浅析新规定下商用密码监管的几个方面

浅析新规定下商用密码监管的几个方面浅析新规定下商用密码监管的几个方面 自 2017 年 10 月至 12 月 国家密码管理局接连颁布了几个新的商用密码管 理规定以及相应的指导性文件 对商用密码的监管政策规定做了较大调整 笔 者通过学习分析这些新的变化 并结合相关已有的且继续有效的政策 法规 标准 试图较全面地理解这对商用密码 产品和技术 的生产者和应用者意味 着什么 2017 年 10 月国家密码管理局发布了国密局字 2017 336 号文 关于做好 商用密码产品生产单位审批等 4 项行政许可取消后相关管理政策衔接工作的通 知 2017 年 12 月国家密码管理局颁布了第 32 号公告 国家密码管理局关于 废止和修改部分管理规定的决定 这期间 国家密码管理局还发布了相应的配 套规定 含修订版 措施 指南和模板等 下面就几个关心的方面予以阐述 一 一 监管项目的变更监管项目的变更 废止了 商用密码产品销售管理规定 商用密码产品使用管理规定 和 境外组织和个人在华使用密码产品管理办法 修改了 商用密码科研管理规 定 商用密码产品生产管理规定 以及相应的流程管理和要求文件 这意味 着 1 从事商用密码科研的机构或企业 不再需要通过申请 审批取得 商用 密码科研定点单位证书 实际上 国家密码管理局已经于 2015 年 6 月按照国务院的要求取消了该项审批 2 从事商用密码产品生产的企业 不再需要通过申请 审批取得 商用密 码产品生产定点单位证书 3 从事商用密码产品销售的企业 不再需要通过申请 审批取得 商用密 码产品销售许可证 4 在国内的外资企业 境外机构或个人使用境外生产的密码产品 应该指 没有通过中国检测并没有取得中国 商用密码产品型号证书 的 不再需要通过申请 审批取得 使用境外生产的密码产品准用证 但仍需要通过申请 审批取得 密码产品和含有密码技术的设备进 口许可证 注 国内的中资企业 政府机构和单位不允许使用境外生产的密 码产品 应该指没有通过中国检测并没有取得中国 商用密码产品 型号证书 5 在国内的境外机构或个人使用密码产品 主要指使用国内已获得 商用 密码产品型号证书 的 不再需要通过申请 审批取得 境外组织 或个人使用密码产品准用证 二 二 对于外资对于外资 境外商用密码生产企业和销售企业境外商用密码生产企业和销售企业 众所周知 商用密码管理条例 于 1999 年颁布后 国家密码管理机构曾 经限制外资企业获得商用密码产品生产资格和商用密码产品销售资格 所以至 今只有极少数的外资企业获得了相应的证书 按照新规定 对国内的中资企业 2 与国内的外资企业和境外的企业一视同仁 即新的规定中没有对这些企业区别 对待的内容 因此 1 外资和境外商用密码生产企业都可以通过规定的流程 审查 产品检测 等 申请 商用密码产品型号证书 规定中没有对企业资本构成 企业注册地 密码产品生产地 知识产权来源等限制条件 2 外资和境外企业可在中国销售自己企业或其他企业生产的密码产品 只 要该密码产品具有有效的 商用密码产品型号证书 这里需要说明 按照 商用密码管理条例 第十三条规定 进口密码产品 以及含有密码技术的设备或者出口商用密码产品 必须报经国家密码管理机构 批准 任何单位或者个人不得销售境外的密码产品 通常理解 这里所指进 口的 境外生产的密码产品 没有取得中国的 商用密码产品型号证书 那么 境外生产的密码产品如果取得了中国的 商用密码产品型号证书 是否就可以 不按进口密码产品监管 即国内的中资企业 政府机构和单位可以使用 并且 不需要取得 密码产品和含有密码技术的设备进口许可证 呢 假如无论是否 取得 商用密码产品型号证书 结果都一样 都同样对待 似乎不符合监管原 则 这需要国家密码管理局进一步澄清 或在修订的 商用密码管理条例 中明确规定 三 三 关于提供商用密码产品源代码的要求关于提供商用密码产品源代码的要求 如同以前的规定 申请 商用密码产品型号证书 过程中 生产企业需要 提供商用密码产品的源代码 商用密码产品生产管理规定 第七条 商用密码产品生产单位生产商 用密码产品 应当在研制出产品样品后向国家密码管理局申请产品品种和型号 申请产品品种和型号应当向所在地的省 自治区 直辖市密码管理机构或者国 家密码管理局提交下列材料 第九条规定 国家密码管理局受理申请 或者收到省 自治区 直辖市密码管理机构报送的材料后应当组织安全性审查 含产品样品测试 下同 商用密码产品品种和型号审批服务指南 申请材料示范样本下载地 址 国家密码管理局网站 在线服务 下载服务 商用密码 产品品种和型号申请材料 商用密码产品品种和型号申请材料模板 通用产品类 程序清单 以 表格形式描述提供的程序文件清单及其主要功能 并用光盘提供所有源程序的 电子版 也就是说 商用密码产品生产企业在申请 商用密码产品型号证书 时 需要向地方密码管理机构提供该商用密码产品的电子版的所有源代码 然后由 地方密码管理机构进而将该源代码报送给国家密码管理局 应该说 对于商用密码产品的检测 审查 需要厂商提供产品的源代码无 可厚非 国际上密码产品的 FIPS 检测认证也需要厂商提供源代码 笔者认为 密码产品的源代码是企业的核心机密 含有企业的重要知识产权 某种意义上 关乎企业的生死存亡 作为行政管理机关的地方密码管理机构和国家密码管理 局本身 其行政官员可能没有相应的技术能力分析这些源代码 机关本身也不 一定有资源储存和管理这些源代码 并且处置源代码还要承担源代码可能泄露 的风险 所以还是以依靠商用密码检测机构在检测商用密码产品的同时 来分 析 审查 检测该密码产品的源代码为好 生产企业可以将商用密码产品的源 3 代码直接提交给商用密码检测机构 双方签署保密协议 对双方的权力义务做 出约定 如商用密码检测机构如何保障源代码的安全 使用或处置源代码时的 必要流程 对接触源代码的检测机构工作人员有何要求 以及密码产品生产企 业是否需要以及何时更新该密码产品的源代码等 四 四 关于关于 密码产品密码产品 及相关描述的定义及相关描述的定义 商用密码管理条例 第二条 本条例所称商用密码 是指对不涉及国 家秘密内容的信息进行加密保护或者安全认证所使用的密码技术和密码产品 条例颁布后 应社会的要求 国家密码管理委员会办公室于 2000 年 3 月对 条例中 密码产品 的定义做了澄清 关于商用密码管理的有关问题 纳入本条例管理范围的 密码产品 及含有密码技术的设备 只限于以加密解密操作为核心功能的专用硬件 软件 其他如无线手机 Windows软件 浏览器软件等都不在这个范围之内 可以看出 所谓 密码产品 仅限于其核心功能为加密解密操作的产品 凡其核心功能不是加解密的 都不按 密码产品 对待和监管 因此 当今市 场上我们见到的苹果手机 微软的操作系统 英特尔的 CPU 等 尽管其中都采 用了密码技术 但都不需要按商用密码产品程序申报 审查 检测 也不需要 取得 商用密码产品型号证书 或 密码产品和含有密码技术的设备进口许可 证 以上可以看出 含有密码技术的设备 也是一个重要的术语 在 商用密 码管理条例 和 密码产品和含有密码技术的设备进口许可服务指南 中都涉 及到 按照 关于商用密码管理的有关问题 的澄清 含有密码技术的设备 的定义也是其核心功能为加密解密 因此 在 商用密码管理条例 监管的范 围内几乎等同于 密码产品 现行监管制度下还有一个提法 即 含有密码技术的信息产品 2008 年 1 月 国家密码管理局 科学技术部 公安部 国家安全部 财政部 信息产 业部 商务部 国家保密局 国务院信息化工作办公室联合发文 国密局联 2008 1 号 颁布 含有密码技术的信息产品政府采购规定 第二条 本规定所称含有密码技术的信息产品 是指采用密码技术实现信息 加解密 认证鉴别 授权管理 访问控制等安全功能的软件 硬件 第五条 国家对含有密码技术的信息产品采购实行目录管理 采购人采购含 有密码技术的信息产品时 应当采购目录中的产品 第六条 国家密码管理局会同科技部 公安部 国家安全部 财政部 信息 产业部 商务部 国家保密局 国务院信息化工作办公室 确定含有密码技术 的信息产品的具体范围 财政部会同国家密码管理局在确定范围内制定含有密 码技术的信息产品政府采购目录 在适当范围内公布并适时调整 笔者没有找到所提的 含有密码技术的信息产品政府采购目录 应该不是 密码产品和含有密码技术的设备进口管理目录 可能也不是国家密码管理局 公布在网站上的取得 商用密码产品型号证书 的密码产品目录 不能判断在 监管层面上 含有密码技术的信息产品 的准确定义 这也许需要国家密码管 理局的澄清 或者在修订的 商用密码管理条例 予以明确规定 笔者认为 如果 含有密码技术的信息产品 等同于 密码产品 和 含有密码技术的设 备 那么在未来的新法规和监管体系中只用 密码产品 一个术语即可 如果 指的是 密码产品 以外的 采用了 密码模块 的信息产品 那就是另外一 4 种监管模式了 五 五 关于对密码模块的监管要求关于对密码模块的监管要求 在我国政府的管理体系中 对采用密码模块的信息技术产品的监管与对 密码产品 的监管是不同的 所谓密码模块 一般指在信息技术硬件或软件 产品中有采用密码技术的部分 但该硬件或软件产品的核心功能不是加密解密 操作 按目前的监管体系 信息安全产品 中如果采用了密码模块 则该密码 模块必须经过密码检测机构的检测合格后 才有可能取得该信息安全产品的认 证或销售许可 计算机信息系统安全专用产品检测和销售许可证管理办法 送交安全 专用产品检测时 应当向检测机构提交以下材料 六 采用密码技术的 安全专用产品必须提交国家密码管理部门的审批文件 计算机信息系统安全专用产品销售许可证办理须知 采用密码技术的 产品 申请者须提交国家密码管理部门的审批文件 为此 国家密码管理局商用密码检测中心还于 2009 年 6 月以 关于发布安 全路由器等六种产品密码检测准则和密码检测指南的通告 发布了安全路由器 安全操作系统 安全数据库 防火墙 安全隔离与信息交换产品 智能卡 COS 这六种信息安全产品中密码模块的检测准则和检测指南规范 这些规范进一步 明确了该项检测需要信息安全产品的厂商提供密码模块的源代码 这里需要特别说明 按照信息安全等级保护及与之相关的信息安全产品的 法规和标准 信息安全产品通过检测 审批后 取得的是 计算机信息系统安 全专用产品销售许可证 而不是 信息安全产品销售许可证 网络安全法 颁布生效后 按照 网络安全法 及其配套细则的规定 信息安全产品 的提 法有可能逐步被 网络安全专用产品 所取代 网络安全专用产品 中的密 码模块如何通过密码检测机构检测合格后才能满足 网络安全专用产品 的 安全认证合格或者安全检测符合要求 目前尚不清楚 有关信息安全产品监 管的分析 可以见 但是 商用密码产品生产管理规定 在这方面的规定不够清晰 第十一条 商用密码产品必须经国家指定的机构检测 认证合格 并加施强 制性认证标志后方可出厂 暂未列入强制性认证目录的商用密码产品 必须经 国家密码管理局指定的产品质量检测机构检测合格 这里的 强制性认证目录 应该不是 密码产品和含有密码技术的设备进 口管理目录 而国家密码管理局网站上的密码产品目录列出的是取得 商用密 码产品型号证书 的具体产品名单 不是产品分类目录 按监管规定 只要属 于商用密码产品 就需要经过申请 审批 当然包括对产品的检测 而取得 商用密码产品型号证书 后方可销售和使用 这本身就是强制性的 那么 暂未列入强制性认证目录的商用密码产品 必须经国家密码管理局指定的产 品质量检测机构检测合格 指的是什么呢 是指采用密码模块的信息安全产品 吗 确实需要通过密码检测机构检测合格 并且不需取得 商用密码产品型号 证书 希望国家密码管理局以后予以澄清 六 六 关于国家密码管理局认可的算法关于国家密码管理局认可的算法 商用密码产品生产管理规定 第七条 商用密码产品所采用的密码 5 算法应当是国家密码管理局认可的算法 众所周知 考虑到国家安全 网络安全和技术优势等因素 我国政府从几 年前开始大力推广中国标准的密码算法 或称为国产算法 SM2 SM3 SM4 等 的应用 首先在金融领域 如 中国金融集成电路 IC 卡规范 第 17 部 分 借记 贷记应用安全增强规范 PBOC 3 0 规定金融智能卡必须支持 SM2 SM3 和 SM4 密码算法 发布了 国家发展改革委办公厅关于组织实施 2012 年金融领域安全 IC 卡和密码应用专项有关事项的通知 发改办高技 2012 3096 号 中国人民银行关于推动移动金融技术创新健康发展的指导意见 银发 2015 11 号 国务院办公厅转发密码局等部门关于金融领域密码应用 指导意见的通知 国办发 2014 6 号 等文件 之后 中办 国办印发的 关于加强重要领域密码应用的指导意见 的通知 厅字 2015 4 号 推动了国 产密码在更广泛的重要领域 行业中的应用 例如 但是 至今笔者没有见到官方的书面材料限定 国家密码管理局认可的算 法 只是 国产密码算法 我国不像有的国家那样给出了政府认可的密码算法 列表 希望以后会有 那该如何认识 理解这个问题呢 笔者认为 国家密码 管理局网站上有全部的已经取得 商用密码产品型号证书 的商用密码产品的 目录 且分为 商用密码产品目录 和 支持 SM2 3 4 密码算法的商用密码产 品目录 两部分 支持 SM2 3 4 密码算法的密码产品还包含在总目录中 这样 我们就有可能从目录的分析中得出结论 从两个目录的现状 商用密码产品 型号证书 在有效期的密码产品 看 支持 SM2 3 4 密码算法的密码产品的数 目差不多是所有密码产品数目的一半 即便查询 2017 年内取得 商用密码产品 型号证书 的密码产品 总目录中也有相当多的密码产品不在支持 SM2 3 4 密 码算法的密码产品目录里 即便考虑到可能的统计误差和时间误差 已颁发 商用密码产品型号证书 的密码产品中也应