Le "nuove norme" per le password commerciali sono state riviste e approvate per costruire un "firewall" per l'Internet delle cose. Il 24 maggio 2023, sul sito web del Governo centrale del popolo della Repubblica popolare cinese è stata pubblicata la bozza ufficiale della versione rivista del 2023 del "Regolamento sulla gestione della crittografia commerciale" (di seguito denominato "Regolamento"). Il testo completo del Regolamento è stato rivisto e adottato durante la quarta riunione esecutiva del Consiglio di Stato il 14 aprile 2023. Il regolamento è stato annunciato ed entrerà in vigore il 1° luglio 2023.
I "Regolamenti" mirano a standardizzare l'applicazione e la gestione della crittografia commerciale, a incoraggiare e promuovere lo sviluppo dell'industria della crittografia commerciale, a garantire la sicurezza delle reti e delle informazioni, a salvaguardare la sicurezza nazionale e gli interessi pubblici sociali e a proteggere i diritti e gli interessi legittimi di cittadini, persone giuridiche e altre organizzazioni.
Gli addetti ai lavori ritengono che, con la crescente importanza della sicurezza dei dati, la scala del mercato dell'industria della crittografia del mio Paese si sia gradualmente ampliata e che il tasso di crescita medio degli ultimi anni sia stato superiore al tasso di crescita globale. Secondo le statistiche degli istituti di ricerca competenti, la dimensione complessiva del mercato della crittografia commerciale del mio Paese dovrebbe raggiungere i 98,585 miliardi di yuan nel 2023, con un incremento annuo di 39,32%.
Tre cambiamenti principali
Già nel 1999, il nostro Paese ha promulgato e messo in vigore il "Regolamento sulla gestione delle password commerciali"; nel 2019, poiché il "Regolamento sulla gestione delle password commerciali" non è più in grado di adattarsi alle esigenze di sviluppo dei tempi, il nostro Paese ha rimodellato strutturalmente il sistema di gestione delle password commerciali, promulgando così il "Regolamento sulla gestione delle password commerciali". Legge sulla criptozoologia della Repubblica Popolare Cinese ("Legge sulla criptozoologia").
Il 10 agosto 2020, con la "Legge sulla crittografia della Repubblica Popolare Cinese" come legge superiore, l'Amministrazione statale per la crittografia ha emanato il "Regolamento sulla gestione della crittografia commerciale (bozza rivista per i commenti)", che ha rivisto completamente il "Regolamento sulla gestione della crittografia commerciale" del 1999.
Alcuni esperti del settore ritengono che l'annuncio ufficiale del Regolamento uniformerà ulteriormente il mercato delle applicazioni di password e porterà i seguenti importanti cambiamenti:
1. Sollecitare le società di piattaforma ad adempiere alle loro responsabilità in materia di protezione delle password in conformità con la legge.
Il "Regolamento" implementa ulteriormente i requisiti di gestione della "Legge sulla crittografia". Oltre ai requisiti per le applicazioni di crittografia in sé, propone anche requisiti rilevanti per i test e la certificazione, la certificazione elettronica, la gestione delle importazioni e delle esportazioni, ecc.
2. Le password commerciali passano gradualmente da "consigliate" a "obbligatorie".
I "Regolamenti" stabiliscono chiaramente che le infrastrutture informative critiche non riservate, le reti con livello di protezione della rete pari o superiore a 3 e i sistemi informativi del governo nazionale e altre reti e sistemi informativi sono tenuti a "effettuare la sicurezza delle applicazioni di crittografia commerciale per conto proprio o affidare a istituti di test di crittografia commerciale". Valutazione sessuale".
Per le infrastrutture informative critiche non riservate, i Regolamenti stabiliscono che gli operatori devono utilizzare password commerciali per la protezione, condurre valutazioni di sicurezza delle applicazioni di password commerciali, utilizzare tecnologie di crittografia commerciali elencate nel catalogo di orientamento sulle tecnologie di crittografia e acquistare prodotti e servizi di rete. Revisione della sicurezza nazionale e altri obblighi.
3. Le "recensioni segrete" diventano un indicatore per misurare il grado di costruzione delle password.
Il "Regolamento" precisa inoltre che i sistemi di rete e informativi elencati nel paragrafo precedente devono superare la valutazione della sicurezza delle applicazioni di crittografia commerciale (cioè la "valutazione segreta") prima di poter essere messi in funzione. Dopo la messa in funzione, la valutazione deve essere effettuata almeno una volta all'anno e i risultati della valutazione devono essere comunicati al distretto locale. Registrazione presso il dipartimento comunale per la gestione delle password.
Costruire un "firewall" per l'Internet degli oggetti
Dopo oltre dieci anni di sviluppo, l'industria dell'Internet degli oggetti nel mio Paese ha raggiunto quasi 3.000 miliardi di yuan ed è stata ampiamente utilizzata in vari settori, come la produzione industriale, la società e il sostentamento delle persone. Con la connessione alla rete di centinaia di miliardi di dispositivi IoT, le minacce alla sicurezza dell'IoT stanno diventando sempre più evidenti e le password IoT ricevono sempre più attenzione.
Gli esperti del settore ritengono che i principali rischi per la sicurezza delle reti IoT si concentrino su sei aspetti:
1. Dispositivi IoT
Un utente malintenzionato può sfruttare la debolezza del meccanismo di identificazione per distribuire in modo illecito lo stesso modello o clonare un dispositivo simile e accedere al sistema per effettuare attacchi.
2. Gateway di sicurezza
Poiché i terminali IoT possono raccogliere ed elaborare una grande quantità di dati sensibili, se il gateway di sicurezza non cripta l'inoltro dei dati, è facile che si verifichino problemi come il furto di dati.
3. Sicurezza wireless
L'Internet degli oggetti conta un gran numero di nodi e la trasmissione dei dati utilizza segnali wireless a radiofrequenza. Esistono rischi quali la possibilità che gli aggressori causino l'interruzione della comunicazione trasmettendo segnali di interferenza, oppure che dirottino, intercettino e manomettano i dati durante la trasmissione del segnale.
4.Trasmissione dei dati
Il livello di trasporto deve affrontare problemi di sicurezza come l'autenticazione tra reti in reti eterogenee. Inoltre, i pacchetti di dati trasmessi nell'Internet degli oggetti non sono criptati e firmati e sono soggetti a problemi quali l'intercettazione, la manomissione, la falsificazione e il rifiuto del mittente.
5. Piattaforma aziendale
A causa dell'ampia varietà di tipi di dispositivi di accesso e delle diverse capacità, esistono rischi per la sicurezza come la falsificazione dell'identità e l'accesso non autorizzato.
6. Terminale IoT
Gli aggressori possono utilizzare apparecchiature di raccolta delle informazioni per rilevare e raccogliere tutte le informazioni trapelate relative ai dati riservati. Esistono anche attacchi di malfunzionamento in cui gli aggressori utilizzano tecniche distruttive o non distruttive per interrompere il sistema di crittografia del chip e ottenere la chiave. Inoltre, i moduli software hanno maggiori probabilità di causare la perdita di dati sensibili.
Le password commerciali sono necessarie nell'Internet degli oggetti per proteggere i seguenti quattro punti:
1. Autenticazione dell'identità
Stabilire un'infrastruttura PKI/CA basata su algoritmi industriali per emettere certificati a ogni dispositivo e cloud nello scenario dell'Internet degli oggetti. Identificando il dispositivo e legandolo al certificato, ogni dispositivo può essere registrato, in modo che nella fase di autenticazione dell'identità, attraverso l'identità bidirezionale, il dispositivo non possa essere impersonato e anche il servizio cloud lo intercetti.
2.Trasmissione dati
Grazie all'uso combinato di SM2 e SM4, i pacchetti di dati trasmessi vengono firmati e crittografati nel collegamento di trasmissione in cui non è stato stabilito il canale sicuro SSL, garantendo così la sicurezza e l'affidabilità dei dati.
3. Scambio di dati
Per garantire la sicurezza del livello di trasporto si possono adottare meccanismi di crittografia punto-punto e di crittografia end-to-end, mentre protocolli come SSL/TLS e IPSec possono essere utilizzati per fornire funzioni di crittografia e autenticazione delle comunicazioni, al fine di garantire la sicurezza della trasmissione e dello scambio tra le parti comunicanti.
4. Sicurezza del terminale
Utilizzando l'algoritmo crittografico di soglia SM2, più leggero e implementato in un software puro, i processi di firma e di verifica della firma vengono calcolati separatamente sul terminale e sul server e poi uniti.
In generale, la tecnologia crittografica svolge un ruolo di supporto fondamentale in campi emergenti come il cloud computing, i big data, l'Internet delle cose e l'intelligenza artificiale. I segreti commerciali sono un mezzo importante per proteggere la sicurezza dei dati. L'emergere di settori emergenti ha portato anche nuovi spazi di mercato.