中国科学院大学 中国科学院大学新闻网

【新闻网讯 方晨】3月29日上午，国家认监委张明德工程师，应信息安全国家重点实验室吕述望教授的邀请，来信息学院向广大学子讲授密码技术及其在银行的应用。张明德工程师是我国金融业界知名的信息安全专家，毕业于中国科学院计算技术研究所。本次报告由吕述望教授主持。 张明德工程师首先向大家简要介绍了银行业的相关机构分类和银行业务。 银行业界主要的机构有：央行，我国是中国人民银行；政府监管机构，我国是银监会；各类政策银行和商业银行；银行卡组织，国际上有Europay、visa、Mastercard,我国主要是中银联；还有各类只为本城服务的城市商业银行。 银行的业务主要有：消费、转帐、存款、取款、贷款等等。银行的收益来源主要有：年费收入、卡消费收入、利息收入等等。其中最主要的收益来源是利息收入。 在介绍银行业的风险时，张明德工程师引用了中国银监会主席刘明康对银行业风险总结出的三个“80%现象”：一是职务犯罪增多，尤其是一把手犯罪问题严重，涉案金额大幅度上升，和往年相比，增长率接近80%；二是80%的银行案件发生在基层银行；三是内外勾结案件增多，占案件量的80%。 此外，张明德工程师还举出了一些重大实例来说明银行业的风险之大，危害之广。 他按作案人的身份和作案方式总结了4大类作案手段。 它们分别是：一、合法人作合法事，具体手段主要有在正常的业务操作中作假，作案人员是内部业务人员、合作机构业务人员和银行用户。二、合法人作非法事，具体手段主要是采用IT技术留后门和复制银行卡，作案人员主要是能与银行系统接触的技术人员。三、非法人作非法事，这里主要采用的就是黑客技术了。四、非法人诱导合法人作合法事，主要采用欺骗和威胁的手段。 预防这四类作案手段，有4个关键问题要明确，张明德工程师说。 首先是采用软件加密还是硬件加密的问题。其次是网络层加密还是应用层加密的问题。这两个问题涉及策略的选在，没有绝对的最好和最差。在实践中必须综合应用，按具体条件具体实施才是上策。再次是密钥的管理，要保证密钥在其生命周期内，都是安全的。最后是要符合国家的相关法律条文和政策规定。 相应的，银行主要有四类密码体系。这四类体系用到的算法都是常用的密码算法。 传统的对称密码体系主要用于内部网络，遍布于银行的各个角落，保证基本数据的安全。IC对称密码体系主要是针对银行卡的安全性，防止用户卡上信息的泄露。IC非对称密码体系主要是针对脱机的银行卡使用业务。PKI密码体系主要是正对网上银行业务实施保护，采用的是开放式的框架。 报告结束后，张明德工程师和同学们对银行领域的具体应用进行了探讨。