2015年9月7日、8日,由东方集团网络信息安全技术有限公司与中国民生银行共建的“中国民生银行网上银行安全应用试点项目”在民生银行马坡总部基地成功完成了国密局牵头的项目检测小组为期两天的现场检测。
国家密码管理局商用密码检测中心副主任邓开勇、国家信息安全中心专家陈武平、国家信息技术安全研究中心梁津民、银行卡检测中心杨子砚、中国金融电子化公司测评中心黄俊等8位专家,受国家发改委、人行、国密局委托组成国密检测小组,将重点检查民生银行国密项目的完成情况、上线系统运行情况、使用设备的国密型号、现场抓包的国密证书和报文签名等技术内容。
东方集团项目负责人向检测小组做了总体汇报,阐述了民生银行网上银行改造项目的总体原则、安全策略以及加快构建与金融领域要求相适应的信息安全体系的坚定决心。民生银行科技开发部项目负责人向检测小组汇报了项目的建设方案,重点包括网银的统一安全架构、财政版网银和村镇版网银的试点方案以及国密创新应用加载eID的三代KEY方案;介绍了项目的总体完成情况,截止2015年7月底项目组已完成所有项目技术工作;重点介绍了项目试点成果、经验总结及推广情况。检测小组充分肯定了项目组的工作。
下午,检测小组亲赴民生银行马坡支行,并以个人身份开通了民生银行账户,办理了网银的U宝和OTP令牌。这些网银安全工具也是检测小组后续测试的重要工具。在民生银行国密安全应用试点的展示厅内,检测小组参观了厅内展示的各类基于国密算法的安全产品,其中包含动态令牌、SSL网关、签名服务器等。并饶有兴致地观看了国密创新用三代KEY在民生银行内部园区管理、班车刷卡、OA登录等方面的演示,专家对这些新型应用表示了浓厚兴趣。最后检测小组参观了民生银行数据中心ECC和村镇银行系统的鹏博士机房。
8号全天,检测小组在展示厅观看了村镇银行两个生产账户的转账处理,先由制单员提交转账请求,再由管理员审批,完成转账。此流程标志着国密应用在生产系统的实际上线,是此次检查的重要检查项之一。检测小组在村镇网银的镜像系统上亲自做了转账操作,并使用wireshark软件进行抓包处理,处理结果表明网银用户的证书使用的都是CFCA颁发的国密证书,通讯链路和报文签名也都是采用国密证书加密。
现场检测后检测小组将出具正式的检测报告并递交发改委验收组。此次现场测试是最后一次专家检测,因此测试报告将作为项目验收的重要依据。