商用密码
2024年7月19日,国家密码管理局根据《中华人民共和国密码法》、《商用密码管理条例》及相关规章制度,正式颁布了《国家密码管理局商用密码随机抽查事项清单(2024年版)》,并即日起实施。这一举措犹如一颗重磅炸弹,震撼了整个信息安全领域,其背后的深意和影响力值得我们细细品味和深入探讨。同时,我们也需要思考如何构建一座坚不可摧的合规堡垒,以应对此类随机抽查及其他合规审查的“突袭”。
商用密码
一、随机抽查:什么是随机抽查?抽查对象是谁?为何采用随机抽查方式?
随机抽查就是按照随机的原则,即保证总体中每一个对象都有已知的、非零的概率被选入作为检查的对象,保证被抽查的公平性。被调查对象总体中每个个体都有同等被抽中的可能,是一种完全依照机会均等的原则进行的抽样检查,以体现对被检查对象的公平性。
国家密码管理局为何要采用随机抽查方式呢?这是一场公平与智慧的较量
随机抽查,这个听起来既神秘又公平的方式,其实就像是一场抽签游戏。只不过,这次抽签的对象不是奖品,而是关乎信息安全的重要责任。国家密码管理局采用这种方式,一方面是为了确保每个对象都有被选中的机会,体现公平原则;另一方面,也是为了解决监管对象众多、监管力量有限的问题。
更重要的是,这种随机抽查的方式还巧妙地解决了《密码法》执行过程中的一大难题——“法不责众”。以往,由于违法者众多,执法部门往往难以——惩处,导致法律威慑力不足。而现在,每个对象都有可能成为抽查的目标,一旦违规,就将面临高额的罚款和严厉的法律制裁。这无疑给那些心存侥幸的违法者敲响了警钟。
商用密码
二、抽查揭秘:如何抽查?如果被抽到,会检查什么?
抽查清单序号3的抽查类别为商用密码应用,这个是本文解读的重点,因为这个涉及面广,根据《关键信息基础设施安全保护条例》的定义:关键信息基础设施是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。
这些单位都是依据《密码法》第二十七条要求使用商用密码技术、产品和服务来保护关键信息设施安全的抽查对象,都会有可能被抽查到。
而抽查的内容是检查使用商用密码技术、产品和服务的合规性、正确性、有效性,这就是密评的内容,检查是否使用、是否正确使用、使用后是否实现了有效保护。如何检查这些待检查的内容呢?采用现场、书面、网络检查相结合的方式抽查。也就是说,不一定有人到你单位现场检查,可以通过网络检查。我们下面以SSL证书为例:
比如:使用国密浏览器访问一下你的官网,看看地址栏是否有【国密】标识就知道你的网站是否已经使用商密SSL证书实现了商密HTTPS加密保护,看到了【国密】标识就是,看不到就不是。看到了【国密】标识就是已经正确使用,也就是已经实现了有效保护。看一眼就完成了合规性、正确性和有效性检查,并且这个检查随时随地都可以实现,上网溜一圈,一上午就可以检查完所有部委官网、所有省市政府官网。这就是国密浏览器设计在地址栏增加一个【国密】标识的目的,方便网站访问者和执法检查者一眼就知道这个网站是否采用了商用密码保护。
商用密码
检查被抽查对象的官网是否实现了商密HTTPS加密,这是一个非常容易实现检查的一个检查项,当然还有其他检查项,密码管理部门会依据《中华人民共和国密码法》第二十七条、第三十七条、新版《商用密码管理条例》第三十八条、第三十九条、第四十一条、第六十条、第六十二条、第六十四条、《商用密码应用安全性评估管理办法》第六条、第七条、第八条、第九条、第十条、第十一条、第十二条、第十三条、第十四条、第十五条、第十七条、第十八条,从关键信息基础设施网络与信息系统运营单位中随机抽取,检查到任何一项不符合规定的,都可以认定为有违法违规行为,都有可能依法处罚。
三、应对之道:打造合规堡垒,一招就能一劳永逸!
面对这场突如其来的“抽查风暴”,各单位应该如何应对呢?即使已经通过了等保和密评的评测,也不能掉以轻心。因为评测只是暂时的,而合规却是一项长期的任务。比如说:密评是网站已经部署了商密SSL证书实现了商密HTTPS加密,但是这张商密SSL证书现在已经过期了,所以网站都变成了HTTP不安全方式或者变成了国际算法的HTTPS加密方式,这些都是无法通过检查的。
那么,如何才能实现长期合规,从容应对随时可能发生的检查呢?这就需要我们打造一座坚不可摧的合规堡垒。就网络通信安全的关键项-商密HTTPS加密这一项来讲,对商密HTTPS加密进行自动部署和解析,无需在业务系统做复杂配置就可以实现国密SSL证书部署,这才是一劳永逸的从容应对方案。原Web服务器零改造,无需关心SSL证书是否会过期,只需部署陕西CA提供国密SSL证书和安全认证网关,不怕随时的检查,在符合国际标准和国密标准的同时,能够自适应兼容所有浏览器和操作系统,且满足等保、密评等相关规定对传输安全的密钥使用要求。
安全认证网关
部署了陕西CA提供国密SSL证书和安全认证网关,实现商密HTTPS加密自动部署和解析,不仅能一劳永逸从容应对密码管理部门的随机抽查,而且可以从容应对四部委发布的《互联网政务应用安全管理规定》所要求的所有互联网政务应用和关键信息基础设施的互联网门户网站必须实现商密HTTPS加密安全连接的规定,以规避《规定》第四十一条“依规依纪追究当事人和有关领导的责任”。
总之,国家密码管理局的商用密码随机抽查事项清单是一个严格的执法检查手段。它既解决了执法资源有限的问题,又体现了公平性,还增强了法律的威慑力。而对于被列入抽查对象的所有单位来说,只有打造一座坚不可摧的合规堡垒——实现商密HTTPS加密,才能从容应对随时随地的各种合规执法检查,这也是保障我国关键信息基础设施安全运行、维护国家信息安全的重要举措。
商用密码