霍炜:密码是现代金融安全的核心
2020/11/24 18:29:29

2019年10月26日,习近平总书记签署第35号主席令,颁布实施《中华人民共和国密码法》。密码维护国家主权、安全和发展利益,维护网络和信息安全已上升为国家法律。人民银行历来高度重视密码工作,率先实施密码强芯工程,走出了一条既符合国际惯例又具中国特色的金融密码应用与创新之路。今年,人民银行又举办“金融密码杯”全国密码技术大赛,立足数字金融发展新赛道,聚焦金融密码优秀人才选拔锻炼,着力打造高水平竞技交流平台,必将更大程度推动金融领域密码应用创新、技术创新、产业创新和人才创新。

清华大学计算机科学与技术系霍炜

金融业面临的信息安全挑战

金融电子化奠定了金融信息化基础,金融网络化实现了金融信息化跨越发展,金融科技融合开启了数字金融新阶段。数字金融将呈现支付移动化、服务场景化、风控数据化、系统开放化、平台生态化、业务智能化等特点。以云计算、大数据、人工智能、区块链为代表的信息技术深度嵌入到金融各领域,金融业在享受数字金融带来便利的同时,也面临着迥异以往的安全挑战。

一是金融海量数据安全是最大隐患,特别是生物特征在内的个人隐私与商业秘密保护、安全分析利用等面临严峻威胁。

二是金融服务云平台安全成为重点,特别是多源数据关联及深度挖掘对用户画像的分析应用,给金融安全带来新挑战。

三是数字资产和财富安全越发关键,数字货币技术的发展,将重构传统金融运营方式、服务模式,传统金融风控技术、监管手段、安全防护等,都将面临新的安全挑战。

四是银行业务创新带来新安全风险,特别是金融API服务接入各类移动化智能化设施,海量金融移动客户端应用安全成了关键环节,多元金融产品造成金融机构安全边界模糊,网络安全风险跨界跨域传递成为突出问题。

密码是现代金融安全的核心

金融遵从安全性、流动性、效益性三原则,安全性永远排在第一位。确保金融网络和信息系统安全,是金融业安全工作的重要任务,是金融密码的神圣使命。

从价值交换使用信息技术的那天起,就注定了金融和密码的交织与融合,密码对金融来说有四个功能。

一是保安全,密码可以为金融领域提供系统性安全防护,在银行卡交易安全方面,密码用于IC卡—终端机具—后台的安全认证、报文的机密性完整性保护、安全传输通道建立等。在网上银行和非银行支付安全方面,密码用于身份认证、敏感信息和交易数据保护、通道安全、终端安全等。在金融信息基础设施安全方面,密码为银行业各中心节点、核心系统等提供安全支撑。

二是助融通,密码技术可以有效解决网络信任问题,成为金融流通的助推器和顺滑剂。例如,在供应链融资中,区块链技术利用多方签名、不可篡改等特点,实现信息和资金流向的可追溯、可审计。

三是强监管,利用密码实现“可靠的电子签名”,为监管提供法律证据。

四是促创新,通过密码提供的安全和信任机制,可以有力支撑金融新技术、新业态的安全发展。例如,数字货币的表达和防伪、资产确权、安全支付、敏感数据保护、货币监管中的身份权限管理等,都需要密码支撑。

着眼未来,推动密码与金融体系深度融合

数字金融时代,金融科技运用的重大变革、金融核心系统的迭代升级、数字货币体系的创新构建等,都对金融密码科技创新提出新要求。特别是面对世界百年未有之大变局,面对全球计算架构创新等带来的颠覆性技术冲击,必须放眼全球、着眼未来,积极推动密码与金融体系的深度融合。

1.推动密码与金融领域深度融合是时代所需

当前,以信息网络技术为依托、以生产要素数据化为特征的数字经济快速发展,已成为世界大国博弈的新赛道,也是我国实施经济高质量增长的新部署。数字经济发展与网络空间深度融合,高度依赖信息网络技术。金融是数字经济发展的核心关键领域,密码是维护网络空间安全的核心技术支撑。金融稳定着经济,密码维护着安全。金融的本质是价值交换,密码的功能是安全防护。密码技术与金融体系的深度融合,将共同筑牢数字经济的安全基石。金融传递着价值,密码守护着信任,密码科技与金融科技的深度融合,将共同构建数字经济的信任纽带。金融科技催生密码迭代创新,密码赋能金融安全发展,“金融密码杯”全国密码技术大赛将极大拓展金融密码融合的新空间。

密码与金融的深度融合将呈现四个特点。

一是融合追求体系化,立足金融信息系统和信息网络架构和安全需求,对密码融合从顶层进行整体设计。既要实现密码与金融信息化产品研发工具的融合,实现密码与金融信息化产品功能的融合,还要实现密码与金融系统的融合,将密码功能融入金融数字生态和业务流程。

二是融合要求同步化,立足在金融信息化产品设计研制、系统建设之初进行密码技术融合。将密码融入系统组件以及通信协议、存储协议、数据处理协议、业务交互协议中,使基于密码的安全机制成为其内生要素和必选环节,而非在事后进行“外挂式”、“补丁式”追加。

三是融合遵循标准化,立足金融标准与密码标准间的协调性,标准融合是根本技术保障。在国外,密码标准与信息化标准融合比较充分,NIST出台的FIPS和SP800系列密码算法、协议、应用指南等标准,在ISO/IEC、IETF、IEEE、EMV、ITU-T、3GPP等不同组织、行业的国际标准中被广泛采用,使得其密码技术渗透到全世界金融、电信、互联网和工业应用的各个领域,也是美国作为密码强国的主导力、控制力的体现。

四是融合呈现动态化,密码与金融信息化的融合是动态变化、扭结互助、螺旋发展的。包括密码在内的任何安全技术,其安全强度都是会随时间而改变,要定期开展密码应用安全性评估,审时度势调整密码策略,绝不能秉持“一次投资、永远安全”的观念。

2.推动密码与金融领域深度融合关键在创新

随着云计算、大数据、区块链、人工智能、5G等新技术的应用,将带来金融业务全流程科技运用的重大变革,金融业核心业务系统升级优化、数字货币体系创新构建等,对密码应用和安全防护提出新需求。要准确识变、科学应变、主动求变,聚焦金融安全新变化新趋势新需求,创新密码算法、密码协议、密码工程的新技术新方法新应用,突破一批密码关键技术和卡脖子工程,比如支撑区块链技术的环签名、属性签名、零知识证明、多方安全计算等密码技术。要始终立足金融科技、业务发展的安全需求,贴近应用促创新,规模迭代保安全,确保密码使用优质高效,确保密码管理安全可靠。

“金融密码杯”全国密码技术大赛,呈现了一批优秀解决方案和技术,但是还有值得总结和提升的地方。

一是多数参赛方案对金融应用场景研究不深,无论是需求把握还是条件约束都挖掘不够,参赛成果在功能、性能上都满足不了数字金融实际应用,模拟实现不够精致,大多表明了算法实现的正确性,却没有体现系统的特点。真正的创新来源于实践的理论,必须深入到丰富多彩的金融业务场景,深挖需求,贴近创新。

二是在金融密码算法安全的前提下,密钥安全是金融密码系统安全的核心,是金融密码系统设计的关键。参赛方案基本没有一个明确进行了密钥管理系统设计,有密钥没有密钥管理,这是致命伤。

3.推动密码与金融领域深度融合根本靠人才

网络安全的本质在对抗,对抗的本质在攻防两端的能力较量,较量的关键在人才。“金融密码杯”全国密码技术大赛,发现了一批优秀人才和团队,凝聚了一批优秀企业和产业。面对密码与金融深度融合的战略需求,必须高度重视密码人才培养和产业生态构建。

一方面,要推动高等院校、科研院所和企业深度合作,打造多种形式的高层次人才培养平台,培育一批领军人物和高水平创新团队。另一方面,要有效汇聚国际一流开发者和用户资源,打通创新链、应用链、价值链,构建金融密码产业新生态,推动金融密码集成创新和融合应用。

金融密码攻防对抗是激烈的战线,无战争和平之分,无前沿后方之别。一代代密码人将忠诚镌刻于无形战线,虔诚而执著,至信而深厚。数字金融时代,密码人将不忘初心,不辱使命,继续燃烧着信仰的火焰,澎湃着奋进的力量,会同金融工作者一道,共同打造数字金融时代自主可控安全领先的密码防线。

(根据霍炜在“金融密码杯”2020全国密码技术大赛颁奖暨专家论坛上的发言整理)

本文转载目的在于知识分享,版权归原作者和原刊所有。如有侵权,请及时联系我们删除。

展开全文
相关阅读
资讯查询取消