微通新成总经理赵建金融展科技峰会演讲

各位来宾，各位媒体的朋友，大家上午好！

我是北京微通新成网络科技有限公司的总经理，我叫赵建。

非常感谢大家给我这么一次机会和大家一起分享微通新成公司关于金融业用户数据安全解决方案，希望我今天的演讲能够带给大家更多的思考，如果各位有问题，可以随时打断我的演讲。

今天我的演讲主要分为以下四部分：

1、公司简介。

2、产品线简介。

3、身份认证解决方案相关方面。

4、如果有时间和大家探讨和交流。

微通新成成立于2003年，基于gWebs数据安全系列产品研发、服务于销售，数据与应用安全服务提供商。我们在新加坡成立了gWebs公司，为全球用户提供化繁为简的在线软件应用SaaS安全解决方案。

微通新成总经理赵建金融展科技峰会演讲
 

大家可以看到下边这张图，我们公司所有产品都是围绕着SaaS（在线应用数据安全系统）服务，在线应用。 SaaS服务已经不是一个非常新的概念，但是是我们软件未来的一个发展方向。我们可以看到包括全球领先的一些IT服务公司，像微软、谷歌，都纷纷提出了云计算，WEBOS概念，以及SaaS服务。可以预见，服务的租用方式，软件级服务是未来软件应用发展的一个大趋势。

SaaS服务带来方便的同时，最大的问题就是数据安全的问题。因此我们公司看准这个市场，我们所有产品都是围绕着整个软件在线应用存在的数据安全问题。

大家看到下面四个产品：

电子邮封，主要是解决电子邮件隐私保护问题。

在线Office文档安全系统，就是类似于谷歌在线文档提供数据安全的保护。

网络数据存储安全系统。

键盘芭蕾，它是基于个人用户击键习惯的双身份认证系统。

这是我们公司支持的软件应用主流服务商的应用，谷歌的应用，网易、新浪以及163等等用户。

电子邮封，我们提供的是一个化繁为简邮件隐私安全方案。早在一二十年前就提到了电子邮件加密的问题。邮件协议是在一九七几年出来的，当时互联网诞生的时候并没有考虑太多的安全问题，互联网又是一个开放的网络，邮件协议沿用至今存在一个很大的安全问题，所有的邮件都是以明文的方式在网络上进行传输，很容易被黑客截获。像邮政系统的明信片一样，谁想截获，都是可以看到的。

我们公司为什么还要做邮件加密这样的产品呢？首先是用户有这样的需要，随着广大用户对自己个人隐私，以及公司对公司商业秘密保护意识日渐提高，邮件加密是个人和企业必须要面临的一个问题，需要去解决的一个问题。

传统的解决方案里面，大家接触最多的就是我们基于PKI的用户证书，导入之后，它可以实现邮件的加密和签名。为什么我们还要做邮件加密的产品呢？

第一，导入证书的过程是相对比较专业，比较复杂的过程，普通使用者导入这个证书比较麻烦。

第二，随着网络的发展，我们看到经过市场调研，越来越多用户收发邮件的习惯，就是直接用一个浏览器登录到一个邮件服务提供商，登录页面，通过IE或者其他浏览器收发邮件。这种方式我们称之为WEBMAIL，目前WEBMAIL用户已经超过了50%。由于PKI的加密机制是把邮件正文和附件加密成一个完整的二进制文件，它是不能在IE浏览器展示，这会让客户感到非常麻烦。我们公司长期研究用户使用习惯，推出这样一个解决方案。最大特点就是不改变用户原有的使用习惯，非常透明的，让用户支持邮件加密。

在线Office文档安全系统，也是一个非常热门的产品，有很多国外的用户给我们发的邮件，对我们这个产品非常感兴趣。它主要是基于全球这几家提供在线OFFICE文档的服务商。什么叫在线OFFICE呢？大家由于工作的需要，撰写文档、EXCLE表，以及今天我用的PPT，传统的方式是在本机安装一个OFFICE软件，在线文档的推出就大大简化用户这个过程，用户不需要在本机安装 OFFICE软件，只要访问谷歌，就可以在网页里面创建DOC文档，EXCLE报表，PPT等等。它最大的问题，是因为你写的每一个字都会保存在服务提供商的服务器端，对服务商而言，你的文档不存在任何隐私，这就导致非常大的问题。

前段时间出现了因为一个管理员密码被破解，导致谷歌和DOS用户在线文档泄密了。在线文档给大家带来方便的同时，也带来非常大的隐患。

还有大家熟悉的网络硬盘，百度网盘，QQ网盘，很多人把大量的歌曲、大量文档、代码放在网盘上，这就存在一个问题，我的数据在服务商那儿，谁来保证我的应用。

还有大量的在线应用，SaaS是中小企业软件市场的未来趋势。我们与国内知名SaaS服务提供商的战略。

我们在在线应用的文件是不能做到完全删除的，我们应用的时候率先支持了谷歌SaaS加密服务，使得我们企业所有应用谷歌看不到，看到的只是处理后的零文。

我们解决安全的基本目标有三个，机密性、完整性、可用性，主要是解决机密性，弥补服务提供商不能很好解决的问题。

键盘芭蕾是基于个人击键习惯的生物特征身份认证解决方案，这个方案已经申请了中国发明专利，我们认为它将是帐号被盗的一个终级解决方面。

传统的身份认证方案，就是用户名加口令的方式，是大家在日常工作和生活过程当中，使用信息系统的时候，都会面临的登录一个系统，登录邮箱，都需要登录自己的用户名和口令，这种方式很简单，但是存在很大的安全隐患，黑客越来越猖獗，网络上存在大量浏览器的零类漏洞，这些漏洞被黑客利用和掌握了，大量挂网页木马，导致很多用户受到恶意攻击，通过键盘记录就可以知道你的密码，这个产业化程度非常高，也是容易实现的。我们看到网络比较重要的金融应用，为了弥补这个安全性，我们纷纷推出动态口令卡、数字证书加强身份认证和保障网银用户的安全。

但这个过程需要我们用户购买动态口令卡或者U盾这样的强身份认证系统。这样非常不方便，而且你的分发过程需要到银行柜台，到柜面去购买USBKEY。

基于以上原因，我们公司推出不需要任何外加辅助设备的强身份认证系统，就是电脑的键盘，键盘是每台计算机标准的配置，每个人在敲击键盘的时候都有自己的习惯，这取决于两个重要的因素，同一个键和弹起之间的时间差，停留时间，相邻键按下之间的时间差，跨越时间。通过这两个时间的采集，我们建立起每个用户自己的击键风格。我们可以看到键盘芭蕾主要有由三个部分组成，首先客户端驱动采集部分，采集完击键之后，通过打包传到服务器端，首先保存你的击键习惯，建立起用户习惯之后，每次登录就直接输入用户名和口令，我们会比对这次输入和存放数据库里面的击键习惯是否符合，如果符合我们反馈给系统一个数字，你通过这个认证，如果不符合系统就会拒绝你的通过。

键盘芭蕾基于很多技术，包括键盘驱动技术，系统结合密码技术，时间戳技术，避免了回放式攻击。现在游戏行业里面很通行的一些问题，类似于刮刮卡这样的强身份解决方案，已经发现有这样的事情，当一个游戏用户登录的时候，被黑客程序截获住，输入的时候将两段密码输入进去之后，被黑客截获了，导致了回访式攻击。我们系统在这个方面避免了回放式攻击，避免了用户本地密码被截获的可能性。这个技术我们也申请了发明专利。

键盘芭蕾是低拥有成本，高安全性、自适应性、高识别能力的解决方案。它是一个生物特征识别的技术，它的衡量指标是合法用户的拒绝率和非法用户的通过率，对一个生物特征识别的解决方案来讲，键盘芭蕾的指标已经非常高了。

这张图是网上银行系统为例，展示了键盘芭蕾身份认证解决方案和原有的网银系统结合如何工作，只要我们网银用户装载一个安全控键，我们在服务端装了一个身份认证的接口，我们只比对你的键盘风格，你原来的帐户、用户名、密码，我们交由原有的系统进行身份认证，只有当你符合这两个认证结果之后，你才能正确的登录网络系统。

键盘芭蕾应用范围非常广，网络游戏、网络基金、网络证券，凡是能够用到身份认证的地方，键盘芭蕾都可以作为我们传统的、简单用户名口令的身份认证方式的补充，提升身份认证的安全性。

会后参会人员与赵总经理互换名片并索取产品资料

北京微通新成网络科技有限公司基于金融业非常重要的第二个解决方案，我们叫金融业安全电子对帐单的解决方案。

各个公司银行都在大力宣传绿色、环保的帐单，鼓励用户由纸转电，银行通过电子邮件的方式把银行信用卡帐单推送到银行信用卡用户手上。基金公司把基金持有人的帐单每月定期发送到基金持有人的邮箱里面。电子邮件存在非常大的安全隐患，基于目前的邮件协议，我们所看到的电子邮件都是以明文的方式在网上进行传输，这就存在非常大的用户信息泄漏风险，以及合规性风险和商业信誉带来的损失风险。

讲到合规性风险，我们看到中国银监会发布了电子银行业务管理办法，电子银行风险评估指引，以及2009年3月份新协定的关于商业银行信息科技风险管理指引里面，都有非常明确的要求，指向了商业银行应该制订相关的制度流程，严格的去管理用户信息采集和处理，存储、分发、备份等各个环节。

中国证监会也对于基金行业在2007年颁布了证监会20号令，第六章第31条非常明确的提出了基金投资人的身份、交易明晰等敏感数据在公网上的传输应当近来可靠的加密和保护。

06年开始的公安部联合四部委推出的信息系统安全等级保护，金融行业的银行、基金公司等行业的信息系统是关系到国计民生的重要信息系统，是要符合公安部的等级保护管理要求。我们可以看到在等级保护里面第二级和第三级里面也提出非常明确的要求，而级要求敏感信息字段要进行可靠的加密，如果信息系统要达到三级，是要做到全报文加密的。

我们看一下国外相关法律法规的规定。

比如说美国的GLBA，金融服务现代化法案，我们也研究了花旗、美国银行所推出的电子帐单，它为了规避帐单的风险，目前和国内银行做法是非常不一样的，他们的帐单里面没有任何的客户信息，所以遵循了GLBA的法律规定。当然还有萨班斯法案和ISO27001，也提到了要为客户负责。

从以上几个方面来看，其实安全电子对帐单提出了四方面的需求。

第一，客户需求，我们拜访基金公司、银行的时候，他们的客户也咨询了客户中心，你们以前发的普通的纸质帐单，我的帐单放在信封里面，没有人拆封是安全的，现在发的是电子帐单，如何保障电子帐单安全。现在基金公司和银行都没有很好的回答这个问题。

第二，金融机构产品创新需求，在众多同质化产品当中，众多的企业当中，某一个银行或者基金公司怎么样在这些产品中脱颖而出，哪个企业关注到用户的隐私保护需求，它就可以获得用户的亲睐。

第三，从信息安全体系建立管理要求来讲，我们要做到保护电子帐单的安全。

第四，证监会和银监会也有相关的监管要求。

如果我们通过技术手段能够弥补技术和管理上的缺陷，我相信金融机构就能够避免由此产生的一些其他的操作的、法律的、声誉风险。

微通新成安全电子对帐单解决方案是什么样的东西呢？它由两部分组成。一部分是在银行部署了一个服务器端，它主要对账单的加密，以及用户密钥的产生和管理。另外一部分是客户端，我们把它做成了广大的网银用户和网上基金用户都熟悉的安全控件方式，和原有用户使用行为是非常一致的。用户只要登录网站，安装相应的安全电子帐单控件，原来怎么收的还怎么收，用户丝毫没有感觉到他收取帐单的习惯有所改变。而且我们这套系统保护了原有电子帐单系统的投资，而不需要更换原有的帐单系统，只要附加部署上我们的安全措施就可以。

这是系统架构图。

系统基本运行流程，这个非常简单，只要用户下载安装一个安全控件，通过网上银行身份认证，就维持这个安全通道，把它对应的解密密钥安全推到计算机上面，下次再收到加密帐单的时候就可以有效的解密。

这是一个安装了安全控件前后的效果示意图，在没有安装安全控件之前，你的帐单是明文的方式在网络里面传输，很容易被截获，包括邮件帐号，如果被别人知道，捕获以后，黑客可以通过你的邮件登录到邮箱服务器上查看你的帐单，如果用上了我们的安全控件之后，即使你的邮箱帐户泄密了，他们登录上邮箱服务器仍然看到的是你帐单加密的状态。

我们这儿有一个演示。

大家看到这是我们一个帐单安全系统的演示录像，这是我们为华夏银行做的一个演示系统，用户只要登录网站，选取安全电子帐单，安装安全控件，我们自动弹出网上银行登录页面，通过网络银行的身份认证以后，我们就通过对应的密钥推送给他，用户登录他原有的126邮箱，就可以收到我们的帐单，在帐单解密的时候有一个保护的密码，输入这个保护密码，帐单就正常解密了。

在没有解密之前大家可以看到，刚才是一个乱码的状态，就是你这封帐单存在邮件服务器上真实的样子，只有经过用户正常解密以后，才还原成为正常的帐单。

我们可以看到整个安全电子帐单客户端控件特性，就是支持现有用户的日常使用环境，我们都是可以支持的，不管你用的是浏览器收发邮件，还是通过邮件客户端收发邮件。

我们采用的加密引擎是可替换的，我们能够支持银行的专业版用户用到的KPI，我们也可以用PKI的公样，让用户进行加密帐单，我们的技术也得到了公安部的认证。

这是我们的成功案例，非常谢谢大家。

• 微通新成率先打造金融业高科技安全概念