如何应对商密随机抽查?沃通国密SSL证书快速轻量化助力合规建设
2024/08/01
2024年7月19日,《国家密码管理局商用密码随机抽查事项清单(2024年版)》正式发布,自发布之日起施行,同时废止2018年版随机抽查事项清单。2024版的商密随机抽查事项清单,不仅仅面向商密检测机构和电子认证服务机构,同时扩展抽查范围至所有“法律、行政法规和国家有关规定要求使用商用密码进行保护的网络与信息系统运营者”。相关网络与信息系统运营者,应如何应对即将到来的商用密码随机抽查。
什么是商用密码随机抽查?
为落实《国务院办公厅关于推广随机抽查规范事中事后监管的通知》(国办发〔2015〕58号)的精神,进一步加强商用密码监督管理,国家密码管理局自2016年起,在全国范围内开展商用密码随机抽查工作。随着商用密码技术的应用发展及法律法规的建设完善,国家密码管理局制定了新版商用密码随机抽查事项清单,通过监管和抽查确保商用密码技术的正确应用和网络安全的整体水平,进而保护国家和公民的信息安全。
《国家密码管理局商用密码随机抽查事项清单(2024年版)》主要针对商用密码检测机构(商用密码产品检测业务)、商用密码检测机构(商用密码应用安全性评估业务)、网络与信息系统运营者、电子认证服务使用密码许可单位、电子政务电子认证服务机构等五大类抽查对象。
1、商用密码产品检测随机抽查:主要抽查对象是商用密码检测机构(商用密码产品检测业务);
2、商用密码应用安全性评估随机抽查:主要抽查对象是商用密码检测机构(商用密码应用安全性评估业务);
3、商用密码应用随机抽查:主要抽查对象是法律、行政法规和国家有关规定要求使用商用密码进行保护的网络与信息系统运营者。
4、电子认证服务使用密码随机抽查:主要抽查对象是电子认证服务使用密码许可单位。
5、电子政务电子认证服务随机抽查:主要抽查对象是电子政务电子认证服务机构。
其中,第1、2和第4、5类主要针对商用密码检测机构和电子认证服务机构,而第3类商用密码应用随机抽查,是针对所有“法律、行政法规和国家有关规定要求使用商用密码进行保护的网络与信息系统运营者”。本文将重点针对第3类抽查对象,提供相关的解读和应对建议。
“商用密码应用”的抽查对象及抽查内容
(1)“商用密码应用”抽查对象
依据《密码法》、《商用密码管理条例》、《商用密码应用安全性评估管理办法》等法律法规的相关规定,“法律、行政法规和国家有关规定要求使用商用密码进行保护的网络与信息系统”涉及的抽查对象包括但不限于:
基础通信网络
涉及国计民生和基础信息资源的重要信息系统
重要工业控制系统
面向社会服务的政务信息系统
关键信息基础设施
网络安全等级保护制度要求使用商用密码保护的信息系统
也就是说,无论是政府机构或企事业单位的信息系统,只要隶属于上述范围,都有可能被随机抽查。未按照要求使用商用密码,或者未按照要求开展商用密码应用安全性评估的,将依法追究法律责任;其中,关键信息基础设施的运营者,可能面临十万元以上一百万元以下罚款,直接负责的主管人员处一万元以上十万元以下罚款。
(2)“商用密码应用”抽查内容
“商用密码应用”的抽查内容是检查“使用商用密码技术、产品和服务的合规性、正确性、有效性”,也就是密评的测评内容。
以三级为例,密评技术要求中的“网络和通信安全”占比20分,要求“对业务系统网络通信实体,采用密码技术进行身份鉴别,并对传输数据进行机密性和完整性保护”,不仅分值占比高,而且身份鉴别、通信数据机密性都是“应”项,必须按要求应用密码技术,不满足其中任何一项都将不予通过。
部署沃通国密SSL证书,轻量化合规建设、快速合规检查
商密应用随机抽查是采用现场、书面、网络检查相结合的方式抽查。沃通CA提供国密SSL证书等轻量化商密应用产品,在身份鉴别、通信数据完整性、通信数据机密性等方面,助力信息系统完善“网络与通信安全”层面的合规建设,整体部署方式轻量、高效、低成本,打开浏览器就能快速验证密码应用合规性、正确性、有效性。
以360浏览器为例,使用360浏览器打开部署沃通国密SSL证书的信息系统,点击浏览器安全锁标识,即可自动展示身份鉴别信息及密码应用情况。
浏览器显示绿色安全锁,表示该站点证书合法有效,部署正确;
点击安全锁显示“该连接使用国密SSL”,表示该站点采用国密HTTPS加密通信,保证通信数据的机密性、完整性;
点击【证书信息】可验证所属单位名称等身份鉴别信息,表示该站点所属主体身份可信,保证通信实体身份真实性。
无论是网站访问者或监管检查者,都能通过浏览器展示信息,一眼看出该网站是否使用了商用密码技术,以及使用的合规性、正确性、有效性。监管检查者通过网络检查方式,就能高效完成安全合规检查,大大提高商用密码应用检查的效率。
沃通国密SSL证书遵循国家标准技术规范并参考国际标准,支持SM2/SM3/SM4国产密码算法和国密安全协议,兼容360浏览器、密信浏览器、红莲花浏览器、 赢达信浏览器、零信浏览器等主要国密浏览器,结合国密客户端证书、国密网关、国密Ukey等商密应用产品,形成轻量、高效、低成本的应用方案,助力被检查单位完善商用密码应用合规建设。
沃通CA是业内首家推出国密SSL证书产品的CA机构,并联合全国17家CA机构大力推广国密SSL证书的普及应用,目前已经在全国十几个省市和地区的众多政企单位重要信息系统中广泛应用。如下图,浙江省某市地质灾害监测管理系统及浙江省某市矿业数字化智能管理平台,均采用国密算法建立HTTPS加密连接,满足合规建设要求。
此外,沃通CA还提供“SM2/RSA双证书应用方案”,在国密网关部署SM2/RSA双算法SSL证书,与国密浏览器自动采用国密算法HTTPS加密;与全球通用浏览器自动采用RSA算法HTTPS加密,自适应兼容所有浏览器及移动终端,兼顾国密合规及全球信任,满足商用密码应用要求的同时,提升信息系统兼容性和易用性。
沃通CA是依法设立的第三方电子认证服务机构,获得工信部颁发《电子认证服务许可证》、国密局颁发《电子认证使用密码许可证》、获批电子政务电子认证服务资质。沃通CA不仅提供轻量化的国密数字证书产品,同时也提供沃通SSL VPN安全网关、服务器密码机、签名验签服务器、电子签章系统、时间戳系统等综合商用密码产品,可在“设备和计算安全”、“应用和数据安全”等方面助力我国重要信息系统安全合规建设,高效完成商用密码随机抽查工作。欢迎咨询沃通CA,了解更多详细信息。