智能制造網(wǎng)APP
智能制造網(wǎng)手機站
智能制造網(wǎng)小程序
智能制造網(wǎng)官微
智能制造網(wǎng)服務(wù)號
智能控制
機器人
儀器儀表
物聯(lián)網(wǎng)
3D打印
工業(yè)軟件
回放
回放
品牌
近日,國務(wù)院總理李強主持召開國務(wù)院常務(wù)會議,會議審議通過了《商用密碼管理條例(修訂草案》》(簡稱《條例》)。
會議指出,近年來,商用密碼應(yīng)用愈發(fā)廣泛,在保障網(wǎng)絡(luò)和信息安全、維護公民和法人權(quán)益方面的重要性日益凸顯。要全面貫徹總體國家安全觀,進一步規(guī)范商用密碼應(yīng)用和管理,督促平臺企業(yè)依法履行用戶密碼保護責任,確保個人隱私、商業(yè)秘密和政府敏感數(shù)據(jù)的安全。
業(yè)內(nèi)人士認為,隨著數(shù)據(jù)安全重要性的提升,我國密碼產(chǎn)業(yè)市場規(guī)模逐漸擴大,近幾年平均增速高于全球增速。據(jù)賽迪研究統(tǒng)計,我國商用密碼市場總體規(guī)模2023年有望達985.85億元,同比增長39.32%。
【三大重要變化】
早在1999年,我國發(fā)布生效了《商用密碼管理條例》;2019年,由于《商用密碼管理條例》已無法適應(yīng)時代發(fā)展要求,我國對商用密碼管理制度進行了結(jié)構(gòu)性重塑,從而頒布了《中華人民共和國密碼法》(簡稱“密碼法”)。
到2020年8月10日,以《中華人民共和國密碼法》為上位法,國家密碼管理局發(fā)布了《商用密碼管理條例(修訂草案征求意見稿)》,對1999年的《商用密碼管理條例》進行了全面修訂。
業(yè)內(nèi)有專家認為,《條例》的正式通過,將進一步規(guī)范密碼應(yīng)用市場,帶來以下幾點重要變化:
一、督促平臺企業(yè)依法履行密碼保護責任
《條例》進一步落實《密碼法》的管理要求,除了對密碼應(yīng)用本身要求外,對檢測認證、電子認證、進出口管理等都提出了相關(guān)要求,讓平臺和企業(yè)有法可依。
二、商用密碼改造逐步從“建議性”變?yōu)?ldquo;強制性”
《條例》中明確規(guī)定,非涉密的關(guān)鍵信息基礎(chǔ)設(shè)施、網(wǎng)絡(luò)安全等級保護第三級以上網(wǎng)絡(luò)和國家政務(wù)信息系統(tǒng)等網(wǎng)絡(luò)與信息系統(tǒng),要求“自行或者委托商用密碼檢測機構(gòu)開展商用密碼應(yīng)用安全性評估”。
對于非涉密的關(guān)鍵信息基礎(chǔ)設(shè)施,《條例》規(guī)定運營者應(yīng)履行使用商用密碼進行保護、開展商用密碼應(yīng)用安全性評估、使用列入密碼技術(shù)指導(dǎo)目錄的商用密碼技術(shù)、采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)的國家安全審查等義務(wù)。
三、“密評”成為衡量密碼建設(shè)程度的指標
《條例》中還指出,前款所列的網(wǎng)絡(luò)與信息系統(tǒng)通過商用密碼應(yīng)用安全性評估(即“密評”)方可投入運行,運行后每年至少進行一次評估,評估情況報送所在地設(shè)區(qū)的市級密碼管理部門備案。
【為物聯(lián)網(wǎng)搭建“防火墻”】
經(jīng)過十余年的發(fā)展,我國物聯(lián)網(wǎng)產(chǎn)業(yè)規(guī)模已接近3萬億元,在工業(yè)制造、社會民生等各個領(lǐng)域得到廣泛應(yīng)用。
隨著數(shù)以千億的物聯(lián)網(wǎng)設(shè)備接入網(wǎng)絡(luò),物聯(lián)網(wǎng)面臨的安全威脅問題日益突出,物聯(lián)網(wǎng)密碼越來越受到重視。
業(yè)內(nèi)專家認為,物聯(lián)網(wǎng)網(wǎng)絡(luò)主要的安全風險集中在6個方面:
1、物聯(lián)網(wǎng)設(shè)備:攻擊者可利用鑒別機制弱點惡意部署同型號或克隆一個相似設(shè)備,接入系統(tǒng)進行攻擊。
2、安全網(wǎng)關(guān):由于物聯(lián)網(wǎng)終端可能采集處理大量敏感數(shù)據(jù),若安全網(wǎng)關(guān)對上述數(shù)據(jù)轉(zhuǎn)發(fā)未作加密,則易發(fā)生數(shù)據(jù)竊取等問題。
3、無線安全:物聯(lián)網(wǎng)中節(jié)點數(shù)量龐大且數(shù)據(jù)傳輸采用無線射頻信號進行傳輸,存在攻擊者可通過發(fā)射干擾信號造成通信中斷,或信號傳輸過程中劫持、竊聽、篡改數(shù)據(jù)等風險
4、數(shù)據(jù)傳輸:傳輸層面臨異構(gòu)網(wǎng)絡(luò)跨網(wǎng)認證等安全問題,此外,物聯(lián)網(wǎng)上傳輸?shù)臄?shù)據(jù)包未加密和簽名,易發(fā)生被竊聽、篡改、偽造以及發(fā)送者抵賴等問題
5、業(yè)務(wù)平臺:由于接入設(shè)備類型繁多、能力參差不齊,存在身份仿冒、非授權(quán)訪問等安全風險。
6、物聯(lián)網(wǎng)終端:攻擊者可以利用信息采集設(shè)備檢測和搜集所有與保密數(shù)據(jù)相關(guān)的泄漏信息,還存在攻擊者利用破壞性或是非破壞性技術(shù)擾亂芯片加密系統(tǒng),從而獲取密鑰的故障攻擊手段。此外,軟件形態(tài)更易造成敏感數(shù)據(jù)泄露。
物聯(lián)網(wǎng)中需要商用密碼主要對以下4點進行保護:
(1)身份認證:建立基產(chǎn)算法的PKI/CA基礎(chǔ)設(shè)施,為物聯(lián)網(wǎng)場景下的各個設(shè)備以及云端都頒發(fā)證書,通過對設(shè)備的識別和并且與證書進行綁定,對每個設(shè)備都能進行備案,這樣在進行身份認證階段,通過雙向的身份,設(shè)備無法被冒充,同時云端服務(wù)也攔截
(2)數(shù)據(jù)傳輸:通過SM2和SM4的組合使用,在未建立SSL安全通道的傳輸鏈路中對傳輸?shù)臄?shù)據(jù)包進行簽名和加密,同樣也保證了數(shù)據(jù)的安全可信。
(3)數(shù)據(jù)交換:可采取點到點加密機制和端到端加密機制確保傳輸層安全,也可采用SSL/TLS和IPSec等協(xié)議,提供通信加密和認證功能,保證通信雙方傳輸交換安全。
(4)終端安全:采用更加輕量級的純軟件實現(xiàn)的SM2門限密碼算法.將簽名和驗簽過程在終端和服務(wù)端分別運算再合并。
整體來看,密碼技術(shù)在云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)、人工智能等新興領(lǐng)域發(fā)揮基礎(chǔ)支撐作用,商密作為保護數(shù)據(jù)安全的重要手段,新興領(lǐng)域的出現(xiàn)也帶來了新的市場空間。
浙公網(wǎng)安備 33010602000006號
智能制造網(wǎng)APP
智能制造網(wǎng)小程序
微信公眾號
