东进技术 演讲：互联网+环境下的商业银行安全挑战（胡其竹）

环境下的商业银行安全挑战演讲人：胡其竹日期：2016年3月24“互联网+”目录“互联网+”环境下，商业银行安全挑战

商业银行如何面对挑战

商业银行典型案例公司产品4123对互联网的认识经历了几个阶段最高深的技术是那些令人无法察觉的技术，这些技术不停地把它们自己编织进日常生活，直到你无从发现为止。互联网+，互联网与金融跨界融合，就是互联网金融互联网+”环境下，商业银行面临的安全挑战在“互联网+”大潮冲击下，各家银行纷纷使出浑身解数，不断将创新业务加入消费金融场景服务中，满足客户多样化的金融需求。但在转型过程中，如何平衡互联网带来的便利性和安全性，是银行业新形势下的必然思考和挑战。

国外密码算法有被破解风险国密算法的优势可控安全自主算法名称安全性比较SM21、256比特的SM2算法安全性比RSA2048更高；2、签名运算速度快。SM3SM3摘要长度为256比特，比MD5和SHA1安全性高。SM4密钥有效长度为128比特，比3DES的密钥长度(112比特)更长，安全性更高。商用密码政策1999年10月7日国家密码管理局颁布的《商用密码管理条例》第十四条规定，“任何单位或者个人只能使用经国家密码管理机构认可的商用密码产品，不得使用自行研制的或者境外生产的密码产品。”2009年国家密码管理局发布的《信息安全等级保护商用密码技术实施要求》中明确规定，一、二、三、四级信息系统应使用商用密码技术来实施等级保护的基本要求和应用要求，一到四级的密码配用策略要求采用国家密码管理部门批准使用的算法。2011年2月28日，国家密码管理局印发的【2011】145号文中明确指出，1024位RSA算法正在面临日益严重的安全威胁，并要求各相关企业在2012年6月30日前必须使用SM2密码算法。2012年6月28日，国务院下发关于《大力推进信息化发展和切实保障信息安全的若干意见》，明确指出：大力推动密码技术在涉密信息系统和重要信息系统保护中的应用，强化密码在保障电子政务、电子商务安全和保护公民个人信息等方面的支撑作用。相关政策及规定互联网+”环境下，商业银行面临的安全挑战安全体系不够完善；对系统开发或上线过程中安全测试及管控不够所有软件系统安全风险点分类及风险点不够清晰，跟踪和应急手段不够；在国家大力推广SM系列算法大环境下，系统需要升级改造；安全无小事，在SM系列算法推广过程中，如何规划？如何安全有步骤实施？如何安全切换上线……目录“互联网+”环境下，商业银行安全挑战

商业银行如何面对挑战

商业银行典型案例公司产品4123商业银行面对挑战的应对在国家推广SM系列算法过程中，完善自身安全体系，安全管控制度及流程等；在实施SM系列算法改造过程中，梳理所有系统安全风险分类及风险管控点，行成可持续跟踪的安全技术管理流程及规范；商业银行面对挑战的应对要求同时支持RSA/3DES等安全算法SM系列安全算法未来算法支持；14国密算法体系SM1SM2SM3SM4类别国密算法国际算法规格状态应用领域对称算法SM1DES256位非公开动态令牌SM4DES256位公开金融非对称算法SM2RSA256位公开认证、金融杂凑算法SM3SHA1/MD5杂凑值256位公开混合选择合作伙伴参考公司规模较大；公司金融项目经验丰富；有安全背景；有国密改造案例；派有经验的安全专家队伍参与咨询；有经验项目经理和技术经理驻场；有详尽的实施计划；有相应的软件产品解决方案；有完善的售后服务支撑等。总体规划分步实施先内后外层层推进符合标准风险可控实施要点安全体系的咨询和规划合理可行技术方案合理可行的实施方案长期的安全技术人员支持SM系列（国密）算法改造范围安全体系设计和构建根据银行业务特点，按照“网络隔离、分域防护、身份认证、授权管理、多层保护、安全管理”的安全策略，对安全体系进行优化或重建；交易系统的改造交易系统主要是指基于金融借贷记及电子现金业务的核心业务系统，其包括借记核心、贷记核心、电子现金、交易认证、密管、银联前置等相关系统。包含联机、脱机交易改造。在国密改造过程中，相关系统的软件、硬件需要根据规范和标准进行改造工作。受理系统的改造受理系统主要完成本发卡行或其他发卡行银行卡圈存、转账、收单、消费等，主要分为现金类自助终端(ATM、CDM、CRS等)、非现金类自助终端（多媒体查询机、缴费机等）、收单及支付设备（POS等）,柜面系统、网银系统等。需要进行终端硬件和软件两个方面的改造。SM系列（国密）算法改造范围发卡系统的改造包括卡管系统、密钥管理系统、数据准备系统和个人化系统的改造。数据准备系统实现了发卡行CA、模板参数管理，以及个人化转换这四大功能。制卡厂商根据个人化数据准备系统产生的脚本完成写芯片过程。移动支付系统改造移动支付系统主要是通过移动支付TSM系统改造，通过空中的方式向移动支付终端中加载金融应用，并复用现有的受理设备完成非接触式移动支付功能。卡片改造作为支付载体的金融IC卡改造要求金融IC卡须支持双算法体系（SM2、SM3、SM4/RSA、SHA-1、DES）算法，符合PBOC3.0的交易要求。主要需要完成金融IC卡芯片和操作系统的双算法改造金融领域国产密码算法推广方式标准密标委相关算法标准、密码产品标准、检测标准等；金融领域PBOC3.0及移动支付等应用标准；银联的联网联合相关标准。产品国产密码芯片、IC卡、POS、ATM、密码键盘应用类等终端；金融数据密码机、服务器密码机、签名验签服务器等密码产品。检测认证银行卡检测中心、国家密码管理局检测中心等检测机构提升了检测认证能力；可针对密码产品、应用类产品提供全面检测认证。试点推广科技部十二五支撑计划支持了鹤壁银行试点项目；发改委金融领域安全IC卡和密码应用专项支持了十家试点单位；其它金融机构在陆续启动改造工作。目录“互联网+”环境下，商业银行安全挑战

商业银行如何面对挑战

商业银行典型案例公司产品4123国密改造第一批试点单位：某农信案例全面支持SM2/SM3/SM4等密码算法的金融IC卡及移动支付终端在金融领域中的应用。将建设形成不少于100万张金融IC卡的发卡能力，试点期内实际完成至少5000张以上金融IC卡，在不少于10个营业网点支持国产密码算法金融IC卡业务。部署不少于500台支持国产密码的POS机，和不少于100台支持国产密码算法的ATM机，发放移动支付终端不少于200部开展金融IC卡、POS机、ATM机、圈存/圈提、借贷记和非接触式移动支付等业务应用。建立一套高安全，高可用，高性能、可扩展、能推广的统一的金融支付体系平台。应用试点工作要点国密改造第二批试点单位：某城商行案例外部系统：CFCA根证书系统、IC卡个人化系统（卡片）内部前置系统：密钥管理系统、IC卡发卡系统(数据准备）、ECC电子现金、IC卡交易认证系统、统一安全服务平台。内部受理系统：ATMP/C、柜面系统、POSP/C、项目涉及改造系统SM系列算法改造SOW实例展现目录“互联网+”环境下，商业银行安全挑战

商业银行如何面对挑战

商业银行典型案例公司产品4123深圳市东进技术股份有限公司，简称东进技术，是全球领先的多媒体通讯核心设备以及行业通讯设备供应商，公司聚集了一流的产品研发工程师和技术服务队伍，产品广泛的应用于政府、银行、证券、军队等行业以及金融电子支付、企业通信、呼叫中心、电信运营以及应急指挥等领域，客户遍布全球。东