客服熱線:400-615-8698
信息安全助推金融業(yè)務(wù)創(chuàng)新
很多人視信息安全與業(yè)務(wù)創(chuàng)新是兩駕背道而馳的馬車,各有各奔馳的方向;甚至一些人誤認(rèn)為信息安全是業(yè)務(wù)創(chuàng)新的絆腳石,為了安全而拒絕創(chuàng)新。然而,近年來金融機(jī)構(gòu)創(chuàng)新服務(wù)的實(shí)踐證實(shí)了信息安全可以助推業(yè)務(wù)創(chuàng)新。
全球第一臺(tái)自動(dòng)取款機(jī)40多年前在英國面世,雖然當(dāng)時(shí)ATM取款介質(zhì)為一次性紙質(zhì)支票,與后來的磁條卡或IC卡不同,但這種紙質(zhì)提款介質(zhì)已具備眾多安全認(rèn)證功能,包括機(jī)器可閱讀及辨識(shí)的碳14標(biāo)識(shí)及個(gè)人識(shí)別碼等。正是這些安全功能讓自助取款得以實(shí)現(xiàn),由此可見安全與創(chuàng)新的緊密聯(lián)系。
創(chuàng)新(Innovation)和發(fā)明(Invention)是兩個(gè)看起來意思相近的詞語,但兩者最大的差別就是可持續(xù)性(Sustainability)。發(fā)明泛指?jìng)€(gè)人在腦海中浮現(xiàn)的新概念、新產(chǎn)品、新技術(shù)、新服務(wù)、新流程;創(chuàng)新同樣是指新概念、新產(chǎn)品、新技術(shù)、新服務(wù)、新流程,但這些新概念、新產(chǎn)品、新技術(shù)、新服務(wù)、新流程要為市場(chǎng)所接受、所使用。創(chuàng)新是有市場(chǎng)價(jià)值的發(fā)明,創(chuàng)新改變市場(chǎng)行為和態(tài)度。因此,不是所有的發(fā)明都能在市場(chǎng)上生存,只有那些為客戶所接受、有助于提高效能的發(fā)明,才能演變成創(chuàng)新。安全控制是創(chuàng)新可持續(xù)特性的必要因素,一個(gè)發(fā)明如果存在嚴(yán)重缺陷則不會(huì)被接受,因而不少發(fā)明在安全論證中被否決。
信息安全為業(yè)務(wù)創(chuàng)新保駕護(hù)航
國際互聯(lián)網(wǎng)是改變?nèi)祟惿罘绞降囊粋€(gè)重大創(chuàng)新,今天人們?nèi)粘I睢⑸虡I(yè)活動(dòng)都離不開國際互聯(lián)網(wǎng)。國際互聯(lián)網(wǎng)提供了一個(gè)隨時(shí)隨地、方便、低成本的商業(yè)環(huán)境,也帶來了虛擬環(huán)境下交易雙方身份識(shí)別的難題。在互聯(lián)網(wǎng)環(huán)境中,企業(yè)亦需要將原來封閉的內(nèi)部網(wǎng)絡(luò)對(duì)外開放。
早在20世紀(jì)末,金融機(jī)構(gòu)已開始在國際互聯(lián)網(wǎng)上拓展業(yè)務(wù),銀行推出網(wǎng)上銀行服務(wù)、證券公司發(fā)展網(wǎng)上股票買賣服務(wù)、保險(xiǎn)公司利用互聯(lián)網(wǎng)進(jìn)行保險(xiǎn)銷售、查詢服務(wù)。在這些創(chuàng)新業(yè)務(wù)推出時(shí),安全控制措施沒有通用的模版,金融監(jiān)管機(jī)構(gòu)也沒有制定任何信息安全策略和發(fā)布安全指引。信息安全專業(yè)人員承擔(dān)著安全防范工作,構(gòu)建了安全的互聯(lián)網(wǎng)架構(gòu),搭建了防御性偵測(cè)監(jiān)控系統(tǒng),建立了安全的數(shù)據(jù)傳輸通道,制定了應(yīng)用安全策略等。可以說,金融機(jī)構(gòu)互聯(lián)網(wǎng)業(yè)務(wù)創(chuàng)新基于安全的基礎(chǔ)架構(gòu)之上。
隨著金融網(wǎng)上交易的廣泛使用,黑客向金融用戶發(fā)起惡意攻擊,借助網(wǎng)絡(luò)釣魚等手段進(jìn)行金融詐騙,盡管這些攻擊并非直指金融企業(yè)網(wǎng)站,但因客戶不能有效辨識(shí)來自國際互聯(lián)網(wǎng)的欺詐行為而遭受經(jīng)濟(jì)損失。借助信息安全技術(shù)可展開對(duì)可疑網(wǎng)站的偵察,監(jiān)管部門可迅速關(guān)閉可疑假冒金融機(jī)構(gòu)網(wǎng)站。信息安全為金融業(yè)務(wù)創(chuàng)新保駕護(hù)航。
構(gòu)建基于移動(dòng)設(shè)備的安全體系
隨著智能終端和移動(dòng)寬帶技術(shù)的迅猛發(fā)展,智能手機(jī)、平板電腦、便攜式PC等移動(dòng)設(shè)備也在不斷升級(jí),很多金融機(jī)構(gòu)利用移動(dòng)終端設(shè)備拓展金融服務(wù),紛紛推出移動(dòng)銀行、移動(dòng)證券交易、移動(dòng)保險(xiǎn)展業(yè)服務(wù)等。
移動(dòng)終端設(shè)備的另一個(gè)應(yīng)用領(lǐng)域是移動(dòng)辦公。即員工通過移動(dòng)設(shè)備接入企業(yè)網(wǎng)絡(luò),隨時(shí)隨地處理電子郵件,開展工作。移動(dòng)辦公在提高效率、節(jié)省成本的同時(shí)也使得企業(yè)面臨選擇難題:?jiǎn)T工使用的移動(dòng)終端設(shè)備是企業(yè)所有還是個(gè)人所有?
如果企業(yè)選擇為員工配備移動(dòng)終端設(shè)備,設(shè)備管理問題則相對(duì)容易解決。企業(yè)可采取相應(yīng)的技術(shù)控制措施,對(duì)員工移動(dòng)設(shè)備進(jìn)行有效管理。然而隨著個(gè)人擁有移動(dòng)終端設(shè)備的普及化,越來越多的企業(yè)員工將移動(dòng)設(shè)備引入辦公環(huán)境中,自帶終端上班BYOD(BringYourOwnDevices)逐漸演變?yōu)橐环N潮流。但與此同時(shí),針對(duì)移動(dòng)智能終端的安全威脅接踵而來。移動(dòng)威脅檢測(cè)數(shù)據(jù)顯示,現(xiàn)在平均每秒就有3.5個(gè)危害移動(dòng)終端安全的新威脅產(chǎn)生。移動(dòng)智能終端已成為黑客的攻擊目標(biāo)之一,安全問題不容小視。
對(duì)個(gè)人用戶而言,各種智能操作系統(tǒng)安全漏洞、刷機(jī)越獄產(chǎn)生的安全隱患、以及越來越多的手機(jī)惡意程序都是需要面對(duì)的安全風(fēng)險(xiǎn)。企業(yè)用戶也面臨同樣的安全挑戰(zhàn):在認(rèn)同員工BYOD的同時(shí),如何對(duì)員工自帶設(shè)備進(jìn)行有效的安全管理,以保護(hù)企業(yè)的機(jī)密信息不受侵犯。要做好企業(yè)級(jí)移動(dòng)設(shè)備安全管理,就要建立一套有效的防護(hù)策略,關(guān)鍵要做到將BYOD的工作與個(gè)人使用區(qū)分,需要注意以下幾個(gè)方面。
①設(shè)備認(rèn)證。為確保授權(quán)設(shè)備才能接入企業(yè)網(wǎng)絡(luò),員工必須通過身份認(rèn)證并確認(rèn)授權(quán)接入的終端設(shè)備。
②設(shè)備標(biāo)準(zhǔn)配置。確認(rèn)準(zhǔn)入后,設(shè)備需按企業(yè)安全配置要求,實(shí)施密碼標(biāo)準(zhǔn)、密碼失敗嘗試控制、自動(dòng)鎖屏等安全管理措施。
③傳輸保密性。設(shè)備經(jīng)國際互聯(lián)網(wǎng)連接企業(yè)內(nèi)網(wǎng)時(shí),在互聯(lián)網(wǎng)上的傳輸必須建立加密傳輸(如VPN、SSL等)通道,保障敏感數(shù)據(jù)在公網(wǎng)上的傳輸安全。
④企業(yè)數(shù)據(jù)保密。企業(yè)數(shù)據(jù)應(yīng)只容許訪問,不容許保留在接入的移動(dòng)設(shè)備上;如必須將企業(yè)數(shù)據(jù)保存到個(gè)人接入移動(dòng)設(shè)備,企業(yè)數(shù)據(jù)必須與個(gè)人數(shù)據(jù)分隔,并加密保存。
⑤企業(yè)數(shù)據(jù)處理。當(dāng)員工設(shè)備丟失或離職時(shí),設(shè)備存儲(chǔ)的企業(yè)數(shù)據(jù)必須立即清除,設(shè)備管理必須能夠?qū)嵤┻h(yuǎn)程數(shù)據(jù)刪除處理,防止企業(yè)敏感數(shù)據(jù)的泄露。
除了采取有效的技術(shù)措施外,還應(yīng)制定BYOD管理制度。BYOD管理制度必須清晰表述員工將個(gè)人設(shè)備用于工作環(huán)境的操作規(guī)則,并簽訂使用協(xié)議,允許企業(yè)在個(gè)人設(shè)備上部署安全控制措施,還應(yīng)進(jìn)行適當(dāng)宣傳培訓(xùn),使員工了解移動(dòng)終端設(shè)備用于辦公環(huán)境可能導(dǎo)致的信息安全風(fēng)險(xiǎn)。
BYOD安全管理策略實(shí)施后,移動(dòng)設(shè)備不但可支持移動(dòng)辦公,還可接收企業(yè)AppStore下發(fā)的應(yīng)用程序,支持創(chuàng)新的業(yè)務(wù)移動(dòng)工作模式,實(shí)現(xiàn)金融服務(wù)不受地域和時(shí)間的限制。
信息安全工作不局限于對(duì)企業(yè)信息保護(hù),要能夠準(zhǔn)確把握內(nèi)外部環(huán)境轉(zhuǎn)變,滿足市場(chǎng)需要,順應(yīng)企業(yè)文化,前瞻性采取應(yīng)變措施,建立安全可靠管理制度,做到未雨綢繆、防患于未然,使信息科技有力支撐業(yè)務(wù)發(fā)展、促進(jìn)業(yè)務(wù)創(chuàng)新,為金融服務(wù)變革保駕護(hù)航。
