银行业密码改造政策出台 相关企业或将享红利

33

央办公厅的要求,各金融机构要在2013-2015年期间全面完成主要应用系统使用国产密码算法的升级改造。

 而日前,中国银监会发布了关于执行动态口令密码有关标准的通知,通知中强调,银行业金融机构应用的动态口令密码令牌芯片,应是国家密码管理局批准产品型号证书的安全芯片。

 上海市计算机软件评测重点实验室副主任李嘉表示,这一规定,从宏观上来说旨在加强商业银行动态口令密码产品的安全可控性,防范可能存在的安全隐患。

 他表示,银行尤其是外资银行,使用的是国际密码芯片和设备,使用国外设备存在其预留后门的风险。从信息安全、等级保护的角度来说,中外资银行使用国产加密算法的设备的要求势在必行。

 而据人民银行不完全统计,全国性银行业金融机构有一定数量的应用系统使用RSA1024算法。对此,信息安全咨询顾问钱伟峰表示,前段时间传出的RSA和NSA联手在RSA设备中预留后门的事件反映出一个严重的问题,那就是,作为安全设备厂商,特别还是涉及加密设备的安全设备厂商,如果和美国国家安全机构合作,那其他国家都需要警惕了。站在国家安全角度,国内大量金融机构使用的加密设备如果都有后门或者漏洞的话,也将是一个重大安全隐患。

 早在1999年出台的《商用密码管理条理》第七条、第八条中已明确规定,“商用密码产品由国家密码管理机构指定的单位生产。未经指定,任何单位或者个人不得生产商用密码产品”;“用密码产品指定生产单位生产的商用密码产品的品种和型号,必须经国家密码管理机构批准,并不得超过批准范围生产商用密码产品”。而银监会时至2013年再次批文,要求落实执行动态口令密码有关标准,或许正是出于对设备预留后门等国外密码算法存在的安全隐患的考量,让决策层正视密码国产化改造必须尽快落地的紧迫性。


文章分类: 行业资讯
分享到: