从《密码法》施行看银行在维护国家安全中的重要角色
提要:密码,通常理解上的一串字符,是《密码法》所指的密码吗?银行如何使用密码切实维护国家安全?
今年4月15日是第5个全民国家安全教育日,今年也是《中华人民共和国密码法》施行元年,国家密管局负责人答记者问时表示“密码是国家重要战略资源,是保障网络与信息安全的核心技术和基础支撑。密码工作是党和国家的一项特殊重要工作,直接关系国家政治安全、经济安全、国防安全和信息安全。”
早在2014年,习近平总书记在中央国家安全委员会第一次会议上提出,要准确把握国家安全形势变化新特点新趋势,坚持总体国家安全观,走出一条中国特色国家安全道路。这标志着国家安全观首次正式提出。
2015年实施的《中华人民共和国国家安全法》规定,国家要加强金融基础设施和基础能力建设,防范金融风险。2017年施行的《中华人民共和国网络安全法》则明确国家对金融等领域中的关键信息基础设施实行重点保护。
《密码法》是我国在国家安全立法的最新进展。银行作为金融机构,其安全管理关系国家安全和社会总体利益,因此银行在维护国家安全上扮演重要角色。
一、现代社会的安全感建构在密码之上
《密码法》对密码有如下定义:本法所称密码,是指采用特定变换的方法对信息等进行加密保护、安全认证的技术、产品和服务。从定义可知,《密码法》上的密码(Encryption)是指一种加密、解密的技术及运用该技术的产品、服务(为了讨论方便,下文中《密码法》所指的密码均称为“密码技术”)。而我们俗称的密码包含不同意思,银行卡密码、账户密码实际上只是口令(Password),用于身份验证,虽然常伴有加解密过程,但本身不是密码技术;智能手机屏幕解锁密码属于密钥(Key),则与密码技术直接相关,参与加解密过程。
(在互联网广泛应用的非对称密码技术,如HTTPS超文本传输安全协议)
密码技术早已被应用在国家、社会、个人生活的方方面面。
在国防领域,密码技术可保护军事单元间的通信不被监听。在商业领域,密码技术可保护机构存储的商业秘密、客户信息不被窃取。在个人生活领域,密码技术保护我们的智能手机、平板电脑等智能设备里存储信息的安全,保护我们与他人的微信聊天、网页浏览记录不被截获。如果没有密码学的研究、没有密码技术的蓬勃发展,国家、个人的保密、敏感信息将处于岌岌可危的状态,因此,现代社会的安全感可以说是建构在密码技术之上。《密码法》的出台确立了密码技术的法律地位,将促进密码技术行业更好地发展。
(iPhone手机通过密码技术保护用户间通信安全)
二、银行如何使用密码技术进行安全管理
密码技术作为现代社会重要的安全保障手段,在银行业金融机构中有广泛应用。举例来讲,客户在银行留存的口令会通过HASH哈希函数生成散列值保存在银行系统中用作下次校验客户的身份;客户使用银行网站、或手机银行APP办理业务时经互联网与银行的通信过程会通过HTTPS超文本传输安全协议加密保护;银行收集客户的个人金融信息会通过密码技术严格保护。
(商业银行手机银行APP的安全管理)
简而言之,密码技术为银行筑起了安全长城,是银行安全管理的关键技术手段。在我国银行领域,普遍使用商用密码产品进行信息安全保护,包括银行核心系统,因此,使用的密码产品是否满足在生产环境中的安全需求至关重要。
对此,《密码法》作出了新规定,凡是涉及国家安全、国计民生、社会公共利益的商用密码产品,需要经过安全检测,方可销售或者提供。银行业金融机构是《国家安全法》明确的重点保护机构,因此银行关键设施使用的密码产品应属于需经国家安全审查范畴。同时,国家密管局、央行在2019、2020年推出了一系列针对银行中密码技术应用、安全管理技术的行业标准,分别涵盖网上银行系统、手机银行系统、银行卡系统、银行信贷系统,为银行落实商用密码检测、完善密码技术应用、提升自身安全管理能力,提供了极具实践性价值的指导。
|
银行密码技术相关标准 |
||
|
发布机构 |
标准号 |
标准 |
|
国家密码管理局 |
GM/T 0054-2018 |
《信息系统密码应用基本要求》 |
|
国家密码管理局 |
GM/T 0073-2019 |
《手机银行信息系统密码应用技术要求》 |
|
国家密码管理局 |
GM/T 0075-2019 |
《银行信贷信息系统密码应用技术要求》 |
|
国家密码管理局 |
GM/T 0076-2019 |
《银行卡信息系统密码应用技术要求》 |
|
国家密码管理局 |
GM/T 0077-2019 |
《银行核心信息系统密码应用技术要求》 |
|
中国人民银行 |
JR/T 0068—2020 |
《网上银行系统信息安全通用规范》 |
|
中国人民银行 |
JR/T 0185—2020 |
《商业银行应用程序接口安全管理规范》 |
三、银行如何履行安全管理义务
一般而言,安全管理义务的来源可以分为两类,第一类是法定义务,主要分布于我国的法律、行政法规、部门规章、监管文件及其他规范性文件;第二类是合同义务,在合同中明确约定服务提供者应承担的安全管理义务。对银行而言,安全管理义务与银行的审慎经营义务相互竞合,《中华人民共和国商业银行法》、《中华人民共和国银行业监督管理法》规定银行经营应遵守审慎经营规则,包括风险管理、内部控制等,银行未履行安全管理义务,一般也违反审慎经营规则。
在法定义务来源中,除《密码法》外,《网络安全法》规定安全敏感机构对自身系统、设备、产品、服务负有安全审查、安全保护和安全防范的安全管理义务。笔者在此列举在《网络安全法》等法律中银行机构适用的安全管理义务:
1、制定内部安全管理制度和操作规程;
2、采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;
3、采取监测、记录网络运行状态、网络安全事件的技术措施;
4、采取数据分类、重要数据备份和加密等措施;
5、设置专门安全管理机构和安全管理负责人,并对该负责人和关键岗位的人员进行安全背景审查;
6、定期对从业人员进行网络安全教育、技术培训和技能考核;
7、对重要系统和数据库进行容灾备份;
8、制定网络安全事件应急预案,并定期进行演练。
近年来,监管机构也进一步对银行安全管理作出细化规定,笔者梳理了近5年来监管文件,发现监管机构的管理细化至机构内Wi-Fi的具体设置,监管机构对银行安全管理的重视程度可见一斑。
|
监管机构对银行安全管理的规定(近5年) |
||||
|
日期 |
发文机关 |
文号 |
文件/通知 |
主要内容 |
|
2020年3月5日 |
中国人民银行、发展改革委、财政部、银保监会、证监会、外汇局 |
未公开 |
《统筹监管金融基础设施工作方案》 |
1、明确金融基础设施包括金融资产登记托管系统、清算结算系统、交易设施、交易报告库、重要支付系统、基础征信系统;2、建设布局合理、治理有效、先进可靠、富有弹性的金融基础设施体系 |
|
2020年2月13日 |
中国人民银行 |
银发〔2020〕4号 |
《关于发布金融行业标准加强商业银行应用程序接口安全管理的通知》 |
1、按照规范加强应用程序接口全生命周期安全管理;2、加强应用程序接口行业自律管理 |
|
2018年6月12日 |
中国银行保险监督管理委员会办公厅 |
银保监办发〔2018〕50号 |
《关于加强无线网络安全管理的通知》 |
1、严格禁止私搭乱建和未经授权使用无线网络,杜绝不符合规范的无线网络;2、将无线网络安全管理纳入日常信息科技风险评估、检查及审计范围,检查和评估各级部门无线网络使用的合规性、安全性、管理有效性 |
|
2018年5月2日 |
中国人民银行 |
银发〔2018〕102号 |
1、增强征信信息安全管理意识,强化征信信息安全主体责任;2、完善征信业务操控流程,不断提高征信信息安全管理水平;3、查漏补缺,补齐短板,完善征信内控制度及问责制度;4、 提高技防能力,防范征信信息泄露风险 |
|
|
2017年12月22日 |
中国人民银行办公厅 |
银办发〔2017〕242号 |
《关于加强条码支付安全管理的通知》 |
1、 强化条码支付技术风险防范;2、推进条码支付受理终端注册管理;3、规范条码支付交易报文管理;4、加强条码支付产品质量管理 |
|
2017年1月22日 |
中国人民银行 |
银发〔2017〕21号 |
《关于强化银行卡受理终端安全管理的通知》 |
1、规范银行卡交易报文管理;2、加强银行卡受理终端注册管理;3、强化银行卡受理终端产品质量管理;4、 加大银行卡受理终端支付风险防控力度 |
四、银行可能面临的法律风险
法律和监管机构对于银行安全管理特别是信息安全管理的要求不断提高,执法力度加强,银行需要采取积极措施提升自身安全管理能力,按照法律和监管要求,参考密码和金融行业标准,履行安全管理义务。
银行未全面履行安全管理义务的,银行和责任人可能面临行政和刑事法律责任,如果发生安全事件,将带来严重的声誉和经济损失。
1、行政法律责任
根据《密码法》和《网络安全法》的规定,银行的核心系统等关键设施设备使用不符合国家安全审查的密码产品、网络产品服务,或未履行安全管理义务,可能面临产品采购金额一倍以上十倍以下罚款或十万元以上一百万元以下罚款,责任人可能面临一万元以上十万元以下罚款。
《银行业监督管理法》的规定,银行未适当履行安全管理义务的,监管机构可以银行违反审慎经营规则,作出二十万元以上五十万元以下罚款的行政处罚。笔者检索近1年来银保监会行政处罚公开信息,其中3件与银行安全管理直接相关,包括安全管理问题、安全事件未及时上报,处罚依据均为银行违反审慎经营义务。
|
银保监会关于安全管理的行政处罚(近1年) |
||||
|
日期 |
文号 |
银行 |
处罚理由 |
处罚金额 |
|
2019年12月13日 |
包银保监罚决字〔2019〕26号 |
XX银行股份有限公司 |
客户信息安全管理不到位 |
20万元 |
|
2019年11月13日 |
吉银保监罚决字〔2019〕67号 |
XX省农村信用社联合社 |
信息科技管理存在重大安全隐患等 |
440万元(并罚) |
|
2019年8月19日 |
皖银保监罚决字〔2019〕11号 |
XX省农村信用社联合社 |
信息安全事件及漏洞未上报等 |
500万元(并罚) |
2、刑事法律责任
《刑法修正案(九)》新增“拒不履行信息网络管理义务罪”对网络服务提供者不履行网络安全管理义务“致使用户信息泄露”等危害后果的,将承担相应刑事责任,单位可能被判处罚金,责任人可能处三年以下有期徒刑、拘役或者管制,并处或者单处罚金。
拒不履行信息网络管理义务罪的不法性构成要件除了不履行网络安全管理义务外,还有经监管部门责令采取改正措施而拒不改正,值得留意的是此处网络安全管理义务仅限法律、行政法规中的法定义务。因此,银行对于监管部门提出的安全管理问题应采取积极改进措施,及时修补安全漏洞,否则可能面临刑事处罚。
五、结论和建议
在国家层面,银行的安全、稳健运行对维护金融秩序,促进社会主义市场经济的发展,维护国家安全具有重要战略意义。在个人层面,银行的安全管理直接关系存款人资金安全和其他客户的合法权益,是人民群众对商业银行安全性理解的应有之义。
银行安全管理是宏大的系统性工程,新的法律法规、监管规定对银行安全管理能力提出了更高的要求。针对《密码法》和一系列银行密码技术标准出台,我们认为银行可从以下多方面加强安全管理,切实维护国家安全。
1、完善银行信息系统多维度的基于密码技术的安全管理。
基于密码技术的安全管理,绝对不仅仅是密钥强度是否足够、加密算法是否可信的问题。按照“木桶原理”,一只木桶盛水的多少,并不取决于桶壁上最高的那块木块,而恰恰取决于桶壁上最短的那块。银行信息系统中,一次管理员口令的泄露、或者设备IP地址的暴露都可能足以摧毁一个经过重重加密的信息系统。因此,银行需要建设或完善一个多维度的安全管理制度,其中既包括密钥管理、密码硬件安全,也要包括数据传输、网络通信安全,更要包括物理环境安全、人员安全管理。
|
银行基于密码技术的安全管理清单 |
||
|
安全管理维度 |
安全管理要求 |
|
|
密码安全技术要求 |
物理和环境安全 |
密码硬件安全 |
|
物理环境安全 |
||
|
电子门禁系统 |
||
|
网络和通信安全 |
通信安全 |
|
|
身份鉴别 |
||
|
安全访问路径 |
||
|
审计记录 |
||
|
设备和计算安全 |
审计记录 |
|
|
身份鉴别 |
||
|
访问控制 |
||
|
密码模块 |
||
|
应用和数据安全 |
数据传输 |
|
|
数据存储 |
||
|
密码配用策略要求 |
密码算法配用 |
|
|
密码协议使用 |
||
|
密码设备使用 |
||
|
密钥安全与管理要求 |
密钥安全 |
密钥生成 |
|
密钥存储 |
||
|
密钥分发 |
||
|
密钥使用 |
||
|
密钥管理 |
密钥的导入与导出 |
|
|
密钥的存储与保管 |
||
|
密钥的使用与更换 |
||
|
密钥的备份与恢复 |
||
|
密钥的归档与销毁 |
||
|
安全管理要求 |
安全管理制度 |
|
|
人员管理要求 |
||
|
密码设备的安全管理 |
密码设备管理 |
|
|
使用密码的业务终端要求 |
||
2、更新银行核心系统密码产品国家安全审查要求
银行信息系统由不同子系统组成,一般包括核心系统、各业务系统,而银行核心系统通常包括负债业务(存款核心)、资产业务(贷款核心),客户信息管理等,一旦银行核心系统发生安全事件,可能导致个人金融信息泄露、存贷款业务异常的严重后果,因此银行核心系统的安全管理任务最为繁重,其使用属于国家安全审查范畴。
国家安全审查的法律概念最早在2016年《网络安全法》正式提出,对于可能影响国家安全的关键信息基础设施运行前应进行国家安全审查。本次《密码法》新规定了在关键信息基础设施上使用的商业密码应强制经国家安全审查。实践中,银行信息系统使用密码产品一般在信息系统的安全审查中已经一并检测,随着国家密管局一系列新标准出台,建议银行在建设或采购商用密码产品时,应留意相关审查标准的更新要点,满足新的标准要求,以适应不断变化的安全威胁环境。
3、进一步加强员工特别是关键岗位员工安全管理和培训
根据国家保密局2020年1月发布的《年度信息安全事件盘点》,过去一年国内外发生的信息安全事件令人忧虑,其中澳大利亚维多利亚州政府3万多名公务员工作数据被盗;美国知名图形图像和排版软件生产商Adobe旗下一处数据库被发现未采取安全措施,任何人皆可通过网络对其进行访问;Facebook数亿用户密码在数据库内以明文形式存储等安全事件均是由员工疏忽或遭遇网络钓鱼导致的,员工安全管理能力、安全防范意识的不足将成为信息系统安全的定时炸弹,因此银行员工特别是运行维护信息系统岗位的人员是银行安全管理中的重要因素。
我国商业银行一向重视员工的安全意识教育,要求员工保守在工作过程中接触的国家秘密、商业秘密,相比较地,信息安全的管理则较为依赖供应商。但是随着信息安全攻防战不断升级,黑客攻击的手段向持续性、复杂性方向演变,银行信息系统的运维人员扮演着越来越重要的角色,其他岗位员工的不经意行为也可能成为“木桶原理”中的短板。因此银行需要定期地对运维人员进行信息安全继续教育、技术培训和技能考核,对其他员工宣传普及信息安全知识,制定或完善适合银行自身的安全事件应急预案,并定期进行演练。同时,银行可邀请专业服务机构跟踪和评估安全管理能力,落实服务机构提出的安全建议。
|
笔者对银行员工的20条安全小建议 |
||
|
场景 |
序号 |
安全提示 |
|
邮件 |
1 |
注意来自银行外的陌生者发送的邮件,甄别域名看起来熟悉但不一致的邮件地址 |
|
2 |
建议使用专门的对外收发邮箱,由专人负责摆渡和管理 |
|
|
3 |
不要打开未知的附件,或者邮件中不明的链接 |
|
|
4 |
小心网络钓鱼邮件,应及时删除、隔离 |
|
|
5 |
外发邮件不要包含密码、口令,因为邮件可能在互联网明文传输,被攻击者截取 |
|
|
6 |
重要文件资料应使用足够强度的密码和选择安全的加密算法,避免使用MD5、DES等已被证明不安全的加密算法 |
|
|
办公环境 |
7 |
使用银行间市场等交易系统后,应及时登出,移除鉴权硬件设备 |
|
8 |
电脑、邮箱的口令不要告诉他人,不要记录在手机等智能设备中 |
|
|
9 |
重要文件资料不要使用类似百度云的云同步软件同步,或保存在类似iCloud有云同步功能的手机中 |
|
|
10 |
不要插入未知的U盘,或者其他类型的外接设备 |
|
|
11 |
不要关闭Windows的UAC,留意UAC弹出警告的内容,不要安装没有电子签名或无效的应用程序 |
|
|
12 |
确保反恶意程序软件已经开启并处于最新状态,开启网络防火墙 |
|
|
13 |
及时安装操作系统更新,堵塞已知漏洞,防止被黑客利用 |
|
|
14 |
关闭不必要的服务、端口,预防0day攻击 |
|
|
15 |
不要使用手机或手环的复制卡功能来复制银行门禁,因为卡片信息可能上传面临泄露的风险 |
|
|
无线网络 |
16 |
不要使用无线网络密码分享的APP |
|
17 |
不要私搭和未经授权使用无线网络 |
|
|
18 |
无线网络应划分独立网段或虚拟局域网,进行安全隔离和访问控制,防止非授权访问 |
|
|
19 |
生产环境的无线网络应禁止使用SSID广播,避免攻击者通过扫描直接获取无线网络信息 |
|
|
20 |
加强对伪冒Wi-Fi热点的侦测,防范欺诈、钓鱼等无线网络攻击 |
|
