【對話(huà)】商業銀行(xíng)金融雲建設應重視(shì)密碼服務頂層設計(jì)—專訪得(de)安信息技(jì)術(shù)有(yǒu)限公司董事長兼總裁邢少(shǎo)敏

銀行(xíng)卡密碼、賬戶密碼、網站(zhàn)密碼……是與每個(gè)人(rén)生(shēng)活息息相關的事情。對個(gè)人(rén)而言，密碼的重要性不言喻。而對企業而言，密碼可(kě)不是簡單的一串數(shù)字，或者一個(gè)U盾，一張密碼卡，幾台密碼設備那(nà)麽簡單。密碼安全的背後，可(kě)能是一系列複雜的軟硬件基礎設施建設與服務。

對銀行(xíng)業金融機構來(lái)說，金融安全的意義十分重大(dà)。今年4月，習近平總書(shū)記在中共中央政治局第四十次集體(tǐ)學習時(shí)強調，金融安全是國家(jiā)安全的重要組成部分，維護金融安全，是關系我國經濟社會(huì)發展全局的一件帶有(yǒu)戰略性、根本性的大(dà)事。

在金融科技(jì)不斷發展的今天，在技(jì)術(shù)升級的過程中如何更好地維護金融科技(jì)系統的安全穩定，也是當下的務實話(huà)題。這其中，密碼服務是維護系統、業務安全的重要組成部分。

在得(de)安信息技(jì)術(shù)有(yǒu)限公司董事長兼總裁邢少(shǎo)敏看來(lái)，網絡安全裏的核心技(jì)術(shù)就是密碼技(jì)術(shù)，密碼服務應納金融雲服務的頂層設計(jì)之中。

作(zuò)為(wèi)最早進入國內(nèi)密碼服務市場(chǎng)的企業之一，她所在的公司近年來(lái)參與了一些(xiē)銀行(xíng)機構的密碼服務合作(zuò)，積累了不少(shǎo)案例經驗。本刊記者不久前與邢少(shǎo)敏展開(kāi)對話(huà)，分析當前銀行(xíng)機構在新科技(jì)浪潮下如何提高(gāo)信息安全，守住風險底線。

金融行(xíng)業商用密碼技(jì)術(shù)應用迎來(lái)高(gāo)速發展期

本刊記者：在金融行(xíng)業的業務向雲計(jì)算(suàn)轉型中，您如何看待信息安全的重要性？

邢少(shǎo)敏：金融雲服務快速發展給金融行(xíng)業帶來(lái)了一系列的信息安全風險和(hé)問題，如何有(yǒu)效地保護數(shù)據安全、存儲安全、傳輸安全，如何保護金融資産，防止用戶隐私和(hé)數(shù)據的洩露，防止金融詐騙等不法行(xíng)為(wèi)的出現，國家(jiā)先後出台了一系列信息安全的法規。國家(jiā)從政策法規方面做(zuò)好了信息安全的頂層設計(jì)，明(míng)确了實施指導意見和(hé)要求，建設了金融業等重要領域需要完善的信息安全機制(zhì)。

現在整個(gè)國際社會(huì)的信息發展都走在高(gāo)速路上(shàng)，大(dà)家(jiā)都在向雲端轉型。各種向雲端提供的服務商出現之後，金融的科技(jì)轉型也開(kāi)始面臨包括安全風險在內(nèi)的諸多(duō)挑戰，比如數(shù)據加密的風險，存儲、傳輸等環節的安全問題。

本刊記者：您認為(wèi)密碼技(jì)術(shù)在金融行(xíng)業雲計(jì)算(suàn)安全中處在什麽樣的地位，具有(yǒu)什麽樣的價值？

邢少(shǎo)敏：現在，國家(jiā)層面非常重視(shì)金融安全、信息安全以及安全服務的頂層設計(jì)。采用密碼技(jì)術(shù)對信息進行(xíng)加密保護和(hé)安全認證，是保護信息安全的有(yǒu)效技(jì)術(shù)手段，因此，商用密碼的安全性、規範性越來(lái)越受到國家(jiā)的重視(shì)，商用密碼技(jì)術(shù)也必将迎來(lái)高(gāo)速發展。

國産密碼是由國家(jiā)主持研制(zhì)的一個(gè)密碼算(suàn)法，基于這個(gè)标準算(suàn)法開(kāi)發了一系列的産品和(hé)應用服務。密碼技(jì)術(shù)是國家(jiā)的安全底線，暫時(shí)還(hái)沒有(yǒu)對外開(kāi)放。

得(de)安公司很(hěn)慶幸在20年前就做(zuò)了密碼服務，比較超前。得(de)安投身商密行(xíng)業和(hé)信息安全事業是最早的，從1997年至今，作(zuò)為(wèi)奠基者，得(de)安逐步完成了商用密碼技(jì)術(shù)的國産化。當年，信息化的應用程度微乎其微，信息安全行(xíng)業更是如此，就是在這種社會(huì)條件下，得(de)安創始人(rén)李大(dà)興教授帶領大(dà)家(jiā)将商用密碼知識和(hé)技(jì)術(shù)傳播到每一個(gè)角落，千方百計(jì)喚醒大(dà)家(jiā)的信息安全意識。

本刊記者：現在互聯網金融、金融科技(jì)火(huǒ)熱發展，銀行(xíng)機構也在加速科技(jì)創新，您覺得(de)當前各類型銀行(xíng)在加強信息安全方面，特别是應用密碼服務方面處于什麽樣的水(shuǐ)平？

邢少(shǎo)敏：現在很(hěn)多(duō)銀行(xíng)在發展金融科技(jì)，在雲端服務中，大(dà)型商業銀行(xíng)會(huì)更加超前地考慮一些(xiē)集中服務問題，包括安全問題。我感觸比較深的是當前大(dà)型商業銀行(xíng)具有(yǒu)很(hěn)強的科技(jì)實力、規劃能力、頂層設計(jì)能力，投入也比較多(duō)。現在大(dà)行(xíng)的密碼服務基礎設施建設體(tǐ)系都已經有(yǒu)了，有(yǒu)一些(xiē)比較完善。比如建設銀行(xíng)的“新一代”核心系統建設就非常超前，投入也比較大(dà)。對大(dà)型商業銀行(xíng)來(lái)說，今後需要關注的是一些(xiē)技(jì)術(shù)新領域的新發展，比如雲計(jì)算(suàn)、移動金融、包括生(shēng)物識别技(jì)術(shù)等，以及這些(xiē)新技(jì)術(shù)興起後如何做(zuò)好加密工作(zuò)，如何保護個(gè)人(rén)隐私。

但(dàn)是中小(xiǎo)銀行(xíng)在國産密碼的基礎設施建設上(shàng)可(kě)以說還(hái)有(yǒu)很(hěn)大(dà)的空(kōng)缺，有(yǒu)的沒有(yǒu)做(zuò)國産密碼改造建設，有(yǒu)的沒有(yǒu)密碼服務體(tǐ)系建設或者隻做(zuò)了一部分，其核心業務系統沒有(yǒu)跟密碼平台對接，移動端、手機端業務也沒有(yǒu)跟上(shàng)密碼技(jì)術(shù)服務。城商行(xíng)、農商行(xíng)等中小(xiǎo)銀行(xíng)在這一領域有(yǒu)很(hěn)大(dà)的發展空(kōng)間(jiān)。而且中小(xiǎo)銀行(xíng)的系統建設還(hái)有(yǒu)一個(gè)弊端，就是這些(xiē)銀行(xíng)在拓展自己業務的時(shí)候，它的後台卻不是自己的，要依賴于外包，很(hěn)多(duō)銀行(xíng)對密碼服務的重視(shì)還(hái)不夠。

本刊記者：那(nà)麽，基于這種現狀，您對金融機構的信息安全維護有(yǒu)什麽具體(tǐ)的建議？

邢少(shǎo)敏：無論大(dà)型銀行(xíng)也好，中小(xiǎo)型銀行(xíng)也好，在信息化的建設中應該把密碼的體(tǐ)系建設或者說國産密碼的體(tǐ)系建設提升一個(gè)标準，應該做(zuò)好頂層設計(jì)，自上(shàng)而下設計(jì)密碼體(tǐ)系。

銀行(xíng)高(gāo)層要重視(shì)這件事，國産密碼的體(tǐ)系建設不是買幾台密碼設備就萬事大(dà)吉，更需要做(zuò)的是如何與整體(tǐ)架構設備、業務系統深入地融合、推進。所以我覺得(de)金融行(xíng)業應該在做(zuò)好信息安全頂層設計(jì)的同時(shí)，把密碼技(jì)術(shù)納入頂層設計(jì)。

現在有(yǒu)一個(gè)矛盾是，銀行(xíng)業務需要效率，但(dàn)是加密環節又是影(yǐng)響效率的一個(gè)因素，安全和(hé)效率永遠是一對矛盾體(tǐ)。對我們廠商來(lái)說，要做(zuò)的是不斷開(kāi)發高(gāo)性能的設備，優化業務系統架構，盡量把效率提高(gāo)。而對銀行(xíng)來(lái)說，不能因為(wèi)要效率，而使業務風險加大(dà)，所以兩者必然是要兼顧的。

為(wèi)建行(xíng)和(hé)郵儲銀行(xíng)提供國産密碼金融雲服務的經驗分享

本刊記者：貴公司的密碼服務目前在銀行(xíng)的哪些(xiē)領域應用？

邢少(shǎo)敏：得(de)安公司在電(diàn)子政務、教育信息化建設、金融系統等領域參與了大(dà)量了項目實踐，形成了以密碼産品與技(jì)術(shù)為(wèi)核心的研發體(tǐ)系，建立了以密碼為(wèi)核心的系統建設與服務模式。

比如，在金融雲服務領域，實施了中國建設銀行(xíng)“新一代”核心系統建設原型驗證、一期、二期、三期項目；建設銀行(xíng)總行(xíng)CSSP密碼安全服務平台一期、二期、三期、四期、五期項目；中國郵政儲蓄銀行(xíng)郵政儲蓄系統邏輯集中工程密鑰管理(lǐ)系統；郵儲銀行(xíng)結算(suàn)業務集中處理(lǐ)工程密鑰管理(lǐ)系統；承擔了陝西省農村信用合作(zuò)社聯合社密碼服務平台項目，完成了陝西省農村信用合作(zuò)社國産密碼技(jì)術(shù)的統一密碼服務平台建設等。

本刊記者：建設銀行(xíng)的“新一代”核心系統建設，是曆時(shí)6年才完成的大(dà)工程，得(de)安參與了哪些(xiē)具體(tǐ)項目？

邢少(shǎo)敏：得(de)安與建設銀行(xíng)在業務層面的合作(zuò)比較早，後來(lái)展開(kāi)了深度合作(zuò)。2008年以來(lái)，得(de)安公司實施完成了中國建設銀行(xíng)總行(xíng)“新一代”核心系統原型驗證一期、二期、三期項目，“新一代”信息系統安全開(kāi)放服務項目，“新一代”安全保障三期加密服務項目，建行(xíng)總行(xíng)CSSP密碼安全服務平台項目，總行(xíng)信息系統認證授權平台，建行(xíng)軟件安全加密平台技(jì)術(shù)支持服務項目。

建設銀行(xíng)“新一代”核心系統采用了雲計(jì)算(suàn)技(jì)術(shù)，可(kě)以根據業務需要智能調度和(hé)分配計(jì)算(suàn)機資源。新一代系統可(kě)以使建行(xíng)在海量的交易數(shù)據面前控制(zhì)自如。

得(de)安公司作(zuò)為(wèi)業務系統的參與單位之一，主要承擔核心系統的國産密碼服務平台，我們派出技(jì)術(shù)骨幹團隊，為(wèi)建行(xíng)提供駐廠的項目開(kāi)發和(hé)服務。曆時(shí)6年奮戰，完成了項目建設。在項目推廣階段，得(de)安技(jì)術(shù)團隊所有(yǒu)骨幹人(rén)員參與了分行(xíng)的系統攻關和(hé)上(shàng)線的支撐工作(zuò)，為(wèi)系統的正常運營提供安全支撐。

我們将原來(lái)點到點的傳輸加密模式優化為(wèi)端到端的傳輸模式，效率得(de)到大(dà)幅提升，使得(de)管理(lǐ)更加透明(míng)高(gāo)效，實現統一的安全作(zuò)業，并且實現集中化的登錄認證，集中式的密鑰管理(lǐ)和(hé)審計(jì)監控，使得(de)安全功能組件化，安全配置參數(shù)化，安全服務多(duō)樣化。整個(gè)密碼服務平台為(wèi)建設銀行(xíng)金融雲服務提供了高(gāo)效的密碼體(tǐ)系建設和(hé)保護。

這個(gè)項目，建設銀行(xíng)獲得(de)了中國人(rén)民銀行(xíng)科技(jì)發展獎等獎項。項目的參與，也使得(de)安公司成為(wèi)我國商用密碼領域第一個(gè)完成金融密碼領域項目實施的企業。

本刊記者：我們看到，得(de)安公司也參與了郵儲銀行(xíng)的科技(jì)系統建設，那(nà)麽，這個(gè)項目與建行(xíng)的“新一代”核心系統項目相比，有(yǒu)什麽差别？可(kě)以和(hé)我們分享一下具體(tǐ)經驗嗎？

邢少(shǎo)敏：兩個(gè)銀行(xíng)的系統建設各有(yǒu)特點，建行(xíng)采用的是分布式架構設計(jì)，而郵儲銀行(xíng)采用的是平台集中式的架構設計(jì)。

2010年得(de)安承接了中國郵儲銀行(xíng)的密碼服務，這是我們的第二個(gè)大(dà)型銀行(xíng)密碼服務項目，實施完成了該行(xíng)郵政儲蓄系統邏輯集中工程密鑰管理(lǐ)系統，結算(suàn)業務集中處理(lǐ)工程密鑰管理(lǐ)系統，黃金買賣業務系統二期工程密鑰管理(lǐ)系統，密鑰管理(lǐ)系統新增功能及推廣工程，郵政儲蓄系統邏輯集中2014新增功能工程密鑰管理(lǐ)系統等，成為(wèi)郵儲銀行(xíng)郵儲密碼服務的專業廠商。

我們主要是提供統一的安全服務，統一的保存密鑰數(shù)據，在設計(jì)思想和(hé)系統架構層面，充分考慮系統的高(gāo)效性、保密性和(hé)使用的方便性，在盡可(kě)能提高(gāo)密鑰運算(suàn)速率的前提下，保障操作(zuò)安全方便，滿足銀行(xíng)系統長期穩定、高(gāo)效的安全保密要求，目前已經完成50多(duō)個(gè)系統的接入。

整體(tǐ)過程中我們是不辭辛苦的，有(yǒu)的技(jì)術(shù)人(rén)員連續幾個(gè)春節都不休息，做(zuò)值班保障工作(zuò)。我們意識到銀行(xíng)、證券等金融系統的重要性，所以服務上(shàng)要求嚴格，基本上(shàng)節假日都有(yǒu)值班人(rén)員。 

金融IC卡業務與移動金融密碼服務如何創新

本刊記者：除了國産密碼金融雲服務以外，在金融領域，密碼服務還(hái)涉及哪些(xiē)領域？

邢少(shǎo)敏：現在，雲計(jì)算(suàn)、大(dà)數(shù)據、物聯網等創新技(jì)術(shù)正在改變整個(gè)社會(huì)。在這樣的形勢下，我們邁出了密碼技(jì)術(shù)在社會(huì)各領域的跨界應用的第一步，探索了一系列的密碼新業态，搶占新一輪密碼技(jì)術(shù)創新的制(zhì)高(gāo)點。從得(de)安公司的實踐經驗來(lái)看，以下幾個(gè)領域是我們重點關注的：

在大(dà)數(shù)據方面，得(de)安公司發揮密碼技(jì)術(shù)在認證、授權、訪問控制(zhì)和(hé)數(shù)據保護的特長，開(kāi)展生(shēng)物特征大(dà)數(shù)據的安全存儲和(hé)數(shù)據挖掘工作(zuò)，初步形成金融大(dà)數(shù)據安全解決方案，并在建設銀行(xíng)、郵儲銀行(xíng)得(de)到應用；在雲計(jì)算(suàn)方面，推出了雲劍雲安全解決方案，以雲計(jì)算(suàn)、虛拟化和(hé)并行(xíng)處理(lǐ)技(jì)術(shù)為(wèi)核心，集成高(gāo)端密碼設備、密鑰管理(lǐ)系統和(hé)中間(jiān)件技(jì)術(shù)，實現對雲平台的多(duō)維度、全方位整體(tǐ)安全防護，已經在濟南市電(diàn)子政務雲服務中得(de)到應用；在移動互聯網方面，與合作(zuò)夥伴共同開(kāi)發了移動互聯網密碼服務平台、數(shù)字認證系統、密鑰管理(lǐ)系統，提高(gāo)客戶移動終端的安全性能；此外，得(de)安公司在2012年承擔了面向金融IC卡領域的高(gāo)性能密碼設備研制(zhì)工作(zuò)，已經在陝西省農村信用合作(zuò)社密鑰管理(lǐ)系統項目得(de)到了應用。我們還(hái)參與了教育卡業務，比如最近在與首都師(shī)範大(dà)學校(xiào)園合作(zuò)一卡通(tōng)業務。而且，在工業控制(zhì)領域、公安系統、智慧城市、智慧醫(yī)療建設等方面我們也開(kāi)展了很(hěn)多(duō)項目。

本刊記者：您剛才提到的移動金融，無疑是時(shí)下熱點，手機銀行(xíng)、微信銀行(xíng)、移動支付正在快速發展，那(nà)麽移動金融的安全技(jì)術(shù)現在處在什麽樣的發展水(shuǐ)平？

邢少(shǎo)敏：移動端未來(lái)大(dà)有(yǒu)可(kě)為(wèi)，比如現在很(hěn)多(duō)銀行(xíng)卡都與支付寶等第三方支付綁定，因此也要防範移動金融的數(shù)據信息風險、支付風險。我們現在也在做(zuò)面向金融移動端的防詐騙、防信息洩露的産品。

現在手機銀行(xíng)的産品很(hěn)多(duō)，運用了人(rén)臉識别、手紋識别等多(duō)種生(shēng)物識别技(jì)術(shù)。如果單純地在手機軟件端加密，是不能保證銀行(xíng)移動端的支付安全的，商業銀行(xíng)需要移動系統的密碼服務管理(lǐ)平台。

得(de)安公司已經與建設銀行(xíng)合作(zuò)，針對手機銀行(xíng)提供了一套基于移動系統的整體(tǐ)密碼應用服務解決方案，該方案是一個(gè)整體(tǐ)的密碼服務平台，系統中有(yǒu)硬件加密保護，安全方面整體(tǐ)比較完善，同時(shí)也符合國家(jiā)密碼管理(lǐ)局的規範。

除此之外，随着新技(jì)術(shù)的發展，我們也在研發新的加密技(jì)術(shù)。比如我們有(yǒu)一個(gè)新課題是生(shēng)物識别技(jì)術(shù)的數(shù)據分析，比如虹膜技(jì)術(shù)的數(shù)據分析，但(dàn)是現在有(yǒu)一個(gè)問題，我們國家(jiā)還(hái)沒有(yǒu)虹膜庫。所以如果應用的話(huà)，對每家(jiā)銀行(xíng)來(lái)說隻能是先把自己客戶的虹膜庫建立起來(lái)。此外，我們還(hái)在研究區(qū)塊鏈技(jì)術(shù)與國産密碼的結合應用。

推進國産密碼标準建設

本刊記者：通(tōng)過交談，我們對密碼技(jì)術(shù)有(yǒu)了更多(duō)的了解，那(nà)麽，目前在國內(nèi)，國産密碼産品和(hé)技(jì)術(shù)的标準建設處于什麽樣的水(shuǐ)平？

邢少(shǎo)敏：可(kě)以說，網絡安全裏的核心技(jì)術(shù)就是密碼技(jì)術(shù)。我國在近20年的時(shí)間(jiān)裏一直組織國産密碼的标準制(zhì)定。得(de)安有(yǒu)幸作(zuò)為(wèi)國家(jiā)密鑰管理(lǐ)局的主要标準承辦單位，主持了6項國産密碼的标準，在第一批國密标準發布的序列裏面，接下來(lái)會(huì)推廣。現在從硬件産品層面的标準來(lái)說，國産密碼技(jì)術(shù)基本上(shàng)比較完善，使用者都在遵循這個(gè)規範。

接下來(lái)，應該推進網絡安全法和(hé)國家(jiā)密碼法的頒布和(hé)實施。應從國家(jiā)層面重視(shì)信息安全的頂層設計(jì)以及法律法規建設。

今年開(kāi)始，國家(jiā)推進對國産密碼安全大(dà)檢查，各個(gè)省的國家(jiā)密碼管理(lǐ)局和(hé)網信辦、公安廳在大(dà)力推進此項工作(zuò)。此前國家(jiā)密碼管理(lǐ)局派出很(hěn)多(duō)專家(jiā)抽查各省電(diàn)子政務情況，檢查中發現很(hěn)多(duō)電(diàn)子政務網站(zhàn)缺少(shǎo)國産密碼技(jì)術(shù)保護，這是接下來(lái)要加強的。國家(jiā)層面的重視(shì)，對我們密碼廠商來(lái)說是發展機遇。 

本刊記者：我注意到，2017年是得(de)安公司成立二十周年，這是一個(gè)重要的節點，回顧二十年的公司發展，您個(gè)人(rén)有(yǒu)什麽體(tǐ)會(huì)？

邢少(shǎo)敏：得(de)安公司的一草一木，都見證了中國信息安全事業的發展足迹。20年前，在絕大(dà)多(duō)數(shù)中國人(rén)還(hái)不知道(dào)商用密碼、信息安全為(wèi)何物的時(shí)候，得(de)安已經獲得(de)了“六個(gè)第一”：商用密碼領域第一個(gè)産品批号；商用密碼行(xíng)業第一個(gè)國家(jiā)級獎項；我國第一代商用密碼卡和(hé)加密機；牽頭制(zhì)定了我國第一批密碼行(xíng)業标準規範；研制(zhì)出我國第一批支持國産SM系列算(suàn)法的密碼卡和(hé)密碼機；成為(wèi)微軟在國內(nèi)的PKI架構應用層的第一個(gè)合作(zuò)夥伴。

得(de)安公司在創業之初的第一個(gè)10年裏，形成了健全的密碼技(jì)術(shù)和(hé)産品體(tǐ)系。獲得(de)國家(jiā)密碼管理(lǐ)局50餘種密碼産品，應用于金融、證券、政府、稅務、電(diàn)信、石油、郵政、保險、航空(kōng)等領域。在随後的第二個(gè)10年裏，得(de)安公司打破地域空(kōng)間(jiān)限制(zhì)，進行(xíng)全國布局，提供信息安全工程項目建設、信息安全運維服務和(hé)信息安全整體(tǐ)解決方案。加大(dà)以密碼技(jì)術(shù)為(wèi)核心的自主産品開(kāi)發力度，推進密碼技(jì)術(shù)和(hé)産品的系統化應用服務。

可(kě)以說，20年的時(shí)間(jiān)，得(de)安終于從一個(gè)設備廠商轉變為(wèi)成熟的密碼服務平台。相信，未來(lái)國産密碼服務還(hái)會(huì)迎來(lái)更廣闊的發展機遇。