行業(yè)報(bào)告 | 我國(guó)商用密碼服務(wù)進(jìn)展

       密碼應(yīng)用安全性評(píng)估加快落實(shí)

       商用密碼應(yīng)用安全性評(píng)估（以下簡(jiǎn)稱密評(píng)），是指在采用商用密碼技術(shù)、產(chǎn)品和服務(wù)集成建設(shè)的網(wǎng)絡(luò)和信息系統(tǒng)中，對(duì)其密碼應(yīng)用的合規(guī)性、正確性和有效性進(jìn)行評(píng)估。一方面，開展密評(píng)工作是落實(shí)《密碼法》《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》和《信息安全等級(jí)保護(hù)管理辦法》等有關(guān)法律法規(guī)和標(biāo)準(zhǔn)規(guī)范的必然要求，是網(wǎng)絡(luò)安全運(yùn)營(yíng)者的法定責(zé)任和義務(wù)；另一方面，開展密評(píng)工作是商用密碼應(yīng)用正確、合規(guī)、有效的重要保證，是檢驗(yàn)網(wǎng)絡(luò)和信息系統(tǒng)安全性的重要手段，也是應(yīng)對(duì)網(wǎng)絡(luò)安全嚴(yán)峻形勢(shì)的迫切需要。

       《密碼法》第二十七條規(guī)定，法律、行政法規(guī)和國(guó)家有關(guān)規(guī)定要求使用商用密碼進(jìn)行保護(hù)的關(guān)鍵信息基礎(chǔ)設(shè)施，其運(yùn)營(yíng)者應(yīng)當(dāng)使用商用密碼進(jìn)行保護(hù)，自行或者委托商用密碼檢測(cè)機(jī)構(gòu)開展商用密碼應(yīng)用安全性評(píng)估?！渡逃妹艽a應(yīng)用安全性評(píng)估管理辦法（試行）》第三條、第二十條規(guī)定，涉及國(guó)家安全和社會(huì)公共利益的重要領(lǐng)域網(wǎng)絡(luò)和信息系統(tǒng)的建設(shè)、使用、管理單位應(yīng)當(dāng)健全密碼保障體系，實(shí)施商用密碼應(yīng)用安全性評(píng)估。其中，重要領(lǐng)域網(wǎng)絡(luò)和信息系統(tǒng)包括基礎(chǔ)信息網(wǎng)絡(luò)、涉及國(guó)計(jì)民生和基礎(chǔ)信息資源的重要信息系統(tǒng)、重要工業(yè)控制系統(tǒng)、面向社會(huì)服務(wù)的政務(wù)信息系統(tǒng)、關(guān)鍵信息基礎(chǔ)設(shè)施、網(wǎng)絡(luò)安全等級(jí)保護(hù)第三級(jí)及以上信息系統(tǒng)等。

       為規(guī)范密評(píng)工作，2017年9月，國(guó)家密碼管理局制定印發(fā)了《商用密碼應(yīng)用安全性評(píng)估管理辦法（試行）》《商用密碼應(yīng)用安全性測(cè)評(píng)機(jī)構(gòu)管理辦法（試行）》《商用密碼應(yīng)用安全性測(cè)評(píng)機(jī)構(gòu)能力評(píng)審實(shí)施細(xì)則（試行）》等管理文件，對(duì)測(cè)評(píng)機(jī)構(gòu)、網(wǎng)絡(luò)與信息系統(tǒng)責(zé)任單位、管理部門提出要求，對(duì)評(píng)估程序、評(píng)估辦法、監(jiān)督管理等進(jìn)行明確，對(duì)測(cè)評(píng)機(jī)構(gòu)審查認(rèn)定工作提出要求，密評(píng)制度體系初步建立。2018年2月，國(guó)家密碼管理局發(fā)布并實(shí)施《GM/T0054-2018 信息系統(tǒng)密碼應(yīng)用基本要求》標(biāo)準(zhǔn)，對(duì)信息系統(tǒng)的規(guī)劃、建設(shè)、運(yùn)行三個(gè)階段的密碼應(yīng)用情況進(jìn)行安全性評(píng)估。2021年10月，國(guó)家市場(chǎng)監(jiān)管總局、國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)在原有行業(yè)標(biāo)準(zhǔn)《GM/T0054-2018 信息系統(tǒng)密碼應(yīng)用基本要求》的基礎(chǔ)上修訂完善，發(fā)布國(guó)家標(biāo)準(zhǔn)《GB/T39786-2021 信息安全技術(shù)信息系統(tǒng)密碼應(yīng)用基本要求》。該標(biāo)準(zhǔn)相對(duì)之前的行業(yè)標(biāo)準(zhǔn)，內(nèi)容更加規(guī)范、要求更加明確、邏輯更加清晰，同時(shí)對(duì)于密評(píng)實(shí)際執(zhí)行過(guò)程中遇到的問(wèn)題做了相應(yīng)的修訂，隨之成為密評(píng)工作依據(jù)的主要標(biāo)準(zhǔn)。

       密評(píng)的內(nèi)容主要涵蓋商用密碼應(yīng)用安全的合規(guī)性、正確性和有效性。其中，商用密碼應(yīng)用合規(guī)性評(píng)估主要是指判定網(wǎng)絡(luò)和信息系統(tǒng)使用的密碼算法、密碼協(xié)議、密鑰管理是否符合法律法規(guī)的規(guī)定和密碼相關(guān)國(guó)家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)的有關(guān)要求。網(wǎng)絡(luò)和信息系統(tǒng)使用的密碼產(chǎn)品和密碼服務(wù)是否經(jīng)過(guò)國(guó)家密碼管理部門核準(zhǔn)或由具備資格的機(jī)構(gòu)認(rèn)證合格。商用密碼應(yīng)用正確性評(píng)估主要是指判定密碼算法、密碼協(xié)議、密鑰管理、密碼產(chǎn)品和密碼服務(wù)是否使用正確，即系統(tǒng)中使用的密碼產(chǎn)品是否取得商用密碼產(chǎn)品認(rèn)證證書，或者系統(tǒng)中采用的標(biāo)準(zhǔn)密碼算法、協(xié)議和密鑰管理機(jī)制是否按照相應(yīng)的國(guó)家和行業(yè)密碼標(biāo)準(zhǔn)進(jìn)行正確的設(shè)計(jì)和實(shí)現(xiàn)；自定義密碼協(xié)議、密鑰管理機(jī)制的設(shè)計(jì)和實(shí)現(xiàn)是否正確，安全性是否滿足要求，密碼保障系統(tǒng)建設(shè)或改造過(guò)程中密碼產(chǎn)品和服務(wù)的部署和應(yīng)用是否正確。商用密碼應(yīng)用有效性評(píng)估主要是指判定網(wǎng)絡(luò)和信息系統(tǒng)中的密碼應(yīng)用是否在網(wǎng)絡(luò)和信息系統(tǒng)運(yùn)行過(guò)程中發(fā)揮了效用，是否滿足了信息系統(tǒng)的安全需求，是否有效解決了信息系統(tǒng)面臨的安全問(wèn)題。

       2017年4月，國(guó)家密碼管理局正式啟動(dòng)密評(píng)試點(diǎn)工作。依據(jù)《密碼法》及商用密碼應(yīng)用安全性評(píng)估有關(guān)管理規(guī)定，經(jīng)持續(xù)培育、實(shí)戰(zhàn)測(cè)評(píng)和綜合考察，2020年7月，國(guó)家密碼管理局正式公布了全國(guó)首批24家密評(píng)試點(diǎn)機(jī)構(gòu)目錄。2021年6月，國(guó)家密碼管理局公布了更新后的《商用密碼應(yīng)用安全性評(píng)估試點(diǎn)機(jī)構(gòu)目錄》，單位已增至48家。

       電子認(rèn)證是密碼的典型應(yīng)用，其在信息化及信息安全保障方面發(fā)揮著重要作用。隨著我國(guó)信息化程度的不斷加深，電子認(rèn)證服務(wù)發(fā)展愈發(fā)規(guī)范，電子數(shù)據(jù)法律效力愈發(fā)受到重視。2021年3月，交通運(yùn)輸部發(fā)布《關(guān)于加快推廣應(yīng)用道路運(yùn)輸電子證照提升數(shù)字化服務(wù)與監(jiān)管能力的通知》，明確指出要組織建設(shè)“電子印章”系統(tǒng)，支撐電子證照印章簽署功能，確保電子證照來(lái)源的真實(shí)性、完整性以及簽署行為的不可否認(rèn)性。4月，市場(chǎng)監(jiān)管總局等六部門發(fā)布《關(guān)于進(jìn)一步加大改革力度不斷提升企業(yè)開辦服務(wù)水平的通知》，提到需不斷擴(kuò)大電子營(yíng)業(yè)執(zhí)照和電子印章同步發(fā)放和應(yīng)用試點(diǎn)范圍，為企業(yè)提供全流程網(wǎng)上辦事支撐；鼓勵(lì)各地完善并推廣電子印章應(yīng)用，大力推動(dòng)企業(yè)開辦要素電子化。6月，最高人民法院在《人民法院在線訴訟規(guī)則》中明確電子合同是電子材料的一種表現(xiàn)形式，具備效力且可以直接在訴訟中使用；明確區(qū)塊鏈存證的效力范圍、區(qū)塊鏈存儲(chǔ)的數(shù)據(jù)上鏈后推定未經(jīng)篡改的效力以及區(qū)塊鏈存儲(chǔ)數(shù)據(jù)上鏈后、以及上鏈前的真實(shí)性審核規(guī)則，進(jìn)一步規(guī)范了區(qū)塊鏈技術(shù)的司法應(yīng)用，有效解決取證難、認(rèn)證難問(wèn)題，必將推動(dòng)電子簽名法律效力的社會(huì)認(rèn)可程度。7月，人力資源和社會(huì)保障部發(fā)布《電子勞動(dòng)合同訂立指引》，指導(dǎo)用人單位和勞動(dòng)者依法規(guī)范訂立電子勞動(dòng)合同，確保電子勞動(dòng)合同真實(shí)，完整、準(zhǔn)確、不被篡改，電子勞動(dòng)合同從“鼓勵(lì)采用”逐漸轉(zhuǎn)變?yōu)椤爸笇?dǎo)簽署”。11月，國(guó)務(wù)院發(fā)布《關(guān)于開展?fàn)I商環(huán)境創(chuàng)新試點(diǎn)工作的意見》，指出要推進(jìn)電子證照、電子簽章在銀行開戶、貸款、貨物報(bào)關(guān)、項(xiàng)目申報(bào)、招投標(biāo)等領(lǐng)域全面應(yīng)用和互通互認(rèn)。各行業(yè)主管部門將出臺(tái)更多相關(guān)政策以明確電子簽名的法律效力，進(jìn)一步拓展電子簽名的適用范圍，促進(jìn)電子簽名廣泛應(yīng)用。

       在《電子簽名法》的基礎(chǔ)上，《密碼法》的出臺(tái)進(jìn)一步明確了對(duì)從事電子政務(wù)的電子認(rèn)證服務(wù)機(jī)構(gòu)需進(jìn)行管理，意味著國(guó)家對(duì)電子認(rèn)證行業(yè)監(jiān)管在逐步深化。企業(yè)需要拿到國(guó)家密碼主管部門頒發(fā)的《電子認(rèn)證服務(wù)使用密碼許可證》、國(guó)家信息化主管部門頒發(fā)的《電子認(rèn)證服務(wù)許可證》和國(guó)家密碼主管部門頒發(fā)的《電子政務(wù)電子認(rèn)證服務(wù)許可證》才能在全領(lǐng)域開展業(yè)務(wù)。行業(yè)主管部門未來(lái)將進(jìn)一步落實(shí)《電子簽名法》《電子認(rèn)證服務(wù)管理辦法》和國(guó)務(wù)院審改辦“雙隨機(jī)、一公開”要求，深化電子認(rèn)證服務(wù)行業(yè)監(jiān)管。以CPS（電子認(rèn)證業(yè)務(wù)規(guī)則）符合性評(píng)估為核心，通過(guò)信息公開手段加強(qiáng)對(duì)電子認(rèn)證服務(wù)機(jī)構(gòu)的監(jiān)管。同時(shí)，大力推進(jìn)信用體系建設(shè)，將電子認(rèn)證檢查與《關(guān)于在電子認(rèn)證服務(wù)行業(yè)實(shí)施守信聯(lián)合激勵(lì)和失信聯(lián)合懲戒的合作備忘錄》信用評(píng)價(jià)工作相結(jié)合，推動(dòng)開展行業(yè)信用評(píng)價(jià)。

       同時(shí)，為進(jìn)一步優(yōu)化營(yíng)商環(huán)境、降低企業(yè)負(fù)擔(dān)，全國(guó)一體化在線政務(wù)服務(wù)平臺(tái)實(shí)現(xiàn)了“一網(wǎng)通辦”，原有的單個(gè)領(lǐng)域、不同證書的模式將被打破，有效實(shí)現(xiàn)了數(shù)字證書全國(guó)范圍互通互認(rèn)，電子政務(wù)領(lǐng)域證書市場(chǎng)需求大幅減少，促使電子認(rèn)證服務(wù)機(jī)構(gòu)進(jìn)行調(diào)整優(yōu)化、轉(zhuǎn)型升級(jí)，從單純發(fā)放證書向提供電子簽名服務(wù)轉(zhuǎn)型。2021年4月國(guó)務(wù)院頒布的《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》中明確提出安全保護(hù)措施應(yīng)當(dāng)與關(guān)鍵信息基礎(chǔ)設(shè)施同步規(guī)劃、同步建設(shè)、同步使用。在《數(shù)據(jù)安全法》正式實(shí)施以后，政府、企業(yè)用戶也愈發(fā)重視數(shù)據(jù)運(yùn)營(yíng)的安全性和合規(guī)性問(wèn)題，利用區(qū)塊鏈技術(shù)、電子簽名技術(shù)、產(chǎn)品和服務(wù)保障數(shù)據(jù)安全的需求愈發(fā)旺盛。在政策環(huán)境與市場(chǎng)需求的共同作用下，電子認(rèn)證服務(wù)將逐步深入并規(guī)范發(fā)展。

       第三方電子簽名平臺(tái)服務(wù)可以為用戶提供身份認(rèn)證、電子文件簽署、數(shù)據(jù)傳輸、電子文件存儲(chǔ)和管理等服務(wù)，應(yīng)用于用戶間的買賣合同、企業(yè)間的交易合同、以及勞動(dòng)合同等多方面。疫情催化下加速了遠(yuǎn)程辦公趨勢(shì)興起，為在無(wú)接觸的情況下確保業(yè)務(wù)正常運(yùn)行，線下應(yīng)用場(chǎng)景迅速被線上化，大量特殊市場(chǎng)環(huán)境下的第三方電子簽名服務(wù)需求被催生，推動(dòng)第三方電子簽名平臺(tái)相關(guān)產(chǎn)品和服務(wù)不斷豐富。

       為提升管理效率、優(yōu)化用戶服務(wù)體驗(yàn)，第三方電子簽名平臺(tái)提供從電子簽名到文檔歸檔管理、從存證保全到司法出證的全產(chǎn)業(yè)鏈服務(wù)。其中，第三方電子簽名平臺(tái)引入?yún)^(qū)塊鏈技術(shù)實(shí)時(shí)固化簽署過(guò)程中的電子數(shù)據(jù)，實(shí)現(xiàn)所有環(huán)節(jié)數(shù)據(jù)可溯源、防抵賴和防篡改，提供各類業(yè)務(wù)場(chǎng)景的數(shù)據(jù)存證能力。提供存證服務(wù)及后續(xù)法律服務(wù)，可確保糾紛發(fā)生時(shí)，能夠提供響應(yīng)的司法保障。同時(shí)，第三方電子簽名平臺(tái)與移動(dòng)APP、微信、支付寶等移動(dòng)終端集成，并提供標(biāo)準(zhǔn)化API接口，推動(dòng)電子簽名企業(yè)管理、運(yùn)營(yíng)等多環(huán)節(jié)的應(yīng)用。隨著電子簽名相關(guān)產(chǎn)品和服務(wù)不斷豐富，應(yīng)用場(chǎng)景持續(xù)拓寬，目前電子簽名應(yīng)用已延伸到金融、人力資源、房地產(chǎn)、政務(wù)、物流、醫(yī)療、醫(yī)療、教育等多個(gè)領(lǐng)域。

       （來(lái)源：賽迪密碼信息安全  以上內(nèi)容節(jié)選自《2021-2022年度中國(guó)商用密碼行業(yè)發(fā)展報(bào)告》）