Os "novos regulamentos" para senhas comerciais foram revistos e aprovados para construir uma "firewall" para a Internet das Coisas. Em 24 de maio de 2023, o projeto oficial da versão revista de 2023 do "Regulamento sobre a gestão da criptografia comercial" (a seguir designado por "Regulamento") foi publicado no sítio Web do Governo Popular Central da República Popular da China. O texto integral do Regulamento foi revisto e adotado na 4.ª reunião executiva do Conselho de Estado em 14 de abril de 2023. É por este meio anunciado e entrará em vigor a 1 de julho de 2023.
Os "regulamentos" têm por objetivo normalizar a aplicação e a gestão da cifragem comercial, incentivar e promover o desenvolvimento da indústria da cifragem comercial, garantir a segurança das redes e da informação, salvaguardar a segurança nacional e os interesses públicos sociais e proteger os direitos e interesses legítimos dos cidadãos, das pessoas colectivas e de outras organizações.
Os especialistas do sector consideram que, com a crescente importância da segurança dos dados, a escala do mercado da indústria de encriptação do meu país tem vindo a aumentar gradualmente e a taxa média de crescimento nos últimos anos tem sido superior à taxa de crescimento global. De acordo com estatísticas de instituições de investigação relevantes, a dimensão global do mercado de encriptação comercial do meu país deverá atingir 98,585 mil milhões de yuans em 2023, um aumento anual de 39,32%.
Três grandes alterações
Já em 1999, o nosso país promulgou e entrou em vigor o "Regulamento sobre a Gestão de Senhas Comerciais"; em 2019, porque o "Regulamento sobre a Gestão de Senhas Comerciais" já não se pode adaptar aos requisitos de desenvolvimento dos tempos, o nosso país reformulou estruturalmente o sistema de gestão de senhas comerciais, promulgando assim o "Regulamento sobre a Gestão de Senhas Comerciais". Lei da Criptozoologia da República Popular da China ("Lei da Criptozoologia").
A partir de 10 de agosto de 2020, com a "Lei da Criptografia da República Popular da China" como lei superior, a Administração Estatal de Criptozoologia emitiu o "Regulamento sobre a Gestão da Criptografia Comercial (Projeto Revisto para Comentários)", que reviu o "Regulamento sobre a Gestão da Criptografia Comercial" de 1999 Completamente revisto.
Alguns especialistas do sector consideram que o anúncio oficial dos regulamentos irá normalizar ainda mais o mercado das aplicações de palavras-passe e provocar as seguintes alterações importantes:
1. Exortar as empresas de plataformas a cumprirem as suas responsabilidades em matéria de proteção de palavras-passe, em conformidade com a lei
Os "Regulamentos" implementam ainda mais os requisitos de gestão da "Lei da Criptozoologia". Além dos requisitos para as aplicações de criptografia propriamente ditas, também apresenta requisitos relevantes para testes e certificação, certificação eletrónica, gestão de importações e exportações, etc., para que as plataformas e as empresas tenham leis a seguir.
2. As palavras-passe comerciais passam gradualmente de "recomendadas" a "obrigatórias"
Os "Regulamentos" estipulam claramente que as infra-estruturas de informação críticas não confidenciais, as redes com um nível de proteção de segurança de rede igual ou superior a 3 e os sistemas de informação do governo nacional e outras redes e sistemas de informação são obrigados a "efetuar a segurança das aplicações de criptografia comercial por sua própria conta ou confiar a instituições de teste de criptografia comercial". Avaliação Sexual".
Para as infra-estruturas de informação críticas não confidenciais, os regulamentos estipulam que os operadores devem utilizar palavras-passe comerciais para proteção, realizar avaliações de segurança das aplicações de palavras-passe comerciais, utilizar tecnologias de cifragem comerciais enumeradas no catálogo de orientação sobre tecnologias de cifragem e adquirir produtos e serviços de rede. Análise da segurança nacional e outras obrigações.
3. As "revisões secretas" tornam-se um indicador para medir o grau de construção de palavras-passe
O "Regulamento" refere ainda que a rede e os sistemas de informação enumerados no parágrafo anterior devem ser aprovados na avaliação da segurança da aplicação de cifragem comercial (ou seja, "avaliação secreta") antes de poderem entrar em funcionamento. Após o funcionamento, a avaliação deve ser efectuada pelo menos uma vez por ano e os resultados da avaliação devem ser comunicados ao distrito local. Registo no departamento municipal de gestão de senhas.
Construir uma "firewall" para a Internet das Coisas
Após mais de dez anos de desenvolvimento, a dimensão da indústria da Internet das Coisas no meu país atingiu quase 3 biliões de yuans e tem sido amplamente utilizada em vários domínios, como a produção industrial e a subsistência social e das pessoas. À medida que centenas de milhares de milhões de dispositivos IoT são ligados à rede, as ameaças à segurança enfrentadas pela IoT estão a tornar-se cada vez mais proeminentes e as palavras-passe IoT estão a receber cada vez mais atenção.
Os especialistas do sector consideram que os principais riscos de segurança das redes IoT se centram em seis aspectos:
1. Dispositivos IoT
Um atacante pode explorar a fraqueza do mecanismo de identificação para implantar maliciosamente o mesmo modelo ou clonar um dispositivo semelhante e aceder ao sistema para efetuar ataques.
2. Gateway de segurança
Uma vez que os terminais IoT podem recolher e processar uma grande quantidade de dados sensíveis, se o gateway de segurança não encriptar o reencaminhamento de dados, podem facilmente ocorrer problemas como o roubo de dados.
3. Segurança sem fios
Há um grande número de nós na Internet das Coisas e a transmissão de dados utiliza sinais de radiofrequência sem fios. Existem riscos, como o facto de os atacantes poderem causar a interrupção da comunicação através da transmissão de sinais de interferência, ou desviar, escutar e adulterar dados durante a transmissão do sinal.
4. transmissão de dados
A camada de transporte enfrenta problemas de segurança, como a autenticação entre redes em redes heterogéneas. Além disso, os pacotes de dados transmitidos na Internet das Coisas não são encriptados nem assinados e estão sujeitos a problemas como a escuta, a adulteração, a falsificação e a recusa do remetente.
5. Plataforma de negócios
Devido à grande variedade de tipos de dispositivos de acesso e capacidades variáveis, existem riscos de segurança, como a falsificação de identidade e o acesso não autorizado.
6. Terminal IoT
Os atacantes podem utilizar equipamento de recolha de informações para detetar e recolher todas as fugas de informação relacionadas com dados confidenciais. Há também ataques de mau funcionamento em que os atacantes utilizam técnicas destrutivas ou não destrutivas para perturbar o sistema de cifragem da pastilha para obter a chave. Além disso, os formulários de software são mais susceptíveis de provocar a fuga de dados sensíveis.
As palavras-passe comerciais são necessárias na Internet das Coisas para proteger os quatro pontos seguintes:
1. Autenticação de identidade
Estabelecer uma infraestrutura PKI/CA baseada em algoritmos industriais para emitir certificados para cada dispositivo e nuvem no cenário da Internet das Coisas. Ao identificar o dispositivo e ao associá-lo ao certificado, cada dispositivo pode ser registado, de modo a que, na fase de autenticação da identidade, através da identidade bidirecional, o dispositivo não possa ser representado e o serviço de nuvem também o intercepte.
2. transmissão de dados
Através da utilização combinada de SM2 e SM4, os pacotes de dados transmitidos são assinados e encriptados na ligação de transmissão em que o canal seguro SSL não está estabelecido, o que também garante a segurança e a fiabilidade dos dados.
3. intercâmbio de dados
Podem ser adoptados mecanismos de cifragem ponto-a-ponto e mecanismos de cifragem de extremo-a-extremo para garantir a segurança da camada de transporte, e protocolos como o SSL/TLS e o IPSec podem também ser utilizados para fornecer funções de cifragem e autenticação das comunicações, a fim de garantir a segurança da transmissão e do intercâmbio entre as partes comunicantes.
4. Segurança do terminal
Utilizando o algoritmo criptográfico de limiar SM2, mais leve, implementado em software puro, os processos de assinatura e de verificação da assinatura são calculados separadamente no terminal e no servidor e depois fundidos.
De um modo geral, a tecnologia de criptografia desempenha um papel de apoio fundamental em domínios emergentes como a computação em nuvem, os grandes volumes de dados, a Internet das coisas e a inteligência artificial. Os segredos comerciais são um meio importante de proteção da segurança dos dados. O surgimento de domínios emergentes trouxe também um novo espaço de mercado.