金融行业可信无纸化应用解决方案

一、电子邮件全自动加密和签名解决方案

金融行业包括银行、证券、基金、外汇等多个重要部门，每天都有大量的电子邮件需要处理，这些电子邮件几乎都涉及到各种金融相关的机密信息和用户隐私信息，但是都是明文邮件，非常容易被非法窃取和非法篡改，这是一个必须解决的电子邮件安全隐患。

要保证电子邮件的安全保密，必须加密邮件内容本身。加密每一封电子邮件；并为每一封邮件加上数字签名和时间戳，保证电子邮件的可信，防止邮件被假冒，同时也保证电子邮件的发送时间可信。金融系统机构只需弃用正在使用的电子邮件客户端软件，改用密信APP，即可实现所有电子邮件全加密、全程加密和全自动加密，以及全自动加上数字签名和时间戳。同时，我们建议金融系统机构部署自己的密钥管理系统(KMS)，完全自己管控加密密钥，满足邮件密钥安全自主可控的高安全要求。

采用密信APP实现全程电子邮件加密，将使得金融系统机构能真正轻松地实现移动办公，既满足了迫切需要的移动办公需求，又满足了电子邮件对安全的要求。

如下左图所示，金融系统机构为了加密密钥的高度安全可控，只需把即插即用的企业KM设备连接到单位内网即可，所有员工电脑和移动设备都必须能连接到KM，以便获取加密证书私钥，成功拿到加密证书后就可以正常使用邮件加密功能了。KM设备不能访问互联网，仅限于员工电脑和移动设备在单位内网访问，以确保设备和密钥安全。金融系统机构也可以自建内部CA来为其用户签发证书而不使用密信默认CA，密信提供即插即用的CA设备，只需接入单位内网即可，密信APP将自动从内部CA获取签名证书和加密证书。

也就是说，密信邮件全加密解决方案可以让金融系统机构在无法做到完全可信的应用环境下，只要自己掌握加密密钥和/或自己签发证书，就可以实现电子邮件机密信息的完全自主可控。

二、电子文档全自动签名和加密解决方案

金融行业包括银行、证券、基金、外汇等多个重要部门，每天都有大量的纸质文件表格要处理，开设银行账户、申请贷款、信用卡申请、外汇买卖协议、基金购买协议以及内部文件审批签署等都已经开始向无纸化转变，但是不能只是在金融网站和APP中操作并看到这些文件和表格，应该像原先的纸质文件一样给用户一个无纸化的但内容和版式同纸质文件一样的电子文件以方便用户保存或打印，同时必须解决如何保证这些电子文件是可信的、不会被假冒和不会被非法篡改的问题。目前唯一的可行的技术解决方案是数字签名PDF文件加时间戳，并采用安全加密方式发送给用户。

密信提供全自动数字签名电子文档解决方案，可以帮助金融行业用户的内部管理系统的生成的各种PDF文件一键实现可信数字签名；而密信电子邮件签名和加密解决方案能帮助金融行业的业务系统把已经签名的PDF文件自动发送签名邮件和加密邮件给用户，彻底实现可靠的电子文件数字签名防伪和电子文件安全传递服务。

如上右图所示，用户在网上银行系统上办理各种银行业务，在线填写各种表格，表格填写完成后让用户在业务系统上手写签名或使用企业网银USB Key证书签名后提交到银行管理系统中，待处理完成后，银行管理系统调用云端密信电子签名服务系统或本地调用密信电子签章系统用本单位的Adobe全球信任的和国密合规的PDF签名证书签名。而对于不需要用户填表的业务(如银行账单、对账单、通知等)，则可以直接在现有的银行管理系统上生成的PDF文件调用云端密信电子签名服务系统或本地调用密信电子签章系统完成PDF签名即可。

推荐加密所有银行账单文件，只需调用密信全球公钥库获得用户的加密证书公钥加密PDF文件即可，用户只需用密信APP收发邮件即可无缝查看已加密的PDF文件。银行管理系统把各种文件都用从密信全球公钥库获取的用户的邮件加密证书公钥发送加密邮件给用户，确保各种用户机密文件(如银行账单、对账单、开户信息)的安全可靠送达，用户只需用密信APP就可以解密阅读。

本解决方案有四大独特优势，确保金融系统各种重要文件全程可信无纸化和加密送达：

1. 从用户在线申请到送达到用户手中，全程可信无纸化自动化加密送达。所有文件都有数字签名证明文件签发者的真实身份，防止重要的金融文件被假冒；
2. 不仅给用户的文件有Adobe全球信任和国密合规的数字签名证明身份，而且还可以实现给用户的金融文件用用户证书加密，仅用户本人才能打开阅读；
3. 不仅实现文件签名和加密，而且还可以通过加密邮件送达，确保在送达过程中不会像传统明文邮件方式容易被非法窃取和篡改；
4. 所有已经签名的文件都可以加密归档保存，即使只有签名的文件归档，由于所有文件都有时间戳签名，确保了所有文件一旦签名并归档，任何人是无法再修改此文件的，否则签名和时间戳信息将失效，有效地保证了文档的长期安全可信。时间戳签名对于后续的合规审计或者诉讼理赔等都非常有用，能确保当时的文件签署事件和签署时间是真实可信的，是不可否认和不可篡改的。

三、移动支付加密发送验证码解决方案

目前，移动支付在金融领域是一个逐渐普及的大众服务，但是其安全问题也不断涌现，安全威胁日益严峻。主要体现在两个方面：一是移动支付认证依赖短信验证码；二是各种金融账单和重置账户密码等都是通过明文邮件发送。

对于第一个安全问题，短信验证码能够被伪基站截获，也可以被手机上的恶意软件截获而遭遇金钱损失。短信验证码已经从原先的PC互联网时代的带外验证变成了移动互联网时代的带内验证，这样，短信验证就彻底失去了可作为一种身份验证方式的技术基础！所以，美国国家标准技术研究院(NIST)在SP 800-63B《数字身份指引》标准中指出：不宜使用公众交换电话网络(短消息或语音)的带外身份鉴别 ，正在考虑在未来版本中禁用。

对于第二个安全问题，很明显，金融账单中含有用户的许多敏感和机密信息，而采用明文邮件则非常容易被非法窃取而让用户遭遇财产损失，不仅伤害了用户，也对金融机构信誉造成不可挽回的损失。所以，有些银行已经采用明文邮件通知用户登录银行官网安全查看的方案，有些银行则是对接社交网络通过社交APP发送，这些都是一个不得已的折衷办法。

更好的解决方案是：通过加密邮件发送各种验证码，取代不安全的短信验证码；通过加密邮件找回账户密码或重置账户密码；通过加密邮件给用户发送电子账单等，并附身份认证签名信息，帮助用户有效识别欺诈邮件；通过加密邮件为用户提供在线客服。