2025年6月27日,国家密码管理局、国家互联网信息办公室、公安部三部委联合发布了《关键信息基础设施商用密码使用管理规定》(第5号令,以下简称《规定》),并于同日发布了官方权威解读。该《规定》作为《密码法》和《商用密码管理条例》在关键信息基础设施领域的具体化和细则化要求,将于2025年8月1日起正式施行。
这标志着我国对关键信息基础设施(以下简称“关基”)的密码应用监管进入了一个更具体、更严格、更具操作性的新阶段。所有关基运营者都需高度关注,并及时审视和调整现有的密码应用和建设方案。
为了帮助广大关基运营者和合作伙伴快速掌握核心要点,本文将首先梳理新规带来的核心义务与变化,进而聚焦官方解读中指明的技术路线方向,并最终探讨符合新规精神的应对之道。
图:《关键信息基础设施商用密码使用管理规定》
一、 核心解读:关基运营者需履行的核心义务
本次新规在与《密码法》《商用密码管理条例》等上位法规保持一致性的基础上,对关基运营者的责任和义务进行了更细致的规定。我们可以从“延续性要求”和“新增变化”两个维度来理解。
(一)核心义务概览:延续与巩固的要求
对于不熟悉密码应用合规要求的读者,我们首先快速回顾一下关基运营者需要履行的、一以贯之的核心义务:
- 落实常态化机制: 严格遵循“三同步、一评估”原则,即密码保障系统与关基业务系统需要同步规划、同步建设、同步运行,并在运行后每年至少开展一次商用密码应用安全性评估(简称“密评”)。
- 确保要素合规: 使用的商用密码产品、服务必须通过检测认证,使用的密码技术(算法、协议、密钥管理机制等)需通过国家密码管理部门的审查鉴定。
- 明确保护目标: 密码应用的核心目标是保护数据安全,必须依据相关要求,使用商用密码对关基中的核心数据、重要数据和个人信息进行保护。
(二)值得关注的“新增变化”:更具体、更严格的监管信号
在上述基础上,本次新《规定》带来了两个非常值得关注的新变化,释放了监管升级的明确信号:
变化一:监管体系更明确,引入“行业保护工作部门”
- 新《规定》第四条首先在法规层面明确了“关键信息基础设施保护工作部门”的监督管理职责,引入了“保护工作部门”这一重要监管主体。更值得注意的是,该条进一步规定,保护工作部门必须于每年3月31日前向国家三大主管部门提交上一年度的关基商用密码使用管理情况报告。
- 这套“明确主体 + 限时汇报”的组合拳,建立了清晰的压力传导机制。这意味着,关基运营者未来不仅要接受双重监管,而且其合规表现将直接成为行业主管部门向上汇报的依据,监管的严肃性和规范性将显著提升。
变化二:合规流程更严格,强调“程序闭环”
- 新《规定》通过第十一、十二、十三条,将密码应用的生命周期管理变成了一套环环相扣的“程序闭环”。从规划阶段的方案评估,到建设阶段的方案落实,再到运行前的评估和运行后的一年一评,任何一个环节未通过评估,都不得进入下一阶段。这套严格的程序要求,对密码改造方案的长周期有效性和运维效率提出了前所未有的挑战。
二、官方解读指明方向:摒弃传统改造模式
要深刻理解新规精神,就必须关注国家密码管理局同日发布的官方《解读》文件,它为如何落实新规要求、选择何种技术路线,提供了关键的指引。
在《解读》文件的“制定的必要性”一节中,官方明确指出,制定《规定》旨在解决“部分网络与信息系统建设未深入分析商用密码使用需求并体系化加以解决,机械堆叠商用密码产品,或者简单实施外挂式、补丁式改造,商用密码应用的合规性、正确性、有效性难以保证”等问题。
图:《关键信息基础设施商用密码使用管理规定》解读
这一官方论述,指出了两种不被认可的改造模式的问题,直指其痛点,信号意义明确。它清晰地告诉所有关基运营者,未来的密码应用建设,必须告别过去的旧思路,转向更先进、更融合的技术范式。
三、应对之道:选择符合新规精神的先进技术路线
既然这些模式存在问题,那么符合新规精神的先进技术路线应该具备哪些特征?我们可以通过一个简单的对比来清晰地了解。
(一)模式对比:技术路线的评判标准
|
特性对比 |
佰倬“生态自适应”模式 |
“外挂/补丁/堆叠”模式 |
|
对应用影响 |
基于操作系统内核层,无需源代码改造 |
侵入性强,需改造应用代码或网络架构 |
|
实施复杂度 |
低:部署简单,交付快速 |
高:涉及多厂商协调,周期长 |
|
业务敏捷性 |
高:业务可自由迭代,互不影响 |
差:业务升级可能导致密码系统重新适配 |
|
防护范围 |
全面:覆盖数据存储、使用全流程 |
部分:可能无法覆盖数据“使用”环节 |
|
运维成本 |
低:运维简单,总体持有成本优势明显 |
高:需持续投入人力进行适配和维护 |
佰倬始终倡导“让密码强大而简单”的理念,其“生态自适应,应用自集成”的技术路线,实现了。
(二)避免“外挂补丁”,实现“应用自集成”
为了从根源上避免“外挂式、补丁式改造”对业务系统造成的侵入性、高昂的改造费用和漫长的建设周期,佰倬数安文件系统密码模块工作在操作系统内核层。它对上层所有的应用程序和数据库实现了受控的透明加解密,无需改动任何应用源代码,即可实现对数据的机密性和完整性保护,做到了“应用自集成”,保障了业务的连续性和敏捷性。
图:佰倬数安文件系统密码模块产品示意图
(三)告别“机械堆叠”,实现“生态自适应”
为了避免“机械堆叠”带来的系统复杂性和管理难题,佰倬方案将密码能力内生于操作系统之中,成为其核心安全能力的一部分,实现了密码保护与业务环境的深度融合。这种“生态自适应”的能力,能够轻松应对业务系统的频繁迭代和新规对“全生命周期高效运维”的严格要求。
在构建完整的密码保障体系时,佰倬还可提供【佰倬数安身份认证密码模块】及IPSec/SSL VPN安全网关产品,形成从身份到数据、从终端到网络的全方位密码防护。
结语
《关键信息基础设施商用密码使用管理规定》的发布,不仅是一项合规新要求,更是推动我国关基安全建设走向深化、务实和高效的催化剂。
选择符合新规精神、能够与业务深度融合且易于长期维护的现代化密码应用技术路线,将是所有关基运营者从容应对挑战、化繁为简的关键。
佰倬愿与广大关基运营者及合作伙伴一道,以创新的技术和专业的服务,共同迎接密码应用的新时代。欢迎随时与我们联系,探讨最适合您的解决方案。
