4.15活动-密码政策问答二

发布时间:2021-04-07 15:18:49
问:密码有哪些主要功能?
答:密码的主要功能有两个,一个是加密保护,另一个是安全认证。
加密保护是指采用特定变换的方法,将原来可读的信息变成不能直接识别的符号序列。简单地说,加密保护就是将明文变成密文。例如,古希腊军队使用一种叫做“斯巴达棒”的圆木棍来进行加密通信,使用方法是:把一根长带状羊皮纸缠绕在圆木棍上,然后在上面写字;解下羊皮纸后,上面只有乱序的字符,只有再次以同样的方式缠绕到同样粗细的木棍上,才能看出所写的内容。
  安全认证是指采用特定变换的方法,确认信息是否完整、是否被篡改、是否可靠以及行为是否真实。简单地说,安全认证就是确认主体和信息的真实可靠性。例如,增值税防伪税控系统采用商用密码技术保护涉税信息,增值税发票信息经密码算法进行加解密处理,确定该发票的明文信息是否真实,从而遏制增值税犯罪,减少税款流失。
问:《密码法》的管理对象有哪些?
答:作为本法的管理对象,密码包括密码技术、密码产品和密码服务。
密码技术,是指采用特定变换的方法对信息等进行加密保护、安全认证的技术,包括密码编码、实现、协议、安全防护、分析破译,以及密钥产生、分发、传送、使用、销毁等技术。分组密码算法(如SM4算法)、公钥密码算法(如SM2算法)等是典型的密码算法,密钥交换协议、密钥分发协议等是典型的密码协议。
密码产品,是指采用密码技术并以加密保护、安全认证的产品,即承载密码技术、实现密码功能的实体。典型的密码产品包括:密码机,如链路密码机、网络密码机、服务器密码机、传真密码机、电话密码机等;密码芯片和模块,如第二代居民身份证、智能电卡、社会保障卡、金融芯片卡中使用的密码芯片、可信计算密码模块等。
密码服务,是指基于密码专业技术、技能和设施,为他人提供集成、运营、监理等密码支持和保障的活动,即基于密码技术和产品,实现密码功能,提供密码保障的行为。典型的密码服务包括:密码保障系统集成(如数字证书认证系统集成),是指为他人集成建设实现密码功能的系统,保护他人网络与信息系统的安全;密码保障系统运营(如增值税发票防伪税控系统运营),是指为保证他人实现密码功能系统的正常运行提供安全管理和维护。
问:密码工作的基本原则是什么?
答:总体国家安全观要求推动建立新的安全体制,在密码工作中具体体现为统一领导、分级负责,创新发展、服务大局,依法管理、保障安全的基本原则,这是密码工作历史经验和实践的深刻总结。
问:密码工作的基本原则中“统一领导、分级负责”是指什么?
答:“统一领导、分级负责”是密码工作的首要原则。统一领导,是指全国密码工作在党中央领导下,由中央密码工作领导机构统一领导。《密码法》把“统一领导”作为密码工作的一项基本原则,就是要坚持党的绝对领导,这是密码工作最重要、最根本、最核心的原则,也是密码工作的优良传统和宝贵经验。
分级负责,是指国家和省、市、县四级密码管理部门分别负责管理全国和本行政区域的密码工作。根据密码工作的现实需要,参考其他工作领域管理体制改革发展的经验,《密码法》明确了各级密码管理部门的行政主体地位,确立了分级负责的密码工作管理体制。
问:密码工作的基本原则中“创新发展、服务大局”是指什么?
答:创新发展是密码工作的发展之基、力量之源。党的密码工作从诞生的第一天起,正是凭借不断地自主创新,走出了一条从无到有、从小到大、从弱到强的中国特色密码发展之路。坚持创新发展,就是要以科技创新为核心,以管理创新为推动,以制度创新为保证,支持密码科学技术研究,推动密码产业发展,使密码工作始终体现时代性、把握规律性、富于创造性,为保障网络与信息安全、维护国家网络空间主权提供有力的技术支撑。
服务大局是密码工作的价值所在,更是其宗旨要求。密码工作与党和国家的事业血肉相连、命运休戚相关,在革命、建设和改革各个历史时期,都紧紧围绕党和国家的中心任务和奋斗目标,发挥着不可替代的特殊重要作用。进入新时代,坚持服务大局,就是要紧紧围绕国家创新驱动发展战略,部署好密码科技自主创新,实现密码科技跨越式发展;要紧紧围绕国家安全战略,加大密码核心关键技术攻关和密码应用,充分发挥密码在保安全促发展中的支撑作用;要紧紧围绕中央全面深化改革的战略部署,全面深化密码管理体制改革,加快政府职能转变;要紧紧围绕经济结构调整,加快推进密码产业发展,为经济社会持续健康发展,为实现“两个一百年”奋斗目标、实现中华民族伟大复兴的中国梦做出贡献。
问:密码工作的基本原则中“依法管理、保障安全”是指什么?
答:党的十九大把坚持全面依法治国确立为习近平新时代中国特色社会主义思想和新时代坚持和发展中国特色社会主义的基本方略的重要内容,提出“必须坚持厉行法治,推进科学立法、严格执法、公正司法、全民守法”。将密码管理的各个方面纳入法治轨道,是密码工作的基本要求,是提高密码工作科学化、规范化、制度化水平的必由之路。坚持依法管理,就是各级密码管理部门要严格按照《密码法》和有关法规、规章和规范性文件的规定,依法全面履行密码行政管理职能。依法管理是核心密码、普通密码、商用密码三类密码管理的共同要求。
密码安全关乎党和国家的根本利益,是密码工作的生命。坚持保障安全,就是要加强密码安全制度建设,完善密码安全管理措施,对密码管理重点关键环节实施有效监管,增强密码安全保障能力;要加强关键信息基础设施密码应用监管,建立完善密码安全性评估和安全审查制度,有效预防和化解密码安全风险;要加强密码安全协作机制建设,确保密码安全管理的协同联动和有序高效。
问:密码工作坚持党的绝对领导体现在哪些方面?
答:坚持党对密码工作的绝对领导,是在任何时候、任何情况下都必须毫不动摇坚持的根本原则。《密码法》规定,坚持中国共产党对密码工作的领导,旗帜鲜明地把党管密码这一根本原则写入法律。党的密码工作创建于1930年,一直由党中央直接领导和管理,党管密码原则是密码工作长期实践和历史经验的深刻总结,是密码工作最重要、最根本、最核心的要求。
坚持党的绝对领导,主要体现在:一是密码工作的重大事项向中央报告,密码工作的重大决策由中央决定。二是坚决贯彻执行中央关于密码工作的方针政策,落实中央确定的密码工作领导和管理体制。三是充分发挥党的领导核心作用,各级党委(党组)和密码工作领导机构要认真履行党管密码的政治责任。
问:我国的密码工作领导体制是什么?
答:《密码法》明确规定,中央密码工作领导机构,即中央密码工作领导小组,对全国密码工作实行统一领导,把中央确定的密码工作领导体制,通过法律形式固化下来,为密码工作沿着正确方向发展提供根本保证。中央密码工作领导小组统一领导全国密码工作,负责制定国家密码工作重大方针政策,统筹协调国家密码重大事项和重要工作,推进国家密码法治建设。
问:我国的密码工作管理体制是什么?
答:根据密码工作依法管理的需要,参考其他工作领域管理体制改革发展的经验,《密码法》明确了密码工作管理体制,包括两个方面的内容:一是国家、省、市、县四级密码工作管理体制,二是国家机关和涉及密码工作的单位的密码工作职责。
问:四级密码工作管理体制的含义?
答:《密码法》赋予了国家、省、市、县四级密码管理部门行政管理职责。
国家密码管理部门是指国家密码管理局。为更好地履行对全国的密码管理职能,2005年1月,中央机构编制委员会批准成立国家密码管理局。2008年3月,国家密码管理局列入国务院部委管理的国家局序列。2018年3月,《国务院关于部委管理的国家局设置的通知》(国发〔2018〕7号)明确规定,国家密码管理局与中央密码工作领导小组办公室,一个机构两块牌子,列入中共中央直属机关的下属机构序列。
国家密码管理局的主要职责是:组织贯彻落实党和国家关于密码工作的方针政策和法律法规,研究提出解决密码工作发展中重大问题的建议;拟订密码工作发展规划,起草密码工作法规并负责密码法规的解释,组织拟订密码相关标准;依法履行密码行政管理职能,管理密码科研、生产、装备(销售)、检测认证及使用,查处密码泄密事件和违法违规研制、使用密码行为,负责有关密码的涉外事宜;对密码工作机构实施业务领导;负责网络与信息系统中密码保障体系的规划和管理,规划、建设和管理国家密码基础设施;指导密码专业教育和密码学术交流,组织密码专业人才教育培训,对高等院校、科研机构、学术团体开展密码基础理论与应用技术研究、交流进行指导;承办中央密码工作领导小组的日常工作。
县级以上地方各级密码管理部门是指省(自治区、直辖市)、市(地、州、盟)、县(市、区、旗)密码管理局。为规范和加强密码管理部门的行政管理职能,《密码法》明确了国家、省、市、县四级分级负责的密码工作管理体制,赋予了国家、省、市、县四级密码管理部门行政管理职责,从体制机制上为密码管理部门依法履行密码管理职能提供了坚实的法治保障。
各级密码管理部门要认真贯彻落实《密码法》的明确要求,依法确立行政主体地位,全面履行《密码法》赋予的行政管理职能,加快建立权力清单、责任清单和负面清单,完善监督执法机制,规范执法方式,推动管理职能转变和管理方式创新,自觉做到“职权法定”、“权依法使”。
问:国家机关和涉及密码工作的单位的密码工作职责是什么?
答:国家机关和涉及密码工作的单位根据工作需要,承担相应的密码工作职责,是密码工作管理体制的重要组成部分。国家机关是指中央、省、市、县各级国家机关。涉及密码工作的单位是指除国家机关以外,承担密码管理职责的企事业单位等。这些机关、单位在其职责范围内负责本机关、本单位或本系统的密码工作。
问:密码是如何分类的?
答:《密码法》将密码分为核心密码、普通密码和商用密码,实行分类管理。核心密码用于保护国家绝密级、机密级、秘密级信息,普通密码用于保护国家机密级、秘密级信息,商用密码用于保护不属于国家秘密的信息。
问:为什么要对密码实行分类管理?
答:将密码分为核心密码、普通密码和商用密码,实行分类管理,是党中央确定的密码管理根本原则,是保障密码安全的基本策略,也是长期以来密码工作经验的科学总结。三类密码保护的对象不同,对其进行明确划分,有利于确保密码安全保密,有利于密码管理部门根据不同信息等级和使用对象,对密码实行科学管理,充分发挥三类密码在保护网络与信息安全中的核心支撑作用。对密码施行分类管理,也是国际通行做法。
问:什么是核心密码、普通密码?
答:核心密码、普通密码用于保护国家秘密信息,有力保障了中央政令军令安全,为维护国家网络空间主权、安全和发展利益构筑起密码屏障。按照《保守国家秘密法》的规定,国家秘密是指关系国家安全和利益,依照法定程序确定,在一定时间内只限一定范围的人员知悉的事项。《密码法》根据保护对象的不同,对核心密码、普通密码进行划分。核心密码用于保护国家绝密级、机密级、秘密级信息,普通密码用于保护国家机密级、秘密级信息。
问:为什么要对核心密码、普通密码实行严格统一管理?
答:密码管理部门按照中央要求,对核心密码、普通密码实行严格统一管理,针对核心密码、普通密码的科研、生产、服务、检测、装备、使用和销毁等各个环节制定了一系列严格的安全管理制度和保密措施,对核心密码、普通密码实行全生命周期的严格统一管理,明确了一系列保障措施。这是因为:第一,核心密码、普通密码用于保护国家秘密信息,直接关系国家安全和利益。第二,核心密码、普通密码本身也属于国家秘密,一旦泄密,将危害国家安全和利益。党政机关应当严格按照法律法规的有关规定使用核心密码、普通密码保护国家秘密信息,在法律范围内从事相关活动。第三,核心密码、普通密码的管理措施以及密码管理部门、密码工作机构及其工作人员开展核心密码、普通密码工作的保障措施等,需要通过国家立法提供法律依据,进一步提升密码工作的法治化保障水平。
问:什么是商用密码?
答:商用密码用于保护不属于国家秘密的信息。也就是说,商用密码可以用于保护除国家秘密之外的所有信息,既可以保护企业商业秘密、公民个人隐私,也可以保护政务领域中不属于国家秘密的工作信息。关于商用密码的名称,1996年,中央决定在我国大力发展商用密码,加强对商用密码的管理。1999年,国务院颁布施行《商用密码管理条例》(国务院令第273号),商用密码的名称开始为社会所熟知和广泛使用。此后,中央文件和党内法规以及国家密码管理局制定发布的规范性文件均采用了“商用密码”这一名称。
问:《密码法》在商用密码使用方面提出了什么样的管理要求?
答:《密码法》规定公民、法人和其他组织可以依法使用商用密码保护网络与信息安全,对一般用户使用商用密码没有提出强制性要求。同时,为了保障关键信息基础设施安全稳定运行,维护国家安全和社会公共利益,《密码法》第二十七条规定了关键信息基础设施的商用密码使用要求。
公民、法人和其他组织可以依法使用商用密码,既是《密码法》赋予公民、法人和其他组织自主选择使用商用密码的权利,也是鼓励公民、法人和其他组织依法使用商用密码保护网络与信息安全。