【對話】商業銀行金融云建設應重視密碼服務頂層設計—專訪得安信息技術有限公司董事長兼總裁邢少敏

銀行卡密碼、賬戶密碼、網站密碼……是與每個人生活息息相關的事情。對個人而言，密碼的重要性不言喻。而對企業而言，密碼可不是簡單的一串數字，或者一個U盾，一張密碼卡，幾臺密碼設備那么簡單。密碼安全的背后，可能是一系列復雜的軟硬件基礎設施建設與服務。

對銀行業金融機構來說，金融安全的意義十分重大。今年4月，習近平總書記在中共中央政治局第四十次集體學習時強調，金融安全是國家安全的重要組成部分，維護金融安全，是關系我國經濟社會發展全局的一件帶有戰略性、根本性的大事。

在金融科技不斷發展的今天，在技術升級的過程中如何更好地維護金融科技系統的安全穩定，也是當下的務實話題。這其中，密碼服務是維護系統、業務安全的重要組成部分。

在得安信息技術有限公司董事長兼總裁邢少敏看來，網絡安全里的核心技術就是密碼技術，密碼服務應納金融云服務的頂層設計之中。

作為最早進入國內密碼服務市場的企業之一，她所在的公司近年來參與了一些銀行機構的密碼服務合作，積累了不少案例經驗。本刊記者不久前與邢少敏展開對話，分析當前銀行機構在新科技浪潮下如何提高信息安全，守住風險底線。

金融行業商用密碼技術應用迎來高速發展期

本刊記者：在金融行業的業務向云計算轉型中，您如何看待信息安全的重要性？

邢少敏：金融云服務快速發展給金融行業帶來了一系列的信息安全風險和問題，如何有效地保護數據安全、存儲安全、傳輸安全，如何保護金融資產，防止用戶隱私和數據的泄露，防止金融詐騙等不法行為的出現，國家先后出臺了一系列信息安全的法規。國家從政策法規方面做好了信息安全的頂層設計，明確了實施指導意見和要求，建設了金融業等重要領域需要完善的信息安全機制。

現在整個國際社會的信息發展都走在高速路上，大家都在向云端轉型。各種向云端提供的服務商出現之后，金融的科技轉型也開始面臨包括安全風險在內的諸多挑戰，比如數據加密的風險，存儲、傳輸等環節的安全問題。

本刊記者：您認為密碼技術在金融行業云計算安全中處在什么樣的地位，具有什么樣的價值？

邢少敏：現在，國家層面非常重視金融安全、信息安全以及安全服務的頂層設計。采用密碼技術對信息進行加密保護和安全認證，是保護信息安全的有效技術手段，因此，商用密碼的安全性、規范性越來越受到國家的重視，商用密碼技術也必將迎來高速發展。

國產密碼是由國家主持研制的一個密碼算法，基于這個標準算法開發了一系列的產品和應用服務。密碼技術是國家的安全底線，暫時還沒有對外開放。

得安公司很慶幸在20年前就做了密碼服務，比較超前。得安投身商密行業和信息安全事業是最早的，從1997年至今，作為奠基者，得安逐步完成了商用密碼技術的國產化。當年，信息化的應用程度微乎其微，信息安全行業更是如此，就是在這種社會條件下，得安創始人李大興教授帶領大家將商用密碼知識和技術傳播到每一個角落，千方百計喚醒大家的信息安全意識。

本刊記者：現在互聯網金融、金融科技火熱發展，銀行機構也在加速科技創新，您覺得當前各類型銀行在加強信息安全方面，特別是應用密碼服務方面處于什么樣的水平？

邢少敏：現在很多銀行在發展金融科技，在云端服務中，大型商業銀行會更加超前地考慮一些集中服務問題，包括安全問題。我感觸比較深的是當前大型商業銀行具有很強的科技實力、規劃能力、頂層設計能力，投入也比較多。現在大行的密碼服務基礎設施建設體系都已經有了，有一些比較完善。比如建設銀行的“新一代”核心系統建設就非常超前，投入也比較大。對大型商業銀行來說，今后需要關注的是一些技術新領域的新發展，比如云計算、移動金融、包括生物識別技術等，以及這些新技術興起后如何做好加密工作，如何保護個人隱私。

但是中小銀行在國產密碼的基礎設施建設上可以說還有很大的空缺，有的沒有做國產密碼改造建設，有的沒有密碼服務體系建設或者只做了一部分，其核心業務系統沒有跟密碼平臺對接，移動端、手機端業務也沒有跟上密碼技術服務。城商行、農商行等中小銀行在這一領域有很大的發展空間。而且中小銀行的系統建設還有一個弊端，就是這些銀行在拓展自己業務的時候，它的后臺卻不是自己的，要依賴于外包，很多銀行對密碼服務的重視還不夠。

本刊記者：那么，基于這種現狀，您對金融機構的信息安全維護有什么具體的建議？

邢少敏：無論大型銀行也好，中小型銀行也好，在信息化的建設中應該把密碼的體系建設或者說國產密碼的體系建設提升一個標準，應該做好頂層設計，自上而下設計密碼體系。

銀行高層要重視這件事，國產密碼的體系建設不是買幾臺密碼設備就萬事大吉，更需要做的是如何與整體架構設備、業務系統深入地融合、推進。所以我覺得金融行業應該在做好信息安全頂層設計的同時，把密碼技術納入頂層設計。

現在有一個矛盾是，銀行業務需要效率，但是加密環節又是影響效率的一個因素，安全和效率永遠是一對矛盾體。對我們廠商來說，要做的是不斷開發高性能的設備，優化業務系統架構，盡量把效率提高。而對銀行來說，不能因為要效率，而使業務風險加大，所以兩者必然是要兼顧的。

為建行和郵儲銀行提供國產密碼金融云服務的經驗分享

本刊記者：貴公司的密碼服務目前在銀行的哪些領域應用？

邢少敏：得安公司在電子政務、教育信息化建設、金融系統等領域參與了大量了項目實踐，形成了以密碼產品與技術為核心的研發體系，建立了以密碼為核心的系統建設與服務模式。

比如，在金融云服務領域，實施了中國建設銀行“新一代”核心系統建設原型驗證、一期、二期、三期項目；建設銀行總行CSSP密碼安全服務平臺一期、二期、三期、四期、五期項目；中國郵政儲蓄銀行郵政儲蓄系統邏輯集中工程密鑰管理系統；郵儲銀行結算業務集中處理工程密鑰管理系統；承擔了陜西省農村信用合作社聯合社密碼服務平臺項目，完成了陜西省農村信用合作社國產密碼技術的統一密碼服務平臺建設等。

本刊記者：建設銀行的“新一代”核心系統建設，是歷時6年才完成的大工程，得安參與了哪些具體項目？

邢少敏：得安與建設銀行在業務層面的合作比較早，后來展開了深度合作。2008年以來，得安公司實施完成了中國建設銀行總行“新一代”核心系統原型驗證一期、二期、三期項目，“新一代”信息系統安全開放服務項目，“新一代”安全保障三期加密服務項目，建行總行CSSP密碼安全服務平臺項目，總行信息系統認證授權平臺，建行軟件安全加密平臺技術支持服務項目。

建設銀行“新一代”核心系統采用了云計算技術，可以根據業務需要智能調度和分配計算機資源。新一代系統可以使建行在海量的交易數據面前控制自如。

得安公司作為業務系統的參與單位之一，主要承擔核心系統的國產密碼服務平臺，我們派出技術骨干團隊，為建行提供駐廠的項目開發和服務。歷時6年奮戰，完成了項目建設。在項目推廣階段，得安技術團隊所有骨干人員參與了分行的系統攻關和上線的支撐工作，為系統的正常運營提供安全支撐。

我們將原來點到點的傳輸加密模式優化為端到端的傳輸模式，效率得到大幅提升，使得管理更加透明高效，實現統一的安全作業，并且實現集中化的登錄認證，集中式的密鑰管理和審計監控，使得安全功能組件化，安全配置參數化，安全服務多樣化。整個密碼服務平臺為建設銀行金融云服務提供了高效的密碼體系建設和保護。

這個項目，建設銀行獲得了中國人民銀行科技發展獎等獎項。項目的參與，也使得安公司成為我國商用密碼領域第一個完成金融密碼領域項目實施的企業。

本刊記者：我們看到，得安公司也參與了郵儲銀行的科技系統建設，那么，這個項目與建行的“新一代”核心系統項目相比，有什么差別？可以和我們分享一下具體經驗嗎？

邢少敏：兩個銀行的系統建設各有特點，建行采用的是分布式架構設計，而郵儲銀行采用的是平臺集中式的架構設計。

2010年得安承接了中國郵儲銀行的密碼服務，這是我們的第二個大型銀行密碼服務項目，實施完成了該行郵政儲蓄系統邏輯集中工程密鑰管理系統，結算業務集中處理工程密鑰管理系統，黃金買賣業務系統二期工程密鑰管理系統，密鑰管理系統新增功能及推廣工程，郵政儲蓄系統邏輯集中2014新增功能工程密鑰管理系統等，成為郵儲銀行郵儲密碼服務的專業廠商。

我們主要是提供統一的安全服務，統一的保存密鑰數據，在設計思想和系統架構層面，充分考慮系統的高效性、保密性和使用的方便性，在盡可能提高密鑰運算速率的前提下，保障操作安全方便，滿足銀行系統長期穩定、高效的安全保密要求，目前已經完成50多個系統的接入。

整體過程中我們是不辭辛苦的，有的技術人員連續幾個春節都不休息，做值班保障工作。我們意識到銀行、證券等金融系統的重要性，所以服務上要求嚴格，基本上節假日都有值班人員。 

金融IC卡業務與移動金融密碼服務如何創新

本刊記者：除了國產密碼金融云服務以外，在金融領域，密碼服務還涉及哪些領域？

邢少敏：現在，云計算、大數據、物聯網等創新技術正在改變整個社會。在這樣的形勢下，我們邁出了密碼技術在社會各領域的跨界應用的第一步，探索了一系列的密碼新業態，搶占新一輪密碼技術創新的制高點。從得安公司的實踐經驗來看，以下幾個領域是我們重點關注的：

在大數據方面，得安公司發揮密碼技術在認證、授權、訪問控制和數據保護的特長，開展生物特征大數據的安全存儲和數據挖掘工作，初步形成金融大數據安全解決方案，并在建設銀行、郵儲銀行得到應用；在云計算方面，推出了云劍云安全解決方案，以云計算、虛擬化和并行處理技術為核心，集成高端密碼設備、密鑰管理系統和中間件技術，實現對云平臺的多維度、全方位整體安全防護，已經在濟南市電子政務云服務中得到應用；在移動互聯網方面，與合作伙伴共同開發了移動互聯網密碼服務平臺、數字認證系統、密鑰管理系統，提高客戶移動終端的安全性能；此外，得安公司在2012年承擔了面向金融IC卡領域的高性能密碼設備研制工作，已經在陜西省農村信用合作社密鑰管理系統項目得到了應用。我們還參與了教育卡業務，比如最近在與首都師范大學校園合作一卡通業務。而且，在工業控制領域、公安系統、智慧城市、智慧醫療建設等方面我們也開展了很多項目。

本刊記者：您剛才提到的移動金融，無疑是時下熱點，手機銀行、微信銀行、移動支付正在快速發展，那么移動金融的安全技術現在處在什么樣的發展水平？

邢少敏：移動端未來大有可為，比如現在很多銀行卡都與支付寶等第三方支付綁定，因此也要防范移動金融的數據信息風險、支付風險。我們現在也在做面向金融移動端的防詐騙、防信息泄露的產品。

現在手機銀行的產品很多，運用了人臉識別、手紋識別等多種生物識別技術。如果單純地在手機軟件端加密，是不能保證銀行移動端的支付安全的，商業銀行需要移動系統的密碼服務管理平臺。

得安公司已經與建設銀行合作，針對手機銀行提供了一套基于移動系統的整體密碼應用服務解決方案，該方案是一個整體的密碼服務平臺，系統中有硬件加密保護，安全方面整體比較完善，同時也符合國家密碼管理局的規范。

除此之外，隨著新技術的發展，我們也在研發新的加密技術。比如我們有一個新課題是生物識別技術的數據分析，比如虹膜技術的數據分析，但是現在有一個問題，我們國家還沒有虹膜庫。所以如果應用的話，對每家銀行來說只能是先把自己客戶的虹膜庫建立起來。此外，我們還在研究區塊鏈技術與國產密碼的結合應用。

推進國產密碼標準建設

本刊記者：通過交談，我們對密碼技術有了更多的了解，那么，目前在國內，國產密碼產品和技術的標準建設處于什么樣的水平？

邢少敏：可以說，網絡安全里的核心技術就是密碼技術。我國在近20年的時間里一直組織國產密碼的標準制定。得安有幸作為國家密鑰管理局的主要標準承辦單位，主持了6項國產密碼的標準，在第一批國密標準發布的序列里面，接下來會推廣。現在從硬件產品層面的標準來說，國產密碼技術基本上比較完善，使用者都在遵循這個規范。

接下來，應該推進網絡安全法和國家密碼法的頒布和實施。應從國家層面重視信息安全的頂層設計以及法律法規建設。

今年開始，國家推進對國產密碼安全大檢查，各個省的國家密碼管理局和網信辦、公安廳在大力推進此項工作。此前國家密碼管理局派出很多專家抽查各省電子政務情況，檢查中發現很多電子政務網站缺少國產密碼技術保護，這是接下來要加強的。國家層面的重視，對我們密碼廠商來說是發展機遇。 

本刊記者：我注意到，2017年是得安公司成立二十周年，這是一個重要的節點，回顧二十年的公司發展，您個人有什么體會？

邢少敏：得安公司的一草一木，都見證了中國信息安全事業的發展足跡。20年前，在絕大多數中國人還不知道商用密碼、信息安全為何物的時候，得安已經獲得了“六個第一”：商用密碼領域第一個產品批號；商用密碼行業第一個國家級獎項；我國第一代商用密碼卡和加密機；牽頭制定了我國第一批密碼行業標準規范；研制出我國第一批支持國產SM系列算法的密碼卡和密碼機；成為微軟在國內的PKI架構應用層的第一個合作伙伴。

得安公司在創業之初的第一個10年里，形成了健全的密碼技術和產品體系。獲得國家密碼管理局50余種密碼產品，應用于金融、證券、政府、稅務、電信、石油、郵政、保險、航空等領域。在隨后的第二個10年里，得安公司打破地域空間限制，進行全國布局，提供信息安全工程項目建設、信息安全運維服務和信息安全整體解決方案。加大以密碼技術為核心的自主產品開發力度，推進密碼技術和產品的系統化應用服務。

可以說，20年的時間，得安終于從一個設備廠商轉變為成熟的密碼服務平臺。相信，未來國產密碼服務還會迎來更廣闊的發展機遇。