深度!《中小银行数据安全治理研究报告》重磅发

——由安全牛、谷安研究院联合通付盾等多家数据安全厂商共同编写

近日，由安全牛、谷安研究院联合通付盾等多家数据安全厂商编写的《中小银行数据安全治理研究报告》(以下简称《报告》)正式对外发布，报告通过对数字安全领域技术企业进行调研，分享了专业数据安全技术公司在数据安全治理体系建设和技术工具应用方面的知识与经验，为银行开展和完善数据安全风险管控提供建设性意见和方案。

《报告》主体架构分为概述、数据安全治理环境、数据安全治理方法、数据安全治理运维、数据安全防护工具等，力求覆盖到数据安全治理的主要方面。通付盾重点参与的调研领域为用户身份认证。以下是《报告》中，通付盾关于数字身份认证领域完整解决方案:

1. 身份认证核心需要

中小银行用户对该技术的需求大致可分为如下两个阶段:

1) 首次身份认证

主要指银行在电子渠道针对用户(特别是非存量用户)在注册、开户、信用卡申请等场景的身份认证行为。防范身份虚假、资料虚假、身份伪冒等风险。

2) 二次身份认证

主要指银行在其网银、手机银行等渠道的登录、转账等场景，针对用户在移动设备端发起的关键交易信息进行二次确认，以满足监管合规(如:电子签名法、261 号文、170 号文等)、安全便捷、国密改造的需求。

2. 技术应用的难点与挑战

移动互联时代的安全是关系到国家和社会稳定、经济稳定、民众安全的重要问题，其中身份安全是核心基础之一，影响着移动互联安全的方方面面。在中小银行进行数字化转型过程中，在提升用户体验的同时，如何保证用户的隐私安全和资金安全成为目前的焦点。该技术在中小银行用户应用过程中，会遇到多因素认证服务、多种认证方式、统一和多样化的认证策略等难点。

1) 提供多因素认证服务

用户身份认证与管理可以为多个不同种类、不同形式的应用提供统一的认证服务，不需要应用系统独立开发、设计认证系统，为业务系统快速推出新的业务和服务准备基础条件，用户身份认证管理系统需为这些应用提供统一的接入形式。

2) 提供多种认证方式

银行的不同业务系统的安全级别不同, 使用环境不同，用户的习惯和操作熟练程度不同，用户身份认证管理系统需针对这些不同的应用特点提供不同的认证手段。

3) 提供统一和多样化的认证策略

用户身份认证管理系统针对不同的认证方式，需提供统一的策略控制，各个应用系统也可以根据自身的需要进行个性化的策略设置，根据应用或用户类型的需求，设置个性化的认证策略，提高应用系统的分级管理安全。

3. 技术应用的关键指标

用户身份认证与管理是银行安全门户的入口，只有安全的认证机制才可以保证银行大门不被非法人员进入。通付盾认为，用户身份认证与管理应包括但不限于如下功能及技术:

1) 时空码

时空码技术是一种安全可信的准硬件级动态多维码技术。通过动态算法、P2P(去中心化)校验等先进技术， 融入时间因子、空间因子、硬件指纹、行为因子、逻辑加密等多重安全因子，有效保护近程凭证安全，防偷拍、防截屏、防劫持;同时也保护远程凭证安全，防病毒、防木马，确保凭证安全和交易安全。时空码技术相当于在开放的移动互联网环境中建立起设备之间的安全通道。

2) 密码算法

身份认证产品中使用符合国家密码主管部门要求的安全算法。支持的算法包括SM2、SM3、SM4 和安全随机数。

3) 设备指纹

设备指纹技术是基于国际领先的网籍库技术，快速识别和采集设备的上百种软硬件属性及行为属性，为每台入网设备生成防假冒的、唯一的设备ID，作为虚拟空间的“身份证”，形成开放式平台的隐形账号体系。在HUE 产品技术架构中，设备是终端用户与各业务系统建立关联的载体，设备指纹的精确性确保了用户设备的唯一性。

4) 安全通讯

?SSL 安全通道(HTTPS)

HUE 服务要求连接的请求都采用HTTPS链接，来保障传输数据不被泄露和篡改。

? 国密算法加密传输

在HTTPS通讯安全的基础上，使用国密算法加密所有通讯数据，增强安全性，消除安全依赖。

? 完整性校验

应校验身份认证产品的完整性，保证连接的是合法的未被劫持篡改的身份认证产品，若完整性校验未通过， 则连接自动中断。

文章来源：《治理研究》 网址: http://www.zlyjzz.cn/zonghexinwen/2020/0821/468.html