• 山西省国家密码管理局
  • www.sxgmj.gov.cn
行业新闻

持续推动金融领域商用密码应用

发布日期:2018-08-27  来源:山西省国家密码管理局

围绕学习贯彻习近平总书记网络强国战略思想,根据国家商用密码应用与管理政策要求,现就金融领域密码应用谈三点认识与体会。

深刻认识金融领域网络信息安全形势

当前,网络安全威胁日益增多,数据泄露事件层出不穷,网络诈骗案件屡禁不止,关键基础设施频遭攻击,金融领域网络信息安全面临严峻挑战。

1.网络安全风险威胁持续加剧

在信息时代,网络空间已成为继陆、海、空、天后的第五大主权空间,已成为各国争相抢夺的新疆域、战略威慑的新领域、军事角逐的新战场。2010年,伊朗核设施被“震网”病毒攻击,至少1/5离心机报废。2015年,乌克兰电网遭受恶意代码攻击,造成该国1/4电站瘫痪6小时,一些地区进入紧急状态。有专家说,网络攻击可以让“茶杯里的风暴”变成全社会的大风暴,继而发生各种各样的“蝴蝶效应”,严重影响社会稳定和国家安全,网络攻击的破坏程度已经不亚于一场战争。

2.金融领域网络攻击呈高发态势

金融业是我国最早使用信息技术的行业之一,信息技术的广泛使用极大促进了金融业务发展。同时,金融领域网络信息安全也面临极大挑战。一是金融交易安全事件频发。据公开资料报道,2016年,银行卡盗刷7000多起,涉及商业银行和第三方支付;2016~2017年,多家商业银行发生票据违法犯罪案件,一个重要原因就是其电子票据未用密码技术规范保护。二是金融信息基础设施风险攀升,金融领域成为网络攻击的重灾区。据公开资料报道,2016年,黑客攻击国际银行结算系统(SWIFT),窃取多国央行资金达数十亿美元;日本和我国台湾等地数百台ATM机被盗取。三是个人信息泄露事件突出。2017年,美国征信巨头艾可菲泄露高达1.43亿美国居民个人信息;印度身份证管理局生物身份识别系统受到攻击,导致1亿条银行账户信息记录遭泄露。四是新技术带来安全新挑战。随着云计算、大数据、移动终端等新技术的快速发展,金融基础设施正由传统的集中式、封闭化向分布式、集群化转变,带来更多不确定风险。

3.关键核心技术受制于人成为最大隐患

我国信息技术产品严重依赖进口,近期爆发的中兴事件,就是卡住了我们的脖子,让我们深切感到“缺芯少魂”之痛。金融领域关键核心技术高度集中在少数几个国外厂商,一旦发生国际贸易争端导致供应链断裂,或者一旦有人利用这些软硬件产品的后门、漏洞或者故意植入的病毒实施大规模网络攻击,就会造成金融业信息网络系统局部甚至整体瘫痪或者重要数据泄露,将严重威胁我国经济发展、社会稳定和国家安全。

在别人的墙基上砌房子,再大、再漂亮也经不起风雨。核心技术和产品不自主可控,就不可能有真正的安全。此外,国外产品也并非“定海神针”。2013年,由于某国企业提供的主机内存清理机制存在缺陷,某商业银行数据中心主机系统出现故障,出现了全国性业务中断,持续时间超过1个半小时。与此同时,在一些技术环节已经形成“产品销售+运营维护”的封闭技术模式,金融机构内部人员不掌握产品核心部件的管理权限,无法及时了解和排除产品存在的安全风险。因此,网络安全不能靠别人,只能靠自己,构建自主可控的信息技术体系,势在必行、刻不容缓。

着力构建安全可控网络信息技术体系

不自主一定不可控,也不可能安全。自主解决的是技术所有权上的可控,要实现网络安全可控还得有经得起对抗的“撒手锏”。密码就是网络安全的核心技术,是安全可控的重要基础。因此,要建立健全网络空间密码保障体系,构建形成以密码为基础的安全可控技术体系。

1.这是由密码的属性功能和特殊地位决定的

第一,密码是“基因”,是网络安全的核心技术和基础支撑,是要发挥保底作用的。密码具有真实性、机密性、完整性和不可否认性等属性,可以完整实现防假冒、防泄密、防篡改、抗抵赖等网络安全需求。通过合规正确有效的使用密码技术、密码模块和产品、密码基础设施、密码服务,能够有效解决网络安全问题,满足安全需求。中国工程院沈昌祥院士讲过一个观点,密码是网络免疫体系的基因,是DNA,是实现网络从被动防御向主动免疫转变的必由之路。密码就像空气一样无处不在,平时感觉不到,但缺了密码,安全问题就会立马凸显。

第二,密码是“信使”,是构建网络信任体系的重要基石。智能社会,万物互联、人机互认、天地一体,网络空间的信任建立主要依靠密码运算和安全协议,解决人、机、物的身份标识、身份认证、统一管理、信任传递、行为审计等,实现安全、可信、可控的互联互通。
第三,密码是“卫士”,是国之重器,是实现自主可控弯道超车的重要“突破口”。密码技术与核技术、航天技术并称为国家的三大“撒手锏”技术,是重要战略性资源。甲午海战期间,清军电报密码被日军破译,造成清军惨败,加速了清朝灭亡。第一世界大战期间,英国情报机构截获并破译了德国建议墨西哥对美宣战的电报,导致美国参战,使得战争发生重大转折。可以说,密码是金融信息领域核心技术设备自主可控的必选项,不用密码,或者不用自主可控的密码,就好比一个房子,其他部分建得再牢,但锁是简易锁,或者钥匙是别人的,不可能安全可控。

金融领域网络安全体量庞大,要以系统性、整体性和协同性为原则,同步规划建设以密码保障系统为基础支撑的信息安全保护系统,切实提升密码安全防护能力。近年来,我国商用密码基础理论研究取得了一系列原创性科研成果,SM2和SM9签名算法等商用密码算法已经成为ISO/IEC国际标准,密码产品种类齐全,供给质量不断提升,能够满足现有各类信息系统的安全需求,这为支撑和护航金融领域发展提供了坚实基础和可靠保障。

2.努力在金融领域构建以商用密码为基础的安全可控技术体系

这需要综合发挥密码在保安全、助融通、强监管、促创新方面的重要作用。第一,在保障金融稳定和财产安全上密码发挥重要作用。在现代金融模式下,越来越多的金融服务通过互联网、移动端完成,金融机构存储的金融数据也呈现几何式高速增长,需要密码对真实性、机密性、完整性、抗抵赖性等的保障能力,满足数据加密、身份鉴别、访问控制、取证溯源等安全需求,保障资金和数据安全。例如,在网上银行、电子保单和网上证券安全方面,通过基于密码技术的数字证书、数字签名、电子签章、时间戳等,提供身份认证、以及业务数据和电子合同的机密性完整性保护。

第二,在助力金融发展和安全互通上密码发挥重要作用。依托于互联网发展的现代金融是互联互通的重要方向,银联、网联、大小额支付系统、超级网银系统等将不同金融机构、不同终端连接在了一起,人、机、物的可信互认、安全互通都离不开密码。例如,在供应链融资(也称供应链金融)业务中,通过以密码为基础的区块链技术,利用多重签名、不可篡改等特点,实现信息、产品、资金流向的可见、可传导、可追溯、可审计,甚至自动偿付,提高流转效率、灵活性和透明度,大大降低交易成本。

第三,在加强金融监管和体系建设上密码发挥重要作用。金融风险呈现隐蔽性、复杂性特点,密码因其独特的作用将成为金融监管的利器。一方面,基于密码的数字签名技术能够提前堵塞可能存在的业务风险漏洞,并为金融监管提供有力的法律证据;另一方面,密码能够支撑建设统一的信用体系,提供交易记录保全、行为安全审计等功能,有效识别和监管金融机构的信用风险,实现金融数据的真实可信和安全共享。

第四,在促进金融应用和科技创新上密码发挥重要作用。一方面,密码技术因其解决网络安全问题的经济性、便捷性、有效性,以及在处理海量数据机密性保护、复杂网络实体认证等方面具有的独特优势,将成为金融新技术、新业态的重要支撑。另一方面,密码技术本身也是金融科技创新的重要内容。例如,密码技术一直是实现数字货币技术安全和可信的核心要素。

持续推动金融领域密码全面规范应用

2013年,金融和密码主管部门共同努力,制定发布支持SM系列算法的PBOC3.0标准,推动金融领域密码应用,取得显著成效。为深入贯彻习近平新时代中国特色社会主义思想和党的十九大精神,落实总体国家安全观和网络强国战略,国家对密码应用与创新发展作出总体部署,努力构建以密码技术为核心、多种技术相互融合的新网络安全体系,发挥好密码作为网络安全核心技术的作用;努力建设以密码基础设施为支撑的新网络安全环境,以密码基础设施作为底层设施,来支撑网络安全的相关需求;努力形成安全互信、开放共享的新网络安全文明,树立用密码保护网络安全的意识。一分部署、九分落实。对金融领域来说,就是要以“钉钉子”精神抓好国家重要部署的贯彻落实。

1.坚定不移推进应用

推进金融领域密码应用,要切实提高政治站位,把各项部署落到实处,形成实效。关键是坚持以应用为先导,以应用促创新,只有用得多了才能好用,才能不断迭代,实现技术上的超越。金融机构安全可控工作,不能局限于技术部门讨论,一定是管理层和应用部门大力推动使用。

2.切实加强源头管理

一是把住规划立项的源头。银行、证券、保险领域主管部门要制定密码应用实施方案,各金融机构要将密码应用的要求纳入到本单位科技规划和信息化工作中来,按照国家法律法规要求在系统立项审批时把住关口。二是把住产品采购的源头。今年1月1日实施的《政务信息系统政府采购暂行管理办法》明确,政府采购应当落实国家密码管理要求,同步规划、同步建设、同步运行密码保障系统并定期进行评估,要切实把要求落到位。三是把住产品生产的源头。通用处理器、操作系统、数据库、中间件、浏览器等基础软硬件和金融信息设备要在产品研制之初,就强化安全体系设计特别是密码使用的设计,从底层上支持商用密码应用,形成良好生态。

3.梳理建立任务台账

金融主管部门要把本部门本领域密码应用的底数摸清,建立总台账;哪些机构、哪些系统要推进密码应用,总体达到什么目标,要列出任务单、时间表、路线图、盯住不放。金融机构要建立自己的分账,涉及几个系统、多少用户,每年完成多少,做到心中有数、记录在案。建好台账后,要根据台账抓落实,年年查翻销账,争取5年内有大的成效。

4.严格落实“三同一评”

信息化发展要与网络安全、密码应用同步考虑。对于新建信息系统,主管部门和责任单位一定要落实好“同步规划、同步建设、同步运行密码保障体系”这一要求,这是不能破的工作底线;对存量系统要有计划、有步骤升级改造。要定期开展密码应用安全性评估,保证信息系统密码应用方案的系统性、科学性,保证密码应用的合规性、正确性、有效性,用得对不对、好不好,拿专业机构的测评结果说话,不能拍脑袋,要努力形成有依据、有监管、有评价的商用密码管理闭环。

5.实现重要关键突破

金融领域密码应用推广涉及种类多、情况差异大。银行业要坚持分类推进、分步实施,先在部分技术力量强的金融机构进行试点,发挥国有大型银行机构的示范带动作用,为中小银行提供可资借鉴的经验;要继续巩固良好形势,逐步扩大发卡比例和范围;要集中精力啃下核心业务系统改造这根硬骨头,从系统架构转型上找出路,从密码应用创新上想办法,汇聚各方力量集中攻关。证券业、保险业要抓紧进行可行性验证,可选择大型证券公司、保险公司备份系统开展验证,成熟后尽快启动规模化应用。对于互联网金融、第三方支付等非银金融机构,要抓住支付宝、微信支付等龙头企业,形成可供全行业参考的指导方案,并藉此推动形成使用商用密码的用户生态和网络环境。