在信息技术日新月异的今天，商用密码作为维护国家信息安全的关键技术，正逐步成为数字经济时代的重要基石。近日，由工业和信息化部网络安全产业发展中心主办的“2024信息技术应用创新发展大会暨解决方案应用推广大会”在天津圆满落幕。会上，一系列重大成果和创新平台的发布成为亮点，其中，由道普信息联合中金金融认证中心有限公司、山东省国土空间数据和遥感技术研究院共同打造的“山东省自然资源厅商用密码应用支撑平台”， 凭借其在商用密码应用领域的突出表现，成功入选工业和信息化部“2023年信息技术应用创新应用示范案例”。

该案例创新应用的“密码服务平台+密码资源池”建设模式，实现了密码资源的统一管理和应用，采用密码环境统一建设、密码资源共享共用的模式，为一定范围内，相同环境下的密码技术规模化应用提供了应用标准。这一模式不仅极大地提高了密码技术在特定范围内的规模化应用效率，还为金融行业及其他关键领域树立了密码应用的新标杆。

一、金融行业商用密码发展有序推进

金融行业作为国民经济的核心，其信息系统的安全稳定运行对于保障国家经济安全、维护金融市场稳定具有重要意义。金融领域密码广泛应用于身份认证、数据加密校验等各个环节，是维护金融行业网络安全与数据安全最重要手段之一。密码技术能够从算法、协议、密钥等多维度保障金融安全，其自身安全可控程度决定着整个金融行业安全可控基础是否牢靠。

近年来，我国从政策层面相继发布多项金融行业商用密码相关的法律法规和制度标准，为商用密码应用推广应用到金融领域提供了强有力的制度支撑，推动金融行业信息安全的高速发展。

《证券期货业网络和信息安全管理办法》

【施行时间】2023/5/1

【主要内容】核心机构和经营机构应当按照国家及中国证监会有关要求，开展信息技术应用创新以及商用密码应用相关工作。

《金融标准化“十四五”发展规划》

【发布时间】2022/1/23

【主要内容】推动金融信息科技外包服务评价、金融机构安全运营中心建设、金融数据分级、生命周期安全与评估、商用密码应用等标准供给与实施。

《监管数据安全管理办法（试行）》

【发布时间】2020/9/23

【主要内容】银保监会建立健全监管数据安全协同管理体系，推动银保监会有关业务部门、各级派出机构、受托机构等共同参与监管数据安全保护工作，加强培训教育，形成共同维护监管数据安全的良好环境。

《中国银保监会办公厅关于预防银行业保险业从业人员金融违法犯罪的指导意见》

【发布时间】2020/2/24

【主要内容】银行保险机构要制定内部网络安全管理制度和操作规程，建立监督制约机制，确保制度得到刚性执行。加强数据安全管理，严格控制数据授权范围，实现数据分类、重要数据备份和加密。

二、金融商用密码应用存在诸多挑战

金融商用密码应用之路并非坦途，面临着安全合规要求日益复杂、管理不到位、应用不规范以及应用不安全等多重挑战。

1.商用密码安全合规要求严格

我国已形成较为完善的商用密码标准体系，截至目前，已发布密码行业标准 144 项，密码国家标准 43 项，对金融商用密码安全提出了更高的要求。

2. 商用密码管理不到位

用户单位需要确保员工使用强密码来保护信息数据和资产，但很多员工往往会选择弱密码或者重复使用密码，增加了密码泄露和入侵的风险。另外，不少信息系统尚未采用密码技术进行保护，这一现状令人堪忧。

3. 商用密码应用不规范

即便是在使用了密码技术的系统中，不规范的应用也屡见不鲜。在对重要领域信息系统的安全性测评中，不符合规范的比例曾高达85%，这直接威胁到信息系统的整体安全。

4.商用密码应用不安全

现在仍有大量系统在使用已被证明不安全的加密算法，如RSA1024、MD5等，这些“过时”的密码技术如同虚设的防线，难以抵御现代黑客的攻击。

5. 商用密码应用成本高、难度大

密码产品繁多、系统改造困难且成本高昂，以及密码资源管理分散、难以有效维护，使得信息安全形势更为严峻。

三、多规管理融合实现全面合规

在数字化经济蓬勃发展的背景下，商用密码作为信息安全的基石，其重要性日益凸显，已经成为保障金融行业信息系统和数据安全不可或缺的基础设施。面对商用密码应用的复杂环境，密评作为一项重要机制，正逐渐成为商用密码合规管理的有力抓手。密评的实施，不仅促进了商用密码技术的规范化应用，还增强了金融行业对安全威胁的防御能力。

2023年7月1日起实施的《商用密码管理条例》明确规定密评、关保、等保应当加强衔接，避免重复评估、测评。随着众多政策要求多监管、强监管和日益严峻的安全风险，对运营单位网络安全提出了更高要求，满足监管的难度越来越大。不仅如此，运营单位还面临着一些运营单位存在着技术方法和管理措施不聚焦、无法形成动态管理机制、等保密码关保等合规验证工作重复、合规管理成本高等风险。

安全是整体，合规是基准。道普信息风险管控专家建议，可以借助专业的第三方风险管控服务，采取多规管理融合手段，基于网络安全责任制、等级保护、关基保护、密码应用、数据安全、个人信息保护等监管要求，从“合规规划、合规实施、结果管理、合规跟踪”四个维度，开展等保、密码、关保测评等安全性评估，实现合规工作的规范化，降低合规管理成本，满足监管部门各项网络安全要求，保障信息化管理对象合规运行，减少监管部门的通报，实现金融行业全面合规。

展望未来，随着商用密码应用的不断深化，其在数据保护方面的作用将愈发凸显。道普信息将凭借其在商用密码领域的深厚积累，持续推动密码技术的发展，强化信息系统的安全防护能力，为金融行业乃至整个国家的数字经济发展贡献力量。商用密码，不仅是技术革新的一部分，更是守护国家信息安全的坚强盾牌。让我们共同期待，商用密码在新时代下的辉煌篇章。