国密局霍炜:新时代,促进密码与金融融合发展
移动支付网 2018/5/8 11:59:20

4月24日,由北京移动金融产业联盟、移动支付网联合主办的2018第二届中国移动金融发展大会在北京召开,本次大会以《严“政”以待,共建移动金融新生态》为主题,国家密码管理局商用密码管理办公室副主任霍炜以《新时代,促进密码与金融融合发展》为主题发表演讲。

密码与金融深度融合是必然要求

霍炜认为,密码与金融深度融合是必然要求。金融的本质是价值交换。密码的功能是信息保护和安全认证。在漫漫历史长河中,金融一直承载着价值,密码一直保护着信息。从价值交换使用信息技术的那天起,就注定了金融和密码的交织与融合。信息技术与金融结合的广度和深度,很大程度上能够反映和预测金融领域密码应用的广度和深度。

综合来看,金融和密码的本质属性与发展历程共同决定了密码在金融领域,就像空气一样,将无处不在,离开密码寸步难行。保护金融交易安全、构建金融信用体系、发展数字货币技术、推动价值网络传递,都离不开密码的基础支撑。

习近平总书记指出,金融是国家重要的核心竞争力,金融安全是国家安全的重要组成部分,并要求紧紧围绕服务实体经济、防控金融风险、深化金融改革三项任务。金融领域密码应用涉及网络安全、业务发展和金融监管,关系各方利益。对密码在金融领域的作用,霍炜认为主要有4个方面:保安全、助融通、强监管、促创新。

所谓保安全,就是密码可以为金融领域提供系统性安全防护。在银行卡交易安全方面,密码用于IC卡——终端机具——后台的安全认证、报文的机密性完整性保护、安全传输通道建立等。在网上银行和非银行支付安全方面,密码用于身份认证、敏感信息和交易数据保护、交易签名、云平台安全、通道安全、终端安全等。在金融关键基础设施安全方面,密码为银行业各中心节点、核心系统、电子票据系统、征信系统、银行业清算机构和非银行支付机构支付清算平台等提供安全支撑。

所谓助融通,就是密码技术可以有效解决网络信任问题,成为金融流通的助推器和顺滑剂。例如,在线上信贷中,通过密码可以实现身份认证,保障电子合同的真实性。在供应链融资中,通过密码和以密码为基础的区块链技术,利用多方签名、不可篡改等特点,实现信息和资金流向的可追溯、可审计,大大降低交易成本。

所谓强监管,就是在以信息形式承载的各类金融业务中,密码将成为金融监管的利器。可以提前堵塞业务风险,例如电子票据系统利用密码保护票据真实性、交易真实性,堵塞造假漏洞;可以为监管提供法律证据,如利用密码实现“可靠的电子签名”,作为符合《电子签名法》要求的法律证据;可以支撑建设统一的信用体系,如利用密码实现交易记录保护、行为安全审计等;可以实现金融数据的真实可信和安全共享,如利用密码解决数据的真实性、完整性问题,实现金融基础设施的安全互联互通。

所谓促创新,就是通过密码提供的安全和信任机制,可以有力支撑金融新技术、新业态的安全健康发展。例如,数字货币体系中,数字货币的表达和防伪、资产确权、安全支付、敏感数据保护、货币监管中的身份权限管理等,都需要密码支撑。又例如,在云金融服务中,利用密码构建云证书体系,建立具有良好信任基础和安全环境的移动金融生态。

综合来看,密码是系统性保障金融网络安全,促进资金融通、加强金融监管,以及支撑金融创新的关键技术和有效途径。维护好金融安全,完成好服务实体经济、防控金融风险、深化金融改革三大任务,密码责无旁贷、大有可为。

密码与金融深度融合有坚实基础

霍炜认为,密码与金融深度融合有坚实基础。在密码科技和产业方面,形成了较完善的技术和标准体系;2200多款密码产品通过审批,形成了较完整的产业链条和产品体系,特别是形成了满足金融需求的终端产品和密码设备品类体系。在密码应用方面,商用密码在金融、能源、交通、通信、公共安全等重要领域得到广泛应用。密码支撑发电、输电、变电、配电、用电等各环节的安全运转,使用商用密码的智能电表达4.5亿多只;使用商用密码的第二代居民身份证已成功换发15亿张,没有出现一张假证;基于商用密码的云CA体系正逐步实现数十亿网络实体的认证服务。在管理支撑能力方面,密码管理体制不断完善,产品检测能力和系统测评能力显著提升,全社会密码意识显著增强。

为切实维护金融领域网络安全,在金融和密码主管部门的共同努力下,金融领域密码应用实现了重要突破,积累了成熟经验。制定发布了支持SM系列算法的PBOC3.0标准;开展了两批密码应用示范工程;累计发行支持SM系列算法的金融IC卡2.3亿张,网银安全设备7664万个,分别完成ATM/POS终端升级改造57万余台、342万余台,完成密码升级改造并接入银联跨行交易系统的机构超1100家,而5年前这一数字几乎为“零”。另外,在非银行支付中,累计发放数字证书7000万张,日均使用量近150万笔。

近几年,移动支付安全成为大众关注的焦点。当前,移动支付安全存在三方面的突出问题:一是移动终端安全防护弱,缺乏安全的计算环境;二是移动支付方案参差不齐,密码算法和安全协议使用不规范,安全性难以保证;三是支付基础设施安全防护和支撑能力不足。

为有效应对以上问题,国家密码管理局、人民银行、中国银联会同银行、第三方支付机构和产业单位一道,从应用侧和供给侧共同发力,在移动支付密码应用方面取得了显著成果。

在应用侧,开展了“云闪付”、条码支付、非银行支付的密码应用试点,研究形成了包括终端侧、系统/平台侧、安全通道、支付方案等在内的密码应用框架、技术要求和建设方案。完成了“云闪付”试点相关后台系统的密码升级改造和业务验证,分别形成了适用于“云闪付”二维码支付和第三方移动终端支付的专用签名技术和安全认证方案。

在供给侧,形成了支撑密码运算和密钥安全存储,满足不同需求的产品类型,包括支持手机银行应用的各类智能密码钥匙,TF卡/SIM卡等形态的硬件密码模块等等。特别是近两年研发了支持SM系列算法的通用芯片和实现密钥分割、安全存储的软件密码模块,为移动终端密码的广泛应用提供了基础软硬件环境。

此外,国密局还在《网络安全法》以及相关文件的制定和推出等构建完备法规政策体系方面做了大量工作。

密码与金融深度融合仍需努力

尽管金融领域先试先行,在密码应用方面取得了显著成效。但与新时代金融业发展需求相比,还存在密码应用不广泛不合规、高质量密码供给不足等问题,密码应用推进任重道远。霍炜认为,推动金融业与密码深度融合、协同发展方面仍然有6个方面可以进一步落实:

第一,提高站位,坚决落实。要坚持总体国家安全观,实施网络强国战略。要以更强的决心,毫不动摇、坚定不移地推进金融领域密码应用,把各项部署落到实处,抓出实绩,形成实效。

第二,规划引领,战略融合。金融主管部门和密码管理部门要加强顶层设计和沟通协调,形成指导未来五年密码应用的发展规划,做到政策协调、步调一致。

第三,顺应形势,创新驱动。推动创新链、产业链、价值链的整合,为密码与金融业的创新发展提供新的融合模式。一方面需要推动业务链创新,另一方面需要产业链创新。坚持问题导向,在构建安全可控的信息技术体系中,实施密码优先发展战略,实现金融科技和密码技术领域的“弯道超车”。

第四,分类施策,全面推进。要构建金融基础设施密码支撑体系,研究并构建数字货币密码支撑体系,充分认识“产”和“用”的辩证关系,通过扩大金融领域的密码应用,加速产业革新换代。

第五,依法管理,强化评估。金融行业要进一步加强密码应用的政策和标准制定,抓好密码应用安全性评估,对影响或者可能影响国家安全的密码产品、服务和保障系统,还要开展安全审查。

第六,协同联动,形成合力。金融机构要切实做到业务与安全同考虑,安全与密码同部署;广大用户要提升用密码保护网络安全和个人信息安全意识;系统集成和服务商要同步规划同步考虑密码支撑体系;产品提供商要充分考虑密码技术与网络安全需求的有机结合,制造更多安全可靠的好产品。


展开全文
相关阅读
资讯查询取消