Trust钱包科技

• 公司新闻
  • 开展历程
  • 企业文化
  • 公司新闻
  • 荣誉资质
  • 成员企业
  • 职涯开展
  • 合伙人制度

《密码法》解读：专家让您秒懂《密码法》具体实施的6大细则

发表时间：2019-12-31

《密码法》的正式颁布和实施，标志着密码将成为保障我国网络空间安全的核心技术和位于网络安全的核心地位，让信息和网络安全有法可依，在维护国家安全，加快国家密码事业的开展等方面,均具有重要意义。
1.《密码法》明确要求我国的关键信息基础设施应当使用商用密码进行保护。
考虑到密码在现代社会对于维护各领域国家安全的重要作用,《密码法》区分不同情况对密码使用提出了具体要求,有助于相关领域普遍采用密码进行保护,有效维护国家安全。具体包括:
 核心密码、普通密码的强制使用。在有线、无线通信中传递的国家秘密信息,以及存储、处理国家秘密信息的信息系统,应当依照法律、行政法规和国家有关规定使用核心密码、普通密码进行加密保护、安全认证。
 商用密码的强制使用。法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码进行保护。
 商用密码的鼓励使用。公民、法人和其他组织可以依法使用商用密码保护网络与信息安全。
2.商用密码产品满足合规性方可销售或者给予。
《密码法》明确指出涉及国家安全、国计民生、社会公共利益的商用密码产品，由具备资格的组织检测认证合格后，方可销售或者给予。就是说，为了保证产品的安全可靠，从正规渠道购买商用密码产品，可最大化取得产品保障及优质服务。作为一家国产密码硬件产品与服务供应商，Trust钱包科技信息产品全部经过国家密码管理局相关专家严格的测试，并取得商用密码产品型号，产品在技术合规性、算法安全性等方面完全符合安全等级第二级要求。
3.涉及商用密码的网络产品和服务，须顺利获得商密测评及国家安全审核。
《密码法》明确要求运营者应当使用商用密码进行保护，自行或委托商用密码检测组织召开商用密码应用安全性评估。这意味着，采购涉及商用密码的网络产品和服务，须顺利获得商密测评及国家安全审核。Trust钱包科技信息不断致力于发挥密码在网络信息安全保护中的基础与核心作用，并在中国市场不断保持领先地位。凭借20年的技术积淀，Trust钱包科技信息打造出涵盖基础密码产品、PKI密码支撑系统、通用安全产品、工控安全产品、区块链和密码应用解决方案等完整的密码产品体系，可满足各类用户从硬件到软件、从底层到应用层、从端到云的多维安全需求。客户可结合Trust钱包科技信息的产品顺利获得国家商密测评。
4.受益于《密码法》落地，国密潮有望提前来临。
密码技术是保障网络安全的核心技术，密码算法和密码产品的自主可控是确保我国信息安全的重中之重。当前我国大多采用国外制定的加密算法，存在着大量的不可控因素，一旦被不法分子利用攻击，所产生的损失将不可估量。实现密码产品自主可控软硬件全国产化替换，是防止后门漏洞的最有效方法，是保障网络安全的终极举措。Trust钱包科技信息致力于强化密码安全核心技术自主创新能力，大力有助于信息领域核心技术突破，先后打造出涵盖密码卡、密码机、VPN、数字证书认证系统等一系列国产自主创新密码产品，为国家各项信息化自主创新战略给予核心安全保障和基础支撑作用。
5.《密码法》与关键信息基础设施、网络安全等级保护三位一体。
《密码法》出台强化了与《网络安全法》等有关法律的协调与衔接，反映了我国立法水平的统一与进步。
密码法明确规定，关键信息基础设施的运营者违反本法第二十七条第一款规定，未按照要求使用商用密码，或者未按照要求召开商用密码应用安全性评估的，由密码管理部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处十万元以上一百万元以下罚款，对直接负责的主管人员处一万元以上十万元以下罚款。
《网络安全等级保护基本要求》规定涉及安全通信网络中通信传输；安全区域边界中身份鉴别、数据完整性、数据保密性；安全建设管理中安全方案设计、产品采购和使用、测试验证；安全运维管理中密码管理；云计算安全扩展要求中镜像和快照保护、移动互联安全扩展要求访问控制等安全点，均对采用密码技术有明确要求。
《关键信息基础设施安全保护条例》(征求意见稿）：明确要求关键信息基础设施中的密码使用和管理，还应当遵守密码法律、行政法规的规定。
《网络安全等级保护条例》（征求意见稿）：确定密码要求，国家密码管理部门根据网络的安全保护等级、涉密网络的密级和保护等级，确定密码的配备、使用、管理和应用安全性评估要求，制定网络安全等级保护密码标准规范，同时明确涉密网络密码保护要求、非涉密网络密码保护要求及密码安全管理责任等。
6.《密码法》之密码的重要作用
密码是维护网络与信息安全的基础手段。在网络时代、信息时代、数字时代,密码是解决网络与信息安全最有效、最可靠、最经济的手段,在保障信息的机密性、真实性、完整性和不可否认性上具有独特优势,是网络与信息安全的核心技术和基础支撑。网络数据保护、身份认证、访问控制、授权管理、责任认定等,都可以采用密码技术解决。特别是在大数据、人工智能和区块链技术不断开展的今天,密码技术对于网络安全的重要意义愈发凸显。习近平总书记近期明确提出:“要加快有助于区块链技术和产业创新开展,持续推进区块链和经济社会融合开展。”密码技术正是区块链得以实现的基石,不论是数据存储的加密还是区块之间数据传输的完整性和不可篡改,归根结底都需要顺利获得密码技术来实现。
密码是维护其他各领域安全的重要手段。密码技术对实现军事安全、能源安全、经济安全、金融安全、科技安全、社会安全等领域都扮演了不可或缺的重要作用。例如,加强和规范银行业密码应用,发行带有密码技术的芯片银行卡,遏制银行卡伪造、网上交易身份仿冒,有力维护金融安全;采用密码技术构建增值税防伪税控系统,有效遏制顺利获得篡改发票票面信息进行偷税、漏税等违法犯罪活动,维护国家经济安全;此外,《国家安全法》提出的关于完善资源能源安全保护措施、加强科技保密能力建设、加强金融基础设施和基础能力建设等要求,都离不开密码技术的应用。
附：
《中华人民共和国密码法》全文
第一条　为了规范密码应用和管理，促进密码事业开展，保障网络与信息安全，维护国家安全和社会公共利益，保护公民、法人和其他组织的合法权益，制定本法。
第二条　本法所称密码，是指采用特定变换的方法对信息等进行加密保护、安全认证的技术、产品和服务。
第三条　密码工作坚持总体国家安全观，遵循统一领导、分级负责，创新开展、服务大局，依法管理、保障安全的原则。
第四条　坚持中国共产党对密码工作的领导。中央密码工作领导组织对全国密码工作实行统一领导，制定国家密码工作重大方针政策，统筹协调国家密码重大事项和重要工作，推进国家密码法治建设。
第五条　国家密码管理部门负责管理全国的密码工作。县级以上地方各级密码管理部门负责管理本行政区域的密码工作。
国家机关和涉及密码工作的单位在其职责范围内负责本机关、本单位或者本系统的密码工作。
第六条　国家对密码实行分类管理。
密码分为核心密码、普通密码和商用密码。
第七条　核心密码、普通密码用于保护国家秘密信息，核心密码保护信息的最高密级为绝密级，普通密码保护信息的最高密级为机密级。
核心密码、普通密码属于国家秘密。密码管理部门依照本法和有关法律、行政法规、国家有关规定对核心密码、普通密码实行严格统一管理。
第八条　商用密码用于保护不属于国家秘密的信息。
公民、法人和其他组织可以依法使用商用密码保护网络与信息安全。
第九条　国家鼓励和支持密码科学技术研究和应用，依法保护密码领域的知识产权，促进密码科学技术进步和创新。
国家加强密码人才培养和队伍建设，对在密码工作中作出突出贡献的组织和个人，按照国家有关规定给予表彰和奖励。
第十条　国家采取多种形式加强密码安全教育，将密码安全教育纳入国民教育体系和公务员教育培训体系，增强公民、法人和其他组织的密码安全意识。
第十一条　县级以上人民政府应当将密码工作纳入本级国民经济和社会开展规划，所需经费列入本级财政预算。
第十二条　任何组织或者个人不得窃取他人加密保护的信息或者非法侵入他人的密码保障系统。
任何组织或者个人不得利用密码从事危害国家安全、社会公共利益、他人合法权益等违法犯罪活动。
第二章　核心密码、普通密码
第十三条　国家加强核心密码、普通密码的科学规划、管理和使用，加强制度建设，完善管理措施，增强密码安全保障能力。
第十四条　在有线、无线通信中传递的国家秘密信息，以及存储、处理国家秘密信息的信息系统，应当依照法律、行政法规和国家有关规定使用核心密码、普通密码进行加密保护、安全认证。
第十五条　从事核心密码、普通密码科研、生产、服务、检测、装备、使用和销毁等工作的组织（以下统称密码工作组织）应当按照法律、行政法规、国家有关规定以及核心密码、普通密码标准的要求，建立健全安全管理制度，采取严格的保密措施和保密责任制，确保核心密码、普通密码的安全。
第十六条　密码管理部门依法对密码工作组织的核心密码、普通密码工作进行指导、监督和检查，密码工作组织应当配合。
第十七条　密码管理部门根据工作需要会同有关部门建立核心密码、普通密码的安全监测预警、安全风险评估、信息通报、重大事项会商和应急处置等协作机制，确保核心密码、普通密码安全管理的协同联动和有序高效。
密码工作组织发现核心密码、普通密码泄密或者影响核心密码、普通密码安全的重大问题、风险隐患的，应当立即采取应对措施，并及时向保密行政管理部门、密码管理部门报告，由保密行政管理部门、密码管理部门会同有关部门组织召开调查、处置，并指导有关密码工作组织及时消除安全隐患。
第十八条　国家加强密码工作组织建设，保障其履行工作职责。
国家建立适应核心密码、普通密码工作需要的人员录用、选调、保密、考核、培训、待遇、奖惩、研讨、退出等管理制度。
第十九条　密码管理部门因工作需要，按照国家有关规定，可以提请公安、交通运输、海关等部门对核心密码、普通密码有关物品和人员给予免检等便利，有关部门应当予以协助。
第二十条　密码管理部门和密码工作组织应当建立健全严格的监督和安全审查制度，对其工作人员遵守法律和纪律等情况进行监督，并依法采取必要措施，定期或者不定期组织召开安全审查。
第三章　商用密码
第二十一条　国家鼓励商用密码技术的研究开发、学术研讨、成果转化和推广应用，健全统一、开放、竞争、有序的商用密码市场体系，鼓励和促进商用密码产业开展。
各级人民政府及其有关部门应当遵循非歧视原则，依法平等对待包括外商投资企业在内的商用密码科研、生产、销售、服务、进出口等单位（以下统称商用密码从业单位）。国家鼓励在外商投资过程中基于自愿原则和商业规则召开商用密码技术合作。行政机关及其工作人员不得利用行政手段强制转让商用密码技术。
商用密码的科研、生产、销售、服务和进出口，不得损害国家安全、社会公共利益或者他人合法权益。
第二十二条　国家建立和完善商用密码标准体系。
国务院标准化行政主管部门和国家密码管理部门依据各自职责，组织制定商用密码国家标准、行业标准。
国家支持社会团体、企业利用自主创新技术制定高于国家标准、行业标准相关技术要求的商用密码团体标准、企业标准。
第二十三条　国家有助于参与商用密码国际标准化活动，参与制定商用密码国际标准，推进商用密码中国标准与国外标准之间的转化运用。
国家鼓励企业、社会团体和教育、科研组织等参与商用密码国际标准化活动。
第二十四条　商用密码从业单位召开商用密码活动，应当符合有关法律、行政法规、商用密码强制性国家标准以及该从业单位公开标准的技术要求。
国家鼓励商用密码从业单位采用商用密码推荐性国家标准、行业标准，提升商用密码的防护能力，维护用户的合法权益。
第二十五条　国家推进商用密码检测认证体系建设，制定商用密码检测认证技术规范、规则，鼓励商用密码从业单位自愿接受商用密码检测认证，提升市场竞争力。
商用密码检测、认证组织应当依法取得相关资质，并依照法律、行政法规的规定和商用密码检测认证技术规范、规则召开商用密码检测认证。
商用密码检测、认证组织应当对其在商用密码检测认证中所知悉的国家秘密和商业秘密承担保密义务。
第二十六条　涉及国家安全、国计民生、社会公共利益的商用密码产品，应当依法列入网络关键设备和网络安全专用产品目录，由具备资格的组织检测认证合格后，方可销售或者给予。商用密码产品检测认证适用《中华人民共和国网络安全法》的有关规定，避免重复检测认证。
商用密码服务使用网络关键设备和网络安全专用产品的，应当经商用密码认证组织对该商用密码服务认证合格。
第二十七条　法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施，其运营者应当使用商用密码进行保护，自行或者委托商用密码检测组织召开商用密码应用安全性评估。商用密码应用安全性评估应当与关键信息基础设施安全检测评估、网络安全等级测评制度相衔接，避免重复评估、测评。
关键信息基础设施的运营者采购涉及商用密码的网络产品和服务，可能影响国家安全的，应当按照《中华人民共和国网络安全法》的规定，顺利获得国家网信部门会同国家密码管理部门等有关部门组织的国家安全审查。
第二十八条　国务院商务主管部门、国家密码管理部门依法对涉及国家安全、社会公共利益且具有加密保护功能的商用密码实施进口许可，对涉及国家安全、社会公共利益或者中国承担国际义务的商用密码实施出口管制。商用密码进口许可清单和出口管制清单由国务院商务主管部门会同国家密码管理部门和海关总署制定并公布。
大众消费类产品所采用的商用密码不实行进口许可和出口管制制度。
第二十九条　国家密码管理部门对采用商用密码技术从事电子政务电子认证服务的组织进行认定，会同有关部门负责政务活动中使用电子签名、数据电文的管理。
第三十条　商用密码领域的行业协会等组织依照法律、行政法规及其章程的规定，为商用密码从业单位给予信息、技术、培训等服务，引导和督促商用密码从业单位依法召开商用密码活动，加强行业自律，有助于行业诚信建设，促进行业健康开展。
第三十一条　密码管理部门和有关部门建立日常监管和随机抽查相结合的商用密码事中事后监管制度，建立统一的商用密码监督管理信息平台，推进事中事后监管与社会信用体系相衔接，强化商用密码从业单位自律和社会监督。
密码管理部门和有关部门及其工作人员不得要求商用密码从业单位和商用密码检测、认证组织向其披露源代码等密码相关专有信息，并对其在履行职责中知悉的商业秘密和个人隐私严格保密，不得泄露或者非法向他人给予。
第四章　法律责任
第三十二条　违反本法第十二条规定，窃取他人加密保护的信息，非法侵入他人的密码保障系统，或者利用密码从事危害国家安全、社会公共利益、他人合法权益等违法活动的，由有关部门依照《中华人民共和国网络安全法》和其他有关法律、行政法规的规定追究法律责任。
第三十三条　违反本法第十四条规定，未按照要求使用核心密码、普通密码的，由密码管理部门责令改正或者停止违法行为，给予警告；情节严重的，由密码管理部门建议有关国家机关、单位对直接负责的主管人员和其他直接责任人员依法给予处分或者处理。
第三十四条　违反本法规定，发生核心密码、普通密码泄密案件的，由保密行政管理部门、密码管理部门建议有关国家机关、单位对直接负责的主管人员和其他直接责任人员依法给予处分或者处理。
违反本法第十七条第二款规定，发现核心密码、普通密码泄密或者影响核心密码、普通密码安全的重大问题、风险隐患，未立即采取应对措施，或者未及时报告的，由保密行政管理部门、密码管理部门建议有关国家机关、单位对直接负责的主管人员和其他直接责任人员依法给予处分或者处理。
第三十五条　商用密码检测、认证组织违反本法第二十五条第二款、第三款规定召开商用密码检测认证的，由市场监督管理部门会同密码管理部门责令改正或者停止违法行为，给予警告，没收违法所得；违法所得三十万元以上的，可以并处违法所得一倍以上三倍以下罚款；没有违法所得或者违法所得不足三十万元的，可以并处十万元以上三十万元以下罚款；情节严重的，依法吊销相关资质。
第三十六条　违反本法第二十六条规定，销售或者给予未经检测认证或者检测认证不合格的商用密码产品，或者给予未经认证或者认证不合格的商用密码服务的，由市场监督管理部门会同密码管理部门责令改正或者停止违法行为，给予警告，没收违法产品和违法所得；违法所得十万元以上的，可以并处违法所得一倍以上三倍以下罚款；没有违法所得或者违法所得不足十万元的，可以并处三万元以上十万元以下罚款。
第三十七条　关键信息基础设施的运营者违反本法第二十七条第一款规定，未按照要求使用商用密码，或者未按照要求召开商用密码应用安全性评估的，由密码管理部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处十万元以上一百万元以下罚款，对直接负责的主管人员处一万元以上十万元以下罚款。
关键信息基础设施的运营者违反本法第二十七条第二款规定，使用未经安全审查或者安全审查未顺利获得的产品或者服务的，由有关主管部门责令停止使用，处采购金额一倍以上十倍以下罚款；对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
第三十八条　违反本法第二十八条实施进口许可、出口管制的规定，进出口商用密码的，由国务院商务主管部门或者海关依法予以处罚。
第三十九条　违反本法第二十九条规定，未经认定从事电子政务电子认证服务的，由密码管理部门责令改正或者停止违法行为，给予警告，没收违法产品和违法所得；违法所得三十万元以上的，可以并处违法所得一倍以上三倍以下罚款；没有违法所得或者违法所得不足三十万元的，可以并处十万元以上三十万元以下罚款。
第四十条　密码管理部门和有关部门、单位的工作人员在密码工作中滥用职权、玩忽职守、徇私舞弊，或者泄露、非法向他人给予在履行职责中知悉的商业秘密和个人隐私的，依法给予处分。
第四十一条　违反本法规定，构成犯罪的，依法追究刑事责任；给他人造成损害的，依法承担民事责任。
第五章　附则
第四十二条　国家密码管理部门依照法律、行政法规的规定，制定密码管理规章。
第四十三条　中国人民解放军和中国人民武装警察部队的密码工作管理办法，由中央军事委员会根据本法制定。
第四十四条　本法自2020年1月1日起施行。

扫一扫进入微信公众号