我国密码标准规范与法律法规特点
撰文 | 康老师
上期我们聊的话题是规范技术和系统的密码标准规范,规范组织行为的密码政策法规,以及它们是怎样一起配合“指挥”着密码系统运行和密码行业发展的。其实想用几千字的文字内容概况密码标准规范与政策法规的一般特点无疑是一项非常困难的任务,康老师以技术背景撰文的高度和权威性亦难与法律法规专家或密码管理部门专家相比,好处在于本系列的内容规划比较系统,是按密码学的体系一路写下来,知识点上前后多有呼应,利于深入理解,希望小伙伴们结合这几期内容,就像知道“无规矩、不方圆”一样能理解“无法规,不密码”。再进一步,从文中阐述技术与管理的不同叙述模式与框架、实例举证的不同乃至不同的行文风格,读者应能看到技术到管理的递进和互动作用,能更深入的理解一句安全圈的俗话——“三分技术、七分管理”。谈技术可以“就事论事”的方法去逐层细化,描绘入微,谈得深才是谈得好;谈管理不能“就事论事”,谈得广才是谈得好,不泛化到背景、目标、推进作用等层面,就看不到从管理上给技术、给系统、给特定群体划定出的“活动区域”。
在上期基础上,本期要从抽象走向具体,介绍和我们自己最相关的我国密码标准规范与政策法规主要特点,由于这个领域的时效性强,不再生效的介绍参考价值不大,本期内容以介绍能体现我国密码管理最新理念的新推出法规为主。例如,为进一步贯彻执行“放管服”改革要求和便民利企,我国商用密码产品管理方式已由原来的行政审批调整为检测认证管理,原有的审批要求和流程自然终止。还有一点补充,上期介绍是以标准规范为主,本期介绍内容以政策、法律法规为主,目的是让读者更清晰明了我国密码行业的宏观性条框约束和未来的发展路径。
我国密码政策法规原则与管理框架
我们先从我国密码政策法规原则与管理框架开始介绍,通过上期的介绍,相信大家应该能了解到密码领域标准规范与政策法规的共通性特点是技术性、专业性较强,既然如此,由于技术发展水平的趋同,那世界各国的密码标准规范与政策法规应该有很大程度的共通之处并有趋同性对吗?持这种观点就有点唯技术论了,由于密码的高度重要性、敏感性和对抗性,科学无国界、以及像互联网技术标准应保持最大程度兼容性以利于互联互通这类想法、做法并不适用于密码。除去面向C端的、面向互联网的密码应用不谈,不同国家乃至不同的重要行业,都会在密码管理体系的方方面面上,如密钥、算法、密码标识等等,做自己单独的不同规定,而不会直接采用国际标准或他国标准,也可以理解为基于安全考虑的一种区分、防护和隔离。谁不做这种区分、防护和隔离,谁等于就是自我宣称了我的技术水平低、没有自己独立的密码管理体系,就是自我放弃了安全的底线和后墙。这种人为区分的集中体现,不在于哪个具体的技术标准,而就存在于密码政策法规的原则与管理框架。以下基于《密码法》内容分几个方面就此进行阐述。
从管理模式上,我国实行党管密码,统一领导,分级负责。全国密码工作在党中央领导下,由中央密码工作领导机构统一领导,由国家和省、市、县四级密码管理部门按行政区域负责具体密码管理工作。
从发展思路上,遵循创新发展,服务大局的理念。自主创新发展是密码工作的发展之基、力量之源,自主创新既包含技术层面、也包含管理层面,还包含两者统筹结合的层面(例如之前对公钥密码及其基础设施、未来对量子密码及其基础设施的推进)。在密码领域,自主创新不是泛泛而谈、不是号召的口号,是虽然很难、但必须去做的头等大事,是保障网络与信息安全、维护国家网络空间主权的迫切要求。服务大局是密码工作的价值所在和宗旨要求,密码本身必须与应用结合才产生价值,密码服务于云大物移智等新科技、服务于新经济、新基建才是大有可为的广阔天地。
从管理原则上,如上期我们所述的分级分类原则,我国对密码实行分类管理,密码分为核心密码、普通密码和商用密码。核心密码用于保护国家绝密级、机密级、秘密级信息;普通密码用于保护国家机密级、秘密级信息;商用密码用于保护不属于国家秘密的信息。注意这里是密码分类对应其所保护信息的分级,而不是密码本身从管理上有什么类似高级、高强度、高端、低端的分级,更不意味着商用密码的保护强度、破解难度就是低于非商用密码。既然密码是用于保护重要信息和关键信息基础设施的,可以说是信息的天然分级决定了密码的分类管理,这也体现了密码服务于信息化大局的理念。对密码管理部门自身来说,分类管理也是做到管理体系合理规划,机构、人员和经费合理利用,安全等要素合理管控、精细化管理的重要基础。
其它值得注意的管理原则还包括保障密码安全和公平对等。保障密码安全原则非常重要,密码法律法规中很大一部分就是具体规定了如何保障密码安全,它就是核心密码/普通密码本身属于国家秘密、技术上不可能公开,以及管理要求上对密码管理部门、密码工作机构工作人员要进行监督和安全审查的直接原因,因为这都事关国家安全。它也是各国都在后量子密码等新密码技术方向上不计成本的增加研发投入,力争获得优势地位的直接驱动力。
公平对等原则含义丰富、不大为人所熟知,也可称比较有趣,如果说保障密码安全可以理解为对内的密码管理重要原则,公平对等原则就是对外的密码管理重要原则。第一,我国《密码法》规定各级人民政府及其有关部门应当遵循非歧视原则,依法平等对待外商投资的商用密码从业单位,依法平等保护包括外商投资企业在内所有市场主体的商用密码知识产权,政府不会利用行政强制手段强制转让商用密码技术。第二,公平对等也包含了对等反制的含义,对于当前呈现某种程度的技术对抗、乃至技术冷战的态势下尤有意义,它体现的是密码领域的对抗性和密码可以作为打破战略均势武器的属性。还是举个例子做例证,2020年8月29日,我国发布《禁止出口限制出口技术目录》,明确规定了禁止出口北斗卫星导航系统信息传输加密技术;限制出口密码芯片设计和实现,以及量子密码(具体包括量子密码实现方法、量子密码的传输技术、量子密码网络、量子密码工程实现)这两类密码安全技术;还有很多限制出口技术如信息隐藏与发现、可信计算、基础软件和操作系统安全增强等都内嵌了密码技术。而反观美国,早在2017年美国发布的出口管制清单中,明确列入了“专门设计(或制造)以用于实现或使用量子密码(也称量子密钥分发QKD)”的商品。看来在密码领域,保留必要的对等反制能力与措施,不可无、不可晚、不为过且很有用,各国均如此。
从管理框架上,中央密码工作领导小组是由《密码法》规定的我国密码管理最高决策机构,密码工作领导小组办公室是中共中央直属机构,与国家密码管理局是一个机构两块牌子,也是国家密码政策、法律法规的顶层规划设计和权威解释机构。至于标准规范方面,建议小伙伴多关注我国密码标准规范归口管理单位——密码行业标准化技术委员会,以及信息安全标准规范归口管理单位——全国信息安全标准化技术委员会(其中有专设的WG3密码技术标准工作组)发布的权威信息。其中GB/T、GJB/T为开头是的国家标准和国家/军用标准,以GM/T为开头的是密码行业标准,只要是主题相关,建议均需关注,而且往往是行业标准规定得更细、可操作性更强,同时配合搜集阅读标准的编制说明等宣贯材料。国家密码管理局发布的密码行业主要法律法规如下图所示:
如何正确的阅读理解密码政策和法律法规
无论是构建密码应用还是从事密码管理工作,由于密码工作的强合规性要求,法律法规是案头必备工具,那就涉及如何正确的、高效的阅读理解密码政策和法律法规这一问题。在此我们没必要涉及政策法规的具体条文,仅从体系特点上、方法论角度上就这一问题做简单的交流分享。
首先需要强调的是对密码领域的根本性大法——2020年1月1日起正式颁布实施的《密码法》要做到熟悉和掌握,它是我国密码领域的综合性、基础性法律,完整体现了党中央的国家安全体系总体布局中对加强密码工作的重要部署,为构建系统完备、科学规范、运行高效的密码法律法规制度体系奠定了基础。尤其是为商用密码科学化、规范化管理以及未来可预期的密码行业壮大发展提供了坚实的法律依据。
其次,应注重掌握密码法律法规的属性和适用范围等基本信息。第一,法律和法规两者在立法主体、立法程序、效力等级、适用范围、适用时期、乃至在名称等方面都存在很多根本性不同,在此不累述,可以简单的理解,政策与法规是贯彻实施法律的细则。例如,《密码法》、《网络安全法》是法律,各自对应其部分实施细则的《商用密码管理条例》、《网络安全审查办法》就是法规。第二,法律法规有国家范围内推行的、有统领作用的政策法规如我国的《密码法》,有适用于金融、电力、交通、教育等特定行业密码应用的行业政策法规。
第三,注意政策法规的时效性、外延性、相关性等特点。对于外延性和相关性,就是不止要关注密码本行业的、名称中含“密码”的法律法规,很多信息安全等相关法律法规中只要涉及到“加密”两个字的,甚至是没有这两个字、但和密码应用是相关的,都应了解和掌握。还有非密码管理部门出台的政策及法规中,还可能直接采用了类似“XXX应符合国家密码管理部门的法律法规要求”的说法,那就要求我们要进行延伸扩展,直接去找到具体适用的是哪些密码法律法规条款。例如,我国《网络安全法》规定了“网络运营者应当按照网络安全等级保护制度的要求,采取数据分类、重要数据备份和加密等措施”。这里到底应该采取什么样的加密措施,就要既依据信息安全等级保护制度、又依据密码方面具体法规进行对位适配。又例如,为弥补当前数据存储安全和数据利用安全上存在的薄弱环节,规范和推进大数据等相关行业健康发展,我国于2020年7月2日及时推出了《数据安全法(草案)》。其中规定了“国家根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者公民、组织合法权益造成的危害程度,对数据实行分级分类保护。”这段话中完全没有提到“加密”两个字,但在密码工程实施中,这段话就是我们采用对应类别密码进行加密的法律依据所在。
康老师 简介
深耕信息安全领域二十余年,从事安全增强系统、密码应用系统及通用软件系统开发、信息安全理论研究、标准规范编研及开发团队管理。参与多项国家863、973、核高基专项等重大科研项目,作为主要完成人编研完成国家/军用标准多项,发表学术论文二十余篇。