普通密码保护信息的最高级密码(密码法全文阅读答案)
普通密码保护信息的最高级密码(密码法全文阅读答案)
用于保护国家秘密信息的密码是核心密码和普通密码。《密码法》第七条规定,核心密码、普通密码用于保护国家秘密信息,核心密码保护信息的最高密级为绝密级,普通密码保护信息的最高密级为机密级。
国家秘密是指关系国家的安全和利益,依照法定程序确定,在一定时间内只限一定范围的人员知悉的事项。保守国家秘密是中国公民的基本义务之一。国家秘密的密级分为“绝密”、“机密”、“秘密”。
《密码法》第七条规定,核心密码、普通密码用于保护国家秘密信息,有力保障了中央政令军令安全,为维护国家网络空间主权、安全和发展利益构筑起密码屏障。《密码法》根据保护对象的不同,对核心密码、普通密码进行划分。核心密码保护信息的最高密级为绝密级,普通密码保护信息的最高密级为机密级。
国家密码管理部门对采用商用密码技术从事电子政务电子认证服务的机构进行认定,会同有关部门负责政务活动中使用电子签名、数据电文的管理。
《中华人民共和国密码法》第二十九条 国家密码管理部门对采用商用密码技术从事电子政务电子认证服务的机构进行认定,会同有关部门负责政务活动中使用电子签名、数据电文的管理。
第三十条 商用密码领域的行业协会等组织依照法律、行政法规及其章程的规定,为商用密码从业单位提供信息、技术、培训等服务,引导和督促商用密码从业单位依法开展商用密码活动,加强行业自律,推动行业诚信建设,促进行业健康发展。
第三十一条 密码管理部门和有关部门建立日常监管和随机抽查相结合的商用密码事中事后监管制度,建立统一的商用密码监督管理信息平台,推进事中事后监管与社会信用体系相衔接,强化商用密码从业单位自律和社会监督。
密码管理部门和有关部门及其工作人员不得要求商用密码从业单位和商用密码检测、认证机构向其披露源代码等密码相关专有信息,并对其在履行职责中知悉的商业秘密和个人隐私严格保密,不得泄露或者非法向他人提供。
《密码法》解读:密码的主要功能、管理对象以及密码分类
问:密码有哪些主要功能?
答:密码的主要功能有两个,一个是加密保护,另一个是安全认证。
加密保护是指采用特定变换的方法,将原来可读的信息变成不能直接识别的符号序列。简单地说,加密保护就是将明文变成密文。例如,古希腊军队使用一种叫做“斯巴达棒”的圆木棍来进行加密通信,使用方法是:把一根长带状羊皮纸缠绕在圆木棍上,然后在上面写字;解下羊皮纸后,上面只有乱序的字符,只有再次以同样的方式缠绕到同样粗细的木棍上,才能看出所写的内容。
安全认证是指采用特定变换的方法,确认信息是否完整、是否被篡改、是否可靠以及行为是否真实。简单地说,安全认证就是确认主体和信息的真实可靠性。例如,增值税防伪税控系统采用商用密码技术保护涉税信息,增值税发票信息经密码算法进行加解密处理,确定该发票的明文信息是否真实,从而遏制增值税犯罪,减少税款流失。
问:《密码法》的管理对象有哪些?
答:作为本法的管理对象,密码包括密码技术、密码产品和密码服务。
密码技术,是指采用特定变换的方法对信息等进行加密保护、安全认证的技术,包括密码编码、实现、协议、安全防护、分析破译,以及密钥产生、分发、传送、使用、销毁等技术。分组密码算法(如SM4算法)、公钥密码算法(如SM2算法)等是典型的密码算法,密钥交换协议、密钥分发协议等是典型的密码协议。
密码产品,是指采用密码技术并以加密保护、安全认证的产品,即承载密码技术、实现密码功能的实体。典型的密码产品包括:密码机,如链路密码机、网络密码机、服务器密码机、传真密码机、电话密码机等;密码芯片和模块,如第二代居民身份证、智能电卡、社会保障卡、金融芯片卡中使用的密码芯片、可信计算密码模块等。
密码服务,是指基于密码专业技术、技能和设施,为他人提供集成、运营、监理等密码支持和保障的活动,即基于密码技术和产品,实现密码功能,提供密码保障的行为。典型的密码服务包括:密码保障系统集成(如数字证书认证系统集成),是指为他人集成建设实现密码功能的系统,保护他人网络与信息系统的安全;密码保障系统运营(如增值税发票防伪税控系统运营),是指为保证他人实现密码功能系统的正常运行提供安全管理和维护。
问:密码是如何分类的?
答:《密码法》将密码分为核心密码、普通密码和商用密码,实行分类管理。核心密码用于保护国家绝密级、机密级、秘密级信息,普通密码用于保护国家机密级、秘密级信息
商用密码检测认证是商用密码治理体系的重要基础。在商用密码市场准入、事中事后监管、应用推进等方面发挥着关键支撑作用:面向商用密码从业单位能够引导提质升级,增加市场有效供给;面向管理部门能够支持行政监管,提高市场监管效能;面向社会各方能够推动诚信建设,营造良好市场环境;面向国际市场能够促进规则对接,提升市场开放程度。
《密码法》第二十五条第一款明确提出推进商用密码检测认证体系建设,这是深化商用密码行政审批制度改革的重要内容,是依法管理商用密码、规范和促进商用密码应用、加强密码监管、增强商用密码安全保障能力的重要支撑。
《密码法》第二十五条还明确了在商用密码检测认证中,自愿检测认证是主要方式。
按照《商用密码管理条例》的规定,国家密码管理局审批了商用密码产品检测机构,开展商用密码产品检测工作。截止2019年12月,通过审批的商用密码产品检测机构共有3家,开展完成了近2000款产品的密码检测、数百个信息系统的安全性评估。
目前,商用密码领域已有1家专门认证机构。与此同时,有关部门通过建立跨领域、跨行业的网络关键设备和网络安全专用产品、信息安全产品和密码应用系统密码检测认证机制,加强与金融、电力、通信、社保、交通等重点领域、行业的检测与认证技术交流,联合金融领域检测认证机构开展金融领域密码测评和认证,共同推动商用密码检测认证能力提升。
按照“放管服”改革要求,《密码法》将商用密码检测、认证机构资质纳入《认证认可条例》规定的认证认可制度体系中,由市场监管总局(国家认证认可监督管理委员会)会同国家密码管理局进行管理。
商用密码检测、认证机构应当分别取得商用密码检测、认证机构资质。商用密码检测、认证机构依照《认证认可条例》等法律法规的规定和商用密码检测认证技术规范、规则开展检测认证活动。将商用密码检测认证制度纳入国家统一的检测认证制度体系,有利于增强商用密码检测认证制度的权威性、统一性。
从事商用密码检测、认证活动的过程中,由于工作需要,商用密码检测、认证机构能够深入到所检测认证的商用密码产品、服务及其相关产品生产单位、服务提供单位中去,有可能接触到有关商业秘密乃至国家秘密。
虽然商用密码检测、认证机构知悉国家秘密和商业秘密的途径是合法的,是在依法或依约定进行检测认证活动的过程中获取的,但是如果将这些秘密泄露给他人,就会损害国家安全和利益,或者损害商业秘密权利人的利益。
因此,参照《认证认可条例》的规定,《密码法》第二十五条规定:商用密码检测、认证机构应当对其在商用密码检测认证中所知悉的国家秘密和商业秘密承担保密义务。
2020年7月29日,国家密码管理局正式发布第40号公告,对社会公开商用密码应用安全性评估试点机构目录。目录收录了共计24家测评机构。
