:国家为什么要对商用密码产品的科研、生产、销售和使用实行专门控制?
A :商用密码产品是保护不涉及国家机密的信息安全的工具,是国家独家控制的特殊产品。
特殊产品就要特殊管理。要由指定的单位按照统一的技术规范研制,确保商用密码产品的安全性、可靠性和互通性。商用密码产品的销售也要控制在一定的范围,不能像普通商品一样,在市场上随意销售。要防止不法分子利用商用密码从事违法犯罪、危害社会治安和损害他人权益的活动。对商用密码产品的科研、生产、销售和使用实行专控管理,可以防止商用密码的发展出现混乱局面。这对国家、对使用商用密码的单位和个人都是有利的,对研制和销售商用密码产品的单位的权益也是一种保障。对商用密码实行专控管理的同时,仍然要引入社会主义市场经济的竞争机制,以利商用密码的技术进步和商用密码事业的发展。问:哪些人可以使用商用密码?
答:《商用密码管理条例》中对使用商用密码的主体资格没有做出严格的限制。也就是说,一切经济、文化、科技、商贸、金融、行政等部门、企业事业单位、组织和公民个人,只要是因工作需要或出于合理、正当的理由,都可以使用商用密码。
问:《密码法》中“密码”的概念是什么?
答:《密码法》中的密码(cryptography),是指采用特定变换的方法对信息等进行加密保护、安全认证的技术、产品和服务。而人们日常接触的计算机或手机开机“密码”、微信“密码”、QQ“密码”、电子邮箱登录“密码”、银行卡支付“密码”等,实际上是口令(password)。口令是进入个人计算机、手机、电子邮箱或银行账户的“通行证”,是一种简单、初级的身份认证手段,“口令”不在《密码法》的管理范围之内。
问:密码有哪些主要功能?
答:密码的主要功能有两个,一个是加密保护,另一个是安全认证。
问:《密码法》的管理对象有哪些?
答:作为本法的管理对象,密码包括密码技术、密码产品和密码服务。
问:密码有哪些主要功能?
答:密码的主要功能有两个,一个是加密保护,另一个是安全认证。
问:为什么要把密码安全教育纳入国民教育体系和公务员教育培训体系?
答:将密码安全教育纳入国民教育体系,在各阶段的教育过程中,开展密码常识、密码安全意识的教育,有利于提高全民密码安全意识,提高全社会自觉使用密码保护网络与信息安全、维护国家密码安全的意识。
问:国家颁布《商用密码管理条例》前已自行研制使用或者引进使用境外的密码设备怎样处理?
答:因为不了解国家关于商用密码政策和规定,在《商用密码管理条例》颁布前,已自行研制、使用密码及其产品或已购买使用境外密码设备的单位,要如实向国家密码管理机构报告。国家密码管理机构将根据实际情况作出适当的安排,限期更换经国家认可的商用密码产品。未经批准进行商用密码研制、销售的单位也要如实向国家密码管理机构报告,办理申报审批手续。违反《商用密码管理条例》隐瞒不报,并继续从事商用密码产品经营、使用的,将按《商用密码管理条例》的有关规定进行查处。
问:《密码法》施行后,已发放的《商用密码产品型号证书》是否仍然有效?
答:《密码法》施行后,市场监管总局将会同国家密码管理局建立国家统一推行的商用密码认证制度,国家密码管理局将不再受理商用密码产品品种和型号申请,停止发放《商用密码产品型号证书》,已发放的《商用密码产品型号证书》自2020年7月1日起自动失效。本着便民利企原则,对于在有效期内的《商用密码产品型号证书》,持证单位可于2020年6月30日前自愿申请转换国推商用密码产品认证证书,换发的认证证书有效期与原《商用密码产品型号证书》有效期保持一致。同时,为方便证书转换,持证单位可向所在地省(区、市)密码管理部门提交转换认证申请。
问:当前商用密码行业标准分为哪几类?
答:当前,商用密码的行业标准分为基础类标准、应用类标准、检测类标准和管理类标准。基础类标准为其他三类标准提供了底层、共性支撑(如术语、算法、协议、产品等);检测类标准为基础类标准和应用类标准提供了合法性检测的功能,保障商用密码使用的合法性;管理类标准为其他三类标准提供了管理功能;应用类标准为上层具体的密码产品、服务应用提供支持。
问:为什么要鼓励企业、社会团体和教育、科研机构等参与商用密码国际标准化活动?
答:《密码法》第二十三条第二款规定:国家鼓励企业、社会团体和教育、科研机构等参与商用密码国际标准化活动。
企业、社会团体和教育、科研机构等全面深入地参与商用密码国际标准的制修订等国际标准化活动,是全球化的必然趋势和要求,有利于提升商用密码技术的全球影响力,同时也为降低包括密码脆弱性在内的全球网络安全整体风险贡献中国智慧和提供中国方案。
问:建设商用密码检测认证体系的意义是什么?
答:商用密码检测认证是商用密码治理体系的重要基础,在商用密码市场准入、事中事后监管、应用推进等方面发挥着关键支撑作用:面向商用密码从业单位能够引导提质升级,增加市场有效供给;面向管理部门能够支持行政监管,提高市场监管效能;面向社会各方能够推动诚信建设,营造良好市场环境;面向国际市场能够促进规则对接,提升市场开放程度。《密码法》第二十五条第一款明确提出推进商用密码检测认证体系建设,这是深化商用密码行政审批制度改革的重要内容,是依法管理商用密码、规范和促进商用密码应用、加强密码监管、增强商用密码安全保障能力的重要支撑。同时《密码法》第二十五条还明确了在商用密码检测认证中,自愿检测认证是主要方式。
问:商用密码产品的概念与范围是什么?
答:商用密码产品,是指采用商用密码技术进行加密保护、安全认证的产品。商用密码产品可分为软件、芯片、模块、板卡、整机、系统六类。典型的商用密码产品包括:密码机,如链路密码机、网络密码机、服务器密码机、传真密码机、电话密码机等;密码芯片和模块,如第二代居民身份证、智能电卡、社会保障卡、金融芯片卡中使用的密码芯片、可信计算密码模块等。
问:商用密码服务的概念与范围是什么?
答:商用密码服务,是指基于商用密码专业技术、技能和设施,为他人提供集成、运营、监理等商用密码支持和保障的活动。典型的商用密码服务包括:密码保障系统集成(如数字证书认证系统集成),是指为他人集成建设实现密码功能的系统,保护他人网络与信息系统的安全。密码保障系统运营(如增值税发票防伪税控系统运营),是指为保证他人实现密码功能的系统的正常运行提供安全管理和维护。
问:《密码法》施行后,商用密码产品的管理方式有什么变化?
答:根据《密码法》第二十五条、第二十六条的规定,商用密码产品管理方式将由行政审批调整为检测认证管理,国家密码管理局不再实施“商用密码产品品种和型号审批”。市场监管总局会同国家密码管理局建立国家统一推行的商用密码认证制度,采取支持措施,鼓励商用密码产品获得认证。对列入网络关键设备和网络安全专用产品目录的商用密码产品实施强制性检测认证,由具备资质的机构检测认证合格后,方可销售或者提供。
来源:国家密码管理局网站