轉(zhuǎn)變安全防護思路,助力新金融安全發(fā)展
引言
新金融是在互聯(lián)網(wǎng)和信息技術(shù)革命推動下����,伴隨著移動化�����、大數(shù)據(jù)��、云計算等新興技術(shù)出現(xiàn)的新的金融生態(tài)和金融服務(wù)產(chǎn)品及模式����,是金融業(yè)發(fā)展的新領(lǐng)域。伴隨著云計算�����、大數(shù)據(jù)�����、移動互聯(lián)網(wǎng)�����、物聯(lián)網(wǎng)等這些新興IT技術(shù)的發(fā)展與落地��,傳統(tǒng)信息安全的邊界越來越模糊����,新的攻擊形態(tài)層出不窮,安全威脅呈現(xiàn)復(fù)雜常態(tài)化趨勢�����。對金融領(lǐng)域的良性發(fā)展構(gòu)成極大威脅����,對整個互聯(lián)網(wǎng)金融行業(yè)的健康發(fā)展產(chǎn)生了不利影響����?�;ヂ?lián)網(wǎng)復(fù)雜化趨勢使得金融銀行業(yè)的安全防護發(fā)生了本質(zhì)變化,線上線下融合的安全����、互聯(lián)網(wǎng)作為新基礎(chǔ)設(shè)施的安全以及金融數(shù)據(jù)安全等新型安全問題,正在成為新金融環(huán)境下的新的探索領(lǐng)域。
隨著2017年6月1日起正式實施《網(wǎng)絡(luò)安全法》����,為金融行業(yè)安全提供了法律保障。各金融機構(gòu)更加需要加強對新金融環(huán)境下的安全防護意識��,轉(zhuǎn)變安全防護思路��,在新金融領(lǐng)域快速發(fā)展過程中����,通過加速建立自主可控信息安全技術(shù)產(chǎn)業(yè)體系和不斷完善金融信息安全法規(guī)制度、標準規(guī)范體系等措施�����,提高金融領(lǐng)域信息安全防范能力����。
新金融面臨的安全挑戰(zhàn)
傳統(tǒng)互聯(lián)網(wǎng)金融風險依然突出
傳統(tǒng)的金融安全風險仍在存在,原有的木馬�����、蠕蟲����、網(wǎng)絡(luò)中間人攻擊、數(shù)據(jù)安全等安全風險并沒有隨著新金融�����、新技術(shù)的發(fā)展而減少��,并且隨著移動互聯(lián)網(wǎng)和物聯(lián)網(wǎng)等新技術(shù)的發(fā)展����,安全防護風險在移動終端和物聯(lián)網(wǎng)終端領(lǐng)域更是進行了變化與升級,使安全問題更難發(fā)現(xiàn)��、安全防護也更復(fù)雜����;
核心設(shè)備和技術(shù)長期依賴于國外�����,底層技術(shù)難以掌握��,存在安全隱患����。目前在金融領(lǐng)域中操作系統(tǒng)����、數(shù)據(jù)庫、芯片以及一些安全設(shè)備仍然采用國外設(shè)備��,這些軟硬件中存在的后門�����、漏洞等風險對我國金融領(lǐng)域仍是一個監(jiān)管空白�����;各金融機構(gòu)也只是被動的等待產(chǎn)品的升級和變更��,沒有做到主動防御,主動處理�����;
新金融新技術(shù)帶來新的安全威脅
在互聯(lián)網(wǎng)金融快速發(fā)展過程中��,移動互聯(lián)網(wǎng)����、云計算����、虛擬化技術(shù)等已經(jīng)成為了時下的熱點,在新技術(shù)和新模式提升金融業(yè)務(wù)和效率的同時�����,也給金融機構(gòu)帶來了新的安全挑戰(zhàn)�����。
從移動互聯(lián)網(wǎng)技術(shù)來講�����,由于銀行業(yè)務(wù)是動態(tài)的��,數(shù)據(jù)的傳輸經(jīng)過很多環(huán)節(jié),安全的核心是敏感數(shù)據(jù)的傳輸和存儲以及身份驗證��,身份驗證安全機制薄弱�����,不能滿足高安全性的需要�����。與傳統(tǒng)技術(shù)不同�����,針對手機銀行的攻擊手段也發(fā)展的很快�����,如重放攻擊����、截屏攻擊、釣魚攻擊����、中間人攻擊等方式可能對現(xiàn)有的安全控制措施造成威脅�����。除此之外��,惡意WIFI的連接等網(wǎng)絡(luò)環(huán)境不受控導(dǎo)致用戶傳輸數(shù)據(jù)被竊聽和篡改風險;
從云計算技術(shù)來看����,目前對云計算特別是金融業(yè)務(wù)云遷移相關(guān)的有效監(jiān)管還亟待加強。部分金融用戶已經(jīng)開始將部分業(yè)務(wù)托管到云服務(wù)廠商����,而對云服務(wù)廠商安全性監(jiān)管尚不健全,云服務(wù)持續(xù)性為金融機構(gòu)運營帶來風險��,云應(yīng)用托管商受資金��、社會環(huán)境��、當?shù)胤傻纫蛩刂萍s��,不可避免地發(fā)生服務(wù)中斷事故��,這將為企業(yè)帶來巨大的損失;同時金融數(shù)據(jù)存儲安全也成為另一個信息安全隱患����,一旦云端服務(wù)器遭到黑客入侵,金融數(shù)據(jù)就面臨丟失或被竊的風險�����。因此云業(yè)務(wù)由于交易是基于互聯(lián)網(wǎng)且由用戶自助完成�����,和基于傳統(tǒng)渠道相比����,會有更強的安全性要求;需要全生命周期更嚴格的防護��,以確保金融用戶的數(shù)據(jù)安全��。
安全防護思路轉(zhuǎn)變
新金融快速發(fā)展的過程中�����,金融機構(gòu)需要結(jié)合自身的實際情況��,及時掌握和應(yīng)對新形勢下的安全問題;這也是中國金融行業(yè)的安全決策者們��,在金融行業(yè)快速發(fā)展中����,需要思考的;信安世紀在金融領(lǐng)域深耕細作多年��,對新金融新技術(shù)帶來業(yè)務(wù)變革的過程中新安全防護思路有以下一些認識:
從絕對安全向安全易用平衡轉(zhuǎn)變
關(guān)于安全措施有一個基本的矛盾:隨著安全防護的增加��,安全系統(tǒng)的可用性卻在下降����,而如果想保障用戶的易用��,用戶的安全性就存在隱患��,之前在金融領(lǐng)域中����,由于監(jiān)管的要求以及金融行業(yè)的特殊性,金融機構(gòu)都會首選更高強度的安全手段來保障業(yè)務(wù)��,即使犧牲掉用戶用戶的易用性����;但是隨著互聯(lián)網(wǎng)的發(fā)展�����,特別是移動領(lǐng)域的快速發(fā)展�����,這個思路也在發(fā)生著轉(zhuǎn)變�����,從絕對安全向安全易用平衡發(fā)展來過渡����;舉個例子:USBKEY作為個人和企業(yè)網(wǎng)銀的一個重要安全手段�����,一直在金融業(yè)務(wù)中特別是資金業(yè)務(wù)中一直是作為首要甚至是唯一實現(xiàn)用戶身份認證�����、保密性和不可否認性的安全輔助要素�����,但是隨著移動手機銀行的發(fā)展,雖然很多銀行推出了基于音頻USBKEY����、藍牙USBKEY等針對于手機銀行的安全輔助措施,但是由于額外新增加的外設(shè)��,還是給用戶造成了很大的易用弊端��,而互聯(lián)網(wǎng)企業(yè)推出的微信��、支付寶以及采用信安世紀零私鑰簽名認證技術(shù)的手機網(wǎng)銀業(yè)務(wù)等��,則摒棄了這些終端外設(shè)����,給用戶全新易用體驗��;在易用的同時防護強度也達到了人行��、銀監(jiān)會�����、國密局等相關(guān)監(jiān)管單位的安全要求;
從前后臺均安全向前段易用��、后臺風控轉(zhuǎn)變
傳統(tǒng)的金融安全防護措施希望是在業(yè)務(wù)系統(tǒng)的各個方向上均能夠?qū)崿F(xiàn)安全����,從用戶的前端環(huán)境安全,到前后端的通訊安全�����,再到后臺的前置�����、核心等等�����,每個階段都希望能夠給用戶做到絕對安全保障�����,這也導(dǎo)致了對用戶前端易用性和可維護性的下降�����。反而沒有從用戶實際行為分析入手,因此也需要轉(zhuǎn)變思路����,增加用戶后臺行為風控預(yù)警,增強前端安全易用����;特別是在根據(jù)用戶的一些網(wǎng)絡(luò)環(huán)境、時間����、地點、交易具體內(nèi)容等多方面做到大數(shù)據(jù)分析提前預(yù)警��;信安世紀在基于大數(shù)據(jù)和云計算平臺實現(xiàn)基于用戶行為的身份認證產(chǎn)品既是通過對前端用戶的不同環(huán)境��、不同操作行為進行的后臺預(yù)警����,加強對用戶的風險控制�����;
從單一認證形態(tài)到多元認證轉(zhuǎn)變
金融行業(yè)安全認證手段也在發(fā)生著變化�����,原有的金融安全認證防護手段以簡單口令認證、令牌認證����、證書認證等為主,隨著大數(shù)據(jù)����、云計算、移動等新技術(shù)對新金融的補充�����,認證手段也將向多元化發(fā)展:包括零身份認證����、生物識別認證、基于大數(shù)據(jù)的用戶行為身份這些認證手段也都將作為新的安全認證手段加入����;
從多系統(tǒng)不同防御到統(tǒng)一防護轉(zhuǎn)變
傳統(tǒng)金融業(yè)務(wù)安全防護還是以單一業(yè)務(wù)系統(tǒng)出發(fā),根據(jù)某一單獨業(yè)務(wù)特性進行全面安全防護��;但是隨著金融技術(shù)的發(fā)展,特別是可信金融云計算平臺的發(fā)展和部署�����,原有單一業(yè)務(wù)防護技術(shù)手段面臨著基礎(chǔ)架構(gòu)平臺共享����、業(yè)務(wù)防護同質(zhì)化等新問題,需要將單一業(yè)務(wù)系統(tǒng)防護想多平臺整體安全防護考慮��。例如原有安全應(yīng)用設(shè)備簽名服務(wù)器����、動態(tài)口令服務(wù)器均為某一單獨業(yè)務(wù)系統(tǒng)采購和使用,造成各系統(tǒng)密碼及密鑰應(yīng)用策略不一致�����,算法類型����、密鑰長度、實現(xiàn)方式等方面差異較大��,系統(tǒng)安全強度參差不齊����。因此需要從整體統(tǒng)一防護思路著手,進行新的調(diào)整�����;
從被動防御到主動防護
面對金融行業(yè)攻擊者的升級與變化����,金融機構(gòu)的安全防護也需轉(zhuǎn)變思路,從被動到主動����,力求掌握網(wǎng)絡(luò)空間斗爭的主動權(quán)用數(shù)據(jù)提高用戶的運營能力,提升金融機構(gòu)主動檢測��、預(yù)警��、快速響應(yīng)安全威脅的能力��;逐步形成預(yù)防��、防護�����、響應(yīng)一體的技術(shù)保障體系。
信安世紀助力新金融安全發(fā)展
針對于新金融新技術(shù)帶來的新型安全威脅����,信安世紀作為金融領(lǐng)域信息安全的企業(yè),與合作伙伴及各商業(yè)銀行客戶長期保持著良好的信任與合作關(guān)系�����,共同促進金融行業(yè)信息安全發(fā)展��;目前信安世紀已經(jīng)在多家銀行建立基于PKI技術(shù)�����、國產(chǎn)密碼算法穩(wěn)定��、安全��、高效的信息安全防護架構(gòu)��;并且隨著新金融發(fā)展信安世紀在移動安全認證����、大數(shù)據(jù)風控和認證領(lǐng)域也進行了大量的技術(shù)預(yù)研,研發(fā)出符合新金融趨勢����、適用于金融機構(gòu)產(chǎn)品和解決方案�����;幫助金融機構(gòu)在面對新金融發(fā)展過程中的安全防護應(yīng)對.未來信安世紀也將一直緊抓全球金融業(yè)的發(fā)展趨勢,來更好的適應(yīng)快速變化的金融安全需求��,助力中國金融業(yè)快速安全發(fā)展����。
