FOCUS
新金融 新安全
轉(zhuǎn)變安全防護(hù)思路,助力新金融安全發(fā)展
引言
新金融是在互聯(lián)網(wǎng)和信息技術(shù)革命推動(dòng)下,伴隨著移動(dòng)化、大數(shù)據(jù)、云計(jì)算等新興技術(shù)出現(xiàn)的新的金融生態(tài)和金融服務(wù)產(chǎn)品及模式,是金融業(yè)發(fā)展的新領(lǐng)域。伴隨著云計(jì)算、大數(shù)據(jù)、移動(dòng)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)等這些新興IT技術(shù)的發(fā)展與落地,傳統(tǒng)信息安全的邊界越來越模糊,新的攻擊形態(tài)層出不窮,安全威脅呈現(xiàn)復(fù)雜常態(tài)化趨勢(shì)。對(duì)金融領(lǐng)域的良性發(fā)展構(gòu)成極大威脅,對(duì)整個(gè)互聯(lián)網(wǎng)金融行業(yè)的健康發(fā)展產(chǎn)生了不利影響?;ヂ?lián)網(wǎng)復(fù)雜化趨勢(shì)使得金融銀行業(yè)的安全防護(hù)發(fā)生了本質(zhì)變化,線上線下融合的安全、互聯(lián)網(wǎng)作為新基礎(chǔ)設(shè)施的安全以及金融數(shù)據(jù)安全等新型安全問題,正在成為新金融環(huán)境下的新的探索領(lǐng)域。
隨著2017年6月1日起正式實(shí)施《網(wǎng)絡(luò)安全法》,為金融行業(yè)安全提供了法律保障。各金融機(jī)構(gòu)更加需要加強(qiáng)對(duì)新金融環(huán)境下的安全防護(hù)意識(shí),轉(zhuǎn)變安全防護(hù)思路,在新金融領(lǐng)域快速發(fā)展過程中,通過加速建立自主可控信息安全技術(shù)產(chǎn)業(yè)體系和不斷完善金融信息安全法規(guī)制度、標(biāo)準(zhǔn)規(guī)范體系等措施,提高金融領(lǐng)域信息安全防范能力。
新金融面臨的安全挑戰(zhàn)
傳統(tǒng)互聯(lián)網(wǎng)金融風(fēng)險(xiǎn)依然突出
傳統(tǒng)的金融安全風(fēng)險(xiǎn)仍在存在,原有的木馬、蠕蟲、網(wǎng)絡(luò)中間人攻擊、數(shù)據(jù)安全等安全風(fēng)險(xiǎn)并沒有隨著新金融、新技術(shù)的發(fā)展而減少,并且隨著移動(dòng)互聯(lián)網(wǎng)和物聯(lián)網(wǎng)等新技術(shù)的發(fā)展,安全防護(hù)風(fēng)險(xiǎn)在移動(dòng)終端和物聯(lián)網(wǎng)終端領(lǐng)域更是進(jìn)行了變化與升級(jí),使安全問題更難發(fā)現(xiàn)、安全防護(hù)也更復(fù)雜;
核心設(shè)備和技術(shù)長(zhǎng)期依賴于國(guó)外,底層技術(shù)難以掌握,存在安全隱患。目前在金融領(lǐng)域中操作系統(tǒng)、數(shù)據(jù)庫(kù)、芯片以及一些安全設(shè)備仍然采用國(guó)外設(shè)備,這些軟硬件中存在的后門、漏洞等風(fēng)險(xiǎn)對(duì)我國(guó)金融領(lǐng)域仍是一個(gè)監(jiān)管空白;各金融機(jī)構(gòu)也只是被動(dòng)的等待產(chǎn)品的升級(jí)和變更,沒有做到主動(dòng)防御,主動(dòng)處理;
新金融新技術(shù)帶來新的安全威脅
在互聯(lián)網(wǎng)金融快速發(fā)展過程中,移動(dòng)互聯(lián)網(wǎng)、云計(jì)算、虛擬化技術(shù)等已經(jīng)成為了時(shí)下的熱點(diǎn),在新技術(shù)和新模式提升金融業(yè)務(wù)和效率的同時(shí),也給金融機(jī)構(gòu)帶來了新的安全挑戰(zhàn)。
從移動(dòng)互聯(lián)網(wǎng)技術(shù)來講,由于銀行業(yè)務(wù)是動(dòng)態(tài)的,數(shù)據(jù)的傳輸經(jīng)過很多環(huán)節(jié),安全的核心是敏感數(shù)據(jù)的傳輸和存儲(chǔ)以及身份驗(yàn)證,身份驗(yàn)證安全機(jī)制薄弱,不能滿足高安全性的需要。與傳統(tǒng)技術(shù)不同,針對(duì)手機(jī)銀行的攻擊手段也發(fā)展的很快,如重放攻擊、截屏攻擊、釣魚攻擊、中間人攻擊等方式可能對(duì)現(xiàn)有的安全控制措施造成威脅。除此之外,惡意WIFI的連接等網(wǎng)絡(luò)環(huán)境不受控導(dǎo)致用戶傳輸數(shù)據(jù)被竊聽和篡改風(fēng)險(xiǎn);
從云計(jì)算技術(shù)來看,目前對(duì)云計(jì)算特別是金融業(yè)務(wù)云遷移相關(guān)的有效監(jiān)管還亟待加強(qiáng)。部分金融用戶已經(jīng)開始將部分業(yè)務(wù)托管到云服務(wù)廠商,而對(duì)云服務(wù)廠商安全性監(jiān)管尚不健全,云服務(wù)持續(xù)性為金融機(jī)構(gòu)運(yùn)營(yíng)帶來風(fēng)險(xiǎn),云應(yīng)用托管商受資金、社會(huì)環(huán)境、當(dāng)?shù)胤傻纫蛩刂萍s,不可避免地發(fā)生服務(wù)中斷事故,這將為企業(yè)帶來巨大的損失;同時(shí)金融數(shù)據(jù)存儲(chǔ)安全也成為另一個(gè)信息安全隱患,一旦云端服務(wù)器遭到黑客入侵,金融數(shù)據(jù)就面臨丟失或被竊的風(fēng)險(xiǎn)。因此云業(yè)務(wù)由于交易是基于互聯(lián)網(wǎng)且由用戶自助完成,和基于傳統(tǒng)渠道相比,會(huì)有更強(qiáng)的安全性要求;需要全生命周期更嚴(yán)格的防護(hù),以確保金融用戶的數(shù)據(jù)安全。
安全防護(hù)思路轉(zhuǎn)變
新金融快速發(fā)展的過程中,金融機(jī)構(gòu)需要結(jié)合自身的實(shí)際情況,及時(shí)掌握和應(yīng)對(duì)新形勢(shì)下的安全問題;這也是中國(guó)金融行業(yè)的安全決策者們,在金融行業(yè)快速發(fā)展中,需要思考的;信安世紀(jì)在金融領(lǐng)域深耕細(xì)作多年,對(duì)新金融新技術(shù)帶來業(yè)務(wù)變革的過程中新安全防護(hù)思路有以下一些認(rèn)識(shí):
從絕對(duì)安全向安全易用平衡轉(zhuǎn)變
關(guān)于安全措施有一個(gè)基本的矛盾:隨著安全防護(hù)的增加,安全系統(tǒng)的可用性卻在下降,而如果想保障用戶的易用,用戶的安全性就存在隱患,之前在金融領(lǐng)域中,由于監(jiān)管的要求以及金融行業(yè)的特殊性,金融機(jī)構(gòu)都會(huì)首選更高強(qiáng)度的安全手段來保障業(yè)務(wù),即使?fàn)奚粲脩粲脩舻囊子眯裕坏请S著互聯(lián)網(wǎng)的發(fā)展,特別是移動(dòng)領(lǐng)域的快速發(fā)展,這個(gè)思路也在發(fā)生著轉(zhuǎn)變,從絕對(duì)安全向安全易用平衡發(fā)展來過渡;舉個(gè)例子:USBKEY作為個(gè)人和企業(yè)網(wǎng)銀的一個(gè)重要安全手段,一直在金融業(yè)務(wù)中特別是資金業(yè)務(wù)中一直是作為首要甚至是唯一實(shí)現(xiàn)用戶身份認(rèn)證、保密性和不可否認(rèn)性的安全輔助要素,但是隨著移動(dòng)手機(jī)銀行的發(fā)展,雖然很多銀行推出了基于音頻USBKEY、藍(lán)牙USBKEY等針對(duì)于手機(jī)銀行的安全輔助措施,但是由于額外新增加的外設(shè),還是給用戶造成了很大的易用弊端,而互聯(lián)網(wǎng)企業(yè)推出的微信、支付寶以及采用信安世紀(jì)零私鑰簽名認(rèn)證技術(shù)的手機(jī)網(wǎng)銀業(yè)務(wù)等,則摒棄了這些終端外設(shè),給用戶全新易用體驗(yàn);在易用的同時(shí)防護(hù)強(qiáng)度也達(dá)到了人行、銀監(jiān)會(huì)、國(guó)密局等相關(guān)監(jiān)管單位的安全要求;
從前后臺(tái)均安全向前段易用、后臺(tái)風(fēng)控轉(zhuǎn)變
傳統(tǒng)的金融安全防護(hù)措施希望是在業(yè)務(wù)系統(tǒng)的各個(gè)方向上均能夠?qū)崿F(xiàn)安全,從用戶的前端環(huán)境安全,到前后端的通訊安全,再到后臺(tái)的前置、核心等等,每個(gè)階段都希望能夠給用戶做到絕對(duì)安全保障,這也導(dǎo)致了對(duì)用戶前端易用性和可維護(hù)性的下降。反而沒有從用戶實(shí)際行為分析入手,因此也需要轉(zhuǎn)變思路,增加用戶后臺(tái)行為風(fēng)控預(yù)警,增強(qiáng)前端安全易用;特別是在根據(jù)用戶的一些網(wǎng)絡(luò)環(huán)境、時(shí)間、地點(diǎn)、交易具體內(nèi)容等多方面做到大數(shù)據(jù)分析提前預(yù)警;信安世紀(jì)在基于大數(shù)據(jù)和云計(jì)算平臺(tái)實(shí)現(xiàn)基于用戶行為的身份認(rèn)證產(chǎn)品既是通過對(duì)前端用戶的不同環(huán)境、不同操作行為進(jìn)行的后臺(tái)預(yù)警,加強(qiáng)對(duì)用戶的風(fēng)險(xiǎn)控制;
從單一認(rèn)證形態(tài)到多元認(rèn)證轉(zhuǎn)變
金融行業(yè)安全認(rèn)證手段也在發(fā)生著變化,原有的金融安全認(rèn)證防護(hù)手段以簡(jiǎn)單口令認(rèn)證、令牌認(rèn)證、證書認(rèn)證等為主,隨著大數(shù)據(jù)、云計(jì)算、移動(dòng)等新技術(shù)對(duì)新金融的補(bǔ)充,認(rèn)證手段也將向多元化發(fā)展:包括零身份認(rèn)證、生物識(shí)別認(rèn)證、基于大數(shù)據(jù)的用戶行為身份這些認(rèn)證手段也都將作為新的安全認(rèn)證手段加入;
從多系統(tǒng)不同防御到統(tǒng)一防護(hù)轉(zhuǎn)變
傳統(tǒng)金融業(yè)務(wù)安全防護(hù)還是以單一業(yè)務(wù)系統(tǒng)出發(fā),根據(jù)某一單獨(dú)業(yè)務(wù)特性進(jìn)行全面安全防護(hù);但是隨著金融技術(shù)的發(fā)展,特別是可信金融云計(jì)算平臺(tái)的發(fā)展和部署,原有單一業(yè)務(wù)防護(hù)技術(shù)手段面臨著基礎(chǔ)架構(gòu)平臺(tái)共享、業(yè)務(wù)防護(hù)同質(zhì)化等新問題,需要將單一業(yè)務(wù)系統(tǒng)防護(hù)想多平臺(tái)整體安全防護(hù)考慮。例如原有安全應(yīng)用設(shè)備簽名服務(wù)器、動(dòng)態(tài)口令服務(wù)器均為某一單獨(dú)業(yè)務(wù)系統(tǒng)采購(gòu)和使用,造成各系統(tǒng)密碼及密鑰應(yīng)用策略不一致,算法類型、密鑰長(zhǎng)度、實(shí)現(xiàn)方式等方面差異較大,系統(tǒng)安全強(qiáng)度參差不齊。因此需要從整體統(tǒng)一防護(hù)思路著手,進(jìn)行新的調(diào)整;
從被動(dòng)防御到主動(dòng)防護(hù)
面對(duì)金融行業(yè)攻擊者的升級(jí)與變化,金融機(jī)構(gòu)的安全防護(hù)也需轉(zhuǎn)變思路,從被動(dòng)到主動(dòng),力求掌握網(wǎng)絡(luò)空間斗爭(zhēng)的主動(dòng)權(quán)用數(shù)據(jù)提高用戶的運(yùn)營(yíng)能力,提升金融機(jī)構(gòu)主動(dòng)檢測(cè)、預(yù)警、快速響應(yīng)安全威脅的能力;逐步形成預(yù)防、防護(hù)、響應(yīng)一體的技術(shù)保障體系。
信安世紀(jì)助力新金融安全發(fā)展
針對(duì)于新金融新技術(shù)帶來的新型安全威脅,信安世紀(jì)作為金融領(lǐng)域信息安全的企業(yè),與合作伙伴及各商業(yè)銀行客戶長(zhǎng)期保持著良好的信任與合作關(guān)系,共同促進(jìn)金融行業(yè)信息安全發(fā)展;目前信安世紀(jì)已經(jīng)在多家銀行建立基于PKI技術(shù)、國(guó)產(chǎn)密碼算法穩(wěn)定、安全、高效的信息安全防護(hù)架構(gòu);并且隨著新金融發(fā)展信安世紀(jì)在移動(dòng)安全認(rèn)證、大數(shù)據(jù)風(fēng)控和認(rèn)證領(lǐng)域也進(jìn)行了大量的技術(shù)預(yù)研,研發(fā)出符合新金融趨勢(shì)、適用于金融機(jī)構(gòu)產(chǎn)品和解決方案;幫助金融機(jī)構(gòu)在面對(duì)新金融發(fā)展過程中的安全防護(hù)應(yīng)對(duì).未來信安世紀(jì)也將一直緊抓全球金融業(yè)的發(fā)展趨勢(shì),來更好的適應(yīng)快速變化的金融安全需求,助力中國(guó)金融業(yè)快速安全發(fā)展。