觀點| 談談網絡安全等級保護與密碼法

一、「密碼」和「口令」

現實生活中提到的「密碼」一詞，比如人們日常使用的開機「密碼」、微信「密碼」、銀行卡支付「密碼」等，這些「密碼」實際上是口令。口令只是進入個人計算機、手機、電子郵箱或者個人銀行帳戶的「通行證」，它是一種簡單、初級的身份認證手段。這些口令與《密碼法》草案中的「密碼」不同，真正的「密碼」，藏在安全支付設備中、藏在網絡系統內，默默守護國家秘密信息安全、守護我們每個人的信息安全。

《密碼法》中的密碼指的是使用特定變換的方法對信息等進行加密保護、安全認證的產品、技術和服務。《密碼法》共五章四十四條，對密碼分為核心密碼、普通密碼和商用密碼進行分類管理。其中，核心密碼、普通密碼用於保護國家秘密信息，核心密碼保護信息的最高密級為絕密級，普通密碼保護信息的最高密級為機密級。核心密碼、普通密碼屬於國家秘密。密碼管理部門依照本法和有關法律、行政法規、國家有關規定對核心密碼、普通密碼實行嚴格統一管理。商用密碼用於保護不屬於國家秘密的信息。公民、法人和其他組織可以依法使用商用密碼保護網絡與信息安全。

二、商用密碼

我國自行研發的自主可控商用密碼算法主要包括：ZUC，SM2，SM3，SM4和SM9等，這些密碼算法涵蓋了對稱密碼中的序列密碼，分組密碼，非對稱密碼中的橢圓曲線密碼，以及密碼雜湊算法，把它們組合起來可以為各種需要密碼技術作為支撐的行業應用提供堅實可靠的基礎。

1、對稱密碼算法

序列密碼ZUC（祖衝之）算法和分組密碼（SM4）算法都屬於對稱密碼算法，也就是說，加密一方和解密一方使用完全相同的密鑰來分別進行加密和解密，從而提供保密性（機密性）保證。

ZUC算法目前主要用於通信領域。2011年9月，我國以ZUC算法為核心的加密算法128-EEA3和完整性保護算法128-EIA3，與美國AES、歐洲SNOW 3G共同成為了4G移動通信密碼算法國際標準。

SM4算法最初作為我國自主無線區域網安全標準WAPI的專用密碼算法發布，後成為分組密碼算法國家行業標準。由於SM4算法最初用於無線區域網晶片WAPI協議中，支持SM4算法的WAPI無線區域網晶片已超過350多個型號，全球累計出貨量超過70億顆。在金融領域，僅統計支持 SM4 算法的智能密碼鑰匙出貨量已超過 1.5 億個。

2、非對稱密碼算法

非對稱密碼算法又稱公鑰密碼算法，公鑰密碼算法包括公鑰加密和私鑰籤名（即數字籤名，可提供真實性、不可否認性保證）兩種主要用途，打破了對稱密碼算法加密和解密必須使用相同密鑰的限制。公鑰加密算法加密和解密使用不同的密鑰。其中加密的密鑰被公開，稱為公鑰；解密的密鑰被保密，稱為私鑰。公鑰、私鑰是密切關聯的，從私鑰可推導出公鑰，但從公鑰推導出私鑰是計算上不可行的。SM2算法（橢圓曲線公鑰密碼算法）和SM9算法（標識密碼算法）是我國頒布的商用密碼標準算法中的公鑰密碼算法，常見的國外公鑰密碼算法有RSA、ECDSA算法等。

基於SM2算法的數字籤名技術已在我國電子認證領域廣泛應用。SM2算法於2017年被國際標準化組織（ISO）採納，成為國際標準ISO/IEC 14888-3的一部分。SM9算法將用戶的標識（如郵件地址、手機號碼、QQ號碼等）作為公鑰，不需要數字證書、證書庫或密鑰庫，省略了交換數字證書和公鑰過程，使得安全系統變得易於部署和管理，非常適合端對端離線安全通訊、雲端數據加密、基於屬性加密、基於策略加密的各種場合。同SM2算法一起，SM9數字籤名算法也在2017年被ISO採納，成為國際標準ISO/IEC 14888-3的一部分。

3、密碼雜湊算法

密碼雜湊算法又稱雜湊函數、哈希(hash)算法、哈希函數，是把任意長的輸入串轉化成固定長的輸出串的一種函數。我國商用密碼標準中的密碼雜湊算法是SM3算法，並於2018年10月成為國際標準。SM3算法的輸出長度固定為256比特。輸入長度在理論上是無限制的。在實踐中根據填充規範的要求，輸入長度不能超過264比特。只使用SM3算法不能提供完整性保護，而是需要配合密鑰使用，即帶密鑰的雜湊算法（HMAC）：利用雜湊算法，將一個密鑰和一個消息作為輸入，生成一個消息摘要作為輸出。HMAC可用作數據完整性檢驗，檢驗數據是否被非授權地改變；也可用作消息鑑別，保證消息源的合法性等。

SM3 算法應用非常廣泛。如在智能電網領域，採用SM3算法的智能電錶接近10億用戶，均能安全穩定運行。在金融系統，目前大約有7億多銀行磁條卡更新為密碼晶片卡，動態令牌累計發行7726萬支，這些卡片及令牌均使用了SM3算法。

三、等級保護中的密碼

我們看到在等級保護中也有許多與密碼相關的要求，GB/T 22239-2019《信息安全技術網絡安全等級保護基本要求》中與密碼相關的要求如下：

1、真實性

應在通信前基於密碼技術對通信的雙方進行驗證或認證；

應採用口令、密碼技術、生物技術等兩種或兩種以上組合的鑑別技術對用戶進行身份鑑別，且其中一種鑑別技術至少應使用密碼技術來實現。

2、保密性

應採用密碼技術保證通信過程中數據的保密性。

應採用密碼技術保證重要數據在傳輸過程中的保密性，包括但不限於鑑別數據、重要業務數據和重要個人信息等；

應採用密碼技術保證重要數據在存儲過程中的保密性，包括但不限於鑑別數據、重要業務數據和重要個人信息等。

3、完整性

應採用校驗技術或密碼技術保證通信過程中數據的完整性；

應採用密碼技術保證重要數據在傳輸過程中的完整性，包括但不限於鑑別數據、重要業務數據、重要審計數據、重要配置數據、重要視頻數據和重要個人信息等；

應採用密碼技術保證重要數據在存儲過程中的完整性，包括但不限於鑑別數據、重要業務數據、重要審計數據、重要配置數據、重要視頻數據和重要個人信息等；

4、不可否認性

在可能涉及法律責任認定的應用中，應採用密碼技術提供數據原發證據和數據接收證據，實現數據原發行為的抗抵賴和數據接收行為的抗抵賴。

5、密碼管理要求

應確保密碼產品與服務的採購和使用符合國家密碼管理主管部門的要求。

應進行上線前的安全性測試，並出具安全測試報告，安全測試報告應包含密碼應用安全性測試相關內容。

密碼管理應遵循密碼相關國家標準和行業標準；

密碼管理應使用國家密碼管理主管部門認證核准的密碼技術和產品。

6、利用密碼技術可以有效解決的問題

可信驗證：可基於可信根對系統引導程序、系統程序、重要配置參數和邊界防護應用程式等進行可信驗證，並在應用程式的所有執行環節進行動態可信驗證，在檢測到其可信性受到破壞後進行報警，並將驗證結果形成審計記錄送至安全管理中心，並進行動態關聯感知；應採用可信驗證機制對接入到網絡中的設備進行可信驗證，保證接入網絡的設備真實可信；

遠程管理：當進行遠程管理時，應採取必要措施防止鑑別信息在網絡傳輸過程中被竊聽；

集中管理：應能夠建立一條安全的信息傳輸路徑，對網絡中的安全設備或者安全組件進行管理。

四、小結

當今密碼技術在保護信息安全方面的應用越來越廣泛，促使雲計算、大數據、人工智慧、區塊鏈、移動網際網路、物聯網等新技術產業蓬勃發展。相信隨著《中華人民共和國密碼法》的頒布與實施、等級保護制度的實施，我國數字經濟將繼續高質量發展。

內容來源：光明網 河北信息安全

新河縣網信辦違法違規網站平臺舉報、違法和不良信息舉報：

電話：0319-4982332

郵箱：xhwljb@126.com

原標題：《觀點 | 談談網絡安全等級保護與密碼法》