广发银行的张桂明鼓励互联网创新同时保障信息安全

ZDNET安全频道 05月08日 综合消息： 在第十五届中国信息安全论坛的最后，广发银行信用卡中心的信息安全管理经理张桂明发表《互联网金融创新与信息安全保障》的演讲作为压轴，展望了互联网特别是在金融行业的未来，及其安全的保障。现场文字整理如下：

    实际上到今天为止，我们已经第三次来到这个大会，参加这个大会。我们这边作为广发银行信息安全，我们称之为业界的甲方，或者业界信息安全的用户，有这么一个机会能够与在座各位专家和精英进行相互的讨论。

    今天我的课题是互联网金融创新，网上在去年到今年一直在谈什么是互联网金融，或者什么是金融互联网。在这里，我想为大家讨论什么是把金融互联网化还是发展互联网金融。

    今天要谈的一点就是如何把互联网创新技术集成到业务当中去，非常简单。

    广发银行总部在广州，我是从广州过来的。1988年成立了广东发展银行股份有限公司，1993年开展布局全国，成为全国性的股份制商业银行，2006年引入战略投资，包括中国人寿、花旗银行一系列的投资。2011年，把原来比较典型的F标志的广发银行转变成了三角形的红色标志，广发银行的LOGO，标志着我们全面地进行了全国化。在2012年，我们的资产超过了万亿，目前在全国有33家的一级分行和625家分支机构。

    因为我这边是广发银行的一个部分，广发银行信用卡中心，给大家看一下董建岳董事长的一句话，品牌就是力量，它是产品和企业核心价值的集中体现，是质量和信誉的保证，是企业的无形资产。企业之间的竞争，越来越地表现为品牌的竞争。这是我们董建岳的原话，所以我们信用卡的发展愿景是办中国最优秀的信用卡，我们既然要办中国最优秀的信用卡，我们要跟上时代步伐，能够把创新业务，互联网的新技术引入到互联网新的场景当中去，在平衡业务的同时，进行信息安全的一个保障。

    广发银行信用卡中心一直注重信息安全建设，在2009年以前，我们的信息安全团队操作风险、内控合规团队，顺应这个需要，成立了单独的信息安全部门来负责信息安全的管理。而在2010年和2011年，我们分别通过了国内和国际的信息安全管理体系认证。这个在当时，全国首家信用卡规模突破千万量级发卡的，而且是全业务领域，我们全部部门全部通过这个认证的发卡银行。这是2011年到2012年。

    我们从2012年、2013年、2014年，积极与行业最先进的公司和媒体进行沟通。2012年，我们和信息安全大会合作，积极去争取这样的荣誉，获得了中国信息奖项。我们这边获得了中国银行个人信息保护的突出贡献奖。2013年、2014年，我们现在的发展方向由原来单纯的信息安全风险管理逐渐转向全面的信息风险能力，我们这边会更大地去加强IT战略分享，软件项目风险，IT风险的管控。这是我们一个历程。广发银行信用卡中心一直秉承以客户信息安全保障为业务核心的发展理念，大家可以看到，广发银行，可能在座各位有同业的，这里有同业的相关同事在，广发银行是非常注重个人信息保护的，大家可以在网上去看，广发银行很少出现信息安全事故的。

    这是一个简单的信息安全发展历程介绍。

    这边简单地为在座的各位同事介绍一下在创新业务领域，我们如何利用新技术突破我们业务发展的瓶颈，加强我们的业务。

    这边选择了一个典型的信用卡发卡领域为大家做介绍，在座各位都办过信用卡，这个图就是信用卡的一个申请流程。广发银行向客户推荐信用卡，申请人选择使用信用卡，填表，银行审核，向客户发卡，然后使用信用卡，一共是八个流程去做。

    传统的信用卡申请都是采取网上办卡，柜台激活，或者由信用卡的办卡员到您的公司拜访再去发卡。一系列都是为了满足客户信息的需要和监管的需要，监管的需要对申请人进行三亲，亲访、亲签和亲和。这一系列的流程，可能会造成一系列的问题，比如我们从客户端，申请人需要大量的资料，比如要填表，进行财务证明，然后还要提交申请人的工作证明，申请人的提交材料，然后才能把信用卡提交上去，对客户来说成本也很高，复印、印刷等等的。

    对我们这边来讲，我们的业务员办卡的时候，也要进行信用卡的资料录入，查询、确认、发卡，这个工作量大，效率低。大家知道银行的信用卡中心，多家银行的信用卡中心都是相对独立的，为什么独立，因为我们是典型的人员密集型企业。我们在资料的录入、扫描还有客服，还有发卡、办卡都需要大量的工作人员参与。所以，我们现在要解决的一个问题就是，能够引入新的技术，把信用卡发卡流程网络化、移动化。

    为此，我们有些什么技术呢？我们可能需要利用一些新的技术去保障监管的需要和客户信息的需要。如果广发银行通过新技术引入，可以做什么事情呢？传统来说，可能需要客户上班时间去申请它，需要进行客户办理。然后我们可以实现永远在线，让业务流程贯穿互联网。实际上不是所谓的互联网金融，或者是金融互联网化，而是创新的技术在金融行业的应用。我们也可以打幅地进行能力提升，提升我们员工的业务办理效率和工作效率。

    同时，在这个基础上，可以满足所有业务的权限实时的办理，和满足三亲的需要。通过也能够让客户减少等待期，大家从办理信用卡到拿到卡的等待期需要半个月或者一个月，那么你们当初办卡的初衷就完全没有了，你们拿到卡就不想用了。我们通过新技术的使用，可以减少客户办卡的犹豫期，有效提升出单率。

    这里讲了两个有效的应用，第一个技术是电子签名、人脸识别等等一些技术保证业务信息的安全性。这边讲两个，一个是电子签名技术，一个是人脸识别技术。我们要做的事情，我们潜在的场景就是，通过引入这些新的技术，这些安全，能够让我们的客户在线填写申请单，在发卡的过程中，能够通过人脸的识别技术，或者叫活贴识别技术进行现场拍照，现场语音采集，保证发卡的效率。

    我们这边简单看一下业务流程，我们现在可以进行手写签名，进行现场签名，现场进行语音采集，或者通过网络移动发卡进行语音的采集，进行现场的一个处理。

    接下来看一下两个应用环境。第一个环境，我们通过人脸识别技术来解决我们的信用卡申卡的网络化问题。

    客户在网络信用卡的申卡过程中，可以通过人像的采集识别，对比客户本人是不是本人办卡申请的，通过实时调入相关的摄象头进行拍照，然后实时跟后台，比如身份证公民查询系统，根据公安部的信息进行比对，进行后续审批的一个决策。

    第一，我们要通过动态识别技术，检测信用卡申请的时候，他是一个活人，而不是一个照片申请。

    怎么做呢？所谓的人脸识别技术，在他申请的时候，通过一定的低头，微笑，或者抓一下耳朵，闭上眼睛这种方式来保证你是活体的人。人像识别技术，我们目前已经考虑是不是把它引入到我们将来线下刷卡和线上刷卡这两个环节当中去。而目前这个技术，包括我这一次来北京也是带着一个重要的使命任务，看一下业界方面有哪些先进的公司可以做这方面的东西，然后进行方案的征集。

    这是人脸识别技术在信用卡领域的应用。

    第二个业务领域的应用是电子签名技术，2005年实施了中华人民共和国电子签名法，从发布开始就表明了电子签名技术已经与手写签名技术，或者是盖章具有同等的法律效力，所以我们需要做的是要与权威的第三方签名机构建立良好的电子签名的技术互动，同时应用到我们的业务场景当中去。我们要做的一个事情，就是通过原笔记的签名或者电子签名，能够无纸化，在电子单上面进行签名，摆脱纸质签名。

    目前业界走在最前的，这里有没有交通银行的粉丝，他们的办卡就已经实现了极大程度上的全自动化，但是他们在信用卡申请的最后一个领域还是要打印一张纸出来手写签名。而利用电子签名技术，利用所谓的PDA，或者WAP的申请，能够实现全电子化的电子签名。

    我们在网上找了一些图，哪些是电子签名技术，在可口可乐这样的一些公司，特别在国外，国外进行签收确认的时候，都是用一个手写笔在一个屏幕上签字，这样就搞定的事情。而我们现在希望利用电子签名技术，手写签名技术能够解决手写签名和电子签名核实这么一个问题。然后我们会结合电子签名技术对手写签名后的文件进行数字签名防篡改，这个也是一个比较热门的话题。

    这个架构是我抄袭了某个CA中心的图，他们说得话采集人通过信息的采集，结合资料，形成管个文件，通过证据通过CA中心保障，发生纠纷的时候，可以通过司法鉴定中心进行相应的鉴定服务，保证它的法律的有效性，法律的合法性。这个图都是抄袭的，大家网上都可以找到的。

    综合来说，刚才介绍了一个是人脸识别技术，结合人脸识别技术公民身份信息的核实，结合第三方的数字证书的权威机构认定和司法鉴定，可以保障信用卡的业务领域在实现电子化，或者是互联网化的时候能够实现全流程在线办理。这就意味着，信息安全并不是业务发展绊脚石，或者一个阻力，而是信息安全技术能够帮助甲方这些用户的业务能够快速发展。很多家银行都在考虑这么做，我现在了解的是，招行、普发、交行、广发都在做这样的努力，我们要做的是，在业界确实能够跟我们银行这边走在一起，提供整体解决方案的这些业界，能够与我们一起帮助我们拓展这个业务，实现我们的互联网金融化。

    包括我现在是广发银行信用卡中心的信息安全管理经理，我现在要做的就是设计我们的业务流程，以及实现我们IT架构的设计，同时征集业务方案，这些东西完成之后，我们会通过采购第三方、开发和这些动作，最终完成上线的动作。

    具体因为这个东西还涉及到一定的保密，所以不能详细去说。

    在这里，我也希望在座的业界，特别是乙方的业界精英，如果有相关的解决方案，包括电子签名、人脸识别，还有大数据，还有运输局的转换这些东西，我们这边都是非常能够与业界精英去合作，我也希望在座各位如果有兴趣，可以和我建立一个良好的互动，特别是比如我们有同业的，也可以跟我们进行一个同业交流。

    银行，今天我在上台的时候想了很多，我们能讲什么。其实我们很多银行很多东西不能讲，很多是涉密的。我这边只能通过两个技术的互联网应用给大家抛砖引玉，希望大家能够对我们的信用卡或者是银行的网络化、移动化有一些思考和建议。

    我的演讲到现在为止结束，感谢大家！

主持人：

    我们有甲方，有乙方，正是信息安全大会这个平台的一个主要作用，能够贡献一个交流的平台。

    下面大会的演讲环节结束了，下面将是我们的一个颁奖环节，需要提醒大家的是，在大会最后还会有一个抽奖，我们会为幸运的观众送出几份精美的礼品，请大家一起来关注我们这个颁奖，一同和获奖企业分享他们的喜悦。

    每年，我们的信息安全大会都会评出在信息安全领域杰出的企业、产品、解决方案。下面，将由我非常荣幸地宣布获奖名单。

    有请念到名字的获奖企业代表上台领奖。首先是获得2014年度中国信息安全品牌奖的是北京优炫软件股份有限公司，吉大正元信息技术股份有限公司，蓝盾信息安全技术股份有限公司，北京航星永志科技有限公司，北京北信源软件股份有限公司，北京联华中安信息技术有限公司，北京神舟航天软件技术有限公司，江南信安（北京）信息技术有限公司，天帷信息，北京中超伟业信息安全技术有限公司，广发银行信用卡中心，厦门天锐科技有限公司。请念到名字的获奖代表上台领奖，大家掌声祝贺他们一下吧。

    有请颁奖嘉宾，中国计算机学会，计算机安全专业委员会主任严明为他们颁奖，大家掌声欢迎！请获奖代表台下就坐，请严主任留步。

    我们还有一个品牌奖，请严主任留步。获得品牌奖的是睿石网云（北京）科技有限公司，北京凯锐立德科技有限公司，以太科技股份有限公司，成都飞鱼星科技开发有限公司，思科，中晟国计科技有限公司，深圳市腾讯计算机系统有限公司，中国电信企业邮箱，雀罗（上海）信息科技有限公司，北京华清泰和科技有限公司，北京云巢动脉科技有限公司，天帷信息，易智付科技（北京）有限公司，北京谷安天下科技有限公司。请获奖公司代表上台领奖。非常感谢，请大家合影留念。

    下面是2014年度中国信息安全产品奖的是，卫士通信息产业股份有限公司，北京子辉恒信科技有限公司，吉大正元信息技术股份有限公司，武汉思为同飞网络技术股份有限公司，北京金山安全管理系统技术有限公司，无锡城安信息科技有限公司，北京守望通科技有司责任公司，成都思维世纪科技有司责任公司，江苏威盾网络科技有限公司，赛博兴安科技有限公司，北京万户网络技术有限公司，北京北信源软件股份有限公司，北京安信华科技有限公司，深圳市彩讯科技有限公司，北京奇虎科技有限公司。请大家合影留念。请大家台下就坐。

    下面将由我荣幸宣布获得2014年度中国信息安全解决方案、人物奖的是，卫士通信息产业股份有限公司，江苏通付盾信息科技有限公司，湖南麒麟信息工程技术有限公司，联信摩贝软件（北京）有限公司，深圳市能士信息安全有限公司，天津神舟通用数据技术有限公司，北京国信灵通网络科技有限公司，北京通达信科科技有限公司，雀罗（上海）信息科技有限公司，蓝盾信息安全技术股份有限公司，深圳市能士信息安全有限公司，上海帝联信息科技股份有限公司，以太科技股份有限公司，上海众人网络安全技术有限公司谈剑峰，以太科技股份有限公司林明贵。有请中国计算机学会，中国计算机专家博士郝明江（谐音）为我们颁奖！请大家合影留念。大家掌声祝贺！

    感谢各位颁奖嘉宾，随着颁奖环节的结束，我们今年信息安全大会也接近尾声，但是最后我们还有一个抽奖环节，为了感谢能够坚持到最后的观众，我们将抽出三名幸运观众获得我们的礼品，由我们行使一下抽奖权利。他们是北京汇盛通软件科技有限公司杨欣，中国信息协会石宇佳，还有北京航空科技有限公司高茂珠，请三位获奖嘉宾到我右手边工作人员处领取奖品。