新闻详情

News

合规视角下的金融商密应用:金融业如何稳健前行?
行业动态
2024-10-28

进入数字经济时代,“互联网➕”金融科技快速发展,数字化程度日渐提升,金融安全既是国家安全的重要组成部分,也密切关系国计民生,成为经济平稳健康发展的基础。商用密码技术是实现金融科技安全与可信的核心要素,是保障金融网络安全的关键,是金融科技创新应用的基石。

近日《金融业商用密码技术应用发展报告(2023-2024)》发布,报告认为,商用密码技术作为保障金融网络与数据安全的基石,未来仍存在广阔应用前景。

政策推进金融行业商用密码有序发展

作为经济的血脉,金融行业对信息安全有着极高的要求。安全牛日前面向各行业开展了针对商用密码技术创新应用现状的问卷调查,发现金融行业八成以上的受访用户已选择在与实际业务相关的信息系统中开展商密应用建设。金融商密应用的快速发展,离不开国家政策的强力推动。

《证券期货业网络和信息安全管理办法》

【施行时间】2023/5/1

【主要内容】核心机构和经营机构应当按照国家及中国证监会有关要求,开展信息技术应用创新以及商用密码应用相关工作。

《金融标准化“十四五”发展规划》

【发布时间】2022/1/23

【主要内容】推动金融信息科技外包服务评价、金融机构安全运营中心建设、金融数据分级、生命周期安全与评估、商用密码应用等标准供给与实施。

《监管数据安全管理办法(试行)》

【发布时间】2020/9/23

【主要内容】银保监会建立健全监管数据安全协同管理体系,推动银保监会有关业务部门、各级派出机构、受托机构等共同参与监管数据安全保护工作,加强培训教育,形成共同维护监管数据安全的良好环境。

《中国银保监会办公厅关于预防银行业保险业从业人员金融违法犯罪的指导意见》

【发布时间】2020/2/24

【主要内容】银行保险机构要制定内部网络安全管理制度和操作规程,建立监督制约机制,确保制度得到刚性执行。加强数据安全管理,严格控制数据授权范围,实现数据分类、重要数据备份和加密。

金融商用密码应用存在诸多挑战

金融商用密码应用之路并非坦途,面临着安全合规要求日益复杂、管理不到位、应用不规范以及应用不安全等多重挑战。

1.商用密码安全合规要求严格

我国已形成较为完善的商用密码标准体系,截至目前,已发布密码行业标准 144 项,密码国家标准 43 项,对金融商用密码安全提出了更高的要求。

2. 商用密码管理不到位

用户单位需要确保员工使用强密码来保护信息数据和资产,但很多员工往往会选择弱密码或者重复使用密码,增加了密码泄露和入侵的风险。另外,不少信息系统尚未采用密码技术进行保护,这一现状令人堪忧。

3. 商用密码应用不规范

即便是在使用了密码技术的系统中,不规范的应用也屡见不鲜。在对重要领域信息系统的安全性测评中,不符合规范的比例曾高达85%,这直接威胁到信息系统的整体安全。

4.商用密码应用不安全

现在仍有大量系统在使用已被证明不安全的加密算法,如RSA1024、MD5等,这些“过时”的密码技术如同虚设的防线,难以抵御现代黑客的攻击。

5. 商用密码应用成本高、难度大

密码产品繁多、系统改造困难且成本高昂,以及密码资源管理分散、难以有效维护,使得信息安全形势更为严峻。

多规管理融合实现全面合规

在数字化经济蓬勃发展的背景下,商用密码作为信息安全的基石,其重要性日益凸显,已经成为保障金融行业信息系统和数据安全不可或缺的基础设施。面对商用密码应用的复杂环境,密评作为一项重要机制,正逐渐成为商用密码合规管理的有力抓手。密评的实施,不仅促进了商用密码技术的规范化应用,还增强了金融行业对安全威胁的防御能力。

2023年7月1日起实施的《商用密码管理条例》明确规定密评、关保、等保应当加强衔接,避免重复评估、测评。随着众多政策要求多监管、强监管和日益严峻的安全风险,对运营单位网络安全提出了更高要求,满足监管的难度越来越大。不仅如此,运营单位还面临着一些运营单位存在着技术方法和管理措施不聚焦、无法形成动态管理机制、等保密码关保等合规验证工作重复、合规管理成本高等风险。

安全是整体,合规是基准。道普信息风险管控专家建议,可以借助专业的第三方风险管控服务,采取多规管理融合手段,基于网络安全责任制、等级保护、关基保护、密码应用、数据安全、个人信息保护等监管要求,从“合规规划、合规实施、结果管理、合规跟踪”四个维度,开展等保、密码、关保测评等安全性评估,实现合规工作的规范化,降低合规管理成本,满足监管部门各项网络安全要求,保障信息化管理对象合规运行,减少监管部门的通报,实现金融行业全面合规。

随着技术进步与政策环境的优化,商用密码技术无疑将在金融领域扮演愈加关键的角色,助力金融行业的数字化转型。与此同时,商用密码技术还将为数字经济增添新的动力,助力我国在全球数字经济格局中赢得竞争优势。多规管理的融合不仅有助于金融商用密码技术的发展,也将为整个数字经济的繁荣奠定坚实的基础。