前言:随着数字化和信息技术的发展,数据泄露变得日益严重,每年世界各地都会发生数千起重大数据泄露事件,而这些已知的事件也只是冰山一角,还有更多的则不为人知。现如今我国每年在互联网、物联网等领域产生海量数据,面临的数据安全威胁十分严峻。要解决数据共享与保密之间的矛盾,新的技术手段与相关立法变得十分迫切。
近期,世界各地都在遭受电力攻击的威胁:2019年6月美国纽约时报爆料称,美国早在2012年就已在俄罗斯电网中植入病毒程序,可随时发起网络攻击;2019年3月,委内瑞拉的基础设施遭遇网络攻击导致电路中断;美国的“宙斯炸弹”可以令伊朗防空、通信系统以及关键性的电网瘫痪,这相当于一个“拔除伊朗的战争计划”。
美国是互联网技术和资源最强大的国家,同时也是最早成立网络司令部、把网络攻击作为主要军事手段的国家之一。《纽约时报》称,2018年夏天美国已经开始放宽了相关的法律授权限制,允许在发生冲突时对对方国家的网络进行瘫痪性攻击。多名中国学者在接受《环球时报》采访时表示,显然,无论在技术上、法律上,还是战略上,美国的网络战略已经变成攻击性的网络战略,美国已经成为全球网络安全的最大威胁。德克萨斯大学教授切斯尼对美军网络攻击行动称:“这是21世纪的炮舰外交,我们过去常常把军舰停泊在对方国家岸边(才能征服它们),现在我们(不为人知就)可以进入对方电网等关键系统……令其付出巨大的代价。”美国网络司令部司令保罗·中曾根(日裔)此前也在议会上直言不讳地称,有必要在敌人的网络深处“突前防御”。
密码是保障网络与信息安全的核心技术和基础支撑,是国家的重要战略资源。而能源电力行业的密码工作则直接关系到经济安全和国防安全。密码算法和密码产品的自主可控是确保我国信息安全的重中之重。当前我国大多采用国外制定的加密算法,存在着大量的不可控因素,一旦被不法分子利用攻击,所产生的损失将不可估量。实现密码产品自主可控软硬件的国产化替换,是防止后门漏洞的最有效方法,在经济和战略层面有着重大意义。
为了规范密码应用和管理,鼓励和促进我国密码行业的发展,2019年10月26日,《中华人民共和国密码法》正式颁布,并自2020年1月1日起实施。《密码法》的通过和实施对全面提升密码工作法治化水平起到了关键性作用。
《密码法》下的密码指采用特定变换的方法对信息等进行加密保护、安全认证的技术、产品和服务。加密保护,是指使用数学变换,将原来可读的信息变成不能识别的符号序列。简言之,就是将明文变成密文;二是安全认证,是指使用数学变换,确认信息是否被篡改、是否来自可靠信息源以及确认行为是否真实。简言之,安全认证就是确认主体和信息的真实可靠性。该法明确了密码分类管理制度,密码包括核心密码、普通密码和商用密码。其中核心密码、普通密码用于保护国家秘密信息,商用密码用于保护不属于国家秘密的信息。
如今商用密码广泛应用于我们身边的金融和通信、公安、税务、社保、交通、卫生计生、能源、电子政务等重要领域。
与此前相比,《密码法》为能源行业的信息安全和密码工作带来的影响主要集中在以下方面:
·节约成本
《密码法》与现有的网络安全制度相结合,规定了统一的商用密码检测认证、应用安全性评估和国家安全审查制度,避免的重复的认证、评估,合理降低了能源企业的合规成本。
·简化流程
《密码法》延续了“放管服”的改革思路,没有对商用密码的各个环节逐条规定管制方式,彰显了近年来行政机关在商用密码领域全流程简政放权的改革成果。并且生产、销售商用密码产品的单位无需再经国家密码管理局批准,只需为生产、销售的商用密码产品依法办理《商用密码产品型号证书》。
·强化监管
事前审批的简政放权不代表企业合规要求的减少,密码法规定“密码管理部门和有关部门建立日常监管和随机抽查相结合的商用密码事中事后监管制度,建立统一的商用密码监督管理信息
平台,推进事中事后监管与社会信用体系相衔接,强化商用密码从业单位自律和社会监督”,采取了事中事后强监管的思路,企业应高度重视日常合规工作,随时应对应有关部门的执法监督。
·推动标准化
根据《密码法》的规定,国家将建立和完善商用密码标准体系,组织制定商用密码国家标准、行业标准,并推动参与商用密码国际标准化活动。商用密码从业单位开展商用密码活动的,应当符合商用密码强制性国家标准以及从业单位公开标准的技术要求。此外,国家支持社会团体、企业利用自主创新技术制定高于国家标准、行业标准相关技术要求的商用密码团体标准、企业标准。
《密码法》的发布表明了国家鼓励商用密码技术的研究开发、学术交流、成果转化和推广应用的态度,逐步健全了我国商用密码市场体系,鼓励和促进国内商用密码产业的发展。它的发布,对电网内部行业安全标准从法律层面上进行了规范和监管,提出了更高的要求,有利于完善数据系统的安全建设。如在SG186建设,营销数据加密储存上,使用数字证书、动态令牌等完成双因子认证,保障数据库安全中身份认证环节。浙江省网在营销系统和95586系统的最近研究探索中,使用了非对称算法RSA,以及国产算法SM2等。这些探索实际经验的总结,能为能源电力等事关国家经济命脉的行业的密码国产化、合法合规数据应用替代打下了坚实的基础。
参考资料:
1.《中华人民共和国密码法》
2.关于《密码法》,你想知道的都在这里,https://www.thepaper.cn/newsDetail_forward_5139851
3. 张海彬,黑龙江省电力信息系统等级保护技术安全设计,2010
4. 方舟等,电力营销信息系统数据安全防护,2019
【版权声明】本网为公益类网站,本网站刊载的所有内容,均已署名来源和作者,仅供访问者个人学习、研究或欣赏之用,如有侵权请权利人予以告知,本站将立即做删除处理(QQ:51999076)。
国家工信部备案/许可证编号
