资讯

在我国使用国密SSL证书（基于SM系列算法的SSL/TLS证书）的相关政策和法规主要涉及密码安全、网络安全及行业应用规范。以下是关键政策和法规的梳理：

 1. 《中华人民共和国密码法》（2020年1月1日实施）

核心内容：

明确密码分为核心密码、普通密码和商用密码，其中国密SSL证书属于商用密码范畴。

第十条：国家鼓励商用密码技术的研究开发和应用，健全统一、开放、竞争、有序的商用密码市场体系。

第二十七条：法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施，其运营者应当使用商用密码进行保护，并开展商用密码应用安全性评估。

关联性：国密SSL证书作为商用密码应用的重要部分，在关键信息基础设施领域需优先采用。

 2. 《网络安全法》（2017年6月1日实施）

核心内容： 

第二十一条：网络运营者应当采取数据加密等措施保障数据安全。

第三十一条：关键信息基础设施运营者应使用安全可信的网络产品和服务。

关联性：支持通过国密SSL证书实现数据加密传输，符合“安全可信”要求。

 3. 商用密码应用与安全性评估（密评）

政策文件：

《网络安全等级保护条例》（等保2.0，2019年）

《信息安全技术 信息系统密码应用基本要求》（GB/T 39786-2021）

核心要求：

第三级及以上信息系统需通过密码应用安全性评估，明确要求使用符合国密标准的算法（如SM2/SM3/SM4）和产品。

传输层安全（如SSL/TLS）需采用国密算法实现通信加密和身份认证。

4. 金融行业规范

《金融领域网络安全等级保护实施指引》（2020年）

要求金融机构在传输敏感数据时使用国密算法加密，国密SSL证书成为推荐方案。

《金融和重要领域密码应用与创新发展工作规划（2018-2022年）》

明确金融行业需优先部署国密算法，逐步替换国际通用算法（如RSA）。

 5. 政务领域政策

《国家政务信息化项目建设管理办法》（2020年）

要求政务信息系统采用自主可控的密码技术，国密SSL证书在政务云、电子政务外网中广泛应用。

《关于加快推进国家政务信息化项目建设切实做好密码应用与安全性评估工作的通知》

强调政务系统需通过密评，国密算法SSL证书是合规必要条件。

 6. 行业标准

《GM/T 0024-2014 SSL VPN技术规范》规定SSL协议中应使用SM2/SM3/SM4算法。

《GM/T 0025-2014 SSL VPN网关产品规范》规定SSL协议中应使用SM2/SM3/SM4算法。  

 7. 地方性政策（示例）

北京市、上海市等地发布的《关键信息基础设施安全保护条例》实施细则，明确要求优先使用国密算法和证书。

广东省《关于推进数字经济高质量发展的指导意见》提出加快国密算法在公共服务的应用。

 8. 最新动态（2023年）

工业和信息化部在《关于推进信息通信行业密码应用高质量发展的实施意见》中，要求运营商、云服务商等优先支持国密SSL证书。部分行业（如医疗、教育）逐步将国密SSL证书纳入采购要求。

 合规建议

1. 关键信息基础设施（如金融、能源、政务）必须通过密评，强制使用国密SSL证书。

2. 一般企业建议逐步替换国际算法证书，避免政策风险。

3. 选择通过国家密码管理局认证的国密SSL证书颁发机构（如华测CA国密SSL证书）。