【对话】商业银行金融云建设应重视密码服务顶层设计——专访得安信息技术有限公司董事长兼总裁邢少敏

摘要: 文/本刊记者时磊 银行卡密码、账户密码、网站密码……是与每个人生活息息相关的事情。对个人而言,密码的重要性

10-30 01:25 首页 中国银行业杂志

文/本刊记者    时磊

 

银行卡密码、账户密码、网站密码……是与每个人生活息息相关的事情。对个人而言,密码的重要性不言喻。而对企业而言,密码可不是简单的一串数字,或者一个U盾,一张密码卡,几台密码设备那么简单。密码安全的背后,可能是一系列复杂的软硬件基础设施建设与服务。

对银行业金融机构来说,金融安全的意义十分重大。今年4月,习近平总书记在中共中央政治局第四十次集体学习时强调,金融安全是国家安全的重要组成部分,维护金融安全,是关系我国经济社会发展全局的一件带有战略性、根本性的大事。

在金融科技不断发展的今天,在技术升级的过程中如何更好地维护金融科技系统的安全稳定,也是当下的务实话题。这其中,密码服务是维护系统、业务安全的重要组成部分。

在得安信息技术有限公司董事长兼总裁邢少敏看来,网络安全里的核心技术就是密码技术,密码服务应纳金融云服务的顶层设计之中。

作为最早进入国内密码服务市场的企业之一,她所在的公司近年来参与了一些银行机构的密码服务合作,积累了不少案例经验。本刊记者不久前与邢少敏展开对话,分析当前银行机构在新科技浪潮下如何提高信息安全,守住风险底线。

金融行业商用密码技术应用迎来高速发展期

本刊记者:在金融行业的业务向云计算转型中,您如何看待信息安全的重要性?

邢少敏:金融云服务快速发展给金融行业带来了一系列的信息安全风险和问题,如何有效地保护数据安全、存储安全、传输安全,如何保护金融资产,防止用户隐私和数据的泄露,防止金融诈骗等不法行为的出现,国家先后出台了一系列信息安全的法规。国家从政策法规方面做好了信息安全的顶层设计,明确了实施指导意见和要求,建设了金融业等重要领域需要完善的信息安全机制。

现在整个国际社会的信息发展都走在高速路上,大家都在向云端转型。各种向云端提供的服务商出现之后,金融的科技转型也开始面临包括安全风险在内的诸多挑战,比如数据加密的风险,存储、传输等环节的安全问题。

本刊记者:您认为密码技术在金融行业云计算安全中处在什么样的地位,具有什么样的价值?

邢少敏:现在,国家层面非常重视金融安全、信息安全以及安全服务的顶层设计。采用密码技术对信息进行加密保护和安全认证,是保护信息安全的有效技术手段,因此,商用密码的安全性、规范性越来越受到国家的重视,商用密码技术也必将迎来高速发展。

国产密码是由国家主持研制的一个密码算法,基于这个标准算法开发了一系列的产品和应用服务。密码技术是国家的安全底线,暂时还没有对外开放。

得安公司很庆幸在20年前就做了密码服务,比较超前。得安投身商密行业和信息安全事业是最早的,从1997年至今,作为奠基者,得安逐步完成了商用密码技术的国产化。当年,信息化的应用程度微乎其微,信息安全行业更是如此,就是在这种社会条件下,得安创始人李大兴教授带领大家将商用密码知识和技术传播到每一个角落,千方百计唤醒大家的信息安全意识。

本刊记者:现在互联网金融、金融科技火热发展,银行机构也在加速科技创新,您觉得当前各类型银行在加强信息安全方面,特别是应用密码服务方面处于什么样的水平?

邢少敏:现在很多银行在发展金融科技,在云端服务中,大型商业银行会更加超前地考虑一些集中服务问题,包括安全问题。我感触比较深的是当前大型商业银行具有很强的科技实力、规划能力、顶层设计能力,投入也比较多。现在大行的密码服务基础设施建设体系都已经有了,有一些比较完善。比如建设银行的“新一代”核心系统建设就非常超前,投入也比较大。对大型商业银行来说,今后需要关注的是一些技术新领域的新发展,比如云计算、移动金融、包括生物识别技术等,以及这些新技术兴起后如何做好加密工作,如何保护个人隐私。

但是中小银行在国产密码的基础设施建设上可以说还有很大的空缺,有的没有做国产密码改造建设,有的没有密码服务体系建设或者只做了一部分,其核心业务系统没有跟密码平台对接,移动端、手机端业务也没有跟上密码技术服务。城商行、农商行等中小银行在这一领域有很大的发展空间。而且中小银行的系统建设还有一个弊端,就是这些银行在拓展自己业务的时候,它的后台却不是自己的,要依赖于外包,很多银行对密码服务的重视还不够。

本刊记者:那么,基于这种现状,您对金融机构的信息安全维护有什么具体的建议?

邢少敏:无论大型银行也好,中小型银行也好,在信息化的建设中应该把密码的体系建设或者说国产密码的体系建设提升一个标准,应该做好顶层设计,自上而下设计密码体系。

银行高层要重视这件事,国产密码的体系建设不是买几台密码设备就万事大吉,更需要做的是如何与整体架构设备、业务系统深入地融合、推进。所以我觉得金融行业应该在做好信息安全顶层设计的同时,把密码技术纳入顶层设计。

现在有一个矛盾是,银行业务需要效率,但是加密环节又是影响效率的一个因素,安全和效率永远是一对矛盾体。对我们厂商来说,要做的是不断开发高性能的设备,优化业务系统架构,尽量把效率提高。而对银行来说,不能因为要效率,而使业务风险加大,所以两者必然是要兼顾的。

为建行和邮储银行提供国产密码金融云服务的经验分享

本刊记者:贵公司的密码服务目前在银行的哪些领域应用?

邢少敏:得安公司在电子政务、教育信息化建设、金融系统等领域参与了大量了项目实践,形成了以密码产品与技术为核心的研发体系,建立了以密码为核心的系统建设与服务模式。

比如,在金融云服务领域,实施了中国建设银行“新一代”核心系统建设原型验证、一期、二期、三期项目;建设银行总行CSSP密码安全服务平台一期、二期、三期、四期、五期项目;中国邮政储蓄银行邮政储蓄系统逻辑集中工程密钥管理系统;邮储银行结算业务集中处理工程密钥管理系统;承担了陕西省农村信用合作社联合社密码服务平台项目,完成了陕西省农村信用合作社国产密码技术的统一密码服务平台建设等。

本刊记者:建设银行的“新一代”核心系统建设,是历时6年才完成的大工程,得安参与了哪些具体项目?

邢少敏:得安与建设银行在业务层面的合作比较早,后来展开了深度合作。2008年以来,得安公司实施完成了中国建设银行总行“新一代”核心系统原型验证一期、二期、三期项目,“新一代”信息系统安全开放服务项目,“新一代”安全保障三期加密服务项目,建行总行CSSP密码安全服务平台项目,总行信息系统认证授权平台,建行软件安全加密平台技术支持服务项目。

建设银行“新一代”核心系统采用了云计算技术,可以根据业务需要智能调度和分配计算机资源。新一代系统可以使建行在海量的交易数据面前控制自如。

得安公司作为业务系统的参与单位之一,主要承担核心系统的国产密码服务平台,我们派出技术骨干团队,为建行提供驻厂的项目开发和服务。历时6年奋战,完成了项目建设。在项目推广阶段,得安技术团队所有骨干人员参与了分行的系统攻关和上线的支撑工作,为系统的正常运营提供安全支撑。

我们将原来点到点的传输加密模式优化为端到端的传输模式,效率得到大幅提升,使得管理更加透明高效,实现统一的安全作业,并且实现集中化的登录认证,集中式的密钥管理和审计监控,使得安全功能组件化,安全配置参数化,安全服务多样化。整个密码服务平台为建设银行金融云服务提供了高效的密码体系建设和保护。

这个项目,建设银行获得了中国人民银行科技发展奖等奖项。项目的参与,也使得安公司成为我国商用密码领域第一个完成金融密码领域项目实施的企业。

本刊记者:我们看到,得安公司也参与了邮储银行的科技系统建设,那么,这个项目与建行的“新一代”核心系统项目相比,有什么差别?可以和我们分享一下具体经验吗?

邢少敏:两个银行的系统建设各有特点,建行采用的是分布式架构设计,而邮储银行采用的是平台集中式的架构设计。

2010年得安承接了中国邮储银行的密码服务,这是我们的第二个大型银行密码服务项目,实施完成了该行邮政储蓄系统逻辑集中工程密钥管理系统,结算业务集中处理工程密钥管理系统,黄金买卖业务系统二期工程密钥管理系统,密钥管理系统新增功能及推广工程,邮政储蓄系统逻辑集中2014新增功能工程密钥管理系统等,成为邮储银行邮储密码服务的专业厂商。

我们主要是提供统一的安全服务,统一的保存密钥数据,在设计思想和系统架构层面,充分考虑系统的高效性、保密性和使用的方便性,在尽可能提高密钥运算速率的前提下,保障操作安全方便,满足银行系统长期稳定、高效的安全保密要求,目前已经完成50多个系统的接入。

整体过程中我们是不辞辛苦的,有的技术人员连续几个春节都不休息,做值班保障工作。我们意识到银行、证券等金融系统的重要性,所以服务上要求严格,基本上节假日都有值班人员。 

金融IC卡业务与移动金融密码服务如何创新

本刊记者:除了国产密码金融云服务以外,在金融领域,密码服务还涉及哪些领域?

邢少敏:现在,云计算、大数据、物联网等创新技术正在改变整个社会。在这样的形势下,我们迈出了密码技术在社会各领域的跨界应用的第一步,探索了一系列的密码新业态,抢占新一轮密码技术创新的制高点。从得安公司的实践经验来看,以下几个领域是我们重点关注的:

在大数据方面,得安公司发挥密码技术在认证、授权、访问控制和数据保护的特长,开展生物特征大数据的安全存储和数据挖掘工作,初步形成金融大数据安全解决方案,并在建设银行、邮储银行得到应用;在云计算方面,推出了云剑云安全解决方案,以云计算、虚拟化和并行处理技术为核心,集成高端密码设备、密钥管理系统和中间件技术,实现对云平台的多维度、全方位整体安全防护,已经在济南市电子政务云服务中得到应用;在移动互联网方面,与合作伙伴共同开发了移动互联网密码服务平台、数字认证系统、密钥管理系统,提高客户移动终端的安全性能;此外,得安公司在2012年承担了面向金融IC卡领域的高性能密码设备研制工作,已经在陕西省农村信用合作社密钥管理系统项目得到了应用。我们还参与了教育卡业务,比如最近在与首都师范大学校园合作一卡通业务。而且,在工业控制领域、公安系统、智慧城市、智慧医疗建设等方面我们也开展了很多项目。

本刊记者:您刚才提到的移动金融,无疑是时下热点,手机银行、微信银行、移动支付正在快速发展,那么移动金融的安全技术现在处在什么样的发展水平?

邢少敏:移动端未来大有可为,比如现在很多银行卡都与支付宝等第三方支付绑定,因此也要防范移动金融的数据信息风险、支付风险。我们现在也在做面向金融移动端的防诈骗、防信息泄露的产品。

现在手机银行的产品很多,运用了人脸识别、手纹识别等多种生物识别技术。如果单纯地在手机软件端加密,是不能保证银行移动端的支付安全的,商业银行需要移动系统的密码服务管理平台。

得安公司已经与建设银行合作,针对手机银行提供了一套基于移动系统的整体密码应用服务解决方案,该方案是一个整体的密码服务平台,系统中有硬件加密保护,安全方面整体比较完善,同时也符合国家密码管理局的规范。

除此之外,随着新技术的发展,我们也在研发新的加密技术。比如我们有一个新课题是生物识别技术的数据分析,比如虹膜技术的数据分析,但是现在有一个问题,我们国家还没有虹膜库。所以如果应用的话,对每家银行来说只能是先把自己客户的虹膜库建立起来。此外,我们还在研究区块链技术与国产密码的结合应用。

推进国产密码标准建设

本刊记者:通过交谈,我们对密码技术有了更多的了解,那么,目前在国内,国产密码产品和技术的标准建设处于什么样的水平?

邢少敏:可以说,网络安全里的核心技术就是密码技术。我国在近20年的时间里一直组织国产密码的标准制定。得安有幸作为国家密钥管理局的主要标准承办单位,主持了6项国产密码的标准,在第一批国密标准发布的序列里面,接下来会推广。现在从硬件产品层面的标准来说,国产密码技术基本上比较完善,使用者都在遵循这个规范。

接下来,应该推进网络安全法和国家密码法的颁布和实施。应从国家层面重视信息安全的顶层设计以及法律法规建设。

今年开始,国家推进对国产密码安全大检查,各个省的国家密码管理局和网信办、公安厅在大力推进此项工作。此前国家密码管理局派出很多专家抽查各省电子政务情况,检查中发现很多电子政务网站缺少国产密码技术保护,这是接下来要加强的。国家层面的重视,对我们密码厂商来说是发展机遇。 

本刊记者:我注意到,2017年是得安公司成立二十周年,这是一个重要的节点,回顾二十年的公司发展,您个人有什么体会?

邢少敏:得安公司的一草一木,都见证了中国信息安全事业的发展足迹。20年前,在绝大多数中国人还不知道商用密码、信息安全为何物的时候,得安已经获得了“六个第一”:商用密码领域第一个产品批号;商用密码行业第一个国家级奖项;我国第一代商用密码卡和加密机;牵头制定了我国第一批密码行业标准规范;研制出我国第一批支持国产SM系列算法的密码卡和密码机;成为微软在国内的PKI架构应用层的第一个合作伙伴。

得安公司在创业之初的第一个10年里,形成了健全的密码技术和产品体系。获得国家密码管理局50余种密码产品,应用于金融、证券、政府、税务、电信、石油、邮政、保险、航空等领域。在随后的第二个10年里,得安公司打破地域空间限制,进行全国布局,提供信息安全工程项目建设、信息安全运维服务和信息安全整体解决方案。加大以密码技术为核心的自主产品开发力度,推进密码技术和产品的系统化应用服务。

可以说,20年的时间,得安终于从一个设备厂商转变为成熟的密码服务平台。相信,未来国产密码服务还会迎来更广阔的发展机遇。

微信征稿启事

《中国银行业》由中国银监会主管、中国银行业协会主办,是目前唯一一本带有全行业性质的公开刊物,是沟通监管部门和机构的纽带,是行业交流的平台,也是社会了解银行业的窗口。

目前《中国银行业》杂志微信公众号已开通征稿邮箱,面向广大读者征稿。我们期待您的稿件。

微信投稿邮箱:zgyhy001@163.com



首页 - 中国银行业杂志 的更多文章: