【對話(huà)】商業銀行金融雲建設應重視密碼服務頂層設計(jì)—專訪得(de)安信息技術(shù)有限公司董事(shì)長兼總裁邢少敏

銀行卡密碼、賬戶密碼、網站(zhàn)密碼……是與每個人(rén)生(shēng)活息息相(xiàng)關的事(shì)情。對個人(rén)而言，密碼的重要性不言喻。而對企業而言，密碼可(kě)不是簡單的一串數字，或者一個U盾，一張密碼卡，幾台密碼設備那麽簡單。密碼安全的背後，可(kě)能是一系列複雜的軟硬件(jiàn)基礎設施建設與服務。

對銀行業金融機(jī)構來(lái)說(shuō)，金融安全的意義十分(fēn)重大(dà)。今年(nián)4月，習近平總書(shū)記在中共中央政治局第四十次集體(tǐ)學習時強調，金融安全是國(guó)家安全的重要組成部分(fēn)，維護金融安全，是關系我國(guó)經濟社會發展全局的一件(jiàn)帶有戰略性、根本性的大(dà)事(shì)。

在金融科(kē)技不斷發展的今天，在技術(shù)升級的過程中如(rú)何更好地維護金融科(kē)技系統的安全穩定，也是當下的務實話(huà)題。這其中，密碼服務是維護系統、業務安全的重要組成部分(fēn)。

在得(de)安信息技術(shù)有限公司董事(shì)長兼總裁邢少敏看(kàn)來(lái)，網絡安全裡(lǐ)的核心技術(shù)就(jiù)是密碼技術(shù)，密碼服務應納金融雲服務的頂層設計(jì)之中。

作(zuò)爲最早進入國(guó)内密碼服務市場的企業之一，她所在的公司近年(nián)來(lái)參與了一些銀行機(jī)構的密碼服務合作(zuò)，積累了不少案例經驗。本刊記者不久前與邢少敏展開對話(huà)，分(fēn)析當前銀行機(jī)構在新科(kē)技浪潮下如(rú)何提高信息安全，守住風(fēng)險底線。

金融行業商用密碼技術(shù)應用迎來(lái)高速發展期

本刊記者：在金融行業的業務向雲計(jì)算轉型中，您如(rú)何看(kàn)待信息安全的重要性？

邢少敏：金融雲服務快(kuài)速發展給金融行業帶來(lái)了一系列的信息安全風(fēng)險和問(wèn)題，如(rú)何有效地保護數據安全、存儲安全、傳輸安全，如(rú)何保護金融資産，防止用戶隐私和數據的洩露，防止金融詐騙等不法行爲的出現，國(guó)家先後出台了一系列信息安全的法規。國(guó)家從(cóng)政策法規方面做好了信息安全的頂層設計(jì)，明确了實施指導意見(jiàn)和要求，建設了金融業等重要領域需要完善的信息安全機(jī)制。

現在整個國(guó)際社會的信息發展都(dōu)走在高速路(lù)上，大(dà)家都(dōu)在向雲端轉型。各種向雲端提供的服務商出現之後，金融的科(kē)技轉型也開始面臨包括安全風(fēng)險在内的諸多挑戰，比如(rú)數據加密的風(fēng)險，存儲、傳輸等環節的安全問(wèn)題。

本刊記者：您認爲密碼技術(shù)在金融行業雲計(jì)算安全中處在什麽樣的地位，具有什麽樣的價值？

邢少敏：現在，國(guó)家層面非常重視金融安全、信息安全以及安全服務的頂層設計(jì)。采用密碼技術(shù)對信息進行加密保護和安全認證，是保護信息安全的有效技術(shù)手段，因此，商用密碼的安全性、規範性越來(lái)越受到國(guó)家的重視，商用密碼技術(shù)也必将迎來(lái)高速發展。

國(guó)産密碼是由國(guó)家主持研制的一個密碼算法，基于這個标準算法開發了一系列的産品和應用服務。密碼技術(shù)是國(guó)家的安全底線，暫時還(hái)沒有對外開放(fàng)。

得(de)安公司很慶幸在20年(nián)前就(jiù)做了密碼服務，比較超前。得(de)安投身(shēn)商密行業和信息安全事(shì)業是最早的，從(cóng)1997年(nián)至今，作(zuò)爲奠基者，得(de)安逐步完成了商用密碼技術(shù)的國(guó)産化。當年(nián)，信息化的應用程度微乎其微，信息安全行業更是如(rú)此，就(jiù)是在這種社會條件(jiàn)下，得(de)安創始人(rén)李大(dà)興教授帶領大(dà)家将商用密碼知識和技術(shù)傳播到每一個角落，千方百計(jì)喚醒大(dà)家的信息安全意識。

本刊記者：現在互聯網金融、金融科(kē)技火(huǒ)熱(rè)發展，銀行機(jī)構也在加速科(kē)技創新，您覺得(de)當前各類型銀行在加強信息安全方面，特别是應用密碼服務方面處于什麽樣的水平？

邢少敏：現在很多銀行在發展金融科(kē)技，在雲端服務中，大(dà)型商業銀行會更加超前地考慮一些集中服務問(wèn)題，包括安全問(wèn)題。我感觸比較深的是當前大(dà)型商業銀行具有很強的科(kē)技實力、規劃能力、頂層設計(jì)能力，投入也比較多。現在大(dà)行的密碼服務基礎設施建設體(tǐ)系都(dōu)已經有了，有一些比較完善。比如(rú)建設銀行的“新一代”核心系統建設就(jiù)非常超前，投入也比較大(dà)。對大(dà)型商業銀行來(lái)說(shuō)，今後需要關注的是一些技術(shù)新領域的新發展，比如(rú)雲計(jì)算、移動金融、包括生(shēng)物識别技術(shù)等，以及這些新技術(shù)興起後如(rú)何做好加密工(gōng)作(zuò)，如(rú)何保護個人(rén)隐私。

但(dàn)是中小銀行在國(guó)産密碼的基礎設施建設上可(kě)以說(shuō)還(hái)有很大(dà)的空缺，有的沒有做國(guó)産密碼改造建設，有的沒有密碼服務體(tǐ)系建設或者隻做了一部分(fēn)，其核心業務系統沒有跟密碼平台對接，移動端、手機(jī)端業務也沒有跟上密碼技術(shù)服務。城(chéng)商行、農商行等中小銀行在這一領域有很大(dà)的發展空間。而且中小銀行的系統建設還(hái)有一個弊端，就(jiù)是這些銀行在拓展自(zì)己業務的時候，它的後台卻不是自(zì)己的，要依賴于外包，很多銀行對密碼服務的重視還(hái)不夠。

本刊記者：那麽，基于這種現狀，您對金融機(jī)構的信息安全維護有什麽具體(tǐ)的建議(yì)？

邢少敏：無論大(dà)型銀行也好，中小型銀行也好，在信息化的建設中應該把密碼的體(tǐ)系建設或者說(shuō)國(guó)産密碼的體(tǐ)系建設提升一個标準，應該做好頂層設計(jì)，自(zì)上而下設計(jì)密碼體(tǐ)系。

銀行高層要重視這件(jiàn)事(shì)，國(guó)産密碼的體(tǐ)系建設不是買幾台密碼設備就(jiù)萬事(shì)大(dà)吉，更需要做的是如(rú)何與整體(tǐ)架構設備、業務系統深入地融合、推進。所以我覺得(de)金融行業應該在做好信息安全頂層設計(jì)的同時，把密碼技術(shù)納入頂層設計(jì)。

現在有一個矛盾是，銀行業務需要效率，但(dàn)是加密環節又是影(yǐng)響效率的一個因素，安全和效率永遠(yuǎn)是一對矛盾體(tǐ)。對我們廠(chǎng)商來(lái)說(shuō)，要做的是不斷開發高性能的設備，優化業務系統架構，盡量把效率提高。而對銀行來(lái)說(shuō)，不能因爲要效率，而使業務風(fēng)險加大(dà)，所以兩者必然是要兼顧的。

爲建行和郵儲銀行提供國(guó)産密碼金融雲服務的經驗分(fēn)享

本刊記者：貴公司的密碼服務目前在銀行的哪些領域應用？

邢少敏：得(de)安公司在電子政務、教育信息化建設、金融系統等領域參與了大(dà)量了項目實踐，形成了以密碼産品與技術(shù)爲核心的研發體(tǐ)系，建立了以密碼爲核心的系統建設與服務模式。

比如(rú)，在金融雲服務領域，實施了中國(guó)建設銀行“新一代”核心系統建設原型驗證、一期、二期、三期項目；建設銀行總行CSSP密碼安全服務平台一期、二期、三期、四期、五期項目；中國(guó)郵政儲蓄銀行郵政儲蓄系統邏輯集中工(gōng)程密鑰管理(lǐ)系統；郵儲銀行結算業務集中處理(lǐ)工(gōng)程密鑰管理(lǐ)系統；承擔了陝西省農村信用合作(zuò)社聯合社密碼服務平台項目，完成了陝西省農村信用合作(zuò)社國(guó)産密碼技術(shù)的統一密碼服務平台建設等。

本刊記者：建設銀行的“新一代”核心系統建設，是曆時6年(nián)才完成的大(dà)工(gōng)程，得(de)安參與了哪些具體(tǐ)項目？

邢少敏：得(de)安與建設銀行在業務層面的合作(zuò)比較早，後來(lái)展開了深度合作(zuò)。2008年(nián)以來(lái)，得(de)安公司實施完成了中國(guó)建設銀行總行“新一代”核心系統原型驗證一期、二期、三期項目，“新一代”信息系統安全開放(fàng)服務項目，“新一代”安全保障三期加密服務項目，建行總行CSSP密碼安全服務平台項目，總行信息系統認證授權平台，建行軟件(jiàn)安全加密平台技術(shù)支持服務項目。

建設銀行“新一代”核心系統采用了雲計(jì)算技術(shù)，可(kě)以根據業務需要智能調度和分(fēn)配計(jì)算機(jī)資源。新一代系統可(kě)以使建行在海量的交易數據面前控制自(zì)如(rú)。

得(de)安公司作(zuò)爲業務系統的參與單位之一，主要承擔核心系統的國(guó)産密碼服務平台，我們派出技術(shù)骨幹團隊，爲建行提供駐廠(chǎng)的項目開發和服務。曆時6年(nián)奮戰，完成了項目建設。在項目推廣階段，得(de)安技術(shù)團隊所有骨幹人(rén)員(yuán)參與了分(fēn)行的系統攻關和上線的支撐工(gōng)作(zuò)，爲系統的正常運營提供安全支撐。

我們将原來(lái)點到點的傳輸加密模式優化爲端到端的傳輸模式，效率得(de)到大(dà)幅提升，使得(de)管理(lǐ)更加透明高效，實現統一的安全作(zuò)業，并且實現集中化的登錄認證，集中式的密鑰管理(lǐ)和審計(jì)監控，使得(de)安全功能組件(jiàn)化，安全配置參數化，安全服務多樣化。整個密碼服務平台爲建設銀行金融雲服務提供了高效的密碼體(tǐ)系建設和保護。

這個項目，建設銀行獲得(de)了中國(guó)人(rén)民(mín)銀行科(kē)技發展獎等獎項。項目的參與，也使得(de)安公司成爲我國(guó)商用密碼領域第一個完成金融密碼領域項目實施的企業。

本刊記者：我們看(kàn)到，得(de)安公司也參與了郵儲銀行的科(kē)技系統建設，那麽，這個項目與建行的“新一代”核心系統項目相(xiàng)比，有什麽差别？可(kě)以和我們分(fēn)享一下具體(tǐ)經驗嗎(ma)？

邢少敏：兩個銀行的系統建設各有特點，建行采用的是分(fēn)布式架構設計(jì)，而郵儲銀行采用的是平台集中式的架構設計(jì)。

2010年(nián)得(de)安承接了中國(guó)郵儲銀行的密碼服務，這是我們的第二個大(dà)型銀行密碼服務項目，實施完成了該行郵政儲蓄系統邏輯集中工(gōng)程密鑰管理(lǐ)系統，結算業務集中處理(lǐ)工(gōng)程密鑰管理(lǐ)系統，黃(huáng)金買賣業務系統二期工(gōng)程密鑰管理(lǐ)系統，密鑰管理(lǐ)系統新增功能及推廣工(gōng)程，郵政儲蓄系統邏輯集中2014新增功能工(gōng)程密鑰管理(lǐ)系統等，成爲郵儲銀行郵儲密碼服務的專業廠(chǎng)商。

我們主要是提供統一的安全服務，統一的保存密鑰數據，在設計(jì)思想和系統架構層面，充分(fēn)考慮系統的高效性、保密性和使用的方便性，在盡可(kě)能提高密鑰運算速率的前提下，保障操作(zuò)安全方便，滿足銀行系統長期穩定、高效的安全保密要求，目前已經完成50多個系統的接入。

整體(tǐ)過程中我們是不辭辛苦的，有的技術(shù)人(rén)員(yuán)連續幾個春節都(dōu)不休息，做值班保障工(gōng)作(zuò)。我們意識到銀行、證券等金融系統的重要性，所以服務上要求嚴格，基本上節假日(rì)都(dōu)有值班人(rén)員(yuán)。 

金融IC卡業務與移動金融密碼服務如(rú)何創新

本刊記者：除了國(guó)産密碼金融雲服務以外，在金融領域，密碼服務還(hái)涉及哪些領域？

邢少敏：現在，雲計(jì)算、大(dà)數據、物聯網等創新技術(shù)正在改變整個社會。在這樣的形勢下，我們邁出了密碼技術(shù)在社會各領域的跨界應用的第一步，探索了一系列的密碼新業态，搶占新一輪密碼技術(shù)創新的制高點。從(cóng)得(de)安公司的實踐經驗來(lái)看(kàn)，以下幾個領域是我們重點關注的：

在大(dà)數據方面，得(de)安公司發揮密碼技術(shù)在認證、授權、訪問(wèn)控制和數據保護的特長，開展生(shēng)物特征大(dà)數據的安全存儲和數據挖掘工(gōng)作(zuò)，初步形成金融大(dà)數據安全解決方案，并在建設銀行、郵儲銀行得(de)到應用；在雲計(jì)算方面，推出了雲劍雲安全解決方案，以雲計(jì)算、虛拟化和并行處理(lǐ)技術(shù)爲核心，集成高端密碼設備、密鑰管理(lǐ)系統和中間件(jiàn)技術(shù)，實現對雲平台的多維度、全方位整體(tǐ)安全防護，已經在濟南(nán)市電子政務雲服務中得(de)到應用；在移動互聯網方面，與合作(zuò)夥伴共同開發了移動互聯網密碼服務平台、數字認證系統、密鑰管理(lǐ)系統，提高客戶移動終端的安全性能；此外，得(de)安公司在2012年(nián)承擔了面向金融IC卡領域的高性能密碼設備研制工(gōng)作(zuò)，已經在陝西省農村信用合作(zuò)社密鑰管理(lǐ)系統項目得(de)到了應用。我們還(hái)參與了教育卡業務，比如(rú)最近在與首都(dōu)師(shī)範大(dà)學校(xiào)園合作(zuò)一卡通業務。而且，在工(gōng)業控制領域、公安系統、智慧城(chéng)市、智慧醫療建設等方面我們也開展了很多項目。

本刊記者：您剛才提到的移動金融，無疑是時下熱(rè)點，手機(jī)銀行、微信銀行、移動支付正在快(kuài)速發展，那麽移動金融的安全技術(shù)現在處在什麽樣的發展水平？

邢少敏：移動端未來(lái)大(dà)有可(kě)爲，比如(rú)現在很多銀行卡都(dōu)與支付寶等第三方支付綁定，因此也要防範移動金融的數據信息風(fēng)險、支付風(fēng)險。我們現在也在做面向金融移動端的防詐騙、防信息洩露的産品。

現在手機(jī)銀行的産品很多，運用了人(rén)臉識别、手紋識别等多種生(shēng)物識别技術(shù)。如(rú)果單純地在手機(jī)軟件(jiàn)端加密，是不能保證銀行移動端的支付安全的，商業銀行需要移動系統的密碼服務管理(lǐ)平台。

得(de)安公司已經與建設銀行合作(zuò)，針對手機(jī)銀行提供了一套基于移動系統的整體(tǐ)密碼應用服務解決方案，該方案是一個整體(tǐ)的密碼服務平台，系統中有硬件(jiàn)加密保護，安全方面整體(tǐ)比較完善，同時也符合國(guó)家密碼管理(lǐ)局的規範。

除此之外，随着新技術(shù)的發展，我們也在研發新的加密技術(shù)。比如(rú)我們有一個新課題是生(shēng)物識别技術(shù)的數據分(fēn)析，比如(rú)虹膜技術(shù)的數據分(fēn)析，但(dàn)是現在有一個問(wèn)題，我們國(guó)家還(hái)沒有虹膜庫。所以如(rú)果應用的話(huà)，對每家銀行來(lái)說(shuō)隻能是先把自(zì)己客戶的虹膜庫建立起來(lái)。此外，我們還(hái)在研究區塊鏈技術(shù)與國(guó)産密碼的結合應用。

推進國(guó)産密碼标準建設

本刊記者：通過交談，我們對密碼技術(shù)有了更多的了解，那麽，目前在國(guó)内，國(guó)産密碼産品和技術(shù)的标準建設處于什麽樣的水平？

邢少敏：可(kě)以說(shuō)，網絡安全裡(lǐ)的核心技術(shù)就(jiù)是密碼技術(shù)。我國(guó)在近20年(nián)的時間裡(lǐ)一直組織國(guó)産密碼的标準制定。得(de)安有幸作(zuò)爲國(guó)家密鑰管理(lǐ)局的主要标準承辦單位，主持了6項國(guó)産密碼的标準，在第一批國(guó)密标準發布的序列裡(lǐ)面，接下來(lái)會推廣。現在從(cóng)硬件(jiàn)産品層面的标準來(lái)說(shuō)，國(guó)産密碼技術(shù)基本上比較完善，使用者都(dōu)在遵循這個規範。

接下來(lái)，應該推進網絡安全法和國(guó)家密碼法的頒布和實施。應從(cóng)國(guó)家層面重視信息安全的頂層設計(jì)以及法律法規建設。

今年(nián)開始，國(guó)家推進對國(guó)産密碼安全大(dà)檢查，各個省的國(guó)家密碼管理(lǐ)局和網信辦、公安廳在大(dà)力推進此項工(gōng)作(zuò)。此前國(guó)家密碼管理(lǐ)局派出很多專家抽查各省電子政務情況，檢查中發現很多電子政務網站(zhàn)缺少國(guó)産密碼技術(shù)保護，這是接下來(lái)要加強的。國(guó)家層面的重視，對我們密碼廠(chǎng)商來(lái)說(shuō)是發展機(jī)遇。 

本刊記者：我注意到，2017年(nián)是得(de)安公司成立二十周年(nián)，這是一個重要的節點，回顧二十年(nián)的公司發展，您個人(rén)有什麽體(tǐ)會？

邢少敏：得(de)安公司的一草一木，都(dōu)見(jiàn)證了中國(guó)信息安全事(shì)業的發展足迹。20年(nián)前，在絕大(dà)多數中國(guó)人(rén)還(hái)不知道商用密碼、信息安全爲何物的時候，得(de)安已經獲得(de)了“六個第一”：商用密碼領域第一個産品批号；商用密碼行業第一個國(guó)家級獎項；我國(guó)第一代商用密碼卡和加密機(jī)；牽頭制定了我國(guó)第一批密碼行業标準規範；研制出我國(guó)第一批支持國(guó)産SM系列算法的密碼卡和密碼機(jī)；成爲微軟在國(guó)内的PKI架構應用層的第一個合作(zuò)夥伴。

得(de)安公司在創業之初的第一個10年(nián)裡(lǐ)，形成了健全的密碼技術(shù)和産品體(tǐ)系。獲得(de)國(guó)家密碼管理(lǐ)局50餘種密碼産品，應用于金融、證券、政府、稅務、電信、石油、郵政、保險、航空等領域。在随後的第二個10年(nián)裡(lǐ)，得(de)安公司打破地域空間限制，進行全國(guó)布局，提供信息安全工(gōng)程項目建設、信息安全運維服務和信息安全整體(tǐ)解決方案。加大(dà)以密碼技術(shù)爲核心的自(zì)主産品開發力度，推進密碼技術(shù)和産品的系統化應用服務。

可(kě)以說(shuō)，20年(nián)的時間，得(de)安終于從(cóng)一個設備廠(chǎng)商轉變爲成熟的密碼服務平台。相(xiàng)信，未來(lái)國(guó)産密碼服務還(hái)會迎來(lái)更廣闊的發展機(jī)遇。