寰球密码简报(第19期)丨苏州新闻广播-红色密语专题节目“密码与网络安全”
本期内容来源于6月10日《FM91.1苏州新闻广播--政风行风热线--红色密语专题节目》,略有删节。该节目由苏州市国家密码管理局和西交苏州信息安全法学所的特邀嘉宾一起,针对密码与国家安全、经济社会发展、日常生活之间的关系,以及《密码法》颁布以来对密码管理、密码产业、公民个人等产生的影响进行了专门访谈。
密码作为网络与信息安全的核心技术和基础支撑,是保护党和国家根本利益的战略性资源,是国之重器。一直以来,由于密码的专业性、技术性、政治属性都很强,它总是披着神秘的面纱,不为大众熟识。
一、国家为什么要颁布《密码法》?
《密码法》在实施过程中,公众总有疑问,密码是相对封闭、保密程度高的工作,为什么要立法呢?
立法工作是要面向国内国外公开的管理制度,它的意义在于为依法管理提供根本遵循。密码工作是党和国家的一项特殊重要事业,在党领导我国革命、建设、改革的各个历史时期,都发挥了不可替代的重要作用。革命战争时期密码工作是党和国家的咽喉命脉,社会主义建设时期密码工作是党和国家的中枢神经,改革开放时期密码工作是党和国家的生命线、指挥线、保障线。因此,制定和实施密码法,对于深入贯彻落实习近平总书记关于密码工作的重要指示批示精神,全面提升密码工作法治化和现代化水平,更好的发挥密码在维护国家安全、促进经济社会发展、保护人民群众利益方面的重要作用,都具有十分重要的意义,所以制定和实施《密码法》是推动密码事业高质量发展的重要举措。
从法治建设上来讲,《密码法》是构建国家安全法律制度体系的重要举措。《密码法》在法律制定过程中是属于高票通过的一部法律,这部法是我国密码领域的第一部综合性、基础性法律,它与《国家安全法》《网络安全法》《反恐怖主义法》《反间谍法》等等一起,共同构成了国家安全法律制度体系。长期以来,我国密码领域只有一部《商用密码管理条例》,它无论从立法层次还是法律效力,都不能完全适应新时代密码事业发展的需要。制定《密码法》,就是要把党对密码工作的最新要求,通过法定程序转化为国家意志,把密码工作的各个重要环节和关键要素,纳入法治轨道。
从国家战略上讲,这是维护国家网络空间主权安全的重要举措。当今世界,信息技术日新月异,区块链、人工智能、量子计算、移动通信、物联网等等新一轮科技革命和产业变革正在重构全球创新版图、重塑全球经济结构。网络安全作为国家安全的重要组成部分,深刻影响传统领域国家安全,深刻影响国家长治久安和经济社会发展,关系人民群众福祉。在保障网络安全的各种手段和技术中,密码是目前世界上公认的最有效、最可靠、最经济的关键核心技术。在网络世界,密码就像一个看不见的卫士,已经渗透到社会生产生活的各个方面。制定和实施密码法,就是要规范密码管理,引导全社会合规、正确、有效地使用密码,构建起以密码技术为核心、多种技术交叉融合的网络空间新安全体制。
习近平总书记曾经说没有网络安全就没有国家安全,就没有经济社会稳定运行,广大人民群众的利益也难以得到保障。在网络社会化、社会网络化的今天,网络安全事关国家长治久安,事关经济社会发展和人民群众福祉。网络空间加速演变为战略威慑与控制的新领域、意识形态领域斗争的新平台、维护经济社会稳定的新阵地、信息化局部战争的新战场。谁掌握了网络,谁就抓住了信息时代国家安全和发展的重要命脉。那么网络安全靠什么来保障?核心的技术之一其实就是密码。
二、密码怎样进行分类和管理?
我们国家对密码实行分类管理,在《密码法》第一章第六条至第八条就明确规定了:密码分为核心密码、普通密码和商用密码。核心密码、普通密码用于保护国家秘密信息,核心密码保护信息的最高密级为绝密级,普通密码保护信息的最高密级为机密级。核心密码、普通密码属于国家秘密,实行严格统一管理。商用密码用于保护不属于国家秘密的信息,也就是说,商用密码可以用于保护除国家秘密之外的所有信息,既可以保护企业商业秘密、公民个人隐私,也可以保护政务领域中不属于国家秘密的工作信息。公民、法人和其他组织可以依法使用商用密码保护网络与信息安全。
这部法律围绕“怎么用密码、谁来管密码、怎么管密码”,重点规范了5方面44条内容,一共包括总则,核心密码、普通密码,商用密码,法律责任,附则等五个章节。总则旗帜鲜明地确定了密码管理的基本原则,就是要“坚持中国共产党对密码工作的绝对领导”,这是密码工作最重要、最根本、最核心的原则,是在任何时候、任何情况下都必须毫不动摇坚持的根本原则,也是密码工作的优良传统和宝贵经验。另外,《密码法》明确了国家、省、市、县四级分级负责的密码工作管理体制,赋予了国家、省、市、县四级密码管理部门行政管理职责。《密码法》颁布以前,密码管理主要集中在国家和省局,市、县由国家局委托承担相应工作,现在密码法明确了国家、省、市、县四级管理体制,依法履行密码管理职责是各级党委的重要职责,是法律赋予的责任。
《密码法》对一般普通大众使用商用密码,并没有提出强制性要求。同时,为了保障关键信息基础设施安全稳定运行,维护国家安全和社会公共利益,《密码法》第二十七条规定了关键信息基础设施的商用密码使用要求。对涉及国家安全、国计民生、公共利益,列入网络关键设备和网络安全专用目录的产品,以及在关键信息基础设施采购、使用的部分,规定了适度的管制措施。
三、我们每天上网登录账号,银行取钱转账,都要输入一串密码,这是否为《密码法》里所说的密码?
《密码法》第二条就从密码功能的角度明确给出了密码的法律定义,就是使用特定变换的方法对信息等进行加密保护、安全认证的产品、技术和服务。而我们日常接触的计算机或手机开机“密码”、微信“密码”、QQ“密码”、电子邮箱登录“密码”、银行卡支付“密码”等等,这些实际上是口令(password)。口令是进入个人计算机、手机、电子邮箱或银行账户的“通行证”,是一种简单、初级的身份认证手段,它需要用密码技术来保护,但并不在《密码法》的直接管理范围内。
真正的密码,就隐藏在网络系统里面、藏在安全支付设备里面,默默地守护着国家秘密安全、守护着我们每个人的信息安全。它既熟悉又陌生,既遍布各处,又蒙着神秘的面纱。因此密码也经常成为影视的题材,上世纪50年代放映的《永不消逝的电波》,李侠的形象深深地印刻在人们的脑海中。近些年的《风声》《暗算》《悬崖之上》等影视作品,也为我们讲述了一个个关于密码、密码工作者的动人故事,很多人看了以后,都被他们的聪明才智和对党、对国家的忠诚深深打动。
四、什么叫“加密保护、安全认证”?还有什么叫“特定变换”?
重要的信息、重要的数据,在网上存储传输过程中会有很多的风险,这样如何实现它的保护,让它偷不走,看不懂,破不了,目前国内外公认的最成熟、最经济、最有效的办法,就是采用密码技术进行加密保护。
加密保护,其实很容易理解,就是将明文变成密文。通俗地讲,就是将原来大家都看得懂的信息,能够识读的文字、数字、能够观看的视频等,变成了没有知悉权限的人完全看不懂的编码、符号、文字或者其他形式,让别人看到的只是一堆乱码,就算偷走也只是一堆乱序的数据,偷了也使用不了。
举个例子,大部分听众都知道春来茶馆与阿庆嫂的故事,当时新四军和阿庆嫂就是依托茶杯、茶水和几碟小菜组成密码信息,传递着情报。比如将茶杯盖朝外靠在茶杯边上意思就是指“上午”,茶杯盖朝里合于桌面意思就是指“下午”,搭配茶水往往有几碟小菜,其中“豆”被用来指示时间,不管是“青豆”还是“茴香豆”,茶客抓几颗放在桌上配合茶盖,即可清晰的传递出情报所示的时间。据说茶客还会拿“瓜子”指代鬼子,将红菱指代“江抗”、“民抗”或其它抗日同志。将这些信息一结合,比如一位茶客茶杯往里,桌上四颗豆子,一把瓜子,两枚红菱,外人看来毫不起眼,却已然精确的传递出了“两个抗日小队下午四时阻击鬼子”的情报信息。这密码信息既简单易记,又不漏声色,既保护了同志,也有效助力了抗日斗争。这就是密码加密保护功能的生动体现。
安全认证,是指采用特定变换的方法,确认信息是否被篡改、是否来自可靠的信息源以及确认行为是否真实。简单地说,安全认证就是确认主体和信息的真实可靠性。像大家经常使用到的数字证书、网银U盾等就是安全认证的最常见的方式。再举个古代的例子。大家知道古代的兵符——虎符,它是中国古代帝王授予臣属兵权和调发军队的信物。它分左右两半,有子母口可以相合。右符留存中央,左符在将领之手,待左右验合,命令才能生效。这就是安全认证的雏形。
十四五规划中,建立数字政府是一项重点建设内容,那么数字政府的核心是什么?数字政府与传统政府有着本质的差别,会涉及到人的思维变化,技术支持的变化,管理体制的变化,这些都需要技术保障,这种技术的保障靠的就是密码。数字政府建设核心的理念就是在网络空间中建立各个政府部门分工明确、合作清楚、权责清晰的政府制度,这种政府制度要靠我们技术来实现,靠的就是密码来支撑。因为网络空间的身份认证全都靠密码。目前我们国家有50多家电子政务认证服务机构,这些认证服务机构就是为我们每一个机构、每一个人、包括我们盖出的每一个印章、发出的每一个文件来做标识的,标识完了之后密码的基本作用就体现在这些文件是谁来制订的,能不能进行修改,防不防别人来进行篡改,不是你改的别人来改了,能不能找到标记,这些作为法律文书或者政府文件,它就起了核心的作用提供了安全认证,这就体现了密码的作用。
密码两大功能的实现是需要进行特定变换的,它是密码算法应用的一种表达。举个例子,增值税税控系统采用了商用密码技术,增值税发票的右上方有一个密码区,密码区的内容就是采用特定变换方法,综合发票代码、开票日期、纳税人识别号、金额和税额等要素形成的密文,该密文在发票认证时被解密,恢复出参与加密的发票要素信息,并与发票上的明文比对,若完全一致则为真票,否则为假票,不能通过认证,从而遏制增值税犯罪,减少税款流失。
因此,密码简而言之对外提供的功能,一个就是加密保护,一个是安全认证。大家都想到这两个,然后再加上它的组合就是密码全部的功能。管理的对象就是技术、产品和服务。世界上各国的密码,包括我们的产品,我们的服务,它最基础的都是密码技术,也就是密码算法,密码协议,还有密钥管理机制,这个技术它需要一定的载体来提供。这个载体产品可能是硬件产品,也可能是软件产品。硬件产品比如说门禁卡、银行U盾、密码机、密码卡,还比如说电子认证系统,包括二代证、防伪税控系统,以及电力系统的各种计量设备,这里边大部分都已经使用了密码。
另外随着信息化发展,现在网络提供的服务,比如加密通讯的服务,我们说现在中国电信、中国移动都提供了咱们手机的加密通话服务,以及安全电子邮件服务,这些服务呢,在充分利用信息化带来便捷的同时,又有效的保护了个人信息和安全隐私。因此密码法中把服务也作为一个对象,然后列入密码的管理范畴。
所以形象地说,密码就是网络空间的DNA,可以完整实现身份防假冒、信息防泄密、内容防篡改、行为抗抵赖等安全需求,依此构筑起网络信息系统免疫体系;它也是信使,在网络时代,主要依靠密码算法和安全协议,解决人、机、物的身份标识和认证、信任传递、行为审计等问题,构建网络信任体系;它更是“撒手锏”,直接关系国家政治安全、经济安全、国防安全和信息安全,是保护党和国家根本利益的战略性资源,是国之重器。
五、党的密码工作是从什么时候开始的?密码事业发展到现在都取得了哪些进步?
我们党的密码工作诞生于烽火硝烟的1930年1月,是毛泽东、周恩来等老一辈无产阶级革命家亲自领导创建的,已经走过了90余年的光辉历程。1930年1月15日,沪港两地的电台首次实现通报。这份电文,由黄尚英从香港发出,张沈川在上海接收,邓颖超亲自译电,成为中共历史上的第一份电报。周恩来总理亲自编制了中共和红军的第一本密码——“豪密”,这是以他的化名“伍豪”命名的。后来“豪密”逐渐用于全党全军的联络,红色电波送来了“龙潭三杰”助苏区成功反“围剿”的决胜密报,送出了“广西百色起义成功”的胜利消息……可以说“豪密”是一个传奇,它是我党建立密码工作最早也是保密性能最强的一种密码,从二十世纪三十年代到全国解放,国民党谍报机关从未破解。
随着网络强国战略、国家信息化发展战略、国家大数据战略等的实施,我国密码事业加速转型升级,如今,密码的作用已经不再是单一的信息加密了,还可以用于身份识别、安全隔离、完整性保护等。密码的应用领域也极大拓展,不再是原来的仅仅服务于党政军领导机关和机密要害部门,而是已经广泛应用到经济发展和社会生产生活的方方面面,已经“飞入寻常百姓家”。现在,商用密码的应用可以说无处不在,应用范围覆盖了金融、通信、公安、税务、社保、交通、卫生、能源、政务等诸多领域,为维护国家安全、促进经济发展、保护人民群众利益作出了重要贡献。
在日趋激烈的国际竞争环境下,习总书记在多个场合都着重强调,核心技术是国之重器,最关键最核心的技术要立足自主创新、自立自强。密码技术与核技术、航天技术并称为国家三大杀手锏技术,作为国家自主可控的核心技术,近年来也取得了长足的发展。这里不得不提到商用密码标准化建设。商用密码标准化是实现商用密码技术自主创新、促进商用密码产业发展、构建商用密码应用体系的重要支撑。
《密码法》明确了商用密码标准体系包括商用密码国家标准、行业标准、团体标准和企业标准。商用密码国家标准、行业标准属于政府主导制定的标准,商用密码团体标准、企业标准属于市场主体自主制定的标准。其中,商用密码国家标准由国家标准化管理委员会组织制定,代号为GB。商用密码行业标准由国家密码管理局组织制定,报国家标准化管理委员会备案,代号为GM。商用密码团体标准由商用密码领域的学会、协会等社会团体制定,商用密码企业标准由商用密码企业制定或者企业联合制定。
经过20年的发展,我国的密码科技创新取得了高水平的成果,其中有142项国家或者省部级的科技奖励,其中10余项经过专家评定已达到国际先进水平,包括我国的SM系列算法,SM2、3、4、9以及祖冲之算法,经过多年努力已经列入到ISO/IEC国际标准之中。应该说在这个方面,中国为国际网络安全提供了体系化的解决方案。这一系列算法互相配合,形成了一个完整的体系。
六、密码怎样保障和赋能数字经济和数字化发展?
近年来,数字经济方兴未艾,势头强劲,已经成为区域经济一比高下、决胜千里的“压舱石”、“杀手锏”。以苏州为例,苏州在推动数字经济做大做强的同时,特别重视安全问题。在三年行动计划和专项方案中,加快构建以商用密码技术为核心的安全防护体系建设,密码与数字创新、数字安全、数字政府等多个领域将充分结合,为数字经济安全发展保驾护航。这也是我们当前和今后重点推进的一项工作。
当前,苏州正在全力推进密码应用与数字经济融合发展。苏州成为央行数字人民币首批试点城市后,举办了“双十二”购物节,数字人民币在全市上千个场景中使用,试点取得了较好的效果,这离不开密码的安全保障作用。那么数字货币的核心是什么?其实就是密码。如果要保障数字货币正常的产生、发行、流通、存储,真正使它达到人民币的传统功效,这里面就包括了制币过程的保密,包括网络传输中的安全,也包括了我们使用货币的人的权限的划分,这些都是靠什么来实现?其实都是靠密码来实现。密码对它进行认证,对它进行权力的界定,从产生到销毁,怎么保证人民币数量的均衡?这些都是网络空间里最核心的东西。
结合长三角一体化发展来看,未来数字经济发展的密码价值还需要在以下方面持续发力:
一是聚焦数字经济发展的安全需求,加强密码技术攻关,大力推动数字经济中密码技术创新。支持加密通信技术、加密存储技术、加密芯片设计等核心技术研发。
二是着力打造“密码+”创新生态。加强密码与区块链、大数据、车联网、人工智能、5G、工业互联网等前沿技术深度融合和应用创新。
三是加强密码安全支撑能力建设,以贯彻落实密码法为契机,充分发挥密码在数字化发展中的安全保障作用,为政务信息化系统、重要信息系统和关键信息基础设施提供安全可靠的密码服务保障。
七、商用密码如何对我们个人信息进行保护?
目前,电子政务、网络运营商、金融以及众多互联网企业均收集、保存着海量的用户个人信息,个人信息的产生和存储均在信息系统中发生。信息系统一旦缺失安全保护能力,往往会出现个人信息和重要数据泄露,由此带来损失难以计算。《网络安全法》明确要求“网络运营者不得泄露、篡改、毁损其收集的个人信息,应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失”。这里说到的措施,其中很重要的一个方面,就是采用商用密码技术进行保护。
当前,保护个人信息安全和数据安全的法律法规正在逐步完善,无论是《网络安全法》《密码法》,还是《数据安全法》《个人信息保护法》,目的都是增强信息系统的安全防护性能。而经过密码应用保护的信息系统,可以实现信息的保密性、真实性、完整性、不可否认性。相对于其他类型的安全手段,如人力保护、设备加固、物理隔离、防火墙、监控技术等,密码技术最关键、最核心、最基础。
商用密码在管理、产业、应用、创新等方面虽然取得了一些成绩,但与其所承载的历史使命相比,还面临比较大的挑战,比如一些重要信息系统、关键信息基础设施密码防护薄弱,系统“裸奔”,数据“裸跑”,密码应用局部化、碎片化、外挂化的现象还比较普遍。另外,企业网络安全形势严峻,普遍对数字资产的安全保护重视不够,在认识上存在误区,更容易成为被攻击窃密的对象。
八、《密码法》对商用密码使用管理是如何规定的?
《密码法》对商用密码的科研、生产、销售、服务和进出口作了明确的规定,对商用密码标准体系、检测认证、密码监管、法律责任等也都明确了要求。比如说,涉及国家安全、国计民生、社会公共利益的商用密码产品,应当依法列入网络关键设备和网络安全专用产品目录,由具备资格的机构检测认证合格后,方可销售或者提供。商用密码检测、认证机构应当依法取得相关资质。
商用密码应用是把“双刃剑”,用得好会造福社会,如果被坏人利用,则危害无穷。一方面,商用密码必须依法依规使用。密码法规定,关键信息基础设施等应使用商用密码进行保护,开展商用密码应用安全性评估。另一方面,密码不能随意滥用。密码法要求,任何组织和个人不得利用密码从事危害国家安全、社会公众利益、他人合法权益等违法犯罪活动。任何组织或个人不得窃取他人加密保护的信息,或者非法侵入他人的密码保障系统。
九、哪些情况属于违法使用密码?对于这些违法行为,《密码法》是怎么规定和处罚的?
窃取他人加密保护的信息、非法侵入他人的密码保障系统,或者利用密码从事危害国家安全、社会公共利益、他人合法权益等活动的均属于违法行为。例如,制作、传播、使用勒索病毒等就是典型的违法使用密码的行为,这种病毒利用各种加密算法对文件进行加密,病毒感染者一般无法解密,犯罪分子以此实施勒索,给社会公共利益等带来极大危害。
这里主要有两类情况。一是窃取他人保密信息或侵入他人密码系统。密码应用已经成为了网络安全的基本配置,因此非法侵入行为会直接对加密信息或者密码保障系统造成攻击或损害。即使自己没有非法侵入,但为他人提供非法加解密的程序或工具,也可能构成犯罪。二是网络运营者应当采取加密措施而未采取的,或对外宣称但未实际采取加密措施。则在发生网络安全事件时,除追究“黑客”的责任外,网络运营者也要承担相应的法律责任。此外《密码法》还规定了违反保守国家秘密、违反安全审查、违反密码检测认证、密评、进出口等规定的法律责任。
十、公众怎样做到知密码、懂密码、用密码?
对于公众而言,一方面要增强密码安全意识,通过合法使用密码保护合法权益,也拒绝密码非法使用和侵犯他人合法权益,另一方面要了解一些密码使用的安全技能。显然,我们普通民众的密码意识和应用能力是国民素质的重要组成部分,也决定了密码行业整体的水平“基线”。
2021年的3月,教育部正式将密码科学与技术列入了普通高校的新增本科专业目录,目前包括南开大学、山东大学、北京理工大学、北京电子科技学院、西安电子科技大学、华中科技大学、海南大学等7所高校已经开始首批招收密码科学与技术专业本科生,目前报名情况非常踊跃。同时人力资源和社会保障部会同了市场监管总局,国家统计局发布了新职业的信息,中国职业大典里边把密码技术应用员确定为一个新职业,同时教育部也是在职业教育专业目录里,2021年增加了密码技术应用专业。可见,目前国家对密码人才的培育非常重视。
获取密码培训和教育信息是多方面的,其中最典型活动就是“4.15全民国家安全教育日” 和“国家网络安全宣传周”。2015年7月,全国人大常委会规定,每年4月15日为全民国家安全教育日。维护国家安全与每个人的切身利益密切相关。
习近平总书记指出,当前中国处于近代以来最好的发展时期,世界处于百年未有之大变局,密码法的出台标志我国密码发展进入了一个崭新的阶段。我们也在大力推动建立密码强国战略,当下是一个非常好的时机,不管是国家还是产业、用户单位对于安全都非常重视,对密码的需求都非常旺盛,打开了非常好的一个舞台。我们也呼吁全社会都携手共进,戮力同心,一起把密码用好,提高大家的安全保障能力。
结语:密码是科学活动和技术发展的结晶,是保障网络空间安全秩序的国之利器,是维护国家安全的重要战略资源。密码工作直接关系到国家政治安全、军事安全、网络安全,所以让我们大家携起手来,一起增强密码安全意识和应用能力,共同构筑维护国家安全的密码防线,为维护国家总体安全作出我们的贡献。
本期节目嘉宾:
苏州市国家密码管理局密管处处长 沈涂
苏州市国家密码管理局密管处副处长 李闯
西交苏州信息安全法学所 原浩
附:2021年6月10日FM91.1苏州新闻广播红色密语专题节目
“密码与网络安全”收听链接:
关于“寰球密码法律政策发展动态简报”
为深入研讨我国密码法相关制度与现实挑战,凝聚国内外密码与网络安全精英,合力推动我国密码产业发展,苏州信息安全法学所密码法研究中心特别编辑“寰球密码法律政策发展动态”简报,供政府、产业及学术同仁参考。以期联合政产学研力量,为我国密码工作在法治轨道上稳步前行提供智力支撑。编委会、编辑部采取开放组织形式,欢迎各界同仁予以各种方式积极参与和支持,踊跃投稿!
主 编:马民虎
副 主 编:黄道丽 朱莉欣
责任编辑:原浩 赵丽莉 马宁 方婷 何治乐 冯潇洒 谢永红 赵婧琳 郝静雯
联系电话:0512—69562805,13771998064
投稿邮箱:xieyonghong2015@xjtu.edu.cn
编委会及首届成员简介
2021年5月25日,寰球密码法律政策发展动态编委会在苏州正式成立。编委会为创新学术团体,设立主任一名,委员若干名,每届任期两年。目前,编委会正式聘任委员共24名,分别来自科研机构、高等院校和大型互联网企业等。编委会的职责定位于联合政产学研力量,发挥学术优势,提升我国密码产业发展,为国家密码管理部门提供战略性立法建议和决策咨询,为密码产业、行业安全发展提供合规指引。当下,编委会的常态化工作之一是编撰“寰球密码法律政策发展动态”简报(周刊),供政府、产业及学术同仁参考。
编委会主任:马民虎
编委会委员:白小勇 陈欣新 陈恺 傅彤 顾伟 关非 黄道丽 李振 林鹏 任国强 王思锋 王克 邢少敏 肖志宏 袁慧萍 原浩 杨庆华 翟起滨 张薇 赵宏瑞 朱莉欣 赵丽莉 张丛
注:委员名单按姓氏笔画排序,排名不分先后。
往期简报回顾
“苏州信息安全法学所”