期貨市場作為國民經(jīng)濟高質(zhì)量發(fā)展的“穩(wěn)定器”，是我國現(xiàn)代金融體系的重要組成部分。隨著數(shù)字化轉(zhuǎn)型的深入、移動互聯(lián)網(wǎng)的普及，各大期貨市場紛紛建設(shè)各類業(yè)務(wù)App，為會員單位、客戶提供更便捷的期貨交易服務(wù)。由于用戶的終端環(huán)境、網(wǎng)絡(luò)環(huán)境不可控，各大期貨交易市場為了保障業(yè)務(wù)App的安全運行，不斷強化終端安全防護能力，為數(shù)字化業(yè)務(wù)構(gòu)筑安全防線。

項目背景

某期貨交易所（以下簡稱“D交易所”）是經(jīng)國務(wù)院批準并由中國證監(jiān)會監(jiān)督管理的期貨交易所之一。為落實活躍期轉(zhuǎn)現(xiàn)交割方式，降低現(xiàn)場交割服務(wù)成本，D交易所建設(shè)了交割移動業(yè)務(wù)App。為了保障交割移動業(yè)務(wù)的安全性，D交易所希望為App構(gòu)筑三道安全防線：

1.第一道防線：多因素認證

為了保證期貨交割業(yè)務(wù)的安全性，D交易所希望將App的認證方式由“用戶名+密碼”升級為多因素認證，全面提升身份認證的安全性。

2.第三道防線：認證系統(tǒng)自保護

想在移動終端上安全的進行多因素認證，App的認證系統(tǒng)需要完善的自我保護機制，具備設(shè)備信息標識、信息加密、終端位置態(tài)勢感知等能力：

·設(shè)備信息標識：收集終端設(shè)備信息，準備標識設(shè)備身份，識別非常用設(shè)備登錄等威脅；

·信息加密：對身份信息、交易信息進行加密存儲、傳輸，避免信息遭劫持后被破譯、篡改；

·終端威脅態(tài)勢感知：感知終端設(shè)備的安全狀況，保證App在安全的終端中運行，避免設(shè)備帶病入網(wǎng)。

3.第三道防線：滿足合規(guī)要求

作為重要的期貨交易市場，D交易所對合規(guī)性也有硬性要求，方案和產(chǎn)品必須符合相關(guān)國標、行標，保證完全自主可控。

方案設(shè)計

針對D交易所的要求，芯盾時代基于完備的身份認證、終端安全產(chǎn)品線，結(jié)合豐富的金融行業(yè)終端安全項目經(jīng)驗，采用自主研發(fā)的移動社身份認證、設(shè)備指紋、智能終端密碼模塊、終端威脅態(tài)勢感知能產(chǎn)品，為其構(gòu)筑體系化、自保護、更可靠的身份認證體系。方案功能與設(shè)計如下：

1.身份認證SDK：集成在交割移動業(yè)務(wù)App之中，提供短信驗證碼、人臉識別、語音驗證碼等多種認證方式；

2.設(shè)備指紋SDK：自動采集設(shè)備特征，為每一臺終端設(shè)備生成唯一的設(shè)備識別碼；

3.智能終端密碼模塊：以SDK形式集成在App之中，綜合用戶身份信息、設(shè)備信息生成唯一的密鑰，對身份信息等關(guān)鍵敏感數(shù)據(jù)進行加密，并借助白盒算法、安全沙箱保證密鑰的安全存儲和調(diào)用；

4.終端威脅態(tài)勢感知模塊：以SDK形式集成在App之中，智能感知終端設(shè)備的安全態(tài)勢，識別模擬器、攻擊框架等終端威脅。

客戶價值

改造完成后，D交易所為交割移動業(yè)務(wù)App構(gòu)筑了三道環(huán)環(huán)相扣的安全防線，建立了可靠的身份認證體系，不但保證了身份認證的安全性，還構(gòu)筑了立體、完備的終端安全防線，為業(yè)務(wù)安全提供了有力的支撐。

1.實施多因素認證，身份認證更安全

借助芯盾時代的身份認證SDK，交割移動業(yè)務(wù)App為用戶提供短信驗證碼、人臉設(shè)別、語言驗證碼等多種認證方式，兼顧了安全性和便捷性，獲得了客戶的好評。

2.精準標識設(shè)備，賬戶設(shè)備強綁定

芯盾時代結(jié)合機器學習技術(shù)，采用新算法提升設(shè)備指紋的適配性，抑制傳統(tǒng)設(shè)備指紋容易發(fā)生的指紋漂移和指紋沖突，準確率高達99%以上。借助設(shè)備指紋強大的設(shè)備標識能力，D交易所實現(xiàn)了用戶賬戶與設(shè)備的強綁定，能夠識別用非法登錄，保障交易安全。

3.敏感數(shù)據(jù)加密處理，保證信息機密性

借助智能終端密碼模塊，交割移動業(yè)務(wù)App能夠在用戶首次激活設(shè)備時，創(chuàng)建創(chuàng)建包含身份信息、設(shè)備信息的密鑰，對身份信息、短信驗證碼等敏感關(guān)鍵數(shù)據(jù)進行加密，保證信息傳輸、存儲過程中的安全性，防止信息被劫持、破譯、篡改。

為了保證密鑰的安全，智能終端密碼模塊采用白盒算法保護密鑰和數(shù)字證書存儲及運行過程安全，采用應(yīng)用安全沙箱配合獨立進程保護，在終端形成獨立的軟件數(shù)據(jù)防護區(qū)域，讓身份認證更加安全。

4.感知終端威脅，避免設(shè)備帶病入網(wǎng)

智能終端密碼模塊具備終端威脅感知能力，內(nèi)置模擬器檢測270+款，雙開程序檢測40+，以及攻擊框架、調(diào)試狀態(tài)、高危軟件、Root/越獄等獨有檢測技術(shù)，能夠準確評估設(shè)備安全基線，避免帶病設(shè)備入網(wǎng)。

5.自主知識產(chǎn)權(quán)，滿足合規(guī)要求

芯盾時代的全線產(chǎn)品具有完全知識產(chǎn)權(quán)，支持國產(chǎn)密碼算法，滿足網(wǎng)絡(luò)安全等級保護、密碼應(yīng)用安全性測評，以及金融行業(yè)各種監(jiān)管文件、國標、行標的要求，完全滿足了D交易所的合規(guī)要求。

芯盾視點

隨著金融行業(yè)數(shù)字化轉(zhuǎn)型的深入，金融機構(gòu)不斷建設(shè)新的業(yè)務(wù)應(yīng)用，提升業(yè)務(wù)的數(shù)字化、移動化水平。在建設(shè)新應(yīng)用的同時，金融機構(gòu)應(yīng)按照《網(wǎng)絡(luò)安全法》的要求，保證安全技術(shù)措施同步規(guī)劃、同步建設(shè)、同步使用，保證數(shù)字化業(yè)務(wù)安全穩(wěn)定運行。D交易所基于芯盾時代的設(shè)備指紋、智能終端密碼模塊等產(chǎn)品和方案，構(gòu)筑了體系化、自保護、更可靠的身份認證體系，在金融行業(yè)終端安全建設(shè)方面樹立了標桿。