文 / 中国金融电子化公司 潘润红 朱杰 林汉翔
在金融科技飞速发展过程中,信息安全始终是金融信息化建设必然面临的重大风险与挑战。推动技术革新,加快科技创新步伐,推行自主可控技术,是构建安全可靠的信息系统的坚实基础,在国家“信息技术应用创新产业”战略中具有重要的意义。本文介绍的中国金融电子化公司研发的国产化自主可控个人信用报告自助查询机(以下简称国产查询机),是构建安全终端设备,实现国产化替代转型,提升征信系统信息安全的重要成果。
中国金融电子化公司副总经理 潘润红
推进国产查询机的重大意义
个人信用报告自助查询业务,是人民银行面向百姓提供的传统柜台业务之一。自助查询机作为人工临柜查询的延伸,在信息系统中扮演着“一线”工作者的角色,直接面向广大社会公众,传递核心敏感数据。
早在2014年,中国金融电子化公司便顺应发展需要,成功研制了第一台个人信用报告自助查询机。随着推行自主可控技术革新、保障终端设备信息安全的需要逐步提升,金电公司发挥在征信自助机产品领域积累了丰富经验的优势,将产品向主动安全、精简高效的全国产化领域迈进。
1.打造国产查询机,是构筑征信系统信息安全体系的重要组成部分
提高终端的安全已成为系统信息安全保障的基础工作之一。个人信用报告自助查询机为社会公众提供便捷的查询渠道,能有效覆盖履职盲区。因其所处环境的特殊性,自身的安全防护显得尤其重要,关系到保障征信系统安全运营的“最后一公里”。打造国产查询机,牢牢掌握核心关键技术,构建“软硬结合”的安全终端,杜绝系统性漏洞与风险,是筑好征信系统安全防护的第一道门,有助于提升征信系统整体安全防护能力,确保金融基础设施不发生系统性安全风险。
2.国产查询机先行先试,有助于在金融行业形成示范带动效应
我国金融机具数量庞大,存在普遍使用国外核心处理器、Windows操作系统、大量依赖国外基础软件的问题。目前,国产化金融机具发展进程相对较缓,亟需通过丰富的应用场景推动金融行业与相关产业方融合创新,从而带动整个金融行业国产化转型升级。
以征信自助查询机为典型应用场景,“安全、高效、敏捷、易用”为目标,联合国产芯片、国产操作系统、国产外设等产业方,在金融机具领域,通过典型应用先行先试,探索形成一套国产化软硬件适配方案和国产终端安全体系,将为金融机具替代转型积累宝贵经验、探索有效路径,对于金融机具全面国产化道路,具有一定的示范带动作用。这一重要实践将全面助力金融国产化战略落地生根。
国产查询机自主可控实践之路
秉着“国产芯片为核心、开源操作系统为基础、开源软件框架为依托、代码全面自主开发、硬件外设全国产化”的设计原则,中国金融电子化公司与多家单位合作,于2016年初启动,历时一年,成功研制出具有全部知识产权、核心部件基本实现全国产化、应用程序全自主研制的国产查询机。基于征信业对于信用报告查询流程的指导要求,实现了信息采集、本人比对、报告查询打印等全部功能。该产品具有如下独具国产终端优势的技术特点。
1.全面应用国产芯片
国产查询机核心处理器选用了国防科大为“天河”系列计算机量身定制的飞腾芯片。飞腾芯片采用开放授权芯片体系中的ARM架构,是当前CPU市场上成熟的开放生态。飞腾具备ARM64的全栈式架构授权,核心技术自主研发,可自行设计真正自主可控的“国芯”,且芯片计算能力达到当今主流CPU的水平。
2.打造国产安全终端操作系统
该方案选择搭载于银河麒麟操作系统之上,根据对终端业务需求的充分分析,产品团队将操作系统中不必要的组件施行精简裁剪,对必要依赖组件施行定制优化,构建了一款金融行业可复用的安全高效国产操作系统内核,并进一步形成国产化轻量级定制终端安全生态环境。定制系统既免除了不必要组件可能引入的安全漏洞隐患,又可凭借对依赖组件的定制优化实现与核心业务的高度契合,从而在实际应用场景中进一步提升终端运行效率,发挥出定制精简国产操作系统“高效、稳定、安全”的巨大优势。
3.构建多层次应用安全保障体系
一是系统采用C/S架构,客户端服务器之间建立专用加密通道,实现数据加密传输;二是应用架构采用两级安全保障体系——配备安全加密主板和安全存储模块,实现敏感数据信息的加密存储;三是系统构建动态监测认证机制,提供客户端合法性的身份验证接口,具备终端核心部件主动侦测防入侵功能;四是系统构建软件更新升级的闭环体系,提供整套国产终端应用软件安全可信升级机制,使终端得以在安全授信条件下精准静默升级,实现运维安全的自主可控。
4.适配全国产化终端外设
国产查询机完成了对业务流程中所涉及到的一系列硬件外设的适配开发,获得了一整套全面支持国产操作系统的可复用驱动,从而构建出一套安全稳定的通用外设接口顺序调用、状态监控解决方案。其中包含身份证读卡器、活体检测摄像头、人民币识别器、打印机、语音提示音响、电源管理模块等。
5.完善形成技术领先的国产操作系统人脸识别算法
国产查询机需采用可在国产操作系统运行的人脸识别算法,但当时市场上较成熟的人脸识别算法主要运行于Windows平台。国产查询机在研制过程中,实现了可运行在国产操作系统的整套人脸识别算法,并且针对各种人脸识别攻击方法,对算法进行了安全优化和性能调优;通过从定制操作系统层面实现的安全加固,为算法提供了其他操作系统平台所不具备的安全运行环境,进一步提高了算法的可靠性。实现了识别准确率及运算效率的全面提升,降低了误识率、拒识率。
上线3年以来,国产查询机凭借出色的稳定性,收获了较好的市场反响。至今已在全国累计部署2000余台设备,大幅提升信用主体查询报告的效率,极大缓解了人民银行临柜业务的压力,得到来自各征信分中心的好评。
伴随金融行业高水平、高质量稳步发展,针对金融机具的安全需要将与日俱增。纵观我国金融机具行业现状,目前Windows环境的植入仍较深。随着国家自主可控层面战略的不断推进,采用国产CPU、国产操作系统以及配套安全保密产品的产业生态建设正在逐步完善。基于国产操作系统的安全保密产品的市场需求将出现快速增长。金融机具国产化,是夯实金融机具安全、做好金融关键基础设施外围安全防范工作的第一步。推行自主可控技术,加快金融机具国产化替代进程,符合当前国家自主可控与国产化的战略布局,将是未来中国金融机具设备行业的发展趋势。
选用飞腾芯片作为核心处理器的国产查询机,是实现国产化替代转型,提升征信系统信息安全的重要成果。
声明:本文来自金融电子化,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。