税控盘密码和税控数字证书密码

维护国家安全和利益

是每个公民、组织应尽的义务！

这些关于密码的事

你知道吗？

让我们一起学习贯彻《密码法》，

提高密码应用意识，

筑牢维护国家安全的密码防线！

密码政策十个问答

问

《密码法》中“密码”的概念是什么?

答:《密码法》中的密码(cryptography),是指采用特定变换的方法对信息等进行加密保护、安全认证的技术、产品和服务。而人们日常接触的计算机或手机开机“密码”、微信“密码”、qq“密码”、电子邮箱登录“密码”、银行卡支付“密码”等,实际上是口令(password)。口令是进入个人计算机、手机、电子邮箱或银行账户的“通行证”,是一种简单、初级的身份认证手段,“口令”不在《密码法》的管理范围之内。

问

密码有哪些主要功能?

答:密码的主要功能有两个,一个是加密保护,另一个是安全认证。

加密保护是指采用特定变换的方法,将原来可读的信息变成不能直接识别的符号序列。简单地说,加密保护就是将明文变成密文。例如,古希腊军队使用一种叫做“斯巴达棒”的圆木棍来进行加密通信,使用方法是:把一根长带状羊皮纸缠绕在圆木棍上,然后在上面写字;解下羊皮纸后,上面只有乱序的字符,只有再次以同样的方式缠绕到同样粗细的木棍上,才能看出所写的内容。

安全认证是指采用特定变换的方法,确认信息是否完整、是否被篡改、是否可靠以及行为是否真实。简单地说,安全认证就是确认主体和信息的真实可靠性。例如,增值税防伪税控系统采用商用密码技术保护涉税信息,增值税发票信息经密码算法进行加解密处理,确定该发票的明文信息是否真实,从而遏制增值税犯罪,减少税款流失。

问

《密码法》的管理对象有哪些?

答:作为本法的管理对象,密码包括密码技术、密码产品和密码服务。

密码技术,是指采用特定变换的方法对信息等进行加密保护、安全认证的技术,包括密码编码、实现、协议、安全防护、分析破译,以及密钥产生、分发、传送、使用、销毁等技术。分组密码算法(如sm4算法)、公钥密码算法(如sm2算法)等是典型的密码算法,密钥交换协议、密钥分发协议等是典型的密码协议。

密码产品,是指采用密码技术并以加密保护、安全认证的产品,即承载密码技术、实现密码功能的实体。典型的密码产品包括:密码机,如链路密码机、网络密码机、服务器密码机、传真密码机、电话密码机等;密码芯片和模块,如第二代居民身份证、智能电卡、社会保障卡、金融芯片卡中使用的密码芯片、可信计算密码模块等。

密码服务,是指基于密码专业技术、技能和设施,为他人提供集成、运营、监理等密码支持和保障的活动,即基于密码技术和产品,实现密码功能,提供密码保障的行为。典型的密码服务包括:密码保障系统集成(如数字证书认证系统集成),是指为他人集成建设实现密码功能的系统,保护他人网络与信息系统的安全;密码保障系统运营(如增值税发票防伪税控系统运营),是指为保证他人实现密码功能系统的正常运行提供安全管理和维护。

问

密码是如何分类的?

答:《密码法》将密码分为核心密码、普通密码和商用密码,实行分类管理。核心密码用于保护国家绝密级、机密级、秘密级信息,普通密码用于保护国家机密级、秘密级信息,商用密码用于保护不属于国家秘密的信息。

问

什么是核心密码、普通密码?

答:核心密码、普通密码用于保护国家秘密信息,有力保障了中央政令军令安全,为维护国家网络空间主权、安全和发展利益构筑起密码屏障。按照《保守国家秘密法》的规定,国家秘密是指关系国家安全和利益,依照法定程序确定,在一定时间内只限一定范围的人员知悉的事项。《密码法》根据保护对象的不同,对核心密码、普通密码进行划分。核心密码用于保护国家绝密级、机密级、秘密级信息,普通密码用于保护国家机密级、秘密级信息。

问

什么是商用密码?

答:商用密码用于保护不属于国家秘密的信息。也就是说,商用密码可以用于保护除国家秘密之外的所有信息,既可以保护企业商业秘密、公民个人隐私,也可以保护政务领域中不属于国家秘密的工作信息。关于商用密码的名称,1996年,中央决定在我国大力发展商用密码,加强对商用密码的管理。1999年,国务院颁布施行《商用密码管理条例》(国务院令第273号),商用密码的名称开始为社会所熟知和广泛使用。此后,中央文件和党内法规以及国家密码管理局制定发布的规范性文件均采用了“商用密码”这一名称。

问

《密码法》对禁止利用密码从事违法犯罪活动做了什么样的规定?

答:密码是一把“双刃剑”,既可以用于合法的信息保护,也可能被用来从事违法犯罪活动。密码一旦被用来从事违法犯罪活动,将严重危害国家安全、社会公共利益和公民个人合法权益。因此,《密码法》第十二条明确规定:“任何组织或者个人不得窃取他人加密保护的信息或者非法侵入他人的密码保障系统。任何组织或者个人不得利用密码从事危害国家安全、社会公共利益、他人合法权益等违法犯罪活动。”

问

什么是“窃取他人加密保护的信息或者非法侵入他人的密码保障系统”?

答:窃取他人加密保护的信息,是指未经他人授权,采用非法攻击密码等方式获取他人加密保护的信息的违法行为。

非法侵入他人的密码保障系统,是指未经他人授权,采用非法攻击密码等方式进入他人的密码保障系统。这里的“密码保障系统”,是指采用密码技术、产品或者服务集成建设的,实现加密保护、安全认证功能的系统。

问

《密码法》为什么规定“任何组织和个人不得利用密码从事危害国家安全、社会公共利益、他人合法权益等违法犯罪活动”?

答:随着网络信息技术的不断发展,利用密码从事违法犯罪活动的案例屡见不鲜,造成了广泛的社会影响。例如,2017年5月,一款名为“魔哭”(wannacry)的蠕虫勒索软件袭击全球网络。它加密受害者电脑内的重要文件,除非受害者通过比特币交出赎金,否则加密文件无法恢复。“魔哭”勒索软件的影响范围覆盖全球150多个国家和地区,超过30万台设备受到感染和影响。我国有3万多家机构、数十万台设备受到该软件袭击,给国家、社会和公民个人财产造成巨大损失,严重危害了国家安全和社会稳定。

此外,《密码法》关于不得利用密码从事危害国家安全、社会公共利益、他人合法权益等违法犯罪活动的规定也是与《刑法》、《治安管理处罚法》、《网络安全法》等有关法律、行政法规的规定相衔接的。

问

《密码法》对窃取他人加密保护的信息,非法侵入他人的密码保障系统,或者利用密码从事危害国家安全、社会公共利益、他人合法权益等违法活动,规定了什么样的法律责任?

答:《密码法》第三十二条规定:违反本法第十二条规定,窃取他人加密保护的信息,非法侵入他人的密码保障系统,或者利用密码从事危害国家安全、社会公共利益、他人合法权益等违法活动的,由有关部门依照《中华人民共和国网络安全法》和其他有关法律、行政法规的规定追究法律责任。

《密码法》明确的从事密码违法活动具体包括三种情形:一是窃取他人加密保护的信息。二是非法侵入他人的密码保障系统。三是利用密码从事危害国家安全、社会公共利益、他人合法权益等违法活动。