2017年6月1日,《中华人民共和国网络安全法》(以下简称《网络安全法》)正式施行,至今已整整五年。
作为构建我国首部网络空间管辖基本法,《网络安全法》为维护国家网络主权,规范网络主体行为提供了法律依据。《网络安全法》服务于国家网络安全战略和网络强国建设,助力网络空间治理,持续护航“互联网+”和数字经济的发展。
以法为纲保护关键信息基础设施安全
“没有网络安全就没有国家安全”。随着互联网、信息化的深入推进,关键信息基础设施成为社会运转的神经系统,一旦关键信息基础设施遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益。
为加强关键信息基础设施的安全保护,《网络安全法》专门单列一节,对关键信息基础设施的运行安全进行明确规定,其中第三十一条指出,国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域的关键信息基础设施实行重点保护。
在国家相关部门的推动下,《网络安全法》中所提及的关系国计民生的重点领域陆续启动网络安全保障工程,其中推进国密SM算法在关键信息基础设施的应用是关键一环。
SM算法是我国自主设计、具有独特优势的一系列安全高效密码算法,其中SM2/3/9相继纳入国际标准并发布,标志着我国密码算法国际标准体系已初步成型。
同时,由于SM算法与国际通用的RSA算法技术有区隔,其使用可保证无国外可利用的后门,更符合《网络安全法》对网络应用系统的安全要求,更有利于实现国家对关键信息基础设施的自主可控。
循法而行天威诚信推进国密改造工作
《网络安全法》指出,国家鼓励关键信息基础设施以外的网络运营者自愿参与关键信息基础设施保护体系,并通过共享安全信息、交流保护经验获取最佳的保护方案,共同提升网络安全保护水平。
作为国家首批授牌的电子认证服务机构,天威诚信在推进国密算法改造和应用方面始终走在行业前列。2012年,天威诚信自主研发的支持SM算法的电子认证服务系统/密钥管理系统顺利通过国家密码管理局的安全性审查,并在此基础上研发了支持国密SM2算法的vTrusSSL证书。
基于不同行业客户的需求,天威诚信依据《信息安全技术信息系统密码应用基本要求》(GB/T39786-2021)等相关标准,深入结合客户信息化系统与业务办理流程,提供以SM算法应用为核心的涵盖软硬件等多方面的一体化国密改造解决方案。
在密码基础体系层面,通过对原有应用的数字证书服务系统升级改造,使其具备国产密码算法证书的签发、管理、吊销等全生命周期管理。
在业务应用层面,通过对原有部署接口升级改造,使之支持SM系列算法应用,实现在网银、资金、ERP等系统下的用户强身份认证及关键业务节点数据完整性、机密性和抗抵赖保护。
在密码介质层面,通过对原有Ukey等密码承载介质做国密化替换,实现国密SM算法在客户端和服务端之间的底层通讯传输。
在网络通信联络层面,通过应用国产密码算法SSL认证通道,保障网络数据传输安全性。
此外,考虑到企业业务连续性及成本,天威诚信国密改造方案在保障安全性能符合国家要求的同时,可根据客户系统和业务特性,采用RSA算法和SM2算法并行的方式实现国密算法应用,并通过最小改动实现国密算法升级的平滑切换过渡。
依托强有力的技术支撑团队和一体化国密改造方案,天威诚信已帮助数十家企业及机构完成国密改造应用,积累了在证券、政务、金融、银行、能源、大型企业等领域的丰富经验,保障客户系统满足《网络安全法》以及“密评”环节中有关身份鉴别、数据完整性保护、敏感信息机密性保护、接入设备身份认证等方面的要求。
随着《网络安全法》《关键信息基础设施安全保护条例》等法律法规的持续推进,国密SM算法将在更多的领域得到更深入的普及应用。天威诚信将积极对照相关法律法规,依托技术优势与服务创新能力,为更多的行业和企业客户提供更完善的国密改造服务。