中国の情報セキュリティの歴史:私たちは法律と規制に対処し始めます

2016年に、中国は国家サイバーセキュリティ戦略の最新バージョンを導入しました。 彼の主なメッセージは、国家サイバースペースの主権を確保するための手段の使用です。 新しいシリーズの記事で中国で情報セキュリティを確保するために中国が使用するツールについて正確に説明します。



まず、さまざまな分類と法律の概要について説明します。





/ Flickr / スリアンスージー / cc



マルチレベルセキュリティシステム



2007年、中国は「Multilevel Security System Classification」(MLPS)を更新しました。 サイバーセキュリティの分野をカバーする法律の根底にあります。 たとえば、MLPSに従って、特定の分野またはシステムへの外国製品の入場レベルに関する決定が行われます。 MLPSは、潜在的な結果に関して5つのレベルの情報セキュリティを提供します。



1.知的財産の損傷は、市民および組織の権利を損ないます。



2.ここでは、パラグラフ1に公序良俗に基づく損害が追加されます。



3.パラグラフ1およびパラグラフ2に加えて、国家安全保障への損害もあります。



4. 3つのレベルすべてに重大な損傷(パラグラフ1-パラグラフ3)。



5.国家安全保障レベルでの重大な損害。



当局は、MLPSと法律に依存して、暗号化プロトコルへのアクセスと、金融、通信、医療、教育、エネルギーに携わる企業からのソースコードの大部分を必要としています。 潜在的な脅威が高いほど、要件も高くなります。



暗号化規制



中国で情報セキュリティを確保する重要な要素は、暗号化に関連するすべての規制です。 この点に関する最初の指令の1つが1999年に発表されました。



彼女は、テーマ別のソフトウェアとハ​​ードウェアで作業を規制しました。国営機関の許可を得て、確立された規則に従ってのみ、商業部門で暗号化製品を製造および販売することが可能になりました。 そのため、暗号強度は州によって設定されたレベルを超えることはできません。 当局は、これらの規則が主な機能が暗号化である製品に適用されることを後に明らかにしました。 たとえば、カスタムガジェットの場合、これは二次機能であり、禁止は適用されません。



翌年、当局は暗号化ツールを制御するというアイデアを開発し、国家標準を開発しました。 たとえば、2003年に政府は、中国で販売されるすべてのワイヤレス製品にWAPIを義務付けました。 IEEE 802.11標準のセットは一時的に禁止されましたが、国際標準化機構(ISO)との対話の過程で制限が緩和され、多くのベンダーが妥協の道を歩みました。 たとえば、3GS iPhoneの一部としてWAPIをサポートするApple。





/ Flickr / ジェシカ・スペングラー / cc



2009年、暗号化製品の輸入業者のカタログが中国に登場しました。 その構成は後で修正されました。 たとえば、2013年には、デジタルTVおよびBluetoothモジュール用のスマートカードがリストから削除されました。 暗号化に関する新しい法律の草案から判断すると、中国は外国企業に対する厳しい要件を拒否し 、規制の統一を目指しています。



昨年9月、中国国務院は、暗号化製品のメーカーとユーザーに供給と配布の許可を取得する必要性を免除する決定を採択しましたが、それでも認証が必要です。 それなしでは、企業や個人が中国で商用暗号化製品を販売することはできません。



サイバーセキュリティ法



中国の国家サイバーセキュリティ戦略の最新版が発表される2年前の2014年、セキュリティと情報化グループの最初の会議が開催されました。 習近平国家主席は、ITセキュリティを国の優先事項とするために別れの言葉を述べました。 この決定は、1年前に、中国世界でサイバー犯罪による最大の損失を被った国の1つであったという事実によって決定されました。



2015年、中国は新しい国家安全保障法を採択しました。 その規定は幅広い分野に拡大し、中国の国家ITシステムの保護を強化し、サイバースペースの主権を確立する必要性を強調しました。 サイバーセキュリティに関する法案は、これらの問題をより詳細に明らかにしています。 とりわけ、彼はインターネットサービス、特にメッセンジャーへの政府の調査、サイバーセキュリティへの大規模な投資、およびPDを中国に保存する義務の導入を含む本名での必須登録を提案しました。



2016年に法律が最終的に採択され、2017年に施行されました 。 法律は、中国国民によるPDの収集、保管、使用、および国家安全保障に関連する情報に焦点を当てています。 このような情報は国内で保管する必要があります。



サイバーセキュリティに関する法律は、重要な分野のすべての事業者および企業に適用され、実際には、情報を収集、保存、送信、および処理するコンピューターおよび関連機器で構成されるすべてのシステムに適用されます。 この規則は、ネットワーク事業者の機器の強制的な試験と認証も規定しており、国の安全または公共の利益を脅かす経済的、技術的または科学的データの海外への輸出を禁止しています。



後者の状況はあいまいな反応を引き起こしました。 2016年6月、50を超えるアメリカ、ヨーロッパ、および日本企業が李克強総理宛ての書簡に署名しました。 彼らは、新しい法律が中国での外国企業の運営を妨げると主張した。 法律の採択後、米国は、情報の国際的な交換を妨げるため、新しい規則の完全な導入を防止するよう要請して、中国に公式に控訴しました。





/ Flickr / ChiralJon / CC



一方、法律は段階的に施行され続けています。 このプロセスは、2018年末までに終了する予定です。 今年5月、中国は1月に提案されたPDの仕様について議論します。



それは法律への重要な追加になるでしょう。 この仕様は、個人データの定義を明確にし、そのような情報のさまざまなコンポーネント(財務情報、識別情報など)を紹介します。 このドキュメントには、目的に応じてPDを収集および使用するための特定の要件が含まれています。



これは、中国における情報セキュリティの法的保護のトピックの終わりではありません。 次のパートでは、このトピックの技術的なニュアンスについて説明します。



企業ブログのその他のコンテンツ:





Habrのネットワークダイジェスト—ネットワークとネット中立性の戦いに関する20の資料。



All Articles