国密算法在国库信息系统中的应用研究

密码技术对于实现信息系统安全自主可控具有重要意义,特别是在金融信息系统领域.本文从算法、效率、安全性等方面简要阐述了商用密码在国内外的基本情况,结合国产密码SM2/3/4等在国库信息系统中的实际应用案例,讨论了在建立以国产商业密码为主要支撑的国库信息安全保障体系、实现底层密码算法自主可控等方面,国密改造所取得的成效.     

资讯

<正>修订后的《商用密码管理条例》正式发布近日，修订后的《商用密码管理条例》(以下简称《条例》)正式发布，自2023年7月1日起施行。据了解，修订后的《条例》重点规定了以下内容：一是完善商用密码管理体制。明确密码管理部门和有关部门开展商用密码监管的职权、协作配合、保密义务以及信用监管、举报等制度机制。二是促进商用密码科技创新与标准化建设。明确商用密码标准的制定、实施及监督检查。     

运用国密算法实现基层央行信息系统安全自主可控

密码技术是信息安全保障的核心,为确保密码算法的自主可控,降低敏感信息泄露和信息系统遭受攻击的风险,国家密码管理局制定并发布了国产密码算法及相关密码行业标准。本文将国密算法运用于基层人民银行信息系统,在如何实现信息系统安全自主可控方面进行了系统开发,并提出了安全、有效、可行的解决方案。     

行内耀点

电子支付密码系统在津上线近日,中国农业银行电子支付密码系统在天津正式运行。该系统是农业银行根据中国人民银行、国家商用密码管理局有关支付密码系统业务规范和技术标准,依托自身计算机网络,自主设计建设的,用于对存款人身份及支付信息进行核验,控制支付操作行为的安全保障     

银行、保险信息系统密码和密钥规范研究

《银行、保险信息系统密码和密钥规范研究》(以下简称《规范》)是根据国家相关政策,在对银行、保险等部分金融机构的密码技术应用情况进行充分调研的基础上,从多个层面研究并分析国内金融机构密码技术应用现状、基本要求和技术特点。《规范》主要内容包括:对密码服务及其实现机制进行阐明;对密码算法的使用及密钥管理应满足的基本要求进行规范;对密码配置策略与安全要素的要求进行规范;对商密信息网的安全要素、密码算法、密钥管理的具体要求进行规范。一、子专题创新点与主要难点1.本子专题的创新点(1)安全保密要素。《规范》全面涉及信息…     

商用密码技术呼唤行业标准

从密码研究与应用的角度,呼吁重视信息安全技术,并提出在制定我国商用密码标准时需要注意的若干问题。     

金融IC卡国产密码算法使用研究

国产密码算法是我国自主研制完成的一种密码算法，具有较高安全性，由国密局认可和推^我国国家密码管理局公布多种密码算法，用以保障我国信息安全。在国家主导的行业中大多采用国家密码管理局的密码算法，已逐渐成为趋势。一，国产密码算法现阶段国内金融IC卡系统主要是采用与我国金融信息处理网络相同的国际商用密码算法，研究金融Ic卡系统中国产密码算法与国际算法的兼容并存，可以为今后我国在相关领域推广和普及国密算法提供很好的经验和借鉴，保证我国相关领域信息处理网络的基础安全，对推动我国信息安全产业的发展具有借鉴意义。（一）国产密码算法介绍国产密码算法主要包括非对称密码算法（SM2）、杂凑算法（SM3）和对称密码算法（SM4）。     

银行计算机信息安全体系结构之管见

对于银行来说，数据就是资金，由于存在操作系统开放性、网络系统共享性、数据库的通用性等因素，银行计算机数据信息的安全问题越来越突出。本文拟对银行计算机信息系统的安全提出一些设想。银行计算机信息系统中的信息流动包括操作员的输入、业务软件的处理、网络上传输、数据储存几个环节，这几个环节都要求相应的安全措施以构成银行计算机信息安全体系。1．物理安全计算机信息系统的安全基础是要求一个安全的物理环境，如机房的用电安全、防火安全、防盗安全。机器质量、机房电磁屏蔽、数据库备份媒体的存放。双机备用和容错以及灾难恢…     

我国会计人员密码使用安全问题探析

<正>计算机软件在会计工作中的广泛使用以及基于Web的会计信息系统的发展,在极大地减轻会计人员劳动量、提高会计信息处理效率的同时,也为别有用心者非法获取会计数据打开了方便之门。会计人员掌握着进出会计信息系统的钥匙——密码,因此,一个不懂得密码安全知识的会计人员面临着影响企业商业信息安全的风险。     

实践等级保护——建设数据安全保护系统

数据安全保护系统的建设,是对国家有关信息系统等级保护制度的有效贯彻和执行,特别是在内部核心数据保护方面,长城资产管理公司做了有益的探索和尝试。本文介绍了针对公司内部现有信息系统所作的数据安全保护方案,重点描述了在现有信息系统基础上,如何使用密码手段保障内部数据安全,特别是内部电子文档的安全。     

水利部加强对水利工程招投标项目的审计监督

为规范含有密码技术的信息产品政府采购行为，维护国家信息安全，国家密码局、科学技术部、公安部、国家安全部、财政部、信息产业部、商务部、国家保密局、国家信息化工作办公室联合制定了《含有密码技术的信息产品政府采购规定》，自2008年3月1日起施行。《规定》指出，各级国家机关、事业单位和团体组织，在政府信息系统和涉及国家秘密的信息系统中，使用财政性资金采购含有密码技术的信息产品的活动，适用本规定。     

信息安全技术讲座(五)计算机信息安全标准

信息社会的信息安全是建立在信息系统互联、互通、互操作意义上的，因此需要技术标准来规范系统的建设和使用。没有标准就没有规范，没有规范就不能形成规模化信息安全产业，就不能生产出足够的满足社会广泛需要的产品。没有标准也不能规范人们安全防范行为，也不能使人们的信息安全意识提高到必要的水平。国际上的信息安全标准涉及到有关密码应用和信息系统安全两大类。制定标准的机构有国际标准化组织、某些国家的标准化机关和一些企业集团。他们的工作推动了信息系统的规范化发展和信息安全产业的形成。有关信息安全的标准很多，这里仅就…     

信息系统的安全管理

一、系统不安全因素　　信息系统安全是计算机信息系统运行保障机制的重要内容。通常所说的计算机信息系统主要由物理部分、软件部分、网络部分和数据部分等共同构成。信息系统的每个组成部分都存在着安全问题，其不安全因素有以下几个方面。　　1.物理部分　　(1)环境安全。环境安全主要是对机房的要求。我国对机房安全有3个标准：《电子计算机机房设计规范》、《计算站场地技术条件》、《计算站场地安全要求》，但目前很多机房不达标。　　(2)设备安全。设备安全主要包括防盗、防毁、防电磁辐射、防线路截获、抗干扰等。　　(3)媒体安全。…     

使用VB．NET实现数据库字段HD5加密

现在，信息系统的开发使用安全性越来越重要，一般系统都加入了口令验证这一关。如果将密码字段以明码方式写入数据库，那么将是十分不安全的。而自己设计一个加密方案既费时又存在被攻击的缺陷。这里笔者提供一个解决方案供大家参考。     

标识密码技术在金融信息安全中的应用研究

正标识密码技术是新一代安全体系的基石。随着互联网经济和信息化金融的快速崛起,信息安全问题也从狭义的信息系统和网络系统不断延伸到网际空间。为适应网际安全的要求,新一代安全体系将颠覆防御为主的思想,通过网际空间任意实体惟一性和真实性的自证与互证,构建可信系统,实现信息安全的主动管理。由此可见,在网际安全阶段,新一代安全体系的核心是实现网际空间任意实体的认证,而标识密码技术是利用实体的惟一标识作为公钥的密码体制,可基于标识提供实体的     

信息安全等保定级实践

7月20日，公安部、国家保密局、国家密码管理局、国信办4部门联合召开了“全国重要信息系统安全等级保护定级工作电视电话会议”，会议强调：2007年7月至10月，将在全国范围各省市、各行业组织开展重要信息系统安全等级保护定级工作。目前，国家已经制定了50多个国家标准和行业标准。     

二级分行中心机房标准地线制作方法与降阻剂配制

随着对计算机信息系统安全管理工作要求的不断提高，计算机信息系统的配电质量要求也越来越高，而制作接触良好、长期运行可靠的接地线是保证配电质量的重要环节。虽然有统一的国标规范，但实施过程中仍存在因环境、方法、工艺的差异而产生的效果的优劣。本简单介绍标准地线的制作需要注意的几个问题。     

J2EE应用系统数据库连接加密方法初探

根据《中国人民银行信息系统安全配置指引》的要求,为确保数据库账号密码的保密性,在信息系统开发时,禁止直接将数据库账号的密码以明文形式写于应用程序或脚本中。本文根据人民银行广州分行自主开发的J2EE应用系统的几种不同的数据库连接方式,研究分析各种提供建立连接服务类的源代码的方式,找到加密数据库连接的切入点,并提出了相应连接方式加密的具体解决方案。     

坚持自主创新，生产高安全支付产品——访深圳市九思泰达技术有限公司总经理吴俊华

2009年伊始,深圳市九思泰达技术有限公司（以下简称“九思泰达”）传来捷报：公司自主研发生产的JUSTE6020型加密密码键盘顺利通过了国际权威的PCI2．0安全认证,成为全球率先通过PCI2．0认证的加密键盘厂家。九思泰达是招商局科技集团有限公司投资的高新技术企业,已通过高新技术企业认定、软件企业认定和ISO9001：2000质量管理体系认证,是国家密码管理局批准的商用密码产品生产定点单位和销售许可单位。多年来,该公司凭借领先的技术、科学的决策、规范的管理,已发展为安全支付行业的知名企业。     

通用运行监控平台的设计与实现

现在金融行业计算机信息系统日趋复杂化,同时对安全生产运行的要求也越来越高。面对多种操作系统平台、数据库和中间件以及几十种上百种应用系统,如何做好日常运行维护,及时发现和处理系统隐患,是维护人员的一大难题。好的监控软件非常重要,但因平台的差异性和应用的千差万别,往往需要面对多种监控软件,且多数商用的监控软件通常难以做到应用级监控,