在信息技(jì )術日新(xīn)月異的今天，商(shāng)用(yòng)密碼作(zuò)為(wèi)維護國(guó)家信息安(ān)全的關鍵技(jì )術，正逐步成為(wèi)數字經濟時代的重要基石。近日，由工(gōng)業和信息化部網絡安(ān)全産(chǎn)業發展中(zhōng)心主辦(bàn)的“2024信息技(jì )術應用(yòng)創新(xīn)發展大會暨解決方案應用(yòng)推廣大會”在天津圓滿落幕。會上，一系列重大成果和創新(xīn)平台的發布成為(wèi)亮點，其中(zhōng)，由道普信息聯合中(zhōng)金金融認證中(zhōng)心有(yǒu)限公(gōng)司、山(shān)東省國(guó)土空間數據和遙感技(jì )術研究院共同打造的“山(shān)東省自然資源廳商(shāng)用(yòng)密碼應用(yòng)支撐平台”， 憑借其在商(shāng)用(yòng)密碼應用(yòng)領域的突出表現，成功入選工(gōng)業和信息化部“2023年信息技(jì )術應用(yòng)創新(xīn)應用(yòng)示範案例”。

該案例創新(xīn)應用(yòng)的“密碼服務(wù)平台+密碼資源池”建設模式，實現了密碼資源的統一管理(lǐ)和應用(yòng)，采用(yòng)密碼環境統一建設、密碼資源共享共用(yòng)的模式，為(wèi)一定範圍内，相同環境下的密碼技(jì )術規模化應用(yòng)提供了應用(yòng)标準。這一模式不僅極大地提高了密碼技(jì )術在特定範圍内的規模化應用(yòng)效率，還為(wèi)金融行業及其他(tā)關鍵領域樹立了密碼應用(yòng)的新(xīn)标杆。

一、金融行業商(shāng)用(yòng)密碼發展有(yǒu)序推進

金融行業作(zuò)為(wèi)國(guó)民(mín)經濟的核心，其信息系統的安(ān)全穩定運行對于保障國(guó)家經濟安(ān)全、維護金融市場穩定具(jù)有(yǒu)重要意義。金融領域密碼廣泛應用(yòng)于身份認證、數據加密校驗等各個環節，是維護金融行業網絡安(ān)全與數據安(ān)全最重要手段之一。密碼技(jì )術能(néng)夠從算法、協議、密鑰等多(duō)維度保障金融安(ān)全，其自身安(ān)全可(kě)控程度決定着整個金融行業安(ān)全可(kě)控基礎是否牢靠。

近年來，我國(guó)從政策層面相繼發布多(duō)項金融行業商(shāng)用(yòng)密碼相關的法律法規和制度标準，為(wèi)商(shāng)用(yòng)密碼應用(yòng)推廣應用(yòng)到金融領域提供了強有(yǒu)力的制度支撐，推動金融行業信息安(ān)全的高速發展。

《證券期貨業網絡和信息安(ān)全管理(lǐ)辦(bàn)法》

【施行時間】2023/5/1

【主要内容】核心機構和經營機構應當按照國(guó)家及中(zhōng)國(guó)證監會有(yǒu)關要求，開展信息技(jì )術應用(yòng)創新(xīn)以及商(shāng)用(yòng)密碼應用(yòng)相關工(gōng)作(zuò)。

《金融标準化“十四五”發展規劃》

【發布時間】2022/1/23

【主要内容】推動金融信息科(kē)技(jì )外包服務(wù)評價、金融機構安(ān)全運營中(zhōng)心建設、金融數據分(fēn)級、生命周期安(ān)全與評估、商(shāng)用(yòng)密碼應用(yòng)等标準供給與實施。

《監管數據安(ān)全管理(lǐ)辦(bàn)法（試行）》

【發布時間】2020/9/23

【主要内容】銀保監會建立健全監管數據安(ān)全協同管理(lǐ)體(tǐ)系，推動銀保監會有(yǒu)關業務(wù)部門、各級派出機構、受托機構等共同參與監管數據安(ān)全保護工(gōng)作(zuò)，加強培訓教育，形成共同維護監管數據安(ān)全的良好環境。

《中(zhōng)國(guó)銀保監會辦(bàn)公(gōng)廳關于預防銀行業保險業從業人員金融違法犯罪的指導意見》

【發布時間】2020/2/24

【主要内容】銀行保險機構要制定内部網絡安(ān)全管理(lǐ)制度和操作(zuò)規程，建立監督制約機制，确保制度得到剛性執行。加強數據安(ān)全管理(lǐ)，嚴格控制數據授權範圍，實現數據分(fēn)類、重要數據備份和加密。

二、金融商(shāng)用(yòng)密碼應用(yòng)存在諸多(duō)挑戰

金融商(shāng)用(yòng)密碼應用(yòng)之路并非坦途，面臨着安(ān)全合規要求日益複雜、管理(lǐ)不到位、應用(yòng)不規範以及應用(yòng)不安(ān)全等多(duō)重挑戰。

1.商(shāng)用(yòng)密碼安(ān)全合規要求嚴格

我國(guó)已形成較為(wèi)完善的商(shāng)用(yòng)密碼标準體(tǐ)系，截至目前，已發布密碼行業标準 144 項，密碼國(guó)家标準 43 項，對金融商(shāng)用(yòng)密碼安(ān)全提出了更高的要求。

2. 商(shāng)用(yòng)密碼管理(lǐ)不到位

用(yòng)戶單位需要确保員工(gōng)使用(yòng)強密碼來保護信息數據和資産(chǎn)，但很(hěn)多(duō)員工(gōng)往往會選擇弱密碼或者重複使用(yòng)密碼，增加了密碼洩露和入侵的風險。另外，不少信息系統尚未采用(yòng)密碼技(jì )術進行保護，這一現狀令人堪憂。

3. 商(shāng)用(yòng)密碼應用(yòng)不規範

即便是在使用(yòng)了密碼技(jì )術的系統中(zhōng)，不規範的應用(yòng)也屢見不鮮。在對重要領域信息系統的安(ān)全性測評中(zhōng)，不符合規範的比例曾高達85%，這直接威脅到信息系統的整體(tǐ)安(ān)全。

4.商(shāng)用(yòng)密碼應用(yòng)不安(ān)全

現在仍有(yǒu)大量系統在使用(yòng)已被證明不安(ān)全的加密算法，如RSA1024、MD5等，這些“過時”的密碼技(jì )術如同虛設的防線(xiàn)，難以抵禦現代黑客的攻擊。

5. 商(shāng)用(yòng)密碼應用(yòng)成本高、難度大

密碼産(chǎn)品繁多(duō)、系統改造困難且成本高昂，以及密碼資源管理(lǐ)分(fēn)散、難以有(yǒu)效維護，使得信息安(ān)全形勢更為(wèi)嚴峻。

三、多(duō)規管理(lǐ)融合實現全面合規

在數字化經濟蓬勃發展的背景下，商(shāng)用(yòng)密碼作(zuò)為(wèi)信息安(ān)全的基石，其重要性日益凸顯，已經成為(wèi)保障金融行業信息系統和數據安(ān)全不可(kě)或缺的基礎設施。面對商(shāng)用(yòng)密碼應用(yòng)的複雜環境，密評作(zuò)為(wèi)一項重要機制，正逐漸成為(wèi)商(shāng)用(yòng)密碼合規管理(lǐ)的有(yǒu)力抓手。密評的實施，不僅促進了商(shāng)用(yòng)密碼技(jì )術的規範化應用(yòng)，還增強了金融行業對安(ān)全威脅的防禦能(néng)力。

2023年7月1日起實施的《商(shāng)用(yòng)密碼管理(lǐ)條例》明确規定密評、關保、等保應當加強銜接，避免重複評估、測評。随着衆多(duō)政策要求多(duō)監管、強監管和日益嚴峻的安(ān)全風險，對運營單位網絡安(ān)全提出了更高要求，滿足監管的難度越來越大。不僅如此，運營單位還面臨着一些運營單位存在着技(jì )術方法和管理(lǐ)措施不聚焦、無法形成動态管理(lǐ)機制、等保密碼關保等合規驗證工(gōng)作(zuò)重複、合規管理(lǐ)成本高等風險。

安(ān)全是整體(tǐ)，合規是基準。道普信息風險管控專家建議，可(kě)以借助專業的第三方風險管控服務(wù)，采取多(duō)規管理(lǐ)融合手段，基于網絡安(ān)全責任制、等級保護、關基保護、密碼應用(yòng)、數據安(ān)全、個人信息保護等監管要求，從“合規規劃、合規實施、結果管理(lǐ)、合規跟蹤”四個維度，開展等保、密碼、關保測評等安(ān)全性評估，實現合規工(gōng)作(zuò)的規範化，降低合規管理(lǐ)成本，滿足監管部門各項網絡安(ān)全要求，保障信息化管理(lǐ)對象合規運行，減少監管部門的通報，實現金融行業全面合規。

展望未來，随着商(shāng)用(yòng)密碼應用(yòng)的不斷深化，其在數據保護方面的作(zuò)用(yòng)将愈發凸顯。道普信息将憑借其在商(shāng)用(yòng)密碼領域的深厚積累，持續推動密碼技(jì )術的發展，強化信息系統的安(ān)全防護能(néng)力，為(wèi)金融行業乃至整個國(guó)家的數字經濟發展貢獻力量。商(shāng)用(yòng)密碼，不僅是技(jì )術革新(xīn)的一部分(fēn)，更是守護國(guó)家信息安(ān)全的堅強盾牌。讓我們共同期待，商(shāng)用(yòng)密碼在新(xīn)時代下的輝煌篇章。