商用密码“新规”审议通过,为物联网搭建“防火墙”2023年5月24日,中华人民共和国中央人民政府网站公开《商用密码管理条例》(以下简称《条例》)2023年修订版正式稿全文,《条例》在2023年4月14日国务院第4次常务会议修订通过,现予公布,自2023年7月1日起施行。
《条例》旨在规范商用密码应用和管理,鼓励和促进商用密码产业发展,保障网络与信息安全,维护国家安全和社会公共利益,保护公民、法人和其他组织的合法权益。
业内人士认为,随着数据安全重要性的提升,我国密码产业市场规模逐渐扩大,近几年平均增速高于全球增速。据相关研究机构统计,我国商用密码市场总体规模2023年有望达985.85亿元,同比增长39.32%。
早在1999年,我国发布生效了《商用密码管理条例》;2019年,由于《商用密码管理条例》已无法适应时代发展要求,我国对商用密码管理制度进行了结构性重塑,从而颁布了《中华人民共和国密码法》(简称“密码法”)。
到2020年8月10日,以《中华人民共和国密码法》为上位法,国家密码管理局发布了《商用密码管理条例(修订草案征求意见稿)》,对1999年的《商用密码管理条例》进行了全面修订。
业内有专家认为,《条例》的正式公布,将进一步规范密码应用市场,带来以下几点重要变化:
《条例》进一步落实《密码法》的管理要求,除了对密码应用本身要求外,对检测认证、电子认证、进出口管理等都提出了相关要求,让平台和企业有法可依。
《条例》中明确规定,非涉密的关键信息基础设施、网络安全等级保护第三级以上网络和国家政务信息系统等网络与信息系统,要求“自行或者委托商用密码检测机构开展商用密码应用安全性评估”。
对于非涉密的关键信息基础设施,《条例》规定运营者应履行使用商用密码进行保护、开展商用密码应用安全性评估、使用列入密码技术指导目录的商用密码技术、采购网络产品和服务的国家安全审查等义务。
《条例》中还指出,前款所列的网络与信息系统通过商用密码应用安全性评估(即“密评”)方可投入运行,运行后每年至少进行一次评估,评估情况报送所在地设区的市级密码管理部门备案。
经过十余年的发展,我国物联网产业规模已接近3万亿元,在工业制造、社会民生等各个领域得到广泛应用。随着数以千亿的物联网设备接入网络,物联网面临的安全威胁问题日益突出,物联网密码越来越受到重视。
业内专家认为,物联网网络主要的安全风险集中在6个方面:
攻击者可利用鉴别机制弱点恶意部署同型号或克隆一个相似设备,接入系统进行攻击。
由于物联网终端可能采集处理大量敏感数据,若安全网关对上述数据转发未作加密,则易发生数据窃取等问题。
物联网中节点数量庞大且数据传输采用无线射频信号进行传输,存在攻击者可通过发射干扰信号造成通信中断,或信号传输过程中劫持、窃听、篡改数据等风险。
传输层面临异构网络跨网认证等安全问题,此外,物联网上传输的数据包未加密和签名,易发生被窃听、篡改、伪造以及发送者抵赖等问题。
由于接入设备类型繁多、能力参差不齐,存在身份仿冒、非授权访问等安全风险。
攻击者可以利用信息采集设备检测和搜集所有与保密数据相关的泄漏信息,还存在攻击者利用破坏性或是非破坏性技术扰乱芯片加密系统,从而获取密钥的故障攻击手段。此外,软件形态更易造成敏感数据泄露。
物联网中需要商用密码主要对以下4点进行保护:
建立基产算法的PKI/CA基础设施,为物联网场景下的各个设备以及云端都颁发证书,通过对设备的识别和并且与证书进行绑定,对每个设备都能进行备案,这样在进行身份认证阶段,通过双向的身份,设备无法被冒充,同时云端服务也拦截。
通过SM2和SM4的组合使用,在未建立SSL安全通道的传输链路中对传输的数据包进行签名和加密,同样也保证了数据的安全可信。
可采取点到点加密机制和端到端加密机制确保传输层安全,也可采用SSL/TLS和IPSec等协议,提供通信加密和认证功能,保证通信双方传输交换安全。
采用更加轻量级的纯软件实现的SM2门限密码算法,将签名和验签过程在终端和服务端分别运算再合并。
整体来看,密码技术在云计算、大数据、物联网、人工智能等新兴领域发挥基础支撑作用,商密作为保护数据安全的重要手段,新兴领域的出现也带来了新的市场空间。
.jpg)
