当代金融家•监管科技|银河证券罗黎明等:SM系列商用密码构建证券网上交易安全网
罗黎明 中国银河证券股份有限公司副总裁
来源 | 《当代金融家》杂志2021年第7期原题 | 《SM系列商用密码构建证券网上交易安全保障体系》
2019年10月26日,十三届全国人大常委会第十四次会议审议通过《中华人民共和国密码法》,自2020年1月1日起施行。国家鼓励商用密码技术的研究开发、学术交流、成果转化和推广应用,以促进密码技术进步、产业发展,切实维护国家安全、社会公共利益以及公民、法人和其他组织的合法权益。2018年,中办、国办印发《金融和重要领域密码应用与创新发展工作规划(2018-2022年)》,作为国家密码算法推进的指导性文件,明确要求在金融和重要领域推进密码全面应用,着力在构建自主可控信息技术体系中推进密码优先发展,构建以密码技术为核心、多种技术相互融合的新网络安全体系。
证券期货业在中国证券监督管理委员会统一组织、协调管理下,2015年开始着力密码算法的技术研究、潜心设计、试点应用、稳步推进等工作。经过几年积累沉淀,以中国银河证券股份有限公司为代表的密码算法试点单位,自主规划、自主设计、自主开发,实现了从算法理论层面到平稳落地应用系统,并在证券生产交易系统上线稳定运行,具备在证券期货业应用推广的条件。
1
证券期货业密码建设背景
证券期货业普遍采用国际商用密码技术
商用密码技术已广泛应用于金融、科技、文化和社会生活的各个领域。在证券期货业,以网上交易、网上开户等业务为代表的互联网证券业务迅猛发展,95%以上的交易量都通过互联网进行,方便了广大投资者通过互联网办理各类业务,促进了资本市场创新发展。
当前,证券期货业的商用密码应用如数字加密、签名、验签等,普遍采用的是国外商用密码技术,摆脱不了受限、受制、受控于人的被动局面,这对于整个行业的自主可控、安全稳定发展构成巨大挑战。
国外密码算法不断被破解
随着全球范围内密码技术的发展和计算能力的提升,国际通用密码算法不断被破解,面临敏感信息泄露和信息系统遭受攻击的风险,已不能满足当前和今后应用的安全需求。
SM系列商业密码应用情况
国家密码管理局先后制定SM1、SM2、SM3、SM4、SM7、SM9等商用密码算法,SM2、SM3、SM9密码算法于2018年10月正式成为ISO/IEC国际标准,标志着我国密码算法国际标准体系已初步成型。在国内政务、金融、基础信息网络设施、交通、医疗、教育等行业已广泛应用SM系列商用密码,符合国家安全战略要求。
证券期货业密码工作推进情况
中国证监会于2014年发布《关于加强证券期货领域国产密码应用推进工作的通知》(证监办发〔2014〕18号),2015年发布《证券期货业密码应用工作规划(2015-2020年)》(证监发〔2015〕92号),要求在证券期货业实现SM系列商用密码(SM2、SM3和SM4)的全面应用,充分发挥SM系列商用密码在保障行业信息安全中的重要作用,促进资本市场业务安全稳定发展。
2
证券期货业密码技术应用示范案例
商用密码应用示范概述
中国银河证券作为证券期货业首批密码试点唯一单位,建设基于SM系列商用密码的可管可控可信网上交易接入平台,开拓性地实现了行业首家系统改造、首家系统上线运行、并牵头在行业内进行全面推广,为SM系列商用密码在证券期货业全面应用提供了借鉴和参考。
借助本次试点成果,证券期货业信息系统底层安全通信可摆脱国际算法(RSA、AES、MD5等)的过度依赖,符合国家层面从国家安全和长远战略高度考虑的信息安全要求,同时增强行业信息系统“安全可控”的能力。
本次试点项目由中国银河证券自主规划、自主设计,中国证监会及中国证券业协会批准试点,相关密码产品和服务向国家密码管理局申报资质。网上交易接入平台采用的先进技术主要有基于SM系列商用密码的底层安全通讯技术、基于SM系列商用密码的密钥分割技术、基于SM系列商用密码的协同身份认证技术、SM系列商用密码与“高并发、低延时”证券期货信息系统高效融合等技术。
项目试点时,中国银河证券选择了在证券期货业具有代表性的网上交易系统作为试点对象。该系统行业使用占比高、用户量大、交易速度要求快、安全性要求高。网上交易接入平台作为证券期货业核心交易系统的入口点,衔接互联网和企业内网的通讯,是行业信息系统重点的防范对象之一,也是安全防范的重点和切入点。
按照证券期货业网上交易接入系统形态多样的特点——从应用系统分类有同花顺、通达信、益盟、快期、文华财经、彭博等10余种类;从终端分类有移动端App、电脑PC端和网页交易端等;从交易业务品种分类有证券交易、期货交易、期权交易、融资融券交易等。该平台从设计规划阶段就考虑兼顾了以上各种情况,在底层安全设计时不影响业务和不同平台交易功能和流程处理,但保证数据流信息的安全和身份鉴别的高效。
示范试点项目采用的密码技术、密码产品和密码服务
基于SM系列商用密码的信息系统改造,符合密码算法的合规性要求;基于SM2双证书体系的身份认证机制,实现用户身份合法性鉴别;基于协同签名技术,保证安全性和操作便捷性;基于国密SSL安全通道技术,实现端到端数据加密传输;基于KMS密钥管理系统,实现安全管理密钥分量的功能;
项目创新点
首次实现SM系列商用密码在证券期货业信息系统中的自主可控应用,解决行业安全的可管可控;基于SM系列商用密码的底层安全通信技术,保障上层应用的安全可控;基于SM系列商用密码的密钥分割技术,保证安全性的同时提升用户使用的便捷性;SM系列商用密码与“高并发、低延时”证券期货信息系统高效融合技术;全球首创证券期货行业SM2算法双证书机制和双中心体系。
3
应用示范实践意义
《基于安全加固技术的可管可控可信网上交易接入平台》建设作为证券期货业SM系列商用密码试点项目,起点高、要求严、技术攻关难度大。在证监会各级领导指导下,中国银河证券技术和业务部门加强合作,加大技术攻关,相互协同联动,通过持续优化SM系列商用密码算法性能(包括重构Linux平台应用系统、通过开源技术优化内存处理、分布式缓存、模块化和多层次化划分)、引入国密SSL VPN、协同签名模块、使用密钥分割技术,从而实现SM系列商用密码算法与“高并发、低延时”高效融合,开拓性实现了行业首家系统改造、首家系统上线运行,试点期间系统运行正常、客户使用正常、试点期间零投诉,为行业探索出一套安全加固技术升级改造切实可行的解决方案,为行业全面推广应用提供了借鉴和参考。中国证监会已向第二批10家试点单位下发中国银河证券实施方案作为参考案例。证券期货业机构可直接或间接使用项目研究技术成果。
2021年,《基于安全加固技术的可管可控可信网上交易接入平台》项目荣获第七届证券期货科学技术奖二等奖,该奖项是证券期货业科学技术领域的最高奖,是全行业唯一由官方组织评选的省部级科技类奖项,是行业科学技术工作者的最高荣誉,是代表行业先进技术的交流平台,是行业科技工作发展的重要推动力。
| 罗黎明为中国银河证券股份有限公司副总裁,唐沛来为信息技术部总经理,魏自恩为信息技术部副总经理,梅养真为网上交易运行团队负责人,邓廷勋为信息技术部高级经理
资本市场监管科技寻踪(上)
文/屈 燕
2020年4月,中国证监会科技监管局正式“营业”。6月,证监会官网更新机关部门一栏,科技局新增入列。科技局由学者型官员姚前领衔,旨在打造一个整合、打通现有各信息资源的资本市场大数据监管系统,掀开了证监会科技监管的新篇章。经过这一系列重大改革后,形成了科技监管局、信息中心、中证数据、中证技术为主体的科技监管工作体系。
10月,科技监管局局长姚前表示,证监会已于7月启动了区域性股权市场区块链登记托管基础设施建设的试点工作,首批确定了北京、上海、江苏、浙江、深圳5个试点地区,目前试点工作进展顺利,各地的区域性市场区块链基建各具特色,证监会负责建设的中央监管链也已初步建成,5个试点地区的地方业务链至9月全部实现与中央监管链的技术联通。
时隔一年后,随着资本市场金融科技发展势头向好,诸多挑战也接踵而至,包括智能化数字化发展还处于早期阶段、新一代信息技术应用可能伴生风险隐患以及金融科技监管还需不断完善等。通过金融科技创新试点,可以极大发挥助力,推动行业机构借助金融科技手段提质增效、探索构建适合金融科技发展的长效监管机制、投资者合法权益保护以及金融风险防范。
由于资本市场监管科技建设任务繁重,行业来稿亦多,为真实全面展示“当前所处位置”,本期组稿将分为上下两期刊登。如姚前局长所要求,期待本期组稿能够促进行业机构真抓实干,积极参与试点工作,打造新型金融基础设施,促进我国资本市场数字化发展。
监管科技
基于区块链的OTC衍生品金融基础设施
为了支持高效的场外衍生品交易匹配、确认、执行、清算和报告等,需要在现有标准化工作的基础上,进一步构建一个可自动化执行的统一、开放、高效、合规、稳健的场外衍生品基础设施平台,从而实现更高的运行效率、更一致的监管合规、更好的数据质量和市场透明度。2
深交所:以企业画像辅助智能监管
喻华丽为深圳证券交易所总工程师
企业画像系统并非完全取代监管人员实现自动监管,而是定位于智能监管辅助系统,推动监管由人力为主向人机深度融合的模式转变。
3
上交所:以数据平台赋能智慧监管
王泊 上海证券交易所数字化专业委员会副主任、上交所技术有限责任公司总经理兼CTO
本文回顾分析了上交所在大数据平台建设和数据迁移方面的实践经验,同时分享了推进数字化转型过程中针对数据治理和大数据应用的探索与思考。
监管科技建设
App平台驱动下的券商财富管理转型
行业数字化转型背景下,证券公司必须依托金融科技对证券App的技术架构、研发模式进行创新,更好提升新形势下金融服务的普惠性、差异化和服务效率。5
SM系列商用密码构建证券网上交易安全保障体系
罗黎明为中国银河证券股份有限公司副总裁
以中国银河证券为代表的密码算法试点单位,自主规划、自主设计、自主开发了从算法理论层面到平稳落地应用系统,并在证券生产交易系统上线稳定运行。
6
基于分布式架构的新一代机构交易服务平台
舒宏为东方证券股份有限公司副总裁、首席信息官
基于分布式架构的新一代机构交易服务平台为证券核心交易业务系统从传统集中式架构向新一代分布式架构的转型升级迈出了坚实一步。
7
证券公司集团化大数据服务体系构建及创新应用
随着金融科技快速发展,金融监管改革持续推进,行业竞争与日俱增的时代背景下,证券公司应加速数字化转型,致力于提高企业经营管理、风险管控、客户差异化服务等能力,构建企业核心竞争力。8
聚力证券核心交易技术的新一代A5系统
高海明为东吴证券股份有限公司副总裁
第七届证券期货科学技术奖评选结果已正式揭晓,东吴证券与顶点软件联合研发建设的证券新一代交易系统A5荣获二等奖。该奖项是行业科技的权威认证,也是行业官方组织评选的科技类奖项。A5系统获此殊荣,标志着证券IT核心技术迈入全面自主可控的发展新阶段,标志着证券交易系统的创新性变革取得了历史性突破。
9
智能运维为金融科技高质量发展保驾护航
晏强为光大证券股份有限公司信息技术总部董事总经理
相比传统运维方式,智能运维能够实现更细粒度、更高精度的异常发现,特别是一些潜在的业务风险、系统瓶颈,能够实现更高效、更准确的定位故障根因。
往期精彩内容回顾
原创声明:本号所刊登署名文章,如非特别说明,皆为原创或作者授权发表。
转载务请注明出处:转自微信公众号 “当代金融家(bankershr)”。
《当代金融家》杂志现已同步入驻:一点资讯、网易号、百家号等媒体平台。欢迎关注~~