芯盾时代为金融行业数字化业务构筑安全防线

期货市场作为国民经济高质量发展的“稳定器”，是我国现代金融体系的重要组成部分。随着数字化转型的深入、移动互联网的普及，各大期货市场纷纷建设各类业务App，为会员单位、客户提供更便捷的期货交易服务。由于用户的终端环境、网络环境不可控，各大期货交易市场为了保障业务App的安全运行，不断强化终端安全防护能力，为数字化业务构筑安全防线。

项目背景

某期货交易所（以下简称“D交易所”）是经国务院批准并由中国证监会监督管理的期货交易所之一。为落实活跃期转现交割方式，降低现场交割服务成本，D交易所建设了交割移动业务App。为了保障交割移动业务的安全性，D交易所希望为App构筑三道安全防线：

1.第一道防线：多因素认证

为了保证期货交割业务的安全性，D交易所希望将App的认证方式由“用户名+密码”升级为多因素认证，全面提升身份认证的安全性。

2.第三道防线：认证系统自保护

想在移动终端上安全的进行多因素认证，App的认证系统需要完善的自我保护机制，具备设备信息标识、信息加密、终端位置态势感知等能力：

·设备信息标识：收集终端设备信息，准备标识设备身份，识别非常用设备登录等威胁；

·信息加密：对身份信息、交易信息进行加密存储、传输，避免信息遭劫持后被破译、篡改；

·终端威胁态势感知：感知终端设备的安全状况，保证App在安全的终端中运行，避免设备带病入网。

3.第三道防线：满足合规要求

作为重要的期货交易市场，D交易所对合规性也有硬性要求，方案和产品必须符合相关国标、行标，保证完全自主可控。

方案设计

针对D交易所的要求，芯盾时代基于完备的身份认证、终端安全产品线，结合丰富的金融行业终端安全项目经验，采用自主研发的移动社身份认证、设备指纹、智能终端密码模块、终端威胁态势感知能产品，为其构筑体系化、自保护、更可靠的身份认证体系。方案功能与设计如下：

1.身份认证SDK：集成在交割移动业务App之中，提供短信验证码、人脸识别、语音验证码等多种认证方式；

2.设备指纹SDK：自动采集设备特征，为每一台终端设备生成唯一的设备识别码；

3.智能终端密码模块：以SDK形式集成在App之中，综合用户身份信息、设备信息生成唯一的密钥，对身份信息等关键敏感数据进行加密，并借助白盒算法、安全沙箱保证密钥的安全存储和调用；

4.终端威胁态势感知模块：以SDK形式集成在App之中，智能感知终端设备的安全态势，识别模拟器、攻击框架等终端威胁。

客户价值

改造完成后，D交易所为交割移动业务App构筑了三道环环相扣的安全防线，建立了可靠的身份认证体系，不但保证了身份认证的安全性，还构筑了立体、完备的终端安全防线，为业务安全提供了有力的支撑。

1.实施多因素认证，身份认证更安全

借助芯盾时代的身份认证SDK，交割移动业务App为用户提供短信验证码、人脸设别、语言验证码等多种认证方式，兼顾了安全性和便捷性，获得了客户的好评。

2.精准标识设备，账户设备强绑定

芯盾时代结合机器学习技术，采用新算法提升设备指纹的适配性，抑制传统设备指纹容易发生的指纹漂移和指纹冲突，准确率高达99%以上。借助设备指纹强大的设备标识能力，D交易所实现了用户账户与设备的强绑定，能够识别用非法登录，保障交易安全。

3.敏感数据加密处理，保证信息机密性

借助智能终端密码模块，交割移动业务App能够在用户首次激活设备时，创建创建包含身份信息、设备信息的密钥，对身份信息、短信验证码等敏感关键数据进行加密，保证信息传输、存储过程中的安全性，防止信息被劫持、破译、篡改。

为了保证密钥的安全，智能终端密码模块采用白盒算法保护密钥和数字证书存储及运行过程安全，采用应用安全沙箱配合独立进程保护，在终端形成独立的软件数据防护区域，让身份认证更加安全。

4.感知终端威胁，避免设备带病入网

智能终端密码模块具备终端威胁感知能力，内置模拟器检测270+款，双开程序检测40+，以及攻击框架、调试状态、高危软件、Root/越狱等独有检测技术，能够准确评估设备安全基线，避免带病设备入网。

5.自主知识产权，满足合规要求

芯盾时代的全线产品具有完全知识产权，支持国产密码算法，满足网络安全等级保护、密码应用安全性测评，以及金融行业各种监管文件、国标、行标的要求，完全满足了D交易所的合规要求。

芯盾视点

随着金融行业数字化转型的深入，金融机构不断建设新的业务应用，提升业务的数字化、移动化水平。在建设新应用的同时，金融机构应按照《网络安全法》的要求，保证安全技术措施同步规划、同步建设、同步使用，保证数字化业务安全稳定运行。D交易所基于芯盾时代的设备指纹、智能终端密码模块等产品和方案，构筑了体系化、自保护、更可靠的身份认证体系，在金融行业终端安全建设方面树立了标杆。