当代金融家bull监管科技银河证券罗
罗黎明中国银河证券股份有限公司副总裁
以中国银河证券为代表的密码算法试点单位,自主规划、自主设计、自主开发了从算法理论层面到平稳落地应用系统,并在证券生产交易系统上线稳定运行。来源《当代金融家》杂志年第7期原题
《SM系列商用密码构建证券网上交易安全保障体系》
年10月26日,十三届全国人大常委会第十四次会议审议通过《中华人民共和国密码法》,自年1月1日起施行。国家鼓励商用密码技术的研究开发、学术交流、成果转化和推广应用,以促进密码技术进步、产业发展,切实维护国家安全、社会公共利益以及公民、法人和其他组织的合法权益。年,中办、国办印发《金融和重要领域密码应用与创新发展工作规划(-年)》,作为国家密码算法推进的指导性文件,明确要求在金融和重要领域推进密码全面应用,着力在构建自主可控信息技术体系中推进密码优先发展,构建以密码技术为核心、多种技术相互融合的新网络安全体系。
证券期货业在中国证券监督管理委员会统一组织、协调管理下,年开始着力密码算法的技术研究、潜心设计、试点应用、稳步推进等工作。经过几年积累沉淀,以中国银河证券股份有限公司为代表的密码算法试点单位,自主规划、自主设计、自主开发,实现了从算法理论层面到平稳落地应用系统,并在证券生产交易系统上线稳定运行,具备在证券期货业应用推广的条件。
1
证券期货业密码建设背景
证券期货业普遍采用国际商用密码技术
商用密码技术已广泛应用于金融、科技、文化和社会生活的各个领域。在证券期货业,以网上交易、网上开户等业务为代表的互联网证券业务迅猛发展,95%以上的交易量都通过互联网进行,方便了广大投资者通过互联网办理各类业务,促进了资本市场创新发展。
当前,证券期货业的商用密码应用如数字加密、签名、验签等,普遍采用的是国外商用密码技术,摆脱不了受限、受制、受控于人的被动局面,这对于整个行业的自主可控、安全稳定发展构成巨大挑战。
国外密码算法不断被破解
随着全球范围内密码技术的发展和计算能力的提升,国际通用密码算法不断被破解,面临敏感信息泄露和信息系统遭受攻击的风险,已不能满足当前和今后应用的安全需求。
SM系列商业密码应用情况
国家密码管理局先后制定SM1、SM2、SM3、SM4、SM7、SM9等商用密码算法,SM2、SM3、SM9密码算法于年10月正式成为ISO/IEC国际标准,标志着我国密码算法国际标准体系已初步成型。在国内政务、金融、基础信息网络设施、交通、医疗、教育等行业已广泛应用SM系列商用密码,符合国家安全战略要求。
证券期货业密码工作推进情况
中国证监会于年发布《关于加强证券期货领域国产密码应用推进工作的通知》(证监办发〔〕18号),年发布《证券期货业密码应用工作规划(-年)》(证监发〔〕92号),要求在证券期货业实现SM系列商用密码(SM2、SM3和SM4)的全面应用,充分发挥SM系列商用密码在保障行业信息安全中的重要作用,促进资本市场业务安全稳定发展。
2
证券期货业密码技术应用示范案例
商用密码应用示范概述
中国银河证券作为证券期货业首批密码试点唯一单位,建设基于SM系列商用密码的可管可控可信网上交易接入平台,开拓性地实现了行业首家系统改造、首家系统上线运行、并牵头在行业内进行全面推广,为SM系列商用密码在证券期货业全面应用提供了借鉴和参考。
借助本次试点成果,证券期货业信息系统底层安全通信可摆脱国际算法(RSA、AES、MD5等)的过度依赖,符合国家层面从国家安全和长远战略高度考虑的信息安全要求,同时增强行业信息系统“安全可控”的能力。
本次试点项目由中国银河证券自主规划、自主设计,中国证监会及中国证券业协会批准试点,相关密码产品和服务向国家密码管理局申报资质。网上交易接入平台采用的先进技术主要有基于SM系列商用密码的底层安全通讯技术、基于SM系列商用密码的密钥分割技术、基于SM系列商用密码的协同身份认证技术、SM系列商用密码与“高并发、低延时”证券期货信息系统高效融合等技术。
项目试点时,中国银河证券选择了在证券期货业具有代表性的网上交易系统作为试点对象。该系统行业使用占比高、用户量大、交易速度要求快、安全性要求高。网上交易接入平台作为证券期货业核心交易系统的入口点,衔接互联网和企业内网的通讯,是行业信息系统重点的防范对象之一,也是安全防范的重点和切入点。
按照证券期货业网上交易接入系统形态多样的特点——从应用系统分类有同花顺、通达信、益盟、快期、文华财经、彭博等10余种类;从终端分类有移动端App、电脑PC端和网页交易端等;从交易业务品种分类有证券交易、期货交易、期权交易、融资融券交易等。该平台从设计规划阶段就考虑兼顾了以上各种情况,在底层安全设计时不影响业务和不同平台交易功能和流程处理,但保证数据流信息的安全和身份鉴别的高效。
示范试点项目采用的密码技术、密码产品和密码服务
基于SM系列商用密码的信息系统改造,符合密码算法的合规性要求;基于SM2双证书体系的身份认证机制,实现用户身份合法性鉴别;基于协同签名技术,保证安全性和操作便捷性;基于国密SSL安全通道技术,实现端到端数据加密传输;基于KMS密钥管理系统,实现安全管理密钥分量的功能;
项目创新点
首次实现SM系列商用密码在证券期货业信息系统中的自主可控应用,解决行业安全的可管可控;基于SM系列商用密码的底层安全通信技术,保障上层应用的安全可控;基于SM系列商用密码的密钥分割技术,保证安全性的同时提升用户使用的便捷性;SM系列商用密码与“高并发、低延时”证券期货信息系统高效融合技术;全球首创证券期货行业SM2算法双证书机制和双中心体系。
3
应用示范实践意义
《基于安全加固技术的可管可控可信网上交易接入平台》建设作为证券期货业SM系列商用密码试点项目,起点高、要求严、技术攻关难度大。在证监会各级领导指导下,中国银河证券技术和业务部门加强合作,加大技术攻关,相互协同联动,通过持续优化SM系列商用密码算法性能(包括重构Linux平台应用系统、通过开源技术优化内存处理、分布式缓存、模块化和多层次化划分)、引入国密SSLVPN、协同签名模块、使用密钥分割技术,从而实现SM系列商用密码算法与“高并发、低延时”高效融合,开拓性实现了行业首家系统改造、首家系统上线运行,试点期间系统运行正常、客户使用正常、试点期间零投诉,为行业探索出一套安全加固技术升级改造切实可行的解决方案,为行业全面推广应用提供了借鉴和参考。中国证监会已向第二批10家试点单位下发中国银河证券实施方案作为参考案例。证券期货业机构可直接或间接使用项目研究技术成果。
年,《基于安全加固技术的可管可控可信网上交易接入平台》项目荣获第七届证券期货科学技术奖二等奖,该奖项是证券期货业科学技术领域的最高奖,是全行业唯一由官方组织评选的省部级科技类奖项,是行业科学技术工作者的最高荣誉,是代表行业先进技术的交流平台,是行业科技工作发展的重要推动力。
罗黎明为中国银河证券股份有限公司副总裁,唐沛来为信息技术部总经理,魏自恩为信息技术部副总经理,梅养真为网上交易运行团队负责人,邓廷勋为信息技术部高级经理
资本市场监管科技寻踪(上)
文/屈燕
年4月,中国证监会科技监管局正式“营业”。6月,证监会
转载请注明:http://www.yangtuoa.com/zjgl/9203.html
