東進(jìn)技術(shù) 演講：互聯(lián)網(wǎng)+環(huán)境下的商業(yè)銀行安全挑戰(zhàn)（胡其竹）

環(huán)境下的商業(yè)銀行安全挑戰(zhàn)演講人：胡其竹日期：2016年3月24“互聯(lián)網(wǎng)+”目錄“互聯(lián)網(wǎng)+”環(huán)境下，商業(yè)銀行安全挑戰(zhàn)

商業(yè)銀行如何面對(duì)挑戰(zhàn)

商業(yè)銀行典型案例公司產(chǎn)品4123對(duì)互聯(lián)網(wǎng)的認(rèn)識(shí)經(jīng)歷了幾個(gè)階段最高深的技術(shù)是那些令人無法察覺的技術(shù)，這些技術(shù)不停地把它們自己編織進(jìn)日常生活，直到你無從發(fā)現(xiàn)為止?；ヂ?lián)網(wǎng)+，互聯(lián)網(wǎng)與金融跨界融合，就是互聯(lián)網(wǎng)金融互聯(lián)網(wǎng)+”環(huán)境下，商業(yè)銀行面臨的安全挑戰(zhàn)在“互聯(lián)網(wǎng)+”大潮沖擊下，各家銀行紛紛使出渾身解數(shù)，不斷將創(chuàng)新業(yè)務(wù)加入消費(fèi)金融場(chǎng)景服務(wù)中，滿足客戶多樣化的金融需求。但在轉(zhuǎn)型過程中，如何平衡互聯(lián)網(wǎng)帶來的便利性和安全性，是銀行業(yè)新形勢(shì)下的必然思考和挑戰(zhàn)。

國(guó)外密碼算法有被破解風(fēng)險(xiǎn)國(guó)密算法的優(yōu)勢(shì)可控安全自主算法名稱安全性比較SM21、256比特的SM2算法安全性比RSA2048更高；2、簽名運(yùn)算速度快。SM3SM3摘要長(zhǎng)度為256比特，比MD5和SHA1安全性高。SM4密鑰有效長(zhǎng)度為128比特，比3DES的密鑰長(zhǎng)度(112比特)更長(zhǎng)，安全性更高。商用密碼政策1999年10月7日國(guó)家密碼管理局頒布的《商用密碼管理?xiàng)l例》第十四條規(guī)定，“任何單位或者個(gè)人只能使用經(jīng)國(guó)家密碼管理機(jī)構(gòu)認(rèn)可的商用密碼產(chǎn)品，不得使用自行研制的或者境外生產(chǎn)的密碼產(chǎn)品?！?009年國(guó)家密碼管理局發(fā)布的《信息安全等級(jí)保護(hù)商用密碼技術(shù)實(shí)施要求》中明確規(guī)定，一、二、三、四級(jí)信息系統(tǒng)應(yīng)使用商用密碼技術(shù)來實(shí)施等級(jí)保護(hù)的基本要求和應(yīng)用要求，一到四級(jí)的密碼配用策略要求采用國(guó)家密碼管理部門批準(zhǔn)使用的算法。2011年2月28日，國(guó)家密碼管理局印發(fā)的【2011】145號(hào)文中明確指出，1024位RSA算法正在面臨日益嚴(yán)重的安全威脅，并要求各相關(guān)企業(yè)在2012年6月30日前必須使用SM2密碼算法。2012年6月28日，國(guó)務(wù)院下發(fā)關(guān)于《大力推進(jìn)信息化發(fā)展和切實(shí)保障信息安全的若干意見》，明確指出：大力推動(dòng)密碼技術(shù)在涉密信息系統(tǒng)和重要信息系統(tǒng)保護(hù)中的應(yīng)用，強(qiáng)化密碼在保障電子政務(wù)、電子商務(wù)安全和保護(hù)公民個(gè)人信息等方面的支撐作用。相關(guān)政策及規(guī)定互聯(lián)網(wǎng)+”環(huán)境下，商業(yè)銀行面臨的安全挑戰(zhàn)安全體系不夠完善；對(duì)系統(tǒng)開發(fā)或上線過程中安全測(cè)試及管控不夠所有軟件系統(tǒng)安全風(fēng)險(xiǎn)點(diǎn)分類及風(fēng)險(xiǎn)點(diǎn)不夠清晰，跟蹤和應(yīng)急手段不夠；在國(guó)家大力推廣SM系列算法大環(huán)境下，系統(tǒng)需要升級(jí)改造；安全無小事，在SM系列算法推廣過程中，如何規(guī)劃？如何安全有步驟實(shí)施？如何安全切換上線……目錄“互聯(lián)網(wǎng)+”環(huán)境下，商業(yè)銀行安全挑戰(zhàn)

商業(yè)銀行如何面對(duì)挑戰(zhàn)

商業(yè)銀行典型案例公司產(chǎn)品4123商業(yè)銀行面對(duì)挑戰(zhàn)的應(yīng)對(duì)在國(guó)家推廣SM系列算法過程中，完善自身安全體系，安全管控制度及流程等；在實(shí)施SM系列算法改造過程中，梳理所有系統(tǒng)安全風(fēng)險(xiǎn)分類及風(fēng)險(xiǎn)管控點(diǎn)，行成可持續(xù)跟蹤的安全技術(shù)管理流程及規(guī)范；商業(yè)銀行面對(duì)挑戰(zhàn)的應(yīng)對(duì)要求同時(shí)支持RSA/3DES等安全算法SM系列安全算法未來算法支持；14國(guó)密算法體系SM1SM2SM3SM4類別國(guó)密算法國(guó)際算法規(guī)格狀態(tài)應(yīng)用領(lǐng)域?qū)ΨQ算法SM1DES256位非公開動(dòng)態(tài)令牌SM4DES256位公開金融非對(duì)稱算法SM2RSA256位公開認(rèn)證、金融雜湊算法SM3SHA1/MD5雜湊值256位公開混合選擇合作伙伴參考公司規(guī)模較大；公司金融項(xiàng)目經(jīng)驗(yàn)豐富；有安全背景；有國(guó)密改造案例；派有經(jīng)驗(yàn)的安全專家隊(duì)伍參與咨詢；有經(jīng)驗(yàn)項(xiàng)目經(jīng)理和技術(shù)經(jīng)理駐場(chǎng)；有詳盡的實(shí)施計(jì)劃；有相應(yīng)的軟件產(chǎn)品解決方案；有完善的售后服務(wù)支撐等?？傮w規(guī)劃分步實(shí)施先內(nèi)后外層層推進(jìn)符合標(biāo)準(zhǔn)風(fēng)險(xiǎn)可控實(shí)施要點(diǎn)安全體系的咨詢和規(guī)劃合理可行技術(shù)方案合理可行的實(shí)施方案長(zhǎng)期的安全技術(shù)人員支持SM系列（國(guó)密）算法改造范圍安全體系設(shè)計(jì)和構(gòu)建根據(jù)銀行業(yè)務(wù)特點(diǎn)，按照“網(wǎng)絡(luò)隔離、分域防護(hù)、身份認(rèn)證、授權(quán)管理、多層保護(hù)、安全管理”的安全策略，對(duì)安全體系進(jìn)行優(yōu)化或重建；交易系統(tǒng)的改造交易系統(tǒng)主要是指基于金融借貸記及電子現(xiàn)金業(yè)務(wù)的核心業(yè)務(wù)系統(tǒng)，其包括借記核心、貸記核心、電子現(xiàn)金、交易認(rèn)證、密管、銀聯(lián)前置等相關(guān)系統(tǒng)。包含聯(lián)機(jī)、脫機(jī)交易改造。在國(guó)密改造過程中，相關(guān)系統(tǒng)的軟件、硬件需要根據(jù)規(guī)范和標(biāo)準(zhǔn)進(jìn)行改造工作。受理系統(tǒng)的改造受理系統(tǒng)主要完成本發(fā)卡行或其他發(fā)卡行銀行卡圈存、轉(zhuǎn)賬、收單、消費(fèi)等，主要分為現(xiàn)金類自助終端(ATM、CDM、CRS等)、非現(xiàn)金類自助終端（多媒體查詢機(jī)、繳費(fèi)機(jī)等）、收單及支付設(shè)備（POS等）,柜面系統(tǒng)、網(wǎng)銀系統(tǒng)等。需要進(jìn)行終端硬件和軟件兩個(gè)方面的改造。SM系列（國(guó)密）算法改造范圍發(fā)卡系統(tǒng)的改造包括卡管系統(tǒng)、密鑰管理系統(tǒng)、數(shù)據(jù)準(zhǔn)備系統(tǒng)和個(gè)人化系統(tǒng)的改造。數(shù)據(jù)準(zhǔn)備系統(tǒng)實(shí)現(xiàn)了發(fā)卡行CA、模板參數(shù)管理，以及個(gè)人化轉(zhuǎn)換這四大功能。制卡廠商根據(jù)個(gè)人化數(shù)據(jù)準(zhǔn)備系統(tǒng)產(chǎn)生的腳本完成寫芯片過程。移動(dòng)支付系統(tǒng)改造移動(dòng)支付系統(tǒng)主要是通過移動(dòng)支付TSM系統(tǒng)改造，通過空中的方式向移動(dòng)支付終端中加載金融應(yīng)用，并復(fù)用現(xiàn)有的受理設(shè)備完成非接觸式移動(dòng)支付功能?？ㄆ脑熳鳛橹Ц遁d體的金融IC卡改造要求金融IC卡須支持雙算法體系（SM2、SM3、SM4/RSA、SHA-1、DES）算法，符合PBOC3.0的交易要求。主要需要完成金融IC卡芯片和操作系統(tǒng)的雙算法改造金融領(lǐng)域國(guó)產(chǎn)密碼算法推廣方式標(biāo)準(zhǔn)密標(biāo)委相關(guān)算法標(biāo)準(zhǔn)、密碼產(chǎn)品標(biāo)準(zhǔn)、檢測(cè)標(biāo)準(zhǔn)等；金融領(lǐng)域PBOC3.0及移動(dòng)支付等應(yīng)用標(biāo)準(zhǔn)；銀聯(lián)的聯(lián)網(wǎng)聯(lián)合相關(guān)標(biāo)準(zhǔn)。產(chǎn)品國(guó)產(chǎn)密碼芯片、IC卡、POS、ATM、密碼鍵盤應(yīng)用類等終端；金融數(shù)據(jù)密碼機(jī)、服務(wù)器密碼機(jī)、簽名驗(yàn)簽服務(wù)器等密碼產(chǎn)品。檢測(cè)認(rèn)證銀行卡檢測(cè)中心、國(guó)家密碼管理局檢測(cè)中心等檢測(cè)機(jī)構(gòu)提升了檢測(cè)認(rèn)證能力；可針對(duì)密碼產(chǎn)品、應(yīng)用類產(chǎn)品提供全面檢測(cè)認(rèn)證。試點(diǎn)推廣科技部十二五支撐計(jì)劃支持了鶴壁銀行試點(diǎn)項(xiàng)目；發(fā)改委金融領(lǐng)域安全I(xiàn)C卡和密碼應(yīng)用專項(xiàng)支持了十家試點(diǎn)單位；其它金融機(jī)構(gòu)在陸續(xù)啟動(dòng)改造工作。目錄“互聯(lián)網(wǎng)+”環(huán)境下，商業(yè)銀行安全挑戰(zhàn)

商業(yè)銀行如何面對(duì)挑戰(zhàn)

商業(yè)銀行典型案例公司產(chǎn)品4123國(guó)密改造第一批試點(diǎn)單位：某農(nóng)信案例全面支持SM2/SM3/SM4等密碼算法的金融IC卡及移動(dòng)支付終端在金融領(lǐng)域中的應(yīng)用。將建設(shè)形成不少于100萬(wàn)張金融IC卡的發(fā)卡能力，試點(diǎn)期內(nèi)實(shí)際完成至少5000張以上金融IC卡，在不少于10個(gè)營(yíng)業(yè)網(wǎng)點(diǎn)支持國(guó)產(chǎn)密碼算法金融IC卡業(yè)務(wù)。部署不少于500臺(tái)支持國(guó)產(chǎn)密碼的POS機(jī)，和不少于100臺(tái)支持國(guó)產(chǎn)密碼算法的ATM機(jī)，發(fā)放移動(dòng)支付終端不少于200部開展金融IC卡、POS機(jī)、ATM機(jī)、圈存/圈提、借貸記和非接觸式移動(dòng)支付等業(yè)務(wù)應(yīng)用。建立一套高安全，高可用，高性能、可擴(kuò)展、能推廣的統(tǒng)一的金融支付體系平臺(tái)。應(yīng)用試點(diǎn)工作要點(diǎn)國(guó)密改造第二批試點(diǎn)單位：某城商行案例外部系統(tǒng)：CFCA根證書系統(tǒng)、IC卡個(gè)人化系統(tǒng)（卡片）內(nèi)部前置系統(tǒng)：密鑰管理系統(tǒng)、IC卡發(fā)卡系統(tǒng)(數(shù)據(jù)準(zhǔn)備）、ECC電子現(xiàn)金、IC卡交易認(rèn)證系統(tǒng)、統(tǒng)一安全服務(wù)平臺(tái)。內(nèi)部受理系統(tǒng)：ATMP/C、柜面系統(tǒng)、POSP/C、項(xiàng)目涉及改造系統(tǒng)SM系列算法改造SOW實(shí)例展現(xiàn)目錄“互聯(lián)網(wǎng)+”環(huán)境下，商業(yè)銀行安全挑戰(zhàn)

商業(yè)銀行如何面對(duì)挑戰(zhàn)

商業(yè)銀行典型案例公司產(chǎn)品4123深圳市東進(jìn)技術(shù)股份有限公司，簡(jiǎn)稱東進(jìn)技術(shù)，是全球領(lǐng)先的多媒體通訊核心設(shè)備以及行業(yè)通訊設(shè)備供應(yīng)商，公司聚集了一流的產(chǎn)品研發(fā)工程師和技術(shù)服務(wù)隊(duì)伍，產(chǎn)品廣泛的應(yīng)用于政府、銀行、證券、軍隊(duì)等行業(yè)以及金融電子支付、企業(yè)通信、呼叫中心、電信運(yùn)營(yíng)以及應(yīng)急指揮等領(lǐng)域，客戶遍布全球。東