圍繞學習貫徹習近平總書記網絡強國戰略思想，根據國家商用密碼應用與管理政策要求，現就金融領域密碼應用談三點認識與體會。

　　深刻認識金融領域網絡信息安全形勢

　　當前，網絡安全威脅日益增多，數據泄露事件層出不窮，網絡詐騙案件屢禁不止，關鍵基礎設施頻遭攻擊，金融領域網絡信息安全面臨嚴峻挑戰。

　　1.網絡安全風險威脅持續加劇

　　在信息時代，網絡空間已成為繼陸、海、空、天后的第五大主權空間，已成為各國爭相搶奪的新疆域、戰略威懾的新領域、軍事角逐的新戰場。2010年，伊朗核設施被“震網”病毒攻擊，至少1/5離心機報廢。2015年，烏克蘭電網遭受惡意代碼攻擊，造成該國1/4電站癱瘓6小時，一些地區進入緊急狀態。有專家說，網絡攻擊可以讓“茶杯里的風暴”變成全社會的大風暴，繼而發生各種各樣的“蝴蝶效應”，嚴重影響社會穩定和國家安全，網絡攻擊的破壞程度已經不亞于一場戰爭。

　　2.金融領域網絡攻擊呈高發態勢

　　金融業是我國最早使用信息技術的行業之一，信息技術的廣泛使用極大促進了金融業務發展。同時，金融領域網絡信息安全也面臨極大挑戰。一是金融交易安全事件頻發。據公開資料報道，2016年，銀行卡盜刷7000多起，涉及商業銀行和第三方支付；2016～2017年，多家商業銀行發生票據違法犯罪案件，一個重要原因就是其電子票據未用密碼技術規范保護。二是金融信息基礎設施風險攀升，金融領域成為網絡攻擊的重災區。據公開資料報道，2016年，黑客攻擊國際銀行結算系統（SWIFT），竊取多國央行資金達數十億美元；日本和我國臺灣等地數百臺ATM機被盜取。三是個人信息泄露事件突出。2017年，美國征信巨頭艾可菲泄露高達1.43億美國居民個人信息；印度身份證管理局生物身份識別系統受到攻擊，導致1億條銀行賬戶信息記錄遭泄露。四是新技術帶來安全新挑戰。隨著云計算、大數據、移動終端等新技術的快速發展，金融基礎設施正由傳統的集中式、封閉化向分布式、集群化轉變，帶來更多不確定風險。

　　3.關鍵核心技術受制于人成為最大隱患

　　我國信息技術產品嚴重依賴進口，近期爆發的中興事件，就是卡住了我們的脖子，讓我們深切感到“缺芯少魂”之痛。金融領域關鍵核心技術高度集中在少數幾個國外廠商，一旦發生國際貿易爭端導致供應鏈斷裂，或者一旦有人利用這些軟硬件產品的后門、漏洞或者故意植入的病毒實施大規模網絡攻擊，就會造成金融業信息網絡系統局部甚至整體癱瘓或者重要數據泄露，將嚴重威脅我國經濟發展、社會穩定和國家安全。

　　在別人的墻基上砌房子，再大、再漂亮也經不起風雨。核心技術和產品不自主可控，就不可能有真正的安全。此外，國外產品也并非“定海神針”。2013年，由于某國企業提供的主機內存清理機制存在缺陷，某商業銀行數據中心主機系統出現故障，出現了全國性業務中斷，持續時間超過1個半小時。與此同時，在一些技術環節已經形成“產品銷售+運營維護”的封閉技術模式，金融機構內部人員不掌握產品核心部件的管理權限，無法及時了解和排除產品存在的安全風險。因此，網絡安全不能靠別人，只能靠自己，構建自主可控的信息技術體系，勢在必行、刻不容緩。

　　著力構建安全可控網絡信息技術體系

　　不自主一定不可控，也不可能安全。自主解決的是技術所有權上的可控，要實現網絡安全可控還得有經得起對抗的“撒手锏”。密碼就是網絡安全的核心技術，是安全可控的重要基礎。因此，要建立健全網絡空間密碼保障體系，構建形成以密碼為基礎的安全可控技術體系。

　　1.這是由密碼的屬性功能和特殊地位決定的

　　第一，密碼是“基因”，是網絡安全的核心技術和基礎支撐，是要發揮保底作用的。密碼具有真實性、機密性、完整性和不可否認性等屬性，可以完整實現防假冒、防泄密、防篡改、抗抵賴等網絡安全需求。通過合規正確有效的使用密碼技術、密碼模塊和產品、密碼基礎設施、密碼服務，能夠有效解決網絡安全問題，滿足安全需求。中國工程院沈昌祥院士講過一個觀點，密碼是網絡免疫體系的基因，是DNA，是實現網絡從被動防御向主動免疫轉變的必由之路。密碼就像空氣一樣無處不在，平時感覺不到，但缺了密碼，安全問題就會立馬凸顯。

　　第二，密碼是“信使”，是構建網絡信任體系的重要基石。智能社會，萬物互聯、人機互認、天地一體，網絡空間的信任建立主要依靠密碼運算和安全協議，解決人、機、物的身份標識、身份認證、統一管理、信任傳遞、行為審計等，實現安全、可信、可控的互聯互通。

　　第三，密碼是“衛士”，是國之重器，是實現自主可控彎道超車的重要“突破口”。密碼技術與核技術、航天技術并稱為國家的三大“撒手锏”技術，是重要戰略性資源。甲午海戰期間，清軍電報密碼被日軍破譯，造成清軍慘敗，加速了清朝滅亡。第一世界大戰期間，英國情報機構截獲并破譯了德國建議墨西哥對美宣戰的電報，導致美國參戰，使得戰爭發生重大轉折?？梢哉f，密碼是金融信息領域核心技術設備自主可控的必選項，不用密碼，或者不用自主可控的密碼，就好比一個房子，其他部分建得再牢，但鎖是簡易鎖，或者鑰匙是別人的，不可能安全可控。

　　金融領域網絡安全體量龐大，要以系統性、整體性和協同性為原則，同步規劃建設以密碼保障系統為基礎支撐的信息安全保護系統，切實提升密碼安全防護能力。近年來，我國商用密碼基礎理論研究取得了一系列原創性科研成果，SM2和SM9簽名算法等商用密碼算法已經成為ISO/IEC國際標準，密碼產品種類齊全，供給質量不斷提升，能夠滿足現有各類信息系統的安全需求，這為支撐和護航金融領域發展提供了堅實基礎和可靠保障。

　　2.努力在金融領域構建以商用密碼為基礎的安全可控技術體系

　　這需要綜合發揮密碼在保安全、助融通、強監管、促創新方面的重要作用。第一，在保障金融穩定和財產安全上密碼發揮重要作用。在現代金融模式下，越來越多的金融服務通過互聯網、移動端完成，金融機構存儲的金融數據也呈現幾何式高速增長，需要密碼對真實性、機密性、完整性、抗抵賴性等的保障能力，滿足數據加密、身份鑒別、訪問控制、取證溯源等安全需求，保障資金和數據安全。例如，在網上銀行、電子保單和網上證券安全方面，通過基于密碼技術的數字證書、數字簽名、電子簽章、時間戳等，提供身份認證、以及業務數據和電子合同的機密性完整性保護。

　　第二，在助力金融發展和安全互通上密碼發揮重要作用。依托于互聯網發展的現代金融是互聯互通的重要方向，銀聯、網聯、大小額支付系統、超級網銀系統等將不同金融機構、不同終端連接在了一起，人、機、物的可信互認、安全互通都離不開密碼。例如，在供應鏈融資（也稱供應鏈金融）業務中，通過以密碼為基礎的區塊鏈技術，利用多重簽名、不可篡改等特點，實現信息、產品、資金流向的可見、可傳導、可追溯、可審計，甚至自動償付，提高流轉效率、靈活性和透明度，大大降低交易成本。

　　第三，在加強金融監管和體系建設上密碼發揮重要作用。金融風險呈現隱蔽性、復雜性特點，密碼因其獨特的作用將成為金融監管的利器。一方面，基于密碼的數字簽名技術能夠提前堵塞可能存在的業務風險漏洞，并為金融監管提供有力的法律證據；另一方面，密碼能夠支撐建設統一的信用體系，提供交易記錄保全、行為安全審計等功能，有效識別和監管金融機構的信用風險，實現金融數據的真實可信和安全共享。

　　第四，在促進金融應用和科技創新上密碼發揮重要作用。一方面，密碼技術因其解決網絡安全問題的經濟性、便捷性、有效性，以及在處理海量數據機密性保護、復雜網絡實體認證等方面具有的獨特優勢，將成為金融新技術、新業態的重要支撐。另一方面，密碼技術本身也是金融科技創新的重要內容。例如，密碼技術一直是實現數字貨幣技術安全和可信的核心要素。

　　持續推動金融領域密碼全面規范應用

　　2013年，金融和密碼主管部門共同努力，制定發布支持SM系列算法的PBOC3.0標準，推動金融領域密碼應用，取得顯著成效。為深入貫徹習近平新時代中國特色社會主義思想和黨的十九大精神，落實總體國家安全觀和網絡強國戰略，國家對密碼應用與創新發展作出總體部署，努力構建以密碼技術為核心、多種技術相互融合的新網絡安全體系，發揮好密碼作為網絡安全核心技術的作用；努力建設以密碼基礎設施為支撐的新網絡安全環境，以密碼基礎設施作為底層設施，來支撐網絡安全的相關需求；努力形成安全互信、開放共享的新網絡安全文明，樹立用密碼保護網絡安全的意識。一分部署、九分落實。對金融領域來說，就是要以“釘釘子”精神抓好國家重要部署的貫徹落實。

　　1.堅定不移推進應用

　　推進金融領域密碼應用，要切實提高政治站位，把各項部署落到實處，形成實效。關鍵是堅持以應用為先導，以應用促創新，只有用得多了才能好用，才能不斷迭代，實現技術上的超越。金融機構安全可控工作，不能局限于技術部門討論，一定是管理層和應用部門大力推動使用。

　　2.切實加強源頭管理

　　一是把住規劃立項的源頭。銀行、證券、保險領域主管部門要制定密碼應用實施方案，各金融機構要將密碼應用的要求納入到本單位科技規劃和信息化工作中來，按照國家法律法規要求在系統立項審批時把住關口。二是把住產品采購的源頭。今年1月1日實施的《政務信息系統政府采購暫行管理辦法》明確，政府采購應當落實國家密碼管理要求，同步規劃、同步建設、同步運行密碼保障系統并定期進行評估，要切實把要求落到位。三是把住產品生產的源頭。通用處理器、操作系統、數據庫、中間件、瀏覽器等基礎軟硬件和金融信息設備要在產品研制之初，就強化安全體系設計特別是密碼使用的設計，從底層上支持商用密碼應用，形成良好生態。

　　3.梳理建立任務臺賬

　　金融主管部門要把本部門本領域密碼應用的底數摸清，建立總臺賬；哪些機構、哪些系統要推進密碼應用，總體達到什么目標，要列出任務單、時間表、路線圖、盯住不放。金融機構要建立自己的分賬，涉及幾個系統、多少用戶，每年完成多少，做到心中有數、記錄在案。建好臺賬后，要根據臺賬抓落實，年年查翻銷賬，爭取5年內有大的成效。

　　4.嚴格落實“三同一評”

　　信息化發展要與網絡安全、密碼應用同步考慮。對于新建信息系統，主管部門和責任單位一定要落實好“同步規劃、同步建設、同步運行密碼保障體系”這一要求，這是不能破的工作底線；對存量系統要有計劃、有步驟升級改造。要定期開展密碼應用安全性評估，保證信息系統密碼應用方案的系統性、科學性，保證密碼應用的合規性、正確性、有效性，用得對不對、好不好，拿專業機構的測評結果說話，不能拍腦袋，要努力形成有依據、有監管、有評價的商用密碼管理閉環。

　　5.實現重要關鍵突破

　　金融領域密碼應用推廣涉及種類多、情況差異大。銀行業要堅持分類推進、分步實施，先在部分技術力量強的金融機構進行試點，發揮國有大型銀行機構的示范帶動作用，為中小銀行提供可資借鑒的經驗；要繼續鞏固良好形勢，逐步擴大發卡比例和范圍；要集中精力啃下核心業務系統改造這根硬骨頭，從系統架構轉型上找出路，從密碼應用創新上想辦法，匯聚各方力量集中攻關。證券業、保險業要抓緊進行可行性驗證，可選擇大型證券公司、保險公司備份系統開展驗證，成熟后盡快啟動規?；瘧?。對于互聯網金融、第三方支付等非銀金融機構，要抓住支付寶、微信支付等龍頭企業，形成可供全行業參考的指導方案，并藉此推動形成使用商用密碼的用戶生態和網絡環境。

　?。ū疚淖髡呦祰颐艽a管理局商用密碼管理辦公室副主任）

責任編輯：韓希宇