2021-2022金融业商用密码技术应用发展报告

本报告版权属于北京金融信息化研究所有限责任公司，并受法律保护。转载、编摘或利用其他方式使用本报告文字或观点的，应注明来源。违反上述声明者，将被追究相关法律责任。 主 任： 潘润红 副主任： 黄程林、庄文君、张海燕 编委会成员（排名不分先后，按姓氏拼音排序）： 陈德锋、黄 涛、孔庆强、李瑞荣、李 振、卢科兵、邵 淼、宋 歌、宋 爽、唐 辉、王佳坤、吴 炜、徐 翥、俞 枫、曾海泉 编写组成员（排名不分先后，按姓氏拼音排序）： 程 林、陈梦霄、戴辛伟、方 优、侯 宇、黄 韦、呼跃豪、韩宝玲、黄宏章、居红伟、李爱宏、李 凡、梁 乐、刘红波、邵志杰、孙国栋、王 佟、王先伟、王 尧、魏 荣、武志勇、项 楠、徐 庆、闫立志、姚长远、乐 华、赵 欢、赵 闪，赵宇轩、赵 旭、郑光宇 主要执笔人（排名不分先后，按姓氏拼音排序）： 陈 晨、潘世杰、杨 希 主编单位： 北京金融信息化研究所 北京国家金融科技认证中心 中国工商银行股份有限公司 中国银行股份有限公司 中国建设银行股份有限公司 平安银行股份有限公司 华夏银行股份有限公司 深圳证券交易所 国泰君安证券股份有限公司 泰康保险集团股份有限公司 北京数字认证股份有限公司 兴唐通信科技有限公司 参编单位： 华为技术有限公司 格尔软件股份有限公司 商用密码产业近年来取得了快速发展，由我国自主设计的一系列商用密码算法已被纳入国际标准，成为构筑我国网络安全与数据安全的基石。金融机构坚持统筹发展和安全，贯彻新发展理念，通过与密码产业联合创新，促进形成了完整且安全可控的金融业商用密码产品服务供给体系，并对新技术应用带来的隐性风险和不确定性风险提供了解决方案，有力支持了金融科技应用创新与金融业数字化转型，助力加快实现高质量发展。 同时，商用密码技术在金融业的规范应用与探索创新仍面临挑战，包括相关标准规范待完善；商用密码应用改造工作涉及范围广，实施难度较大；产品服务在性能、兼容性，以及对新技术支撑方面需进一步优化；检测认证力量有待加强等。这些挑战对商用密码技术在金融业的进一步推广应用造成了一定阻碍，仍需坚持发展和安全并重，加强统筹力度，补短板锻长板，扩大应用范围，不断增强应对风险挑战的生存力、竞争力、发展力和持续力。 一、前言............................................................ 1 二、金融业商用密码应用概况.......................................... 3 （一）顶层设计不断完善 .......................................... 3 （二）算法底座不断夯实 .......................................... 5 （三）市场体系日益完善 .......................................... 6 三、金融业商用密码技术应用的实践与探索.............................. 9 （一）金融业密评密改及行业应用全面有序推进 ...................... 9 （二） 金融业商用密码技术的典型应用分析 ........................ 14 （三）金融业商用密码技术不断融合创新 ........................... 21 四、金融业商用密码技术应用的风险与挑战............................. 30 （一）金融业商用密码标准体系期统筹完善 ......................... 30 （二）金融业商用密码改造工作待专项攻关 ......................... 30 （三）金融业商用密码市场活力宜充分激发 ......................... 31 （四）金融业密码全面检测能力应加快提升 ......................... 32 （五）金融业密码设备安全威胁需加强应对 ......................... 32 五、金融业商用密码技术应用的建议与展望............................. 33 （一）夯实金融业密码标准体系发展基础 ........................... 33 （二）提升金融业商用密码管理运维效率 ........................... 33 （三）推动金融业商用密码应用开放兼容 ........................... 34 （四）开展产学研用联合攻关新模式探索 ........................... 35 （五）升级金融业态感平台密码相关功能 ........................... 35 六、应用案例集..................................................... 36 案例1：国家开发银行新核心增值税电子发票系统商用密码应用实践 .... 36 案例2：中国工商银行企业网上银行适配信创终端完成商用密码改造 .... 37 案例3：中国建设银行后量子安全增强商用密码平台应用实践 .......... 38 案例4：中国银行基于商密算法的终端双向认证SSL传输应用实践 ...... 40 案例5：中国银行征信查询前置系统征信数据安全防护应用实践 ........ 41 案例6：中银香港跨境支付系统商用密码应用实践 .................... 42 案例7：中国民生银行基于鲲鹏可信执行环境密码系统的应用实践 ...... 44 案例8：中国平安银行敏感数据加密存储实践 ........................ 45 案例9：华夏银行基于商用密码的信用卡申请个人征信线上授权实践 .... 46 案例10：南京银行互联网渠道商用密码应用实践 ..................... 47 案例11：广东农信银移动营销协同签名应用实践 ..................... 49 案例12：绍兴银行统一密码服务平台应用实践 ....................... 50 案例13：顺德农商银行加密存储应用实践 ........................... 51 案例14：深交所业务管理系统完成商用密码改造 ..................... 53 案例15：国泰君安证券PC端和移动端商用密码应用实践 .............. 54 案例16：泰康保险集团电子保单数字签名认证项目实践 ............... 55 图 1 金融业商用密码产业链图......................................... 7 图 2 2017-2023年商用密码市场规模及增长率图 ......................... 8 图 3 金融信息系统商用密码产品应用情况图............................ 12 图 4 商用密码产品应用调研情况图.................................... 13 图 5 隐私计算技术应用场景情况图.................................... 13 图 6 区块链技术应用场景情况图...................................... 14 图 7 银行支付清算平台方案架构示意图................................ 16 图 8 网上银行方案架构示意图........................................ 17 图 9 电子保单方案架构示意图........................................ 19 图 10 证券交易系统商用密码改造方案架构示意图....................... 21 图 11 可信执行环境与商用密码融合应用特点图......................... 22 图 12 同态加密技术应用示意图....................................... 23 图 13 密码服务平台架构图........................................... 27 图 14 统一电子签章方案架构图....................................... 28 图 15 后量子安全增强商用密码平台整体结构图......................... 39 图 16 跨境支付(CIPS)商用密码安全系统示意图......................... 43 图 17 鲲鹏可信执行环境密码系统应用架构图........................... 44 图 18 互联网渠道信创和非信创SSL安全认证网关示意图................. 48 图 19 广东农信协同签名应用架构图................................... 49 图 20 绍兴银行统一密码服务平台应用架构图........................... 51 图 21 华为OceanStor K系列存储架构图............................... 52 图 22 广东农信协同签名应用架构图................................... 53 图 23 国泰君安网上交易系统商用密码改造框架图....................... 55 1 伴随着数字经济的快速发展，网络安全与数据安全成为包括金融业在内各行业的关注焦点。据工信部数据显示，2012年至2021年，我国数字经济规模从11万亿元增长至超45万亿元，占国内生产总值比重由21.6%提升至39.8%，已连续数年稳居世界第二。随着数字经济不断发展，金融领域积累了大量关乎金融稳定和机构核心竞争力的重要数据。然而研究表明，金融隐私泄露事件大约以每年35％的幅度增长，金融业安全威胁事件频发。在我国安全监管力度加大、安全审核趋严等背景要求下，金融机构如何利用专业化手段维护网络与数据安全，保障安全运转成为了行业关注的重点问题。 我国的商用密码技术作为维护金融行业网络安全与数据安全最重要手段之一，不仅能够帮助行业打造安全可控的技术体系，也在当前背景下迎来了密码技术产业发展的新机遇。战略上，党中央高度重视金融领域密码技术应用工作，明确提出建立以商用密码为主要支撑的金融网络安全保障体系总目标，并制定了相关应用与创新发展规划。应用上，我国自主设计的SM系列与ZUC算法已成为国际标准，并被广泛应用于金融领域身份认证、数据加密校验等环节。实践中，我国各类密码产品供给质量不断提升，基本满足了现有信息系统的安全需求，对金融科技应用创新、金融业数字化转型发展形成了有力支撑，并 2 为应对贸易摩擦、地缘冲突等不稳定因素带来的供应链安全风险提供了坚实基础和可靠保障。随着金融业网络结构和应用日趋复杂，金融机构如何“用好”商用密码技术保障金融安全，既是行业当前面临的严峻考验，也为商用密码技术产业指明了新的发展方向。 3 （一）顶层设计不断完善 1.政策法规方面 《数据安全法》等相关法律的出台与实施为商用密码技术应用创造发展机会。近年来，国家对数据安全与个人信息保护进行了前瞻性的战略部署。随着2021年《数据安全法》《个人信息保护法》，以及密码领域相关法律、制度及条例1的全面部署实施，我国网络空间治理形成了以《电子签名法》《密码法》《网络安全法》《数据安全法》《个人信息保护法》等基