密码检测机构来开展商用密码安全性评估。商用密码安全性评估应当与关键信息基础设施安全检测评估、网络安全等级测评制度相衔接,避免重复评估、测评。“等级保护2.0”规定:
  • 涉及网络及传输的国家秘密信息,应依法采用密码保护。