隨着商業銀行信息化的快速發展,以網上銀行爲代表的基於Internet和其他各類網絡的應用系統迅速普及。由於個人金融信息具有高度的敏感性,因此,這些信息在網絡上的傳輸和在本地的存儲均應採取相應的加密措施。
人民銀行發佈的《關於銀行業金融機構做好個人金融信息保護工作的通知》對個人金融信息進行了定義及分類,並對保護個人金融信息的安全提出了明確的要求。那麼商業銀行怎樣才能保護好個人金融信息安全呢?採用國產密碼算法應是一個不錯的選擇。
信息加密安全更有保障
加密算法是對明文的文件或數據經過一定的運算處理將其變爲不可讀的密文的過程。加密算法可以分爲對稱加密算法、非對稱加密算法和摘要算法三類:對稱加密算法是指加密和解密使用相同密鑰的加密算法,常見的有DES、3DES、AES等;非對稱加密算法是指加密和解密使用不同密鑰的加密算法,也稱爲公私鑰加密算法,常見的有RSA、ECC等;摘要算法特別的地方在於它是一種單向算法,用戶可以通過Hash算法對目標信息生成一段特定長度的唯一值,卻不能通過這個Hash值重新獲得目標信息,常見的有MD5、SHA等。
由於信息安全是國家安全的關鍵環節,爲確保密碼算法的自主可控,降低敏感信息泄露和信息系統遭受攻擊的風險,國家密碼管理局制定併發布了國產加密算法及相關密碼行業標準。目前,我國自主研發的常用的國產密碼算法有以下幾種:
SM1算法。該算法是由國家密碼管理局編制的一種商用密碼分組標準對稱算法,分組長度和密鑰長度均爲128位,算法的安全保密強度及相關軟硬件實現性能與AES算法相當,目前該算法尚未公開,僅以IP核的形式存在於芯片中。
SM2算法。該算法是一種基於ECC算法的非對稱密鑰算法,其加密強度爲256位,其安全性與目前使用的RSA1024相比具有明顯的優勢。
SM3算法。該算法也叫密碼雜湊算法,屬於哈希(摘要)算法的一種,雜湊值爲256位,和SM2算法一起被公佈。
SM4算法。該算法爲對稱加密算法,隨WAPI標準一起被公佈,其加密強度爲128位。
密碼監管體制逐步完善
爲了滿足社會各界對商用密碼及加密算法的廣泛需求,1993年我國確定發展商用密碼,之所以稱其爲“商用密碼”,主要是爲了區別於黨、政、軍所使用的密碼,將其定位於“對不涉及國家祕密內容的信息進行加密保護或安全認證”。1996年我國決定大力發展商用密碼,並確定了“統一領導,集中管理,定點研製,專控經營,滿足使用”的商用密碼管理原則。自確定商用密碼發展戰略以來,我國不斷建立健全商用密碼監管體制,完善商用密碼技術支撐體系和法律法規體系。經過十多年的努力,商用密碼的監管要求逐步完善,目前,作爲商用密碼管理依據的法規主要包括:一部法律,一部行政法規,九個專項管理規定。
“一部法律”是指《電子簽名法》;“一部行政法規”是指《商用密碼管理條例》;“九個專項管理規定”是指《商用密碼科研管理規定》、《商用密碼產品生產管理規定》、《商用密碼產品銷售管理規定》、《商用密碼產品使用管理規定》、《境外組織和個人在華使用密碼產品管理辦法》、《商用密碼行政處罰實施辦法(試行)》、《電子認證服務密碼管理辦法》、《信息安全等級保護商用密碼管理辦法》、《含有密碼技術的信息產品政府採購規定》。
密碼算法相關標準規範也是國家密碼管理部門對密碼依法實施管理的主要依據,目前由國家密碼管理局組織制定併發布的密碼相關標準規範共七個,分別是:《證書認證系統密碼及其相關安全技術規範》、《數字證書認證系統密碼協議規範》、《數字證書認證系統檢測規範》、《證書認證密鑰管理系統檢測規範》、《可信計算密碼支撐平臺功能與接口規範》、《IPSec VPN技術規範》、《SSL
VPN技術規範》等。
爲了使商用密碼的管理更加契合銀行業的實際情況,公安部與人民銀行聯合發佈的《金融機構計算機信息系統安全保護工作暫行規定》,財政部、證監會、審計署、銀監會、保監會五部委聯合發佈的《企業內部控制基本規範》和《企業內部控制應用指引》,以及銀監會發布的《商業銀行信息科技風險管理指引》均對商業銀行的商用密碼及加密算法的使用管理提出了相應的監管要求。
信息安全保護任重道遠
當前,國際上用於Internet網絡信息傳輸、身份認證和數字簽名的最主流的密碼算法是RSA算法,這套密碼算法主要由美國研發。然而,隨着密碼技術和計算技術的發展,使用1024位密鑰的RSA算法(簡稱RSA1024)面臨嚴重的安全威脅。根據國際著名研究機構的報告,RSA1024算法只應使用至2010年,據權威部門判斷,一些國家已經具備了破解RSA1024的能力。據人民銀行不完全統計,全國性銀行業金融機構有一定數量的應用系統使用RSA1024算法。RSA1024算法如果遭到破解,通過攔截交易數據,可以假冒用戶僞造交易,盜取銀行客戶信息或資金,安全隱患較大。
2010年底,國家密碼管理局公佈了我國自主研製的“橢圓曲線公鑰密碼算法”(SM2算法)。爲保障重要經濟系統密碼應用安全,國家密碼管理局於2011年發佈了《關於做好公鑰密碼算法升級工作的通知》,要求“自2011年3月1日期,在建和擬建公鑰密碼基礎設施電子認證系統和密鑰管理系統應使用SM2算法。自2011年7月1日起,投入運行並使用公鑰密碼的信息系統,應使用SM2算法。”近期,人民銀行組織召開多次專題會議討論研究金融領域國產加密算法升級改造的相關工作。
在當前形勢下,爲了避免個人金融信息泄露,商業銀行應高度重視國產加密算法的升級改造工作,不僅要成立專門的工作小組開展相關預研工作,認真研究國產密碼算法的原理及實現方法,而且要根據上級主管部門的國產加密算法升級改造的總體思路,制定相應的升級改造方案,並逐步落實。
