1512611185606_中泰连心锁：面向客户的强身份认证应用模式.pdf

案例库 中国证券业协会培训中心版权所有 第一届证券行业案例大赛 参赛案例 2016 年 9 月 王恩潭 彭 渤 朱继建 董红涛 中泰连心锁：面向客户的强身份认证应用模式 引言 近年来，随着互联网及其应用的快速发展，信息安全问题日益凸显，证券行业陆续提出了一系列保护投 资者利益和信息安全的监管要求，实施“网上交易强身份认证”即为其中的重要内容和主要技术措施之 一。 本案例系中泰证券（原齐鲁证券，2015 年9 月更名为中泰证券）在强身份认证应用模式方面的探讨和实 践，旨在落实行业监管要求，通过技术应用保护投资者切身利益、推动公司业务发展。理论探讨方面： 提出了“面向客户实施强身份认证”的观点；阐述了“强身份认证带来证券集中交易革命”的理念；梳 理归纳了实施强认证必须处理好的10个关键问题，逐一剖析求解。应用实践方面：构建了一种面向客户 的、基于硬件令牌的，以“后台嵌入式集中认证”为核心的券商信息系统动态密码双因素强身份认证应 用模式；摸索出一套强认证技术应用实用标准；制定了一套较完备的实施强认证的业务规则。 中泰证券关于强身份认证的思考 深刻领会行业监管精神，实施面向客户的强身份认证 2008 年 12 月，证监会下发《关于加强对投资者网上交易安全保护的通知》（证监办发[2008]136 号）， 明确要求“加强网上交易投资者的身份认证手段”，要求“网上交易除采用输入账户名、密码、验证码的 身份认证方式之外，各机构还应向客户提供一种以上强度更高的身份认证方式供客户选择采用”。2009 年6 月，《证券公司网上证券信息系统技术指引》颁布实施，其中第二十八条和第三十八条，分别从网上 证券客户端和服务端规定：券商应向客户提供软硬件证书、动态口令等强身份认证方式（2015 年3 月修 订的《证券公司网上证券信息系统技术指引》第二十九条，对“证券公司应当提供可靠的客户身份认证 机制”做了进一步规范和要求）。 2011 年9 月，证监会机构部在《机构监管情况通报》（2011 年第 13 期，总第49 期）中，就“证券公司 网上交易强身份认证试点工作情况”，从试点背景、网上交易强身份认证基本要点、专业评价等几个方面 向全行业进行了详细通报，并附成功案例供大家学习借鉴，进一步推进、推广网上交易双因素强身份认 证在行业中的应用。同时，通过《关于做好证券公司网上交易强身份认证有关工作的通知》（机构部部函 [2011]450 号），做出了“引导、鼓励证券公司在开展新业务、开发销售新产品时全面实施强身份认证” 的行业工作部署。2011 年 11 月，协会印发《网上证券双因素认证技术应用方案》，对双因素强认证在行 业中的应用进行了梳理和规范。 做好强身份认证，虽然是从网上交易的角度提出来的，但是决不能片面地理解成只需要在网上交易范围 内解决问题。狭义地局限于网上交易层面求解，根本无法真正满足行业监管要求。通过强身份认证来保 护投资者网上交易安全，要保护的是投资者，要认证的主体是券商集中交易系统中的客户，所以，归根 结蒂要解决的是集中交易系统的客户身份认证问题。实施网上交易强身份认证，要深刻理解监管要求实 1 案例库 中国证券业协会培训中心版权所有 质，不应拘泥于交易渠道和委托方式；要从源头入手，在根本上提升券商集中交易系统整体的身份认证 强度；要面向客户实施强身份认证，利用技术手段妥善处理好互联网环境下的客户身份认证，确保认证 的有效性和权威性。只有这样，才能真正落实好“加强对投资者网上交易安全保护”的监管要求。 基于硬件令牌的动态密码双因素认证是客户强认证的理想选择 2008 年底开始，中泰证券对包括：静态密码、磁卡、条码、智能卡、软/硬件证书、生物特征认证、动态 密码等多种认证方式及各种组合的双因素、多因素主流应用，进行了一系列调研，从认证强度、有效性、 普适性、安全性、实时性，用户操作的便利性，系统建设和维护成本，项目实施周期以及应用可扩展性 等诸多方面进行对比分析，最终遴选出基于硬件令牌的“静态密码+动态密码”双因素（简称动态密码双 因素）客户强身份认证方式。选择该