9月9日下午,2022年国家网络安全宣传周上海地区活动(以下简称“宣传周”)密码分论坛暨密码护航金融安全论坛在大宁会议中心举办。本届密码分论坛旨在深入贯彻落实网络强国、数字中国战略,进一步推动产需对接、加强生态联动,助力我国数字经济安全稳定发展。市密码管理局局长郭庆军、市委网信办总工程师杨海军、市密码管理局副局长梁斌,市密码管理局、市卫健委、人民银行上海总部有关负责同志,以及各受邀单位领导、行业专家、协会代表120多人参加了活动。
格尔软件网络安全技术研究院院长徐俊在论坛上围绕《密码重铸数据安全,身份赋能数字化转型》进行了分享,许俊认为,只有不断推进密码技术与金融科技的深度融合,根据不同金融机构的业务特点、资产规模、客户情况等提供全方位覆盖、轻量化改造的安全服务和建设方案,才能帮助客户更好的运营存量业务、触达增量收入。而要构建符合国家战略、技术标准、政策要求和行业监管的金融行业安全防护体系,首先就要建立起一套适合自身的专属防护理念。而这种理念应以密评合规为起点、以密码为基石、以身份为中心,最重要的是要构建敏捷交付的金融密码防护体系。从身份的角度讲,要实现基于可信的人,通过可信的方式,访问可信的应用,并可实现可信的审计,最终达到身份与访问安全。
近年来,随着金融安全上升到国家安全的高度,国家有关机关和监管机构站在国家安全和长远战略的高度提出了推动商密算法应用实施、加强行业安全可控的要求。以格尔软件为代表的中国商用密码行业骨干企业,不断基于国产密码技术和可信身份管理进行密码应用创新,构建了适用于金融各领域的密码信任服务体系、零信任动态访问控制体系和数据安全体系,实现了多场景下密码服务的无缝集成、无感调用、无处不密、处处用密,可为金融机构和行业用户提供“密码即服务,安全可内生”的综合保障能力。
为了满足交易系统在稳定性、实效性、安全性、便捷性等方面的极高要求,格尔软件在2020年初就针对金融各领域在密码算法、身份认证、数据传输等方面存在的信息安全风险,开发了可复制可推广的金融行业网上交易系统安全加固整体解决方案,能够全面加强网上交易系统互联网接入层的安全级别,实现符合国密要求、基于数字证书的强身份认证以及数据安全。该方案以国产密码技术为核心,采用基于PKI认证体系的商用密码证书作为客户身份认证的第二因子参与客户身份鉴别,能够有效提升网上交易系统互联网接入的安全级别,以及加强客户端接入身份鉴别。方案基于SM2、SM3、SM4等商用密码算法,采用密钥分割技术,通过客户端软件二级密码模块和服务端二级密码模块结合应用,提供协同签名、高质量硬件随机数等。在提升客户端与接入网关的数据通信安全及对客户身份进行强认证的同时,能够满足金融各领域低延时要求,具有客户可操作性高、系统改造成本低的特色。